Anasayfa / Network 360 Eğitimleri / Erişim Listeleri (Access List)

Erişim Listeleri (Access List)

Erişim listeleri (access-list) (ACL)

access list

  • Filtreleme (filtering): Uygun trafiğe izin verip, istenmeyen bağlantıları engelleme,
  • Sınıflandırma (classification): Özel nedenler için farklı trafik tiplerinin tanımlanması,

Access list uygulamaları

access1 list

  • Paket filtreleme, ağ üzerinde hareket eden paketlerin kontrolüne yardım Bu şekilde ağ trafiği istenen değerler arasında sınırlanır. Spesifik kullanıcı ve cihazların ağı kullanımına izin verilir.
  • Router interface’lerinden paketlere izin vermek veya engellemek için ACL satırları tanımlanır.
  • ACL ile IP adreslerine veya daha üst katmanda çalışan TCP/UDP gibi protokollere uygulanır.
  • ACL, router üzerinden transit geçen paketlere Router kaynaklı paketlere ise uygulanamaz.
  • ACL aynı zamanda router vty portlarında içeri ve dışarı yönde Telnet trafiği için uygulanabilir.

Diğer access-list uygulamaları

access2 list

  • Priority ve custom queue uygulanacak trafiği, diğer tüm trafikten ayırmak için kullanılır.
  • DDR yönteminde kullanılan ve dialup bağlantıyı trigger eden interesting trafiği tanımlamak için kullanılır.
  • Route-map tanımlamalarında kullanılır.

Access-list terminolojisi

access3 list

  • Standart ACL: Paketin source adresine bakılır. Paketin source network/subnet/uç cihaz IP adresi incelenerek ve tüm protokol bazında erişim izni (permit) veya engellemesi (deny) uygulanır.
  • Extended ACL: Paketin hem source hem destination adresine bakılır. Aynı zamanda spesifik protokol, port numarası ve diğer parametreler bazında uygulanır.
  • Inbound ACL: ACL, gelen paketler için çıkış interface’ ine yönlendirilmeden önce uygulanır. ACL ile engellenen paketler drop edilir ve yönlendirilmeyeceği için router kaynakları verimli kullanılır.
  • Outbound ACL: Gelen paketler önce router tarafından yönlendirilir, ACL sonrasında uygulanır.

Outbound access list

access4 list

  • Paket giriş interface’ ine gelir. Routing tablosuna bakılarak paketin route edilip edilemeyecğine bakılır. Route edilemezse, paket drop edilir. Yönlendirme yapılmışsa ilgili interface’ e yönlendirilir.
  • Paketin yönlendirildiği interface ile bir ACL’ in eşleştirilmiş olup olmadığına bakılır. Eğer çıkış interface’i olarak S0 ile eşleştirilmişse ve bir ACL ile ilişkilendirilmemişse paket çıkış interface’ ine iletilir.
  • Eğer çıkış interface’i E0 ise ve bir ACL ile ilişkilendirilmişse, ACL statement’ları (satırları) sırayla çalıştırılır. İzin verilen paket çıkış interface’ine iletilir, engellenen paket ise drop edilir.

Access list çalışması

access5 list

  • Access-list statement’ları konfigurasyondaki yukarıdan aşağıya sırada okunur.
  • Paketin header’ı ile ACL statement eşleşirse, daha sonraki ACL statement’larının okunmasına gerek Pakete izin verilir veya engellenir. Paketin header’ı ile ACL statement eşleşmezse, bir sonraki ACL statement okunur. Listenin sonuna kadar işlem tekrarlanır.
  • Her ACL sonunda «implicit deny any» satırı vardır. Bu satıra ulaşan tüm paketler drop Bu nedenle tüm trafiğin drop olmaması için ACL içerisinde en az bir adet «permit» satırı bulunmalıdır.

