AGCIYIZ.NET Network Kontrol Altında

Reflexive ve Dinamik Erişim Listeleri

Yeni nesil IOS bazlı firewall çeşidi ise “Reflexive ACL” dir. Bu methodla, trafiğin kaynak ve hedef adresleri, port numaraları ve oturumların rotaları hedef alınmıştır. Reflexive ACL’ler, her oturum için ayrı geçici bir filtre kullanmaktadır. Oturum her sonlandığında kullanılan filtreler silinmektedir.Reflexive ACL’leri geçmek ciddi bir iştir. Çünkü daha önce eşleşen trafikten akan veriler, herhangi başka bir köprülemeyle farkı rotaları izlemezler. Ayrıca reflexive ACL lerde oturum sona erdikten sonra oluşturulan ACE(Acess control entries)’lerin silinmesi hacker arın attack şansını da zamanla orantılı olarak düşürmektedir.

Reflexive ACL konfigurasyonu:

Adım 1: Internal ACL oluşturulur.

Router(config)# ip access-list extended internal_ACL_name
Router(config-ext-nacl)# permit protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] reflect reflexive_ACL_name [timeout seconds]

Adım 2: Geridönüş trafiği için reflexive ACL nin kullanacağı external ACL oluşturulur.

R1(config)# ip access-list extended internal_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only-reflexive-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only-reflexive-ACL timeout 10

CISCO IOS lar oturumu sürdürebilmek için 2 çeşit reflexive ACEs oluşturmaktadır.Bunlardan biri outbound web connection ( web-only-reflexive-ACL) diğeri ise DNS sorguları için (dns-only-reflexive-ACL) .Dikkat edilmesi gereken nokta, DNs sorguları için ayarlanacak time-out süresi 10 sn olarak belirlenmelidir.

Extended internal ACL yi yarattıktan sonra routerdan çıkan trafiğin düzgün olarak geri gelebilmesi için, oluşturulacak yeni extended external ACL ,”evaluate”parametresiyle kullanılarak yapılandırılır.

Router(config)# ip access-list extended external_ACL_name
Router(config-ext-nacl)# evaluate reflexive_ACL_name
R1(config)# ip access-list extended external_ACL
R1(config-ext-nacl)# evaluate web-only-reflexive-ACL
R1(config-ext-nacl)# evaluate dns-only-reflexive-ACL
R1(config-ext-nacl)# deny ip any any

Adım 3: Yazılan ACL ilgili interfacede, uygulacak yöne göre aktif edilir.

R1(config)# interface s0/0/0
R1(config-if)# description connection to the ISP
R1(config-if)# ip access-group internal_ACL out
R1(config-if)# ip access-group external_ACL in

DİNAMİK ACL

Dinamik ACL’ler yalnızca ip trafiğine etkiyebilen ve bu trafiği takip edebilien güvenlik duvarlarıdır. Dinamik ACL’ler ayrıca daha çok aynı network’ün içindeki remote user gruplarının erişimini kontrol etmek için yazılmış güvenlik uygulamalarıdır.

Statik ACL lere göre üstünlükleri :

- Cihaz tarafından doğrulanacak kullanıcıların bilgilerini düzenler,
- Kullanıcıya özgü sorun mekanizmaları yaratılmaktadır,
- Geniş alanı kapsayan networklerde yönetimi kolaylaştırır,
- Kullanılan cpu düşüktür,
- Daha güvenlidir,
- Kullanıcılar için güvenlik duvarında yaratılan açıklar, statik ACL lere göre sistemi daha az
tehdit eder.

Router,“Username” komutuyla kullancıyı ve password’unu router RADIUS veya TACACS+ sunucularından dogrular. Bu doğrulamdan sonra cisco IOS dinamik ACE’yi listesine ekler ve doğrulama için ilk aşama tamamlanmış olur. Bu local kullanıcı veritabanında her kullanıcıya ait policy uygulamak mümkün degildir. Bu sunucular üzerinde belirlenen izinler ve atanan kurallar tüm kullanıcıları aynı oranda etkilemektedir.

Dinamik ACL konfigurasyonu:

Adım 1: Kullanıcı eklenir.

Adım 2: Authentication yöntemi belirlenir.

Buradaki “timeout” parametresi opsiyoneldir. Bu parametre kullanıcı doğrulandıktan sonra oluşturulacak dinamik satırın var olma süresini belirler. Bu değer 1 ile 9999 arasında belirlenebilir.

Adım 3: İlgili interface’nin altında aktif edilir ve yönü belirlenir.

Adım 4: Yerel kullanıcılar routerin veritabanında oluşturulduktan sonra, son aşama line vty altında dinamik doğrulama aktifleştirilmelidir.
“autocommand access-enable” komutu dynamic authenticationa özgü bir komuttur. Bu komut sayesinde kullanıcı doğrulamayı geçip login olduktan sonra geçici ACE ilgili kullanıcının login olduğu interfaceye eklenir. ”Timeout” parametresiyle belirlenen süre içerisinde hiç bir giriş yapılmazsa kullanıcının oturumu sonlandırılır ve geçici ACE silinir.