Erişim kontrolü, modern bilgi sistemlerinin güvenliğini sağlamada kritik bir rol oynar. Kurumlar büyüdükçe ve ağ yapıları karmaşıklaştıkça, kimin hangi kaynağa ne düzeyde erişebileceğini belirlemek yalnızca bir tercih değil, zorunluluk haline gelir. Bu noktada Access Control List (ACL) kavramı, özellikle ağ ve sistem yöneticileri için temel yapı taşlarından biri olarak öne çıkar.
Standart Access Control List (Standard ACL), bu mekanizmanın en basit ama etkili biçimlerinden biridir. Temel olarak kaynaklara erişimi, genellikle IP adresine göre filtreleyerek kontrol eder. Her ne kadar sınırlı bir kontrol sunsa da, doğru konumlandırıldığında ağ trafiğini düzenlemek ve istenmeyen erişimleri engellemek için güçlü bir araçtır.
Standart ACL ile kaynak IP adresine göre filtreleme yapabiliriz. Bu sayede belirli bir kaynaktan gelen trafiğin hedefe ulaşmasını engelleyerek ağ üzerinde temel seviyede bir güvenlik kontrolü sağlanabilir. Ancak “maksimum güvenlik” ifadesi yanıltıcı olabilir; çünkü Standart ACL’ler yalnızca kaynak kaynak IP’ye bakar, hedef, port veya protokol bazlı detaylı filtreleme yapamaz.
Standart ACL’yi daha iyi anlamak için aşağıdaki topolojiyi kullanarak basit ve anlaşılır bir örnek üzerinden ilerleyelim.
Örneğimizde, yalnızca 192.168.10.10 IP adresine sahip cihazın 192.168.20.10 adresli cihaza erişmesine izin vereceğiz. Buna karşılık, 192.168.10.0/24 ağında yer alan diğer tüm cihazların bu hedefe ulaşmasını engelleyeceğiz.
Standart ACL yazılırken hedefe yakın yazılır. Bu sebeple konfigürasyonu 192.168.20.0 ağında gerçekleştireceğiz.
Router(config)#ip access-list standard huseyinpala.comBu komutla standart bir ACL tanımladık ve ona “huseyinpala.com” adını verdik. İsimlendirilmiş (named) ACL kullanmak, özellikle birden fazla kuralın olduğu senaryolarda yönetimi ve okunabilirliği önemli ölçüde kolaylaştırır. Bununla birlikte, ACL’ler yalnızca isimle değil, numara (numbered ACL) kullanılarak da oluşturulabilir.
Numaralandırılmış bir Standart ACL tanımlamak için aşağıdaki komutu kullanabilirsiniz.
Router(config)#ip access-list standard 1ACL numaraları, Cisco tarafından önceden belirlenmiş aralıklara sahiptir ve bu aralıklar ACL’nin türünü (Standart veya Extended) doğrudan belirler. Bu nedenle numara seçimi rastgele yapılamaz; kullanılacak ACL tipine uygun aralıktan seçilmelidir.
Standart ve Extended ACL’ler için ayrılmış numara aralıklarını aşağıdan inceleyebilirsiniz.
STANDART –> <1-99> <1300-1999>
EXTENDED –> <100-199> <2000-2699>
ACL’yi isimlendirerek ya da numaralandırarak oluşturduktan sonra, yapılandırmaya devam edebileceğimiz farklı bir konfigürasyon moduna geçiş yaparız. Bu modda, erişim kontrol kurallarını (permit/deny ifadeleri) tanımlayarak ACL’nin nasıl davranacağını belirleriz.
Router(config-std-nacl)#?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry commentACL yazımı bazı durumlarda karmaşık hale gelebilir; çünkü kurallar yukarıdan aşağıya doğru sıralı şekilde değerlendirilir ve ilk eşleşme sağlandığında işlem sonlandırılır. Bu nedenle kural sıralaması kritik öneme sahiptir.