Access list konfigurasyonu

  • ACL için tanımlanan numaralara göre listenin standart veya extended olduğuna karar verilir.
  • ACL’ler interface üzerine uygulanmadan önce tanımlanmalıdır. Interface üzerinde tanımlanan ACL ilişkilendirilmemiş ise tüm trafiğe izin verilir.
  • ACL’ler router üzerinden transit geçen trafiği filtrelemek için kullanılır, kaynağı router’ın kendisi olan trafik için ACL çalışmaz.
  • Daha spesifik network/subnet içeren satırlar listenin üst kısmında yer almalıdır.
  • Numara ile oluşturulmuş ACL’lerde spesifik bir satırı listeden çıkarmak/eklemek mümkün değildir. ACL tümden kaldırılıp, yeniden İsim ile oluşturulmuş ACL’lerde ise spesifik bir satırı listeden çıkarmak/eklemek mümkündür.
  • Listenin sonunda «permit any» denilmedikçe, ACL üzerinde hiçbir satırla eşleşmeyen trafik drop Her ACL en az bir permit satırı içermelidir. Aksi durumda router üzerinden transit geçen tüm trafik drop edilir.

access6 list

 

  • ACL numarası ile ACL tipi belirlenir.
  • Diğer ACL tipi isimlendirilmiş olandır.

access8 list

  • ACL numarası 1-99 arasında bir değer alır.
  • Paket header’ı içerisindeki source IP adres bilgisi kontrol edilir.

access9 list

  • ACL numarası 100-199 arasında bir değer alır.
  • Paket header’ı (örn: IP header) içerisindeki hem source hem destination IP adresi, protokol ID bilgisi ve segment header’ı (örn: TCP header) içerisindeki port numarası kontrol edilebilir.

access10

Wildcard bit kullanımı

access11 list

  • ACL tanımında, wildcard mask üzerinde «0» olarak set edilen wildcard bitleri vardır. ACL çalışırken bu bitlerle birebir eşleşen network/subnet/host IP adresindeki bitler kontrol edilmiş olur.
  • ACL tanımında, wildcard mask üzerinde «1» olarak set edilen wildcard bitleri vardır. ACL çalışırken bu bitlerle birebir eşleşen network/subnet/host IP adresindeki bitler ignore edilir.

Spesifik bir uç cihazı için wildcard bit

access12 list

  • Örnekte spesifik bir uç cihaza ait trafiğe izin verme veya engelleme durumları için ACL kullanılıyor. Bunun için tanımlanacak ACL satırında IP adreslerin tüm oktetleri ve bitleri kontrol Bu nedenle wildcard-mask «0.0.0.0» olarak tanımlanmalıdır.
  • ACL satırlarında spesifik IP adres tanımlarında 0.0.0.0 wildcard-mask yerine «host» tanımı da kullanılabilir.
  • Yukarıdaki örnek için ACL satırı «172.30.16.29 0.0.0.0» veya «host 172.30.16.29» olarak konfigure edilebilir.

Tüm IP adresleri için wildcard bit

access13 list

  • ACL satırı tüm IP adreslerini kapsayacak şekilde konfigure edildiğinde IP adresi 0.0.0.0 (any) ve wildcard-mask 255.255.255.255 olacaktır.
  • ACL satırlarında tüm IP adreslerini tanımlarken 255.255.255.255 wildcard- mask yerine «any» tanımı da kullanılabilir.
  • Yukarıdaki örnek için ACL satırı «0.0.0.0 255.255.255.255» veya «any» olarak konfigure edilebilir.

Subnet için wildcard bit

access14 list

  • Tüm subnetler, ikili düzende yazıldığında IP adreslerde aynı aynı olan bitlerle eşleşen kısım için wildcard bitleri «0» lardan oluşur. IP adreslerde farklı olan bitlerle eşleşen kısım için ise wildcard bitleri «1» lerden oluşur.
  • Yukarıdaki örnek için ACL satırı «172.30.16.0 0.0.15.255» olarak konfigure Bu tanım 172.30.16.0/24 ve 172.30.31.0/24 aralığındaki tüm subnetleri kapsayacaktır.

