Bu makale içerisinde ACL denetim listesi uygulamalarını Huawei marka cihazlar üzerinde gerçekleştireceğiz.
ACL(Erişim Denetim Listesi),(Access Control List) Nedir ?
Network üzerinde cihazlar arası IP tabanlı erişimleri kısıtlamak veya kontrol altına almak üzere kullanılan protokole “ACL” Access Control Listeleri adı verilir.
ACL Türleri;
Standart ACL, Extended ACL ve Named ACL’dir.
ACL tanımları numaralarına göre tanımlanır.
Basic ACL numarası 2000-2999
Advanced ACL numarası 3000-3999
Named ACL ve IPv6 Based ACL
ACL numarasına bakarak cihazın işletim sistemi ACL yeteneğini ve detayını anlar.
Basic ACL: Örneğin” [R1-acl-basic-2000]” olduğunda erişimin sadece ilgili Host veya Network için kontrol altına alınacağını anlar ve ACL yazılırken daha fazla detay belirtmenize izin vermez.
Advanced ACL: Cihazlar arasındaki erişimi host’dan host’a veya network’den network’e ve protokol tabanlı olarak daha fazla detay vererek kontrol altına almak istiyorsanız. Extended ACL kullanmalısınız. “[R1-acl-adv-3000]” gibi.
Named ACL: Extended veya Standart named ACL yazılabilir. “[R1-acl-adv-Gokhan-ACL] “ bu format’da yazıldığında ACL tipinin named standart olduğu anlaşılır.
Yukarıdaki türlerin dışında bir çok üretici işletim systemi özelinde time based veya reflexive based ACL tanımlamaları yapılabilir.
ACL uygulayabilmek için, “IP Subneting “ ve “Wildcard bits” hesaplamalarını bilmeniz gereklidir. Daha evvel detaylarını yazdığımız makalemden faydalanabilirsiniz. Bknz: http://www.cozumpark.com/blogs/network/archive/2013/05/19/hp-switchler-uzerinde-temel-guvenlik-erisim-ayarlari-ve-access-list-konfigurasyonu.aspx
Huawei Layer 3 Switch veya Router’lar üzerinde ACL konfigürasyon örneklerini uygulamalı olarak aşağıda takip edebilirsiniz.
Topojimiz aşağıdaki gibi kurulmuştur.
Resim -1-
Senaryo -1-
Açıklama : Öncelikli olarak 192.168.1.0/24 network’ü üzerinde yer alan Client 1 için, Dış network’e çıkış kapısı olan 192.168.1.254/24 Ip Adresine sahip olan AR1 Router’ına erişimi keseceğiz.
Uygulama sınırı yeterince dar olduğu için, sadece 1 Adet Client IP adresinin erişimini kısıtlamak yeterli olacaktır.
192.168.1.2 Bilgisayarı kural sonunda 192.168.1.254 Gateway Ip adresine erişemeyecektir.
192.168.1.3 Bilgisayarı bu kuraldan etkilenmeyecektir. Gateway IP adresine erişimi devam edecektir.
ACL uygulamanması için senaryoya uygun kuralı Router üzerinde aşağıdaki sıralama ile yazalım.
Resim -2-
Kural uygulanırken dikkat edilmesi gereken en önemli husus, kural trafiği hangi yönde etkilenmesi isteniyorsa ilgili interface içerisinde kaynağa en yakın olan interface seçilerek, trafik iç network içerisinde dönüyorsa, “INBOUND”, eğer trafik dış yöne doğru gidecek ise, ilgili interface içerisinde ACL ilişkilendirmesi “OUTBOUND” olarak tanımlanmalıdır.
Resim -3-
Resim 3 içerisinde “Client 1” kullanıcısı üzerinde ACL uygulandıktan ve uygulanmadan önceki etkisini gözlemleyebilirsiniz.
Resim -4-
Resim 4 içerisinde yer alan çıktı’da “Client 3” kullanıcısının yazılan kuraldan etkilenmediğini gözlemleyebilirsiniz.
Böylelikle temel anlamda Basic ACL uygulamasını tamamlamış bulunmaktayız. Basic ACL’lerin genel olarak yetenekleri kısıtlıdır. Ve host erişimlerini tek yönlü, protokol tabanlı ve zaman tabanlı kısıtlanabilir.
Senaryo -2-
Açıklama : Öncelikli olarak 192.168.1.0/24 network’ü üzerinde yer alan Client 3 için, Dış network’de yer alan 192.168.3.0/24 de ki, 192.168.3.1 Ip adresine sahip olan Client 2’ye erişimi sınırlayacağız.
Amaç farklı network segment’lerinde yer alan kullanıcılar üzerinde IP tabanlı olarak host erişimlerini kısıtlamak veya engellemek, Protokol, IP Network ve Ip Segment’leri söz konusu olduğunda, Basic ACL yetersiz kalacaktır. Bu sebeple Advanced ACL kullanmak gerekecektir.
Amaç için gerekli olan ACL Advanced kuralı aşağıdaki sıralama ile uygulanmalıdır.
Resim -5-
Resim -5- üzerinde yer alan kuralın etkisini aşağıdaki şekilde çıktısını alabilirsiniz.
Resim -6-
Senaryo -3-
Açıklama : Öncelikli olarak 192.168.2.252/30 network’ü üzerinde yer alan R1 için, Direkt bağlı olduğu R2 cihazı ile arasındaki bağlantı üzerinden “telnet” protokolü ile R1 cihazından R2 cihazına Telnet protokolünün erişiminin kapatılmasına ilişkin talep geldiğinde.
R1 cihazı Ip adresi: 192.168.2.253/30 , R2 cihazı Ip adresi 192.168.2.254/30
Aşağıdaki işlem adımlarını R2 Cihazı üzerinden uyguladığınızda talep yerine getirilecektir.
Öncelikli olarak ACL kuralını yazmadan evvel, R1 cihazından, R2 cihazına telnet protokolü ile erişimi deneyelim.
Resim -7-
Telnet bağlantısı başarılı olduktan hemen sonra, R2 cihazı üzerinde aşağıdaki gibi “ACL” kuralını ekrandaki işlem adımları ile uygulayalım.
Resim -8-
Kuralı uyguladıktan sonra, Resim 9’da olduğu gibi “R1” cihazından(192.168.2.253, Ip adresine sahip), “R2” cihazına (192.168.2.254, IP adresine sahip) telnet erişiminin yasaklandığını göreceksiniz.
Resim -9-
ACL (Erişim Denetim Listeleri) uygulama sınırı bir hayli geniştir. Bu sebeple ACL denetim listesi ihtiyaçlarınızı daha evvel planlayarak ortaya çıkartıp, her zaman bir demo ortamında denedikten sonra gerçek platformunuzun üzerinde uygulamayı gerçekleştiriniz.
Şunu da unutmamak lazım, ACL protokolünden, genel anlamda Firewall kuralları kadar detaylı ve çok sayıda istifade etmeye çalışmak çok efektif bir yöntem değildir.
Protokol tabanlı, IP Tabanlı, Port Tabanlı ve zaman kısıtlamasına yönelik birçok metod’da uygulamaları kontrol altına alarak, kısıtlamanız ACL ile mümkündür.
Keyifli Uygulamalar…
Eline sağlık hocam.