Günümüz dijital sistemlerinde erişim kontrolü, yalnızca güvenliği sağlamak için değil aynı zamanda doğru kullanıcıya doğru yetkiyi vermek için de kritik bir rol oynar. Ancak klasik Access Control List (ACL) yapıları, artan sistem karmaşıklığı ve çeşitlenen ihtiyaçlar karşısında çoğu zaman yetersiz kalmaktadır. Daha fazla esneklik, daha detaylı kontrol bağlama duyarlı kararlar gerektiren senaryolar, yeni yaklaşımların ortaya çıkmasını kaçınılmaz hale getirmiştir.
Extended Access Control List tam da bu noktada devreye girer. Standard Access Control List de yapılan yöntemleri genişleterek, erişim kararlarını sadece kullanıcı ve kaynak üzerinden değil, koşul ve farklı niteliklere bağlı olarak değerlendirebilen daha gelişmiş bir yapı sunar.
Extended Access Control List (EACL), kaynak IP adresi, kaynak port numarası, hedef IP adresi ve hedef port numarası gibi birden fazla parametreyi dikkate alarak trafik üzerinde filtreleme yapmamıza olanak tanır. Bu sayede, yalnızca temel kriterlere dayanan Standard Access Control List (ACL) yapısına kıyasla çok daha detaylı ve esnek filtreleme kuralları uygulanabilir.
Extended Access Control List (EACL), Standard Access List’in aksine kaynağa en yakın noktada uygulanır. Bu sayede gereksiz ya da engellenmesi gereken trafik, ağ içerisinde dolaşmadan daha erken aşamada filtrelenir ve böylece hem bant genişliği daha verimli kullanılır hem de ağ performansı artırılır.
Extended Access Control List (EACL)’in nasıl uygulandığını daha net kavrayabilmek ve konuyu pekiştirebilmek için, aşağıda yer alan topoloji üzerinden adım adım ilerleyelim.
Access Control List oluşturmaya başlamadan önce, gereksinimlerin net bir şekilde belirlenmesi gerekir. Yani uygulanacak kurallar önceden tanımlanmalıdır. Bu örnekte kullanacağımız kurallar aşağıdaki gibi olacaktır.
Gereksinimler
- 172.16.2.0/24 ağında bulunan cihazlar, 172.16.1.1/32 (PC1) cihazıyla haberleşmemelidir.
- 172.16.2.0 ağı üzerindeki cihazlar, SRV2 üzerinde bulunan HTTP ve HTTPS servislerine erişememelidir.
- 172.16.1.0/24 ağındaki cihazlar ise SRV1 üzerinde bulunan DNS servisine erişememelidir.
Yukarıda üç adet gereksinim bulunmaktadır. Şimdi bunları sırayla ele alalım. İlk olarak 172.16.2.0/24 ağını kapsayan Extended Access Control List (EACL) kuralını oluşturalım.
Extended Access Control Lists (EACL) kaynağa yakın uygulanacağı için bu konfigürasyonu R1 cihazı üzerinde gerçekleştireceğiz.
Aşağıdaki komutları kullanarak ilgili gereksinimleri karşılayabiliriz.
R1# configure terminal
R1(config)# ip access-list extended huseyinpala.com
Yukarıdaki komut ile Extended ACL oluşturduk ve bu ACL’e bir isim (veya numara) atamış olduk. İsterseniz numara da verebilirsiniz. <100-199> <2000-2699>
R1(config-ext-nacl)#deny ip 172.16.2.0 0.0.0.255 host 172.16.1.1
Yukarıdaki komut ile ilk gereksinimimizi tamamladık. Burada 172.16.2.0/24 kaynak ağından gelen ve hedefi 172.16.1.1 olan herhangi bir paketin engellenmesini sağladık.
R1(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 192.168.2.100 eq 80
R1(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 192.168.2.100 eq 443
Yukarıdaki komut ile ikinci gereksinimimizi tamamladık. Burada 172.16.2.0/24 kaynak ağından gelen, hedefi 192.168.2.100 (SRV2) olan ve 80 ile 443 portlarına erişim talebinde bulunan trafiğin engellenmesini sağladık.
R1(config-ext-nacl)#permit ip any any
Son satırda tüm paketleri engelleyen implicit deny kuralı bulunduğu için, yalnızca belirlediğimiz gereksinimlerin dışındaki trafiğin geçmesine izin vermek adına yukarıdaki izin (permit) komutunu tanımlamamız gerekmektedir.
R1(config)#interface GigabitEthernet0/1
R1(config-if)#ip access-group huseyinpala.com in
Son olarak ACL’yi uygulanmasını istediğimiz yöne göre aktif hale getirdik. Extended Access Control List her zaman kaynağa yakın konumlandırıldığı için, bu örnekte GigabitEthernet0/1 arayüzünün IN (giriş) yönüne uygulanmıştır.İlk iki gereksinimimizi tamamladık. Şimdi sırada son gereksinimimiz bulunmaktadır. Aşağıdaki komutlarla bu gereksinimi de karşılayabiliriz.
Bunu da yine R1 üzerinde uygulayacağız.
R1#configure terminal
R1(config)#ip access-list extended 144
Yukarıdaki komutla Extended ACL’yi tanımladık ve doğru numara ile benzersiz (unique) hale getirdik.
R1(config-ext-nacl)#deny udp 172.16.1.0 0.0.0.255 192.168.1.100 eq 53
Yukarıdaki komutla 172.16.1.0/24 ağındaki cihazların 192.168.1.100 (SRV1) üzerindeki DNS servisine erişmesini engelledik. DNS servisi hem TCP hem de UDP protokolleri üzerinden çalışabilse de, son kullanıcı trafiğinde genellikle UDP tercih edilmektedir. DNS’in port numarası 53’tür.
R1(config-ext-nacl)#permit ip any any
Gereksinimleri tanımladığımız için, kalan tüm trafiğin geçişine izin verebiliriz.
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip access-group 144 in
Son olarak, hazırladığımız ACL’yi ilgili arayüz üzerine uygulayalım.Bu uygulama ile Extended Access Control List yapısının temel kullanımını ve gerçek bir senaryo üzerinde nasıl konumlandırıldığını incelemiş olduk. Kaynağa yakın filtreleme yaklaşımı sayesinde hem ağ trafiğini daha verimli yönetmek hem de gereksiz paketlerin ağ içerisinde dolaşmasını engellemek mümkün hale gelir.
ACL’lerin doğru planlanması ve uygun arayüzlere doğru yönde uygulanması, ağ güvenliğinin en kritik adımlarından biridir. Bu nedenle ihtiyaçların doğru analiz edilmesi ve kuralların buna göre tasarlanması büyük önem taşır.
Daha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply