Ağ güvenliği, yalnızca dış tehditlere karşı alınan önlemlerle sınırlı değildir; iç ağdaki erişimlerin de sıkı şekilde kontrol edilmesi gerekir. Özellikle network cihazlarına (router, switch, firewall vb.) yapılan yönetim erişimleri, saldırganlar için yüksek değerli hedeflerdir. Bu noktada SSH gibi güvenli protokoller kullanılsa bile, erişimin kimler tarafından ve hangi kaynaklardan yapılabildiği kritik bir güvenlik katmanı oluşturur. Access Control List (ACL) mekanizmaları, tam da bu ihtiyaca cevap vererek yalnızca belirli IP adreslerinden veya ağlardan gelen SSH bağlantılarına izin verilmesini sağlar.
Yukarıdaki topolojiyi kullanarak örneğimizi gerçekleştirelim. Bu senaryoda, 192.168.1.10 IP adresine sahip cihaz Switch’e SSH ile erişebilirken, 192.168.1.20 IP adresine sahip cihazın SSH erişimi engellenecektir.
İlk adım olarak, Switch üzerinde gerekli konfigürasyonları gerçekleştirelim.
Switch#configure terminal
Switch(config)#hostname SW-1
SW-1(config)#ip domain-name huseyinpala.com
SW-1(config)#crypto key generate rsa general-keys modulus 2048
SW-1(config)#username huseyin secret pala
SW-1(config)#enable secret pala
SW-1(config)#line vty 0 15
SW-1(config-line)#login local
SW-1(config-line)#transport input ssh
SW-1(config-line)#exec-timeout 5
SW-1(config-line)#logging synchronous
SW-1(config-line)#exit
SW-1(config)#interface vlan 1
SW-1(config-if)#ip address 192.168.1.254 255.255.255.0
SW-1(config-if)#no shutdown
SW-1(config-if)#exit
SW-1(config)#ip ssh version 2
SW-1(config)#end
SW-1#copy running-config startup-configSSH için gerekli konfigürasyonu tamamladık. Ancak bu durumda her iki cihaz da Switch’e SSH ile erişebilmektedir. Senaryomuza göre yalnızca 192.168.1.10 IP adresine sahip cihazın SSH erişimine izin verilmesi gerekmektedir. Bu nedenle, erişimi kısıtlamak için ACL (Access Control List) kullanacağız.
Örneğimizde standart ACL kullanacağız. Standart ACL, yalnızca kaynak IP adresine bakarak trafiği izin verir ya da engeller. ACL oluşturmak için aşağıdaki komutları kullanabiliriz.
SW-1(config)#ip access-list standard SSH-YAPACAK-CIHAZLAR
SW-1(config-std-nacl)#permit host 192.168.1.10
SW-1(config-std-nacl)#end
SW-1#write memoryACL konfigürasyonunu tamamladık, ancak henüz uygulanmadığı için etkili olmayacaktır. Etkili hale getirmek için ACL’yi VTY hatlarına ve inbound (in) yönünde uygulamamız gerekir. Bunun için aşağıdaki komutları kullanabiliriz.
SW-1(config)#line vty 0 15
SW-1(config-line)#access-class SSH-YAPACAK-CIHAZLAR in
SW-1(config-line)#end
SW-1#write memoryKonfigürasyonu tamamladık. Artık yalnızca 192.168.1.10 IP adresine sahip cihaz, SW-1 üzerinde SSH ile işlem yapabilecektir. Diğer tüm cihazlar, ACL’deki implicit deny satırı nedeniyle paketleri engellenecek ve erişimleri reddedilecektir.
192.168.1.10 IP adresine sahip cihaz üzerinden SSH ile erişim sağlandıktan sonra alınacak çıktı aşağıdaki şekilde olacaktır:
C:\>ssh -l huseyin 192.168.1.254
Password: 192.168.1.20 IP adresine sahip cihaz üzerinden SSH ile erişim sağladıktan sonra alınacak çıktı aşağıdaki şekilde olacaktır:
C:\>ssh -l huseyin 192.168.1.254
% Connection refused by remote hostDaha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply