Access List (Erişim Listeleri)
Access List, farklı ağlar arasında iletişim kurmamızı sağlayan Router üzerine gelen yada giden trafiğin filtrelenerek erişim kısıtlamaları yapabilmemizi sağlar. Access List' ler network ve sistem yöneticilerine ağdaki trafiğin yönetimi konusunda büyük kolaylık sağlamaktadır. Access List' ler uygulanarak Router' ları basit bir Firewall gibi yapılandırabiliriz.
Access List' ler genel olarak iki başlıkta incelenir.
- Standard Access List
- Extended Access List
Bunların dışında birde Named Access List mevcuttur, bu access list hem Standard hem Extended Access List olarak yapılandırılabilir.
Standard Access List
Temel olarak bahsedecek olursak bu Access List' ler IP paketinin sadece kaynak adresine bakarak filtreleme yapar, yani hedef IP diye bir durum söz konusu değildir bu Access List' lerde. Bu Access List' ler IP bazlı çalışır, herhangi bir iletişim protokolü veya port bazlı kısıtlamalar yapılamaz. Sadece bu IP adresli cihaz hedefe(hedef : bu Access List' i bağlayacağımız Interface' in altındaki Network.) ulaşamasın bu IP adresine sahip Network hedefe ulaşamasın veya bu IP adresine sahip Network dış Networklerle iletişim kuramasın gibi kısıtlamalar yapılabilir. Bunun örneklerini çoğaltabiliriz, ağımızın gereksinimlerini tespit ederek gerekli kısıtlamaları yapılandırabiliriz. Standart Access List' ler herhangi bir IP adresli cihazın hefede erişimini engellersek hiçbir şekilde hiçbir porttan hedefe ulaşamaz, eğer iletişimine izin verirsek bütün portlardan hedefe ulaşabilir. Yani sıfır ve bir gibi düşünün ulaşır veya ulaşamaz, arası yok.
Extended Access List
Bu Acess List' ler ise Standard Access List' lere göre daha kapsamlı erişim kısıtlamaları yapabilmemizi sağlar. Bu Access List' ler iletişim protokolleri ve port bazlı çalışır, yani belirtilen kaynağın belirtilen hedefe belirtilen portlardan erişim sağlayabileceği ve belirtilen portlardan erişim sağlayamayacağı şeklinde daha spesifik kurallar koyarak kısıtlamalar yapılabilir. Örneğin belirtilen kaynağın belirtilen hedefe 80 ve 53 portundan erişim sağlayabileceği diğer bütün portlardan erişim sağlayamayacağı veya tam tersi şeklinde kısıtlamalar yapılabilir. Bunu da ağımızın yapısına göre güvenlik açığı oluşturabilecek portların kapatılması veya belirtilen cihazların sadece bu portlara ulaşabilmesi gibi kısıtlamalar yapabiliriz.
Named Access List
Named Access List'ler Standard ve Extended olarak yapılandırılabilir. Bu Access List' leri kendi belirleyeceğimiz bir isimle veya yapılandırmak istediğimiz Access List çeşidinin numaralarından herhangi birini vererek oluşturabiliriz. Bu Access List' in en önemli özelliklerinden birisi girdiğimiz kurallardan herhangi birisini silebiliyor ve araya yeni bir kural ekleyebiliyor olmamızdır.
Access List oluştururken dikkat etmemiz gereken bazı durumlar vardır bunlardan biraz bahsedelim.
Access List' lerde filtreleme satır satır olacağı için listeleri belirtirken belirgin olan satırdan genel olan satıra doğru yukarıdan aşağıya doğru sıralanmalıdır. Yani öznelden genele doğru bir sıralama olması gerekir. Buna da örnek verecek olursak bir cihazın başka bir cihaza bir porttan veya tüm portlardan erişimini engelleyecek olursak bu kural en baştaki satırların arasında yer almalıdır, bir networkün dış networklerle erişimini engelleyecek olursak bu kural da en alt satırlarda yer almalıdır.
Standard ve Extended Access List' lerde araya satır eklemek veya satır silmek mümkün değildir, sadece en sona bir satır ekleyebiliriz ve tüm listeyi komple silebiliriz. Bu Access List' leri oluşturmadan önce uygulamak istediğimiz kuralları tespit edip kağıt üstünde düzenleyip sonrasında Aceess List' leri oluşturmalıyız. Araya satır ekleme veya satır silme işlemi sadece Named Access List' lerde mümkündür. Bu yönden Named Access List' ler daha kullanışlı olması bakımından daha çok tercih edilir.
Access List' ler oluşturulduğunda default olarak herşey deny durumda gelir. Yani boş bir Access List oluşturup bir Interface' e bağladığımızda o Interface' e gelen bütün paketler yok edilir. Bundan biraz bahsedecek olursak örneğin bir Access List' de engellemek istediğimiz trafiği belirttikten sonra geri kalan trafiğin filtrelemeden geçmesi için en son satıra permit aksiyonu belirtmemiz gerekir, yani geri kalan trafiği serbest bırakmamız gerekir, aksi takdirde default olarak herşey deny olduğundan dolayı permit aksiyonu ile izin verilmeyen bütün paketler yok olacaktır.
Standard Access List' ler mümkün olduğu kadar hedefe en yakın Router üzerine, Exteneded Access List' ler mümkün olduğu kadar kaynağa en yakın Router üzerine koyulmalıdır.
Ne kadar çok Access List oluşturursak ve ne kadar çok kural belirtirsek cihazın performansını o kadar düşürmüş oluruz, elimizden geldiğince az Access List oluşturarak daha az kodla daha çok iş yaptırmaya çalışmalıyız.
Access List' leri oluşturduktan sonra mutlaka bir Interface ile ilişkilendirmemiz gerekir aksi takdirde Access List havada kalacaktır ve aktif olmayacaktır.
Access List' leri Interface' lerle ilişkilendirirken in veya out olarak belirtmemiz gerekir. Kısıtlamalarımız gelen trafik içinse "in" giden veya geri dönen trafik içinse "out" olarak belirtilmelidir. Bunu belirtirken dikkatli olamamız gerekir yanlış belirttiğimiz durumda Access List işlevini tam olarak yapamaz.
Access List komutu girerken kaynak veya hedef Networkün IP adresini belirttikten sonra Subnet Mask yerine Wild Card Mask belirtiriz. Wild Card Mask, Subnet Mask' ın 255' le tamamlanmasıyla elde edilen bir maskedir. Örneğin 255.255.255.0 Subnet Mask' ının Wild Card Mask' ı 0.0.0.255' dir.
Eğer tek bir host belirtmek istiyorsam hostun IP adresinden sonra Wild Card Mask' ın 0.0.0.0 olarak girerek tek bir host belirtebilirim.
Sonraki yazılarımda örnek senaryolar oluşturarak Access List uygularından bahsedeceğim.
Yorumlar
Yorum Gönder