Access List (Erişim Listeleri)

-

 Access List, farklı ağlar arasında iletişim kurmamızı sağlayan Router üzerine gelen yada giden trafiğin filtrelenerek erişim kısıtlamaları yapabilmemizi sağlar. Access List' ler network ve sistem yöneticilerine ağdaki trafiğin yönetimi konusunda büyük kolaylık sağlamaktadır. Access List' ler uygulanarak Router' ları basit bir Firewall gibi yapılandırabiliriz.

Access List' ler genel olarak iki başlıkta incelenir.

  • Standard Access List
  • Extended Access List 

 Bunların dışında birde Named Access List mevcuttur, bu access list hem Standard hem Extended Access List olarak yapılandırılabilir.

Standard Access List

 Temel olarak  bahsedecek olursak  bu Access List' ler IP paketinin sadece kaynak adresine bakarak filtreleme yapar, yani hedef IP diye bir durum söz konusu değildir bu Access List' lerde. Bu Access List' ler IP bazlı çalışır, herhangi bir iletişim protokolü veya port bazlı kısıtlamalar yapılamaz. Sadece bu IP adresli cihaz hedefe(hedef : bu Access List' i bağlayacağımız Interface' in altındaki Network.) ulaşamasın bu IP adresine sahip Network hedefe ulaşamasın veya bu IP adresine sahip Network dış Networklerle iletişim kuramasın gibi kısıtlamalar yapılabilir. Bunun örneklerini çoğaltabiliriz, ağımızın gereksinimlerini tespit ederek gerekli kısıtlamaları yapılandırabiliriz. Standart Access List' ler herhangi bir IP adresli cihazın hefede erişimini engellersek hiçbir şekilde hiçbir porttan hedefe ulaşamaz, eğer iletişimine izin verirsek bütün portlardan hedefe ulaşabilir. Yani sıfır ve bir gibi düşünün ulaşır veya ulaşamaz, arası yok.

 Extended Access List

 Bu Acess List' ler ise Standard Access List' lere göre daha kapsamlı erişim kısıtlamaları yapabilmemizi sağlar. Bu Access List' ler iletişim protokolleri ve port bazlı çalışır, yani belirtilen kaynağın belirtilen hedefe belirtilen portlardan erişim sağlayabileceği ve belirtilen portlardan erişim sağlayamayacağı şeklinde  daha spesifik kurallar koyarak kısıtlamalar yapılabilir. Örneğin belirtilen kaynağın belirtilen hedefe 80 ve 53 portundan erişim sağlayabileceği diğer bütün portlardan erişim sağlayamayacağı veya tam tersi şeklinde kısıtlamalar yapılabilir. Bunu da ağımızın yapısına göre güvenlik açığı oluşturabilecek portların kapatılması veya belirtilen cihazların sadece bu portlara ulaşabilmesi gibi kısıtlamalar yapabiliriz.

Named Access List

  Named Access List'ler  Standard ve Extended olarak yapılandırılabilir. Bu Access List' leri kendi belirleyeceğimiz bir isimle veya yapılandırmak istediğimiz Access List çeşidinin numaralarından herhangi birini vererek oluşturabiliriz. Bu Access List' in en önemli özelliklerinden birisi girdiğimiz kurallardan herhangi birisini silebiliyor ve araya yeni bir kural ekleyebiliyor olmamızdır.

 Access List oluştururken dikkat etmemiz gereken bazı durumlar vardır bunlardan biraz bahsedelim.

 Access List' lerde filtreleme satır satır olacağı için listeleri belirtirken belirgin olan satırdan genel olan satıra doğru yukarıdan aşağıya doğru sıralanmalıdır. Yani öznelden genele doğru bir sıralama olması gerekir. Buna da örnek verecek olursak bir cihazın başka bir cihaza bir porttan veya tüm portlardan erişimini engelleyecek olursak bu kural en baştaki satırların arasında yer almalıdır, bir networkün dış networklerle erişimini engelleyecek olursak bu kural da en alt satırlarda yer almalıdır.

 Standard ve Extended Access List' lerde araya satır eklemek veya satır silmek mümkün değildir, sadece en sona bir satır ekleyebiliriz ve tüm listeyi komple silebiliriz. Bu Access List' leri oluşturmadan önce uygulamak istediğimiz kuralları tespit edip kağıt üstünde düzenleyip sonrasında Aceess List' leri oluşturmalıyız. Araya satır ekleme veya satır silme işlemi sadece Named Access List' lerde mümkündür. Bu yönden Named Access List' ler daha kullanışlı olması bakımından daha çok tercih edilir.

 Access List' ler oluşturulduğunda default olarak herşey deny durumda gelir. Yani boş bir Access List oluşturup bir Interface' e bağladığımızda o Interface' e gelen bütün paketler yok edilir. Bundan biraz bahsedecek olursak örneğin bir Access List' de engellemek istediğimiz trafiği belirttikten sonra geri kalan trafiğin filtrelemeden geçmesi için en son satıra permit aksiyonu belirtmemiz gerekir, yani geri kalan trafiği serbest bırakmamız gerekir, aksi takdirde default olarak herşey deny olduğundan dolayı permit aksiyonu ile izin verilmeyen bütün paketler yok olacaktır.

 Standard Access List' ler mümkün olduğu kadar hedefe en yakın Router üzerine, Exteneded Access List' ler mümkün olduğu kadar kaynağa en yakın Router üzerine koyulmalıdır.

 Ne kadar çok Access List oluşturursak ve ne kadar çok kural belirtirsek cihazın performansını o kadar düşürmüş oluruz, elimizden geldiğince az Access List oluşturarak daha az kodla daha çok iş yaptırmaya çalışmalıyız.

 Access List' leri oluşturduktan sonra mutlaka bir Interface ile ilişkilendirmemiz gerekir aksi takdirde Access List havada kalacaktır ve aktif olmayacaktır.

 Access List' leri Interface' lerle ilişkilendirirken in veya out olarak belirtmemiz gerekir. Kısıtlamalarımız gelen trafik içinse "in" giden veya geri dönen trafik içinse "out" olarak belirtilmelidir. Bunu belirtirken dikkatli olamamız gerekir yanlış belirttiğimiz durumda Access List işlevini tam olarak yapamaz.

 Access List komutu girerken kaynak veya hedef  Networkün IP adresini belirttikten sonra Subnet Mask yerine Wild Card Mask belirtiriz. Wild Card Mask, Subnet Mask' ın 255' le tamamlanmasıyla elde edilen bir maskedir. Örneğin 255.255.255.0 Subnet Mask' ının Wild Card Mask' ı 0.0.0.255' dir.
Eğer tek bir host belirtmek istiyorsam hostun IP adresinden sonra Wild Card Mask' ın 0.0.0.0 olarak girerek tek bir host belirtebilirim.

 Sonraki yazılarımda örnek senaryolar oluşturarak Access List uygularından bahsedeceğim.



Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Active Directory GPO(Group Policy Objects) Nedir ? Ne İşe Yarar ? Nasıl Uygulanır ?

-
Resim
 Öncelikle group policy' i tanıyalım. GPO(Group Policy), Active Directory ile birlikte gelen bir özelliktir. Dc server üzerinden  güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar, yazılım dağıtımı gibi işlemleri yapmamızı sağlayan bir merkezi yönetim protokolüdür. Bu protokol sites, OU, Domainler üzerinde bulunan bütün kullanıcı ve cihazlara uygulanabilir.      GPO iki bölümden oluşur. Bu da demek oluyor ki GPO iki farklı şekilde uygulanır. Bunlar;         Computer Configuration  User Configuration  Computer Configuration,  Bilgisayar tabanlı policy ayarlarını kapsar. Dc makimanıza bağlı olan bilgisayarlar üzerinde işlem yapmamızı sağlar.  User Configuration ise kullanıcı tabanlı policy ayarlarını kapsar. Dc makinamızda kayıtlı olan kullancıların ayarlarını yapmamızı sağlar.  CPO hakkında bilgi sahibi olduktan sonra biraz kullanmaya başlayalım. Dc Serverimizde Server Maneger penceresini başlatalım.   Resimde gördüğümüz gibi Tools seçeneğinden Group Polic
Devamı

Cisco Packet Tracer ile Cisco Cihazlarda Vlan Yapılandırması

-
Resim
 VLAN (Virtual Local Area Network) yani Sanal Yerel Alan Ağı anlamına gelir, switch üzerine yapılan mantıksal bir gruplama şekli olarak tanımlanır. IEEE tarafından geliştirilmiştir ve  Layer 2 çalışır.  VLAN switch üzerindeki portlara uygulanır. Her Port default olarak VLAN1' dedir, VLAN1 default olarak gelidiği için silinemez, değiştirilemez ve yeniden adlandırılamaz.  VLAN' lar  Static VLAN  ve Dinamik VLAN olarak ikiye ayrılır. Portların VLAN' lara Network yöneticileri tarafından atanmasıyla oluşan yapıya Static VLAN denir. Sistemde bulunan cihazların veritabanına kaydedilerek Switchler tarafından otomatik olarak VLAN' lara atanmasına Dinamik VLAN denir.  Günümüzde Static VLAN' lar yönetim ve bakımı kolay olması hem de daha güvenli olaması bakımında  Dinamik VLAN' lara göre daha çok tercih edilir. Ben bu yazımda Static VLAN yapılandırmasından bahsedeceğim.  Temel olarak VLAN' dan bahsettik artık VLAN yapılandırmasına başlayabiliriz. Bu uygulamayı Cisco
Devamı

Linux'da $PATH Kullanımı

-
Linux'da PATH Kullanarak Çalıştırılabilir Dosya Oluşturma Linux'da program yapmanın en kolay yolarından birisi PATH'dir. Bu yazımda ise size PATH ile bir uygulama örneği gösterecem. Bu örnekde rasgele bir programlama yaptıralım. Komut satırına “yap” dediğimizde bize önce Merhaba yazsın, /home/ramazan içerisine ramo adında bir dizin oluştursun ve içerisine bir dosya oluştursun, sonra ise bu dosyayı çalıştırsın, dosya çalıtığında bulunduğumuz dizindeki tüm verileri ayrıntılı bir şekilde göstersin, ve en sonunda “Teşekkürler” Yazsın. PATH ile böyle bir programlama örneği yapalım. İlk olarak /home/ramazan içerisine bin dizini oluşturalım. mkdir /home/ramazan/bin komutuyla oluşturabiliriz. Şimdi bu dizini PATH' e öğretelim. Bunun için /home/ramazan/.bashrc dosyasını açalım içine komut girelim. Vi /home/ramazan/.bashrc bashrc dosyasını açtığımızda ' i ' tuşuna basarak INSERT moduna geçelim ve export sırasının altına boşluk açıp şu
Devamı