Eğer tanımlanan kurallar arasında herhangi bir eşleşme gerçekleşmezse, devreye en sonda yer alan “implicit deny” (örtülü reddetme) kuralı girer. Bu kural yapılandırmada açıkça görünmez, ancak varsayılan olarak her ACL’nin sonunda bulunur ve eşleşmeyen tüm trafiği engeller.
ACL yazarken en doğru yaklaşım, kuralların değerlendirme mantığını doğru şekilde kurgulamaktır. Çünkü ACL’ler yukarıdan aşağıya doğru çalışır ve ilk eşleşmede işlem sonlandırılır.
Bu nedenle, bloklanması ve izin verilmesi istenen trafiklerin dikkatli bir şekilde sıralanması gerekir. Bu sıralama, yanlış eşleşmelerin önüne geçerek daha kontrollü ve öngörülebilir bir yapı oluşturur ve ACL yönetimini daha güvenli hale getirir.
Router(config-std-nacl)#permit 192.168.10.10 0.0.0.0 ( WILDCARD MASKESI )
Router(config-std-nacl)#deny 192.168.0.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#end
Router#show ip access-lists
Standard IP access list huseyinpala.com
10 permit 192.168.10.10
20 deny 192.168.10.0, wildcard bits 0.0.0.255
30 permit any
Router#write memoryACL’yi oluşturduk; ancak henüz herhangi bir arayüze uygulamadığımız için aktif olarak trafiği etkilemez. ACL’lerin çalışabilmesi için mutlaka bir arayüze bağlanması gerekir.
Her arayüze, yön bazlı olacak şekilde birer adet ACL uygulanabilir: biri “in” (gelen trafik), diğeri ise “out” (giden trafik) yönü için. Aynı arayüz ve aynı protokol için birden fazla ACL uygulanamaz; bu durumda yeni uygulanan ACL, öncekinin yerini alır.
Bu nedenle ACL’nin hangi arayüze ve hangi yönde uygulanacağı, istenen trafik kontrolünün doğru şekilde sağlanması açısından kritik öneme sahiptir.
ACL’yi uygulamak için ilgili arayüzün konfigürasyon moduna girerek, kuralı “in” (gelen) veya “out” (giden) yönünde bağlayabiliriz.
Bu örnekte, ACL’yi vIOS6 router cihazı üzerinde bulunan GigabitEthernet0/0 arayüzünün “out” yönüne uygulayacağız. Bu sayede, bu arayüzden çıkış yapan trafik ACL kurallarına göre filtrelenecektir.
Router(config)#interface g0/0
Router(config-if)#ip access-group huseyinpala.com out
Router(config-if)#end
Router#copy running-config startup-configStandart ACL konfigürasyonunu tamamladık; artık yapılandırmanın doğru çalışıp çalışmadığını test edebiliriz. Bu aşamada farklı kaynak IP’lerden hedef cihaza erişim deneyerek, belirlediğimiz izin ve engelleme kurallarının beklendiği gibi işleyip işlemediğini doğrularız.
*10.0.0.2 icmp_seq=1 ttl=254 time=3.739 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.0.0.2 icmp_seq=2 ttl=254 time=5.041 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.0.0.2 icmp_seq=3 ttl=254 time=4.418 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.0.0.2 icmp_seq=4 ttl=254 time=5.666 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.0.0.2 icmp_seq=5 ttl=254 time=4.568 ms (ICMP type:3, code:13, Communication administratively prohibited)Bloklanan IP adreslerinden hedef cihaza ping atmaya çalıştığımızda, ICMP Destination or Service Unreachable mesajı alırız. Bu durum, ACL’nin ilgili trafiği başarıyla engellediğini ve paketin hedefe ulaştırılmadan reddedildiğini gösterir.
UYARI –> ACL’yi yanlış uygulamak bağlantınızı kaybetmenize neden olabilir. Bu sebeple kurumsal ortamda uygulamadan önce gerekli testleri gerçekleştiriniz.
Daha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply