19/9/2009 - Erişim Listeleri Access List

Erişim Listeleri (Access List)

Access list’ler sistem yöneticilerine, ağdaki trafik üzerinde geniş bir kontrol imkanı sunar. Ayrıca access list’ler router üzerinden geçen paketlere izin vermek veya reddetmek içinde kullanılır. Bunun haricinde telnet erişimleri de access list’ler kullanılarak düzenlenebilir. Oluşturulan access list’ler router’daki interface’lerin herhangi birisine giren veya çıkan trafiği kontrol edecek şekilde uygulanabilir. Eğer herhangi bir interface’e bir access list atanmışsa router bu interface’den gelen her paketi alıp inceleyecek ve access list’te belirtilen işlevi yerine getirecektir. Yani ya o paketi uygun yöne iletecek ya da paketi yönlendirmeden yok edecektir.
Router’ın interface’inden alınan bir paketin tanımlanan bir access list ile karşılaştırılma sırası şöyledir;

Listeye eklenen son kayıt ilk sıraya yerleşir.

Paket, access list’teki kayıtlar kayıt sırasına göre karşılaştırılır. Yani ilk önce access list’teki ilk satırla daha sonra 2,3... gibi.

Paket, access list’de uyuşan satır bulununcaya kadar karşılaştırılır. Yani paket access list’teki 3.satırla uyuşuyorsa, bu paket access list’deki diğer satırlarla karşılaştırılmaz.

Her deny kaydın sonunda Permit Any satırı bulunur. Bu şekilde son satıra Permit Any kaaydı olmazsa tüm trafik engelenmiş olur.

İki çeşit Access List Yapılabilir.

a ) Standart access list: Bu tür access list’te IP paketlerinin sadece kaynak (source) adreslerine bakılarak filtreleme yapılır. Izin verme ya da yasaklama bütün protokol kümesi için geçerlidir

b ) Extended access list: Bu tür access list’ler, IP paketlerinin hem kaynak hem de hedef adreslerini kontrol eder. Ayrıca Network katmanında tanımlanan protokol alanı ile Transport alanındaki port alanıda kontrol edilir. Böylece izin verilirken veya yasaklama yaparken protokol bazında bu işlemleri gerçekleştirmeye olanak sağlar.

Access list’ler oluşturulduktan sonra sıra bu access list’leri Router’ın interface’lerine giriş veya çıkış listesi olarak atamaya geldi. Burada giriş (inbound) ve çıkış (outbound) kavramlarını açıklayalım. Inbound access list’lerin tanımlandığı interface’lerde paketler yönlendirme işlemine tabii tutulmadan access list’deki kayıtlarla karşılaştırılır. Outbound access list’lerin tanımlandığı interface’lerde ise router’a gelen paket ilk önce yönlendirme tablosuna göre yönlendirilir, ardından access list’deki satırlarla karşılaştırılır.

Bir interface için sadece bir tane inbound ve bir tane outbound access list tanımlanabilir.

Aşağıdaki tabloda herbir protokole ait tanımlanabilecek access list’lerin numara aralıkları verilmiştir.

1-99 arası IP standart access list
100-199 arası IP extended access list

19/9/2009 - Standart IP Access List

Standart IP Access List

Standart IP access list’leri IP paketinin kaynak IP kısmına bakarak filtreleme gerçekleştirir. Aşağıdaki söz dizimi standart Access List tanımlar.

RouterA(config)#access-list [no] [permit/deny] [source Network] [wild card]

[No] : 1 / 99 arasında bir rakam verilebilir.

Wild Card' lara verilebilecek değerler.

0.0.0.3
0.0.0.7
0.0.0.15
0.0.0.31
0.0.0.63
0.0.0.127
0.0.0.255
...........
0.0.3.255
...........
0.255.255.255

Not: Bir network Adresi sonunda Wild Card dahil edilmesse router örnegin 10.5.1.0 network adresi için Wild Card 0.255.255.255 kabul eder. Bir IP adresi sonuna Wild Card Dahil edilmesse Router Örnegin 10.5.1.5 ip adresi için Wild Card' ı 0.0.0.0 kabul eder.

Örnekler;

Aşağıdaki örnekte access-list numarası 15 olan ve 10.3.9.3 nolu hostdan gelecek tüm paketleri kabul etmeyecek bir access list tanımlanmıştır.

RouterA(config)#access-list 15 deny 10.3.9.3

Yukarıda oluşturulan access list ile sadece network’teki bir bilgisayardan gelecek paketlerin filtrelemesini sağlıyor. Peki biz birden fazla host’u etkileyecek bir access list’i nasıl oluşturacağız? Bunun için wildcard’ları kullanacağız. Wildcard’lar router’a kullanılan IP adres aralığının ne kadarının filtreleneceğini gösterir.

Örneğin;

RouterA(config)#access-list 20 deny 10.3.10.1 0.0.0.0

komutundaki sıfır rakamları router’a IP adresi 10.3.10.1 olan host’a ait paketleri filtrelemesini söyler. Eğer biz 10.3.10.0 network’üne ait tüm host’lardan gelecek paketlerin filtrelenmesini istiyorsak o zaman aşagidaki komutu kullanmalıyız.

RouterA(config)#access-list 20 deny 10.3.10.0 0.0.0.255

Eger biz 10.0.0.0 network’üne ait tüm host’lardan gelecek paketlerin filtrelenmesini istiyorsak o zaman da aşagıdaki komutu kullanmalıyız.

RouterA(config)#access-list 20 deny 10.3.10.0 0.255.255.255

Oluşturdugumuz access list’i router’ın istediğimiz interface’ine inbound veya outbound olarak ilişkilendirmeye sıra geldi. Bunun için interface konfigürasyon moduna geçip “ip access-group” komutunu kullanıyoruz. Aşağıdaki örnekte 15 nolu bir standart IP access list’i oluşturulduktan sonra bu access list’e iki tane kayıt giriliyor.

lk kayıt 10.3.10.0 network’ünden gelecek paketlerin router tarafından yönlendirilmemesini istiyor. Ardından access list’e eklenen ikinci kayıt ise tüm paketlere izin veriyor. Eğer bu son satırı girmezsek ilk satıra uymayan tüm oaketler router tarafından yok edilecektir (Zaten uyan pekatleri de yönlendirme yaptırmadığımız için router hiçbir yönlendirme işlemi yapmayacaktır). Burada bu iki kaydın access list’e yazılış sırasına dikkat edin. Bu iki kaydın yerleri değişirse uygulamaya çalıştığınız access list hiçbir işe yaramayacaktır. Bu kayıtlar girildikten sonra bu access list belirlediğimiz uygun bir arayüze outbound olarak ilişkilendirilmiştir.

RouterA(config)#access-list 15 deny 10.3.10.0 0.0.0.255
RouterA(config)#access-list 15 permit any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 15 out

19/9/2009 - Extended IP Access List

Extended IP Access List

Extended IP access list’ler, standart IP access list’lere oranla çok daha gelişmiş bir filtreleme imkanı sunarlar. Örnegin filtreleme yaparken paketlerde taşınan protokol bilgisini kullanabilirsiniz. Böylece bazı protokollere ait paketlerin Router’ın belirlediğiniz interface’lerinden çıkmasını veya o interface’lere girmesini engelleyebilirsiniz.

Aşağıdaki söz dizimi Extended Access List tanımlar.

RouterA(config)#access-list [no] [permit/deny] [protocol] [source Network] [wild card] [Destination Network] [wild card] [Eşitlik Bilgisi] [log]

[log] : Bu komutu ekleyerek network trafiginin log'larının tutullarak gözlenmesi sağlanır. RouterA#show log

[Protocol] : TCP veya UDP yazılır. Eğer Buraya "icmp" yazılırsa ping işlevi yerine getirilmez.

[no] :100-199 arasında bir rakam verilebilir.

[Eşitlik Bilgisi] : TCP veya UDP port nosu yazılır.

Örneğin router’ın e0 interface’ine bağlı server’ımıza (IP adresi 10.3.20.1) gelen telnet isteklerini kesmek isteyelim. Bunun için router üzerinde yapmamız gereken işlemler şöyledir;

RouterA(config)#access-list 121 deny tcp any host 10.3.20.1 eq 23
RouterA(config)#access-list 121 permit tcp any any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 121 out

Not : Burdaki "any host " komutu anlamı herbir host anlamına gelir

Burada 23 telnet’in kullandığı TCP port numarasıdır. Siz bu server’a gelen tüm tcp paketlerini engellemek isterseniz ise o zaman kullanacağımız komut;

RouterA(config)#access-list 121 deny tcp any host 10.3.20.1
şeklinde olacaktır.

19/9/2009 - Access List Show Komutları - Kaydı Silme - Port Numaraları

Access List Show Komutları

Router üzerinde tanımlanmış access-list’leri görmek için “show access-list” komutunu kullanabilirsiniz.

RouterA#show access-list

Eğer oluşturduğunuz access list hakkında daha geniş bilgi istiyorsanız oluşturduğunuz access list’in numarasını yukarıdaki komuta parametre olarak girmelisiniz.

RouterA#show access-list 121

Arabirimde etkin access Listleri görmek için;

RouterA#Show ip int s0 ;

Access List Kaydı Silme

RouterA(config)#No access-list [nosu] - Nosu verilen access-list silinir

RouterA(config-if)#no ip access-list [nosu] - Nosu verilen Access-list ilgili interface'den silinir.

Liste içinde tek bir kayıt silinemez, Sadece text (windows Notepad gibi) editoru kullanılarak istenilen kayıt silinebilir.

Bazı Port Numaraları

FTP; 20,21
TFTP ;69
Https; 443
Http; 80
Telnet; 23
TCP; 15
POP; 110
Snmp; 161
DNS; 61
Smtp; 25

27/11/2008 - Named Access List / İsimlendirilmiş Access List

Named Access List / İsimlendirilmiş Access List

Kolay hatırlanır ve tek cümle de silinebilmesi avantajıdır. Liste içindeki bir ifade kaldırılabilir.

Örnek :

Extended İsimlendirilmiş ACL

R1(config)#ip access-list extended yasak1
R1(config-ext-nacl)#deny ip 175.56.56.0 0.0.0.0255 any
R1(config-ext-nacl)#permit ip any any
R1(config)#int s0
R1(config-if)#ip access-group yasak1 out

Standart İsimlendirilmiş ACL

R1(config)#ip access-list standard yasak2
R1(config-std-nacl)#permit 192.168.132.0 0.0.0.255
R1(config-std-nacl)#permit 172.17.0.0 0.0.255.255
R1(config-std-nacl)#permit 10.0.0.0 0.255.255.255
R1(config)#int s0
R1(config-if)#ip access-group yasak2 out