ACCESS LISTS (Erişim Listeleri)

Access listler interfacelerin herhangi birine giren veya çıkan trafiği kontrol etmek için kullanılırlar.

Not: Bir interface yerine bir routing protokolüne uygulanabilir.

  • Access listlerde kriterler satır satır belirtilmiştir. Gelen isteklerin kriterlere uyup uymadıkları sırayla belirlenir.
  • İlk eşleşen kriterin bulunduğu satıra gelindiğinde o satırdaki aksiyon (Deny – Permit) gerçekleştirilir.
  • Paketler bütün satırları geçmiş ve herhangi bir kritere eşleşme olmamışsa implicit deny all (bütün paketleri yok et) kuralı uygulanır.

3 ayrı access list uygulanabilir.  Standart access list, Extended access list, Named access list (named access lists hem standart hemde extended olarak kullanılabilirler.) Cihaz tarafından bu ayrım access list numarası ile yapılır.

Access List Numarası Açıklama
1–99

1300–1999

ip standart access list
100–199

2000–2699

ip extended access list
1000–1099 IPX Sap access list
1100–1199 Extended 48 bit mac address access list
1200–1299 IPX summary address access list
200–299 Protocol type-code access list
700–799 48 bit mac address access list
800–899 IPX Standart access list
900–999 IPX extended access list

 

Access list oluşturulurken dikkat edilmesi gerekenler

  • Access list oluşturulduktan sonra interface ile ilişkilendirilmeli, yoksa aktif olmaz
  • Kriterler satır satır uygulanır. Dolayısıyla en belirgin kriterden → en genel kritere
  • Listeden satır silmek ve satır eklemek sadece Named ACL ‘de mümkündür.  Standart ve extended access listlerde  satır ekleme ve satır silmek isteniliyorsa liste bir yazı editörüne aktarılır değişiklik editörde uygulanır.  Aksi takdirde liste tamamen silinmiş olur.
  • Standart access list  → Hedefe yakın olmalı              Extended access list  → Kaynağa yakın olmalı
  • Herhangi bir kritere uymayan istekler implicit deny all (bütün paketleri yok et)  olacağından mutlaka access list grubunda permit aksiyonu bulunmalıdır.
  • Router üzerine giden veya gelen trafiği düzenlemek için kullanılan access listler routerın kendi oluşturduğu  trafik için aksiyon uygulamaz
  • Named access list haricinde satır çıkarılamayacağını yukarıda bahsetmiştim. Aynı zamanda satır eklemek istendiğinde o satır en son satır olarak yerini alacağından düzeltme bir text editörü ile ekleme yapılabilir.
  • OSPF ve  EIGRP protokollerinde olduğu gibi access listlerde subnet mask yerine wilcard mask kullanılır.

STANDART ACCESS LISTS

IP paketlerinin source adreslerine bakılarak filtreleme yapar. İzin verme yada yasaklama bütün protokol kümesi için geçerlidir.

R(config)# access-list {access list no} {permit / deny} {source} {wilcard_mask}

ip access-group {numarası } {in / out} ( Ugulanacak interface access list tanımlanır.)

in: Gelen     out: Giden

ör: 192.168.1.100 bilgisayarı dış networke çıkışını engelleyelim.

R(config)# access-list 1 deny 192.168.1.100 0.0.0.0  → Host deny uygulandı

R(config)# access-list 1 permit any → implicit deny all kuralını yok etmek için kalan hostlara permit uygulandı.

R(config)# interface ethernet 0/0 interface ile ilişkilendirildi.

R(config-if)# ip access-group 1 in

Not: ip access listeler oluşturulduğunda interface başına sadece 1 tane inbound access list ve 1 tane  ountbound access list tanımlanabilir.

EXTENDED  ACCESS LISTS

Kaynak ile birlikte kullanılan protokol, hedef ip adresi ve hedef port numarası ile kısıtlama yapılabilir.

  • Extended ACL ip paketinin 3. ve 4. katmanında işlem yapabilir.

R(config)# access-list {access list no} {permit / deny} {protocol}{source} {wilcard_mask} {destination} {wilcard_mask}

ip access-group {numarası } {in / out} ( Ugulanacak interface access list tanımlanır.)

ör: 192.168.1.100 bilgisayarın 10.8.8.10 bilgisayarına 80 ve 25 porttan erişemesin, bunun haricinde kısıtlama olmasın.

R1(config)# access-list 101 deny tcp 192.168.1.100 0.0.0.0 10.8.8.10 0.0.0.0 eq 80

R1(config)# access-list 101 deny tcp  host 192.168.1.100  host 10.8.8.10  eq 25

R1(config)# access-list 101 permit ip  any any   → implicit deny all kuralını yok etmek için kalan hostlara permit uygulandı.

R1(config)# interface ethernet 0/0 interface ile ilişkilendirildi.

R1(config-if)# ip access-group 101 in

 

NAMED  ACCESS LISTS

Hem standart hemde extended olarak kullanılabilirler. Konfigasyonu biraz farklıdır. Komutun başına ip yazılır ve access no yerine isim verilir, access list standart veya extended olduğu belirtilir. Ayrıca en büyük avantajı satırlar tek tek silinebilir veya eklenebilir olmasıdır.

R(config)# ip access-list {extended/standart} {access list ismi}

R(config-ext-nacl)#{deny/permit} {protocol} {source} {wilcard_mask} {destination} {wilcard_mask}

R1(config)# interface ethernet 0/0  interface ile ilişkilendirildi.

R1(config-if)# ip access-group 101 in

Ör 192.168.1.100 bilgisayarın 10.8.8.10 bilgisayarına 80 ve 25 porttan erişemesin, bunun haricinde kısıtlama olmasın.

R1(config)# ip access-list extended web_smtp_engelleme

R(config-ext-nacl)#deny tcp host 192.168.1.100 host 10.8.8.10 eq 80

R(config-ext-nacl)#deny tcp host 192.168.1.100 host 10.8.8.10 eq 25

R1(config)# permit ip any any   →  implicit deny all kuralını yok etmek için kalan hostlara permit uygulandı.

R1(config)# interface ethernet 0/0

R1(config-if)#ip access-group  web_smtp_engelleme in

Not:

eq: Eşittir                      lt: Küçüktür                  range: aralık

gt: Büyüktür                neg: Eşit değilse

Named ACL değiştirmek / silmek / eklemek

show access-lists ile line no öğrenilir. (10-20-30-40)

show_access_list

Değiştirmek: Değiştirilmek istenen line no seçilerek değişiklik yapılır.

Router(config)#ip access-list extended R0_giden

Router(config-ext-nacl)#30 deny ip host 192.168.2.11 host 10.12.109.152

Silmek: no number ile silinebilir

Router(config)#ip access-list extended R0_giden

Router(config-ext-nacl)#no 20

Eklemek: 30 ile 40 arasına aradaki bir sayı numarası ile ekleme yapılabilir.

Router(config)#ip access-list extended R0_giden

Router(config-ext-nacl)#35 deny ip host 10.12.109.152 host 192.168.222.240

Not: ACL nin herbir satırına ACE (Access Control Entry) denir

VTY ERİŞİM

ör:

R1(config)# access-list 3 permit bağlanacak_pc

R1(config)# line vty 0 4

R1(config-line)# access-class 3 in

Not: Bütün TCP trafiğine izin vemek için;

R1(config)# access-list 103 permit tcp any any established    >>>   (Paketler Established ise paketlere izin verir. Oturum içten başladıysa ACK=1 ise paketlere yani cevap paketi ise geçmesine izin verir )

PORT SECURITY

Cisco switchlerde  port bazlı kısıtlama yapılabilir ve oluşturulan kısıtlamaya aykırı davranış sonucu uygulanacak aksiyon belirlenir.

portsecurity

switch (config-if)# switchport port-security ?

mac-address:  Stick komutu ile porta bağlanılan cihazın mac adresi öğrenilip etiketlenir veya mac adresi girişi yapılır.

maximum: Öğrenilecek mac adresi sayısıdır. Değer 5 olursa bu port en fazla 5 farklı mac adresi öğrenir

violation: Yapılan kısıtlamaya uyulmadığı zaman alınacak aksiyon belirtir. (protect, restrict,shutdown )

ör:

Her kullanıcının 1 tane masa üstü 1 tanede diz üstü bilgisayarı vardır. Kullanıcı sadece bu 2 cihazı kullansın. Switch başka cihaz bağlarsa switch portu kapatılsın.

Switch(config)#interface range fastEthernet 0/1-24 (Portlar seçildi)

Switch(config-if-range)#switchport port-security mac-address sticky  (mac adresleri nsıl etiketleneceği belirlendi)

Switch(config-if-range)#switchport port-security maximum 2 (En fazla kaçtane mac adrese izin verileceği belirlendi)

Switch(config-if-range)#switchport port-security violation shutdown (Kural ihlal edildiğinde uygulanacak aksiyon belirlendi)

 

Share