9
EXE RANK
Z1rT
Fexe Kullanıcısı
Puanları
0
Çözümler
0
- Katılım
- 26 Kas 2009
- Mesajlar
- 9,190
- Tepkime puanı
- 0
- Puanları
- 0
- Yaş
- 33
- Web sitesi
- www.netbilgini.net
Cisco IOS erişim listelerinde : Bilmeniz gereken 10 temel kural
Access Control List Nedir ?
Cisco IOS, bir erişim kontrol listesini tanımlar ve trafiği yöneten bir kaydıdır. Trafik belirledikten sonra, bir yönetici bu trafiği olabilir