access15 list

access16 list

Standart access-list konfigurasyonu

access17 list

access18 list

  • Source IP adresi 192.168.10.10 olan yani PC1’den gelen IP trafik R1 üzerinde inbound interface (g0/0) üzerinde drop edilir.
  • Bunun dışında kalan tüm trafiğe izin verilir.

access19 list

  • Router üzerine uzaktan bağlantı yapabilmek için virtual terminal (vty) portları vardır.
  • Güvenlik nedeniyle, bu router üzerine telnet erişim izni sadece belirli kullananlara verilebilir.
  • Ayrıca spesifik bir router’a erişim izni verilirken, bu router’dan başka bir hedefe erişime izin verilmemesi durumları da olabilir.
  • Source adres bazında bir kısıtlama için standart ACL Sadece Telnet erişim kısıtlaması ise protokol bazında olacağından extended ACL tanımlanmalıdır.
  • Tanımlanan ACL’i vty portları ile ilişkilendirmek için «access-class» komutu kullanılır.
  • Aynı konfigurasyon bütün vty portları için tanımlanmalıdır.

access20 list

  • in: ACL içerisinde tanımlı source IP adreslerinden gelen Telnet trafiği engellenir.
  • out: Router üzerindeki vty portlarından başka ACL içerisinde hedef IP adreslerine Telnet erişimini engellemek için kullanılabilir.
  • «access-class 1 out» komutu ile standart ACL içerisinde tanımlanan source IP adres destination IP adres mantığında çalışır.

access21 list

  • Sadece 192.89.55.0/24 subnetindeki IP adreslerinden gelen IP trafiğine izin Dolayısıyla sadece bu subnet içerisindeki kullanıcılar bu router’a telnet yapabilir.
  • ACL sonunda implicit deny mevcuttur.
  • ACL, router üzerindeki 5 vty portu ile de ilişkilendirilmiştir.

Extended access-list konfigurasyonu

access22 list

  • ACL numarası 100-199 aralığından verilir.
  • Protokol tipi IP, TCP, UCP, ICMP, GRE olabilir.
  • Operator port; lt (less than), gt (greater than), eq (equal), neq (not equal) veya spesifik bir port numarası olabilir.
  • «established» argümanı inbound TCP trafiği için kullanılır. Sadece established bağlantıların (ACK biti set edilmiş) iletimine izin verilir.
  • «log» argümanı ile konsol ekranına ACL ile ilgili loglar düşürülür.

access23 list

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

access-list 101 permit ip any any

!

interface FastEthernet0/0

ip access-group 101 out

  • 16.4.0/24 subnetinden 172.16.3.0/24 subnetine doğru olan FTP trafiği, router’ın f0/0 çıkış interface’inde deny edilir. Kalan trafiğin geçişine izin verilir.

access24 list

  • 172. 16.4.0/24 subnetinden tüm subnetlere olan Telnet trafiği, router’ın e0 çıkış interface’inde deny edilir. Kalan trafiğin geçişine izin verilir.

access25 list

access26 list

  • Standart ve extended ACL’ler için numara yerine alphanumeric isim kullanılır.
  • Adlandırılmış ACL’lerden spesifik bir satır silinebilir, fakat satır eklenemez.
  • Router üzerinde 99 üzeri standart ACL ve 100 üzeri extended ACL tanımlanmasına imkan verir.
  • Aynı isim birden fazla ACL için kullanılamaz.

access27 list

  • 172. 16.4.0/24 subnetinden tüm subnetlere olan Telnet trafiği, router’ın e0 çıkış interface’inde deny edilir. Kalan trafiğin geçişine izin verilir.

access28 list

access29 list

  • Dökümantasyon amaçlı tanımlanır.

access30 list

  • Spesifik bir interface üzerinde tanımlı ACL tanımlarını görmek için kullanılır.

access31 list

  • Router üzerinde tanımlı spesifik bir ACL veya tüm ACL’lere ait statement’larını görmek için kullanılır.
  • İstatistik bilgilerini görmek için de bu komut kullanılır (25 eşleşme).

Hakkında bilisimegitim

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir