Cisco IOS ve PIX Firewall ACL Konfigürasyonu
Cisco IOS ACL Konfigürasyonu
ACL (Access Control List), network ataklarını engellemek ve network trafiğini kontrol etmek için kullanılan bir yapıdır. ACL’ler sayesinde networkümüze giren ve networkümüzden çıkan trafiği adres ve port bazlı olarak filtreleyebiliriz. Bu işlemi yapmak için kullanılan iki tür ACL vardır. Bunlar Standard ACL ve Extended ACL’dir.
Standard ACL
Standard ACL’ler 1-99 veya 1300-1999 arası numaralandırılan ve trafiği kontrol etmek için IP başlıklarındaki kaynak IP bilgisini inceleyen ACL’lerdir. Standard ACL’ler filtreleme işlemini sadece Layer 3 bilgisine bakarak gerçekleştirirler. Standard ACL’ler şu şekilde oluşturulur:
Router(config)# access-list {1-99} Â {permit|deny} source-addr [source-wildcard]
İlk bölüm, ACL numarasını ifade eder. İkinci bölüm, belirtilen kaynak IP adresine izin verilip verilmeyeceğini belirtir. Üçüncü bölüm, üzerinde işlem yapılacak kaynak IP adresini gösterir. Dördüncü kısımdaki wildcard maskesi ise üzerinde işlem yapılacak ip adres aralığını belirler.
AGCIYIZ_ACL(config)# ip access-list standard 70
AGCIYIZ_ACL(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Cisco PIX Firewall Temel Konfigürasyonu
PIX firewall’da interface seçimi, inside ya da outside interface’in belirtilmesi, seçilen bu interface’lere göre rotaların düzenlenmesi temel olarak aşağıdaki şekilde yapılabilir. Öncelikle firewall’ın iç ve dış ayağının hangisi olacağının ve bu interface’lere güvenlik seviyelerinin atanması yapılır.
pixfirewall(config)# interface <interface_türü>
pixfirewall(config)# nameif <interface_adi>
pixfirewall(config)# security-level <0-100>
Örnek olarak aşağıdaki gibi bir konfigürasyon yapılabilir;
Agciyiz_Firewall(config)# interface Ethernet0
Agciyiz_Firewall(config-if)# nameif inside
Agciyiz_Firewall(config-if)# security-level 100 (Default Değeri 100’dür.)
Agciyiz_Firewall(config)# interface Ethernet1
Agciyiz_Firewall(config-if)# nameif outside
Agciyiz_Firewall(config-if)# security-level 0 (Default Değeri 0’dır.)
Daha sonra, belirlenen bu interface’lere ip adresleri aşağıdaki şekilde verilir.
IP Source Guard
IP Source Guard 2. katman interfacelerde IP trafigini, DHCP Snooping Binding veritabanina ya da el ile konfigüre edilmis IP Source Binding verilerine bakaraktan kısıtlamaya yarayan güvenlik özelligidir. IP Source Guard IP çakismalarina engel olmak için ya da son kullanicilarin komsulara ait IP'leri almasini önlemek için kullanılabilir.
IP Source Guard özelliginin kullanılabilmesi için switchte DHCP Snooping özelligi aktif durumda olmalıdır. IP Source Guard özelligi aktif konuma getirildiginde switch, interface üzerinde DHCP snooping tarafindan izin verilen haricinde bütün IP trafiğini keser. IP Source Binding Tablosu, DHCP tarafindan atanmış Binding verileri ile statik olarak atanmış IP Binding bilgilerinden olusur. Bu tabloda IP adresleri ve IP adreslerine karşılık gelen MAC adresleri, bu adreslere ait VLAN bilgileri bulunur.
Control Plane Policing(CoPP)
Control Plane Policing ve Örnek Konfigurasyon
Ağ cihazlarına giren trafiğin büyük bir bölümü cihazların kendileri dışında bir hedefe sahiptirler. Bir başka deyişle gelen trafiğin hedefe ulaşmasında görev alırlar, asıl hedef bu cihazlar değillerdir. Bu trafik data plane traffic olarak adlandırılır. Diğer yandan routing updateleri, yönetim trafiği, keepalive trafiği control and management plane traffic olarak adlandırılır. Basit bir UDP flood(UDP atağı) ile router ya da switchin uzaktan yönetimini devre dışı bırakılabilir. Bunun yanında CPU %100 kapasiteye ulaşacağından cihazların bazı fonksiyonları işlevini yitirebilir. Routerlara ve switchlere yönelik control plane ataklarına karşı Control Plane Policing çözüm olarak kullanılabilir. CoPP ile Control plane configuration mode'da policy map uygulanarak control plane paketleri için filtreleme ve bant genişliği limitlemesi yapılabilir. Aşağıda control plane’e uygulanmak üzere hazırlanmış bir policy örneği verilmiştir.
DHCP Snooping ve option 82(information option)
İlk bakışta bir switch'te DHCP Snooping’i devreye almak 2 satır global configuration mode komutu bir de uplink’e ya da DHCP sunucunuzun bulunduğu port’a trust yazmakla bitiyor gibi gözüküyor. Fakat DHCP Snooping devreye alındığında varsayılanda switch tarafından option 82(information option) bilgisinin istemci kaynaklı DHCP paketlerine eklenmesi de devreye alınmış olunuyor. Çok yararlı ve kullanışlı olabilecek bu özellik ilk etapta DHCP snooping’i devreye aldım ama istemciler neden IP alamıyorlar sorusunun cevabıdır çoğu zaman. Yazının başında, eğer option 82 bilgisini kullanan bir DHCP sunucunuz yoksa, aşağıdaki komutla option 82 bilgisinin eklenmesi özelliğini kapatmanızı şiddetle tavsiye ettiğim belirtmek isterim. Daha sonrasında ise option 82’nin detaylarını ve bu bilgiyi kullanarak ne gibi faydalar sağlarızı açıklayacağım. Sonraki bir yazımda ise option 82 destekleyen bir sunucu kurulumunu anlatıp option 82 özelliğini switchlerinizde tekrar aktive etmeniz yönünde sizi ikna etmeye çalışacağım 
DHCP Snooping’i Standart Konfigürasyonunuza ekleyin!
Birkaç yıl öncesine kadar sadece 3 katman switchlerde sunulan birçok güvenlik teknolojileri artık birçok 2. katman cihazda da kullanılabilir durumda. Gelişen teknoloji ve firmalar arasındaki rekabet, mevcut cihazlarımızın sadece işletim sistemlerini güncelleyerek bu güvenlik teknolojilerinin kullanılabilmesine imkan tanıyor. Bu teknolojilerden bazıları DHCP Snooping, Source Guard ve Dynamic ARP Inspection. DHCP Snooping desteği Cisco Catalyst 2950 switch’lerde 12.1(22)EA1 ve sonrası IOS’lar, Catalyst 2960 switch’lerde ise 12.2(35)SE5 ve sonrası IOS’lar ile birlikte gelen bir özellik. Bu yazımda kendi yönettiğimiz network’teki cihazlarda kullanımını standart hale getirdiğimiz DHCP Snooping’in çalışma yapısının testi, doğrudan ve dolaylı yoldan sağladığı çözümler ile bu konudaki ilginç tecrübelerimizi paylaşacağım.
Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry
Cisco cihazlarda extended access-list’lerde range parametresi kullanılarak istenilen port aralıkları ifade edilebiliyor. Fakat range komutu ile belitilen ilk ve son port arasındaki ardışık tüm portlar bu access-list’e match ediyor. Örnek verecek olursak sadece ftp ve telnet trafiğine izin vermek isteyen biri aşağıdaki ACL satırlarını kullanacaktır.
ip access-list extended ftp_telnet
permit tcp any any range 20 21
permit tcp any any eq 23
Senaryomuza göre 22 port yasaklı olduğundan range komutu ile tek satırda gerekli izinleri veremiyoruz. Eğer ssh bağlantısına izin veriliyor olsaydı aşağıdaki tek satır ihtiyaçlarımızı karşılayacaktı.
ip access-list extended ftp_ssh_telnet
permit tcp any any range 20 23
12.2(25)S sürüm IOS ile birlikte gelen Named ACL Support for Noncontiguous Ports on an Access Control Entry özelliği sayesinde tek ACE(ACL satırı) ile ortak kaynak ve hedef için ayrı ayrı birbirini takip etmeyen 10’ar port belirtilebiliyor.
Cisco Network Admission Control (Ağ Erişim Kontrolü)
Cisco Network Admission Control (Ağ Erişim Kontrolü)
Network Admission Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir Cisco çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. NAC ile ağ güvenliği 4 aşamada sağlanır:
- Kimlik DoÄŸrulama
- Yetkilendirme
- Güvenlik Taraması
- Ä°yileÅŸtirme
Cisco NAC ürünleri iki kategoriye ayrılır.
1 -) NAC Framework
Cisco ve 75 in üzerinde Cisco partnerlerinin bir platformda birbiriyle uyumlu ve koordineli olarak çalışmasına imkan sağlayan bir frameworktür. Ağdaki Cisco cihazlar ve 3. Parti ürünler ile Cisco NAC Policy Controller vasıtasıyla tüm ağın güvenliğine bir çözüm getirmiş olurlar.
2-) NAC Appliance
Cisco NAC Appliance (eski adıyla Cisco Clean Access) networklerde kurumlara kendi belirlerdikleri kurallar çerçevesinde uç nokta bağlantısı, iyileştime servisi ve kural yönetimi sağlayan bir cihazdır. NAC Appliance ın bir özelliği de Cisco olmayan ağlarda da kullanılabilmesidir.
Zone-Based Policy Firewall – Part 4
Örnek Konfigurasyon:
Aşağıdaki class-map’ler ile belirtilen protokollerden herhangi biri ile eşleşen trafik IC_policy’de tanımlanmış politikalara göre ele alınır. Class-map’ler tanımlanırken dikkat edilmesi gereken önemli bir nokta match-any ve match-all parametreleridir. Match-any ile tanımlanmış bir class-map’teki satırlardan herhangi birinin sağlanması durumunda policy’de o class için tanımlanmış davranış sergilenir. Match-all ile tanımlanmış bir class-map’te ise class-map’te belirtilen tüm satırların sağlanması gerekir. Buna göre 10.0.0.0/24 network’ünden yapılacak http, dns, telnet, https ve icmp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Diğer yandan 10.0.0.0/24 network’ünden yapılacak ftp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Bunun yanında ftp trafiği için 1 Mbps’lik bantgenişliği sınırlaması da uygulanacaktır.
Zone-Based Policy Firewall – Part 3
CLI kullanarak Zone-Based Firewall Yapılandırması
1- zone security komutu ile firewall için gerekli zone’lar yaratılır.
2- class-map type inspect komutu ile trafik sınıfları tanımlanır.
3- policy-map type inspect komutu ile firewall policyleri belirlenir.
4- zone-pair security komutu ile kaynak ve hedef zone çiftlerine belirlenen policyler uygulanır.
5- zone-member security komutu ile router interfaceleri zone’lara atanır.
CLI ile ZPF yapılandırırken dikkat edilmesi gerekenler:
