Reflexive ve Dinamik Erişim Listeleri
Yeni nesil IOS bazlı firewall çeşidi ise “Reflexive ACL” dir. Bu methodla, trafiğin kaynak ve hedef adresleri, port numaraları ve oturumların rotaları hedef alınmıştır. Reflexive ACL’ler, her oturum için ayrı geçici bir filtre kullanmaktadır. Oturum her sonlandığında kullanılan filtreler silinmektedir.Reflexive ACL’leri geçmek ciddi bir iştir. Çünkü daha önce eşleşen trafikten akan veriler, herhangi başka bir köprülemeyle farkı rotaları izlemezler. Ayrıca reflexive ACL lerde oturum sona erdikten sonra oluşturulan ACE(Acess control entries)’lerin silinmesi hacker arın attack şansını da zamanla orantılı olarak düşürmektedir.
Reflexive ACL konfigurasyonu:
Adım 1: Internal ACL oluşturulur.
Router(config)# ip access-list extended internal_ACL_name
Router(config-ext-nacl)# permit protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] reflect reflexive_ACL_name [timeout seconds]
Adım 2: Geridönüş trafiği için reflexive ACL nin kullanacağı external ACL oluşturulur.
R1(config)# ip access-list extended internal_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only-reflexive-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only-reflexive-ACL timeout 10
Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry
Cisco cihazlarda extended access-list’lerde range parametresi kullanılarak istenilen port aralıkları ifade edilebiliyor. Fakat range komutu ile belitilen ilk ve son port arasındaki ardışık tüm portlar bu access-list’e match ediyor. Örnek verecek olursak sadece ftp ve telnet trafiğine izin vermek isteyen biri aşağıdaki ACL satırlarını kullanacaktır.
ip access-list extended ftp_telnet
permit tcp any any range 20 21
permit tcp any any eq 23
Senaryomuza göre 22 port yasaklı olduğundan range komutu ile tek satırda gerekli izinleri veremiyoruz. Eğer ssh bağlantısına izin veriliyor olsaydı aşağıdaki tek satır ihtiyaçlarımızı karşılayacaktı.
ip access-list extended ftp_ssh_telnet
permit tcp any any range 20 23
12.2(25)S sürüm IOS ile birlikte gelen Named ACL Support for Noncontiguous Ports on an Access Control Entry özelliği sayesinde tek ACE(ACL satırı) ile ortak kaynak ve hedef için ayrı ayrı birbirini takip etmeyen 10’ar port belirtilebiliyor.
Port Based Web Authentication
802.1x authentication’un un olmadığı sistemlerde port bazlı kimlik doğrulama yöntemi ile güvenliği sağlamak için “web authentication” kullanılabilmektedir. Bu IOS bazlı firewall’ı etkin olarak kullanabilmek için yerel bir kullanıcı veritabanı yaratılabileceği gibi harici bir RADIUS veya TACAS+ sunucusu da kullanılabilmektedir. Aşağıdaki uygulamada Cisco Secure ACS üzerine çalışan bir RADIUS sunucusu kullanmıştır.
Adım 1: aaa new-model
Switch’in 802.1x kimlik doğrulamayı sağlaması için AAA’ nın enable edilmesi gerekmektedir. AAA global configuration modunda “aaa new-model” komutu ile enable edilebilir.
Not: “aaa new model” komutunu girdikten sonra yapılması gerek tüm güvenlik yapılandırmaları tamamen bitirilmelidir. Yoksa bir sonraki sefer cihaza console yapılamayabilir.
Cisco Network Admission Control (Ağ Erişim Kontrolü)
Cisco Network Admission Control (Ağ Erişim Kontrolü)
Network Admission Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir Cisco çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. NAC ile ağ güvenliği 4 aşamada sağlanır:
- Kimlik Doğrulama
- Yetkilendirme
- Güvenlik Taraması
- İyileştirme
Cisco NAC ürünleri iki kategoriye ayrılır.
1 -) NAC Framework
Cisco ve 75 in üzerinde Cisco partnerlerinin bir platformda birbiriyle uyumlu ve koordineli olarak çalışmasına imkan sağlayan bir frameworktür. Ağdaki Cisco cihazlar ve 3. Parti ürünler ile Cisco NAC Policy Controller vasıtasıyla tüm ağın güvenliğine bir çözüm getirmiş olurlar.
2-) NAC Appliance
Cisco NAC Appliance (eski adıyla Cisco Clean Access) networklerde kurumlara kendi belirlerdikleri kurallar çerçevesinde uç nokta bağlantısı, iyileştime servisi ve kural yönetimi sağlayan bir cihazdır. NAC Appliance ın bir özelliği de Cisco olmayan ağlarda da kullanılabilmesidir.
Zone-Based Policy Firewall – Part 4
Örnek Konfigurasyon:
Aşağıdaki class-map’ler ile belirtilen protokollerden herhangi biri ile eşleşen trafik IC_policy’de tanımlanmış politikalara göre ele alınır. Class-map’ler tanımlanırken dikkat edilmesi gereken önemli bir nokta match-any ve match-all parametreleridir. Match-any ile tanımlanmış bir class-map’teki satırlardan herhangi birinin sağlanması durumunda policy’de o class için tanımlanmış davranış sergilenir. Match-all ile tanımlanmış bir class-map’te ise class-map’te belirtilen tüm satırların sağlanması gerekir. Buna göre 10.0.0.0/24 network’ünden yapılacak http, dns, telnet, https ve icmp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Diğer yandan 10.0.0.0/24 network’ünden yapılacak ftp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Bunun yanında ftp trafiği için 1 Mbps’lik bantgenişliği sınırlaması da uygulanacaktır.
Zone-Based Policy Firewall – Part 3
CLI kullanarak Zone-Based Firewall Yapılandırması
1- zone security komutu ile firewall için gerekli zone’lar yaratılır.
2- class-map type inspect komutu ile trafik sınıfları tanımlanır.
3- policy-map type inspect komutu ile firewall policyleri belirlenir.
4- zone-pair security komutu ile kaynak ve hedef zone çiftlerine belirlenen policyler uygulanır.
5- zone-member security komutu ile router interfaceleri zone’lara atanır.
CLI ile ZPF yapılandırırken dikkat edilmesi gerekenler:
Zone-Based Policy Firewall – Part 2
Zone-Based Policy Firewall Çalışma Yapısı
Cisco IOS zone-based policy firewall Cisco SDM kullanılarak yapılandırıldığı zaman 3 farklı davranış sergiler:
Inspect: Cisco IOS stateful packet inspection’ı yapılandırır. Bu davranış CBAC ip inspect komutuna karşılık gelir. Dönüş trafiğine ve olası ICMP mesajlarına otomatik olarak izin verir. FTP ya da H.323 gibi birden çok paralel veri ve sinyalizasyon oturumuna ihtiyaç duyan protokoller için gerekli oturum kurulumu işlemlerini yapar.
Drop: ACL’deki deny ifadesi ile benzer işleve sahiptir. İstenmesi halinde reddedilen paketlerin loglanmasını sağlayan log seçeneği vardır.
Pass: ACL’deki permit ifadesi ile benzer işleve sahiptir. Pass davranışı trafiğin içerdiği bağlantı ya da oturumun durumunu incelemez. Sadece tek bir yönde bağlantıya izin verir. Dönüş trafiğine izin verilmesi için diğer yönde de ilgili kural uygulanmalıdır.
Belirli bir class’ın trafiğine rate limit(bandwitdh sınırlaması) uygulanmak istenirse inspect ya da pass komutunun yanında police komutu da kullanılmalıdır.
Zone-Based Policy Firewall – Part 1
Zone-Based Policy Firewall Özellikleri
2006 yılında Cisco 12.4(6)T IOS ile Zone-Based Policy Firewall yapılandırma modelini sundu. Bu yeni model ile interface’ler zone'lara atanır ve zone'lar arasındaki trafiğe bir inspection policy uygulanır. Zone based firewall bir interface’teki değişik kullanıcı gruplarına farklı policy’ler uygulamaya imkan tanır. Bunun yanında default deny-all policy sayesinde varsayılanda zone’lar arasındaki trafiğin yasaklanmasını da sağlar.
Zone-based policy firewall ZPF, ZBF ya da ZFW gibi kısaltmalarla anılır. ZPF statefull packet inspection, application inspection, URL filtreleme ve DOS etkisizleştirilmesi gibi standart firewall teknolojilerini destekler.
Firewall policy’leri Cisco Common Classification Policy Language (C3PL) kullanılarak yapılandırılır. C3PL hiyerarşik bir yapıda network protocol inspection tanımlar ve kullanıcıların tek bir inspection policy altında gruplanmasını sağlar.
Context-Based Access Control(CBAC)
CBAC’in Özellikleri
Cisco IOS Firewall’un mümkün kıldığı bir özellik olarak CBAC, uygulama katmanı bilgisini temel alarak TCP ve UDP paketlerini filtreleme işlemi gerçekleştirir. Uygulamaya özel protokollerde, multimedya uygulamalarında ve birden fazla kanala ihtiyaç duyan uygulamalarda CBAC, application katmanı filrelemesi sağlar.
CBAC’in trafik filtreleme,trafik denetleme,ihlal tespiti,denetim kaydı ve uyarı verme gibi dört ana işlevi vardır.
Trafik Filtreleme:
CBAC, güvenlik duvarı vasıtasıyla ağ içerisinde başlatılmış bağlantılara izin verecek şekilde konfigüre edilebilir. Bunu ACL içerisinde geçici açılımlar oluşturarak yerine getirir. CBAC filtreleme işlemini yalnızca network ve transport katmanı bilgisine göre değil aynı zamanda application katmanı bilgisine göre filtreleme yapar.
Trafik Denetleme:
Dijital İmza ve Dijital Sertifika
Dijital İmza
Dijital imzalar aşağıdaki durumlarda kullanılır;
- Bilginin, doğru kaynak tarafından oluşturulduğunu kanıtlamak için,
- Private key ve signature kullanarak kullanıcıya kimlik denetimi uygulamak için,
- PKI sertifakalarının güvenilirliğini ve bütünlüğünü ispatlamak için,
- Güvenilir bir zaman kaynağından güvenli bir zaman damgası sağlamak için.
Dijital imzalar 3 tip güvenlik hizmeti sunarlar;
- İmzalanan datanın güvenilir olması
- İmzalanan datanın bütünlüğünün korunması
- İmza kopyalanmasından koruma
Dijital imzaların yukarıda bahsedilen hizmetleri sunabilmesi için gerekli bazı özellikleri şöyledir:
- İmza güvenli ve taklit edilemezdir. Dökümanın imzasının imzalayana (başka birine değil) ait olduğunu ispatlar.
- İmza her bir döküman için ayrı ayrı üretilir ve bir daha kullanılamaz.
- Döküman imzalandıktan sonra bir daha değiştirilemez.
- İmza inkar edilemezdir. İmzalayanlar daha sonra aksini iddia edemezler.
Dijital imzalar; gerekli koşulları sağladığında bazı ülkelerde normal imza ile eşit tutulur. Bu koşulların başında da certificate authority nin güvenliği gelmektedir. Cisco da cihazlarının bir kısmında dijital imza kullanır.
Dijital imza işlemi hash fonksiyonu ve public keyleri temel alır ve bu işlem 6 aşamada gerçekleşir.
- Kaynak (signer) dökümanın hash ini oluşturur.
- Elde edilen hash i private key ile şifreler.
- Şifrelenmiş hash (imza) dökümana eklenip hedefe gönderilir.
- Hedef; gelen imzalı dökümanı alır ve buna ek olarak kaynağın public key ini elde eder.
- Public key i kullanarak, şifrelenmiş dökümanı deşifre eder. Böylece kaynağın hash li dökümanı elde edilmiş olur.
- Daha sonra hedef orjinal dökümanın hash ini kendisi oluşturur ve kaynaktan gelen hash değeri ile karşılaştırır. Eğer hash değeri eşleşirse dökümanın güvenilir ve yol boyunca aynı kaldığı, kaynağın da doğru olduğu anlaşılmış olur.
Dijital imzalar sağladığı güven ve bütünlüğün yanında aynı zamanda bir güvence sağlamaktadır. Özellikle kodlarda ve sıkıştırılmış dosyalarda bu güvenceler önem kazanmaktadır.
