ID
ŞİFRE
   
  Şifremi Unuttum!!
 
 

Sahhan Network

Security Box içinde bulunan diğer güvenlik firmaları ile birlikte en son güvenlik açıklarını tespit eder ve bunları whitepaper olarak internete sunar

NOT: Kurumsal çözümler veya üyelik için mail atmanız gerekir. .

 

 
Toplam Okunma : 14575
 

Access List (Erişim Listeleri)



Access List (Erişim Listeleri)

Router üzerinden iç ag, dış ağ ve DMZ alanlarından gelen paketleri engelleyen veya izin veren listelerdir.

internal : iç ag

external : dış ag

DMZ (Demilitarized Zone): iç agda bulunan ve dış aga hizmet veren
ag turudur. Özel servisleri çalışır. IIS, DNS, mail server gibi.

 

Access list türleri
 

  • 1 - 99 Standard IP ACL

  • 100 - 199 Extended IP ACL

  • 200 - 299 Ethernet type code ACL

  • 300 - 399 DECNET ACL

  • 400 - 499 XNS ACL

  • 500 - 599 Extended XNS ACL

  • 600 - 699 AppleTalk ACL

  • 700 - 799 48-bit MAC address ACL

  • 800 - 899 IPX ACL

  • 900 - 999 Extended IPX ACL

  • 1000 - 1099 IPX service advertisement protocol

  • 1100 - 1199 Extended 48-bit MAC address ACL

  • 1200 - 1299 IPX NLSP ACL

  • 1300 - 1999 Standard IP ACL, expanded range

  • 2000 - 2699 Extended IP ACL, expanded range

  • 2700 - 2999 SS7 (Voice) ACL



 

 

Standart Access List:

Paketlerin yalnızca kaynak kısmına bakarak engelleme veya izin işlemlerini

yapan listelerdir.

 

1- Erişim kuralı tanımlanır.

router(config)#access list [ACL NO(1-99)] [permit/deny] [kaynak ip] [kaynak wildcard]

2- Erişim kuralı atanır.

router(config)#interface [s0/s1/fa0]

router(config-if)#ip access-group [ACL NO] [in/out]

 

erişim kuralı paketin yonune göre inbound veya outbound

olarak tanımlanır.

 

Atanan erişim listelerini izlemek için

 

router#show ip access-list

Uygulama:



R1 (s0/1) 192.168.1.1 /24 ------------------- 192.168.1.2 /24 (s0/1) R2



1.baglantı saglanıp ping ile kontrol edilecek.

2.r1 üzerinden tanımlanan erişim listesiyle r2 r1 e erişemeyecek.



2.

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.255

 

işlemi ile 192.168.1.0 networkünü engelleyen erişim listesi yazıldı.

 

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0

 

işlemi ile 192.168.1.2 ip adresini engelleyen erişim listesi yazıldı.

aynı komut

R1(config)#access-list 50 deny host 192.168.1.2

0.0.0.0 wildcard yerine "host" yazılabilir.

R1(config)#interface serial 0/0

R1(config-if)#ip access-group 50 in

komutu ile arabirime atanır.

r2 den ping cekildikten sonra r1 de

 

r1#show ip access-lists

Standard IP access list 50

deny 192.168.1.0 0.0.0.255 (5 match(es))

5 adet paket için erişim listesinde eşleşme oldugu görülür.
 

 

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0

R1(config-if)#ip access-group 50 in
 

 

NOT: erişim listesi tanımlanmasıyla birlikte tüm trafik kapanır. Bu yüzden

öncelikle yasaklamalar atanıp sonrasında permit ile izinlerin açılması

gerekir. Aynı uygulamada diger paketlere izin vermek için sırasıyla

 

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0

R1(config)#access-list 50 permit all

R1(config)#int s0/0

R1(config-if)#ip access-group 50 in
 

 

 

 

Örnek2:

R1(config)#access-list 12 permit 192.168.1.0 0.0.0.255

R1(config)#access-list 12 deny 192.168.1.5 0.0.0.255

R1(config)#access-list 12 permit all

R1(config)#int s0/0

R1(config-if)#ip access-group 50 in
 

 

işlemi sonucunda 192.168.1.0 networkü yasaklanmıştır.

bunun dışındaki ip adresleri izinlidir.

 

NOT2: bir paketin access-list tanımlanan routerdan geçebilmesi için

"permit" ile verilmiş bir izinle çakışması gerekir. Yani paket için

özellikle deny verilmesine gerek yoktur.
 

 

router5(config)#access-list 48 deny 172.16.1.2 0.0.0.0

router5(config)#access-list 48 permit any

router5(config)#interface serial 0/1

router5(config-if)#ip access-group 48 in

router5(config-if)#end

 

EXTENDED ACCESS LIST (100 - 199)

kaynak ve hedef adreslerin tanımlandıgı gelişmiş erişim listeleridir.

protokol, port, ip tanımlamaları yapılabilir.

Kullanımı

access-list [100-199] [permit/deny] [protocol] [kaynak] [hedef] [port]

Örnek1:

access-list 105 permit ip any 192.168.1.5 0.0.0.0

herhangi bir yerden 192.168.1.5 ip adresine yapılan baglantılara izin verir.

Örnek2:

access-list 107 deny tcp host 172.16.1.5 host 192.168.1.1 eq 80

 

172.16.1.5 adresinden 192.168.1.1 in 80 nolu portuna yapılan istekleri

engeller.

eq: (equal) eşittir

lt: (less than): küçüktür

gt: (greater than): büyüktür.

neq: (not equal): eşit degil

örnek3: varsayılan portların dışındaki portların erişimini kapatmak için

(tüm ip adreslerinden 15.0.0.1 e)

default ports (1-1024)

access-list 103 deny tcp any 15.0.0.1 0.0.0.0 gt 1024

access-list 103 deny udp any 15.0.0.1 0.0.0.0 gt 1024

accces-list 103 permit tcp any any

accces-list 103 permit udp any any

 

örnek4: http, ftp, telnet, pop3, smtp, https, dns protokollerini

172.16.1.5 için açın. gerisi kapatılacak.

 

access-list 103 permit tcp any host 172.16.1.5 eq 80

access-list 103 permit tcp any host 172.16.1.5 eq 21

access-list 103 permit tcp any host 172.16.1.5 eq 23

access-list 103 permit tcp any host 172.16.1.5 eq 110

access-list 103 permit tcp any host 172.16.1.5 eq 25

access-list 103 permit tcp any host 172.16.1.5 eq 443

access-list 103 permit udp any host 172.16.1.5 eq 53

 

uygulama:

1. standart erişim listesini kaldırın.

2. pc0 ve pc 3 arasındaki iletişimi kapatın.
 

 

LEGAL TCP TARAMASI

 

SYN: senkronizsyon mesajıdır ve baglantı ilk başalayacagı zaman gonderilir.

ACK: sıra numarasını onaylama mesajıdır.

FIN: baglantıyı kapatma BAYRAGI

PSH: verinin iletildigini belirten bayrak

URG: verinin bir başka veri tarafından acilen kesilmesi gerektigini yani

sıra numarasını degiştiren bayrak

RST: baglantıyı yeniden başlatır ve yeni sıra numarası ile yeni baglantıya

geçer.
 

 

SYN + ACK + ve digerleri
 

 

ILLEGAL TCP Connect TARAMASININ ENGELLENMESİ

 

Router1#configure terminal

Router1(config)#access-list 161 deny tcp any any ack fin psh rst syn urg

Router1(config)#access-list 161 deny tcp any any rst syn

Router1(config)#access-list 161 deny tcp any any rst syn fin

Router1(config)#access-list 161 deny tcp any any rst syn fin ack

Router1(config)#access-list 161 deny tcp any any syn fin

Router1(config)#access-list 161 deny tcp any any syn fin ack

Router1(config)#end

Router1#

 

NAMED ACCESS LIST (isim verilerek erişim listesi hazırlama)
 

 

Router1#configure terminal

Router1(config)#ip access-list standard izinver

Router1(config-std-nacl)#remark This is a standard ACL

Router1(config-std-nacl)#permit any log

Router1(config-std-nacl)#exit

Router1(config)#ip access-list extended webyasak

Router1(config-ext-nacl)#remark This is an extended ACL

Router1(config-ext-nacl)#deny tcp any any eq www

Router1(config-ext-nacl)#permit ip any any log

Router1(config-ext-nacl)#exit

Router1(config)#interface Serial0/1

Router1(config-if)#ip access-group izinver in

Router1(config-if)#end

Router1#

 

--------------------------------------------------------------------------------

 

Router1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router1(config)#ip access-list extended PING-OUT

Router1(config-ext-nacl)#permit icmp any any reflect ICMP-REFLECT timeout 15

Router1(config-ext-nacl)#permit ip any any

Router1(config-ext-nacl)#exit

Router1(config)#ip access-list extended PING-IN

Router1(config-ext-nacl)#evaluate ICMP-REFLECT

Router1(config-ext-nacl)#deny icmp any any log

Router1(config-ext-nacl)#permit ip any any

Router1(config-ext-nacl)#exit

Router1(config)#interface Serial0/1

Router1(config-if)#ip access-group PING-OUT out

Router1(config-if)#ip access-group PING-IN in

Router1(config-if)#end

Router1#





PORT YAPILANDIRMA ÖRNEKLERİ:

 

Router1#configure terminal

Router1(config)#access-list 152 permit tcp any any eq ftp

Router1(config)#access-list 152 permit tcp any any eq ftp-data established

Router1(config)#interface FastEthernet0/0

Router1(config-if)#ip access-group 152 in

Router1(config-if)#end

Router1#

 

Açıklaması: ftp baglantısı ve ftp veri iletişimi için izinlerin atanması.

 

---------------------------------------------------------------------------

 

Router1(config)#access-list 154 permit udp any any range 6000 6063

Açıklaması: udp 6000 6063 arasında çalışan portların izinlerinin verilmesi.

 

Router1(config)#access-list 155 deny udp any any gt 1023

Açıklaması: 1023 den büyük udp portlarının erişiminin kısıtlanması.

 

Router1(config)#access-list 156 permit udp any any lt 1024

Açıklaması: 1024 den küçük UDP portlarının erişiminin açılması.

 

Router1(config)#access-list 157 permit udp any any neq 666

Açıklaması: 666 haricindeki tüm portların erişiminin açılması.

 

----------------------------------------------------------------------------

Router1#configure terminal

Router1(config)#access-list 121 permit tcp any any eq telnet syn log

Router1(config)#access-list 121 permit tcp any any eq telnet

Router1(config)#access-list 121 permit ip any any

Router1(config)#end

Router1#

AÇıklaması: yapılan tüm telnet baglantı isteklerini loglar ve telnete izin

verir.

 

 
  Son Haberler
  Windows 7 Lisans Kısıtlamalarına Dikkat!
  Windows 7 Geliyor
  3G Nedir? Ne getirecek?
  Filistin'e hacker desteği
  3G neler getirecek?
  Görünmezlik Gerçek Oldu
  Kablolu klavyeler de güvenli değil!
  Blog sitenize girmenin yolu
  Facebook müzik işinde
  Google Analytics yenilendi
Ayın yazılımı: Malwarebytes
Malwarebytes' Anti-Malware ile bilgisayarınıza bulaşıp yerleşen virüsler, solucanlar, truva atları, rootkitler, çeviriciler, casus yazılımlar ve malware denen kötü amaçlı tüm yazılımlara karşı sisteminizi taratıp temizleyebilirsiniz.
  Etiketler
 
Yazılım Donanım
Web Tasarım Grafik
GüvenlikHaber
Network
Genel Tartışmalar
Cisco Eğitimleri
MCSE Eğitimleri
ISA Server Exchange
Linux Grafik
 

sahhan@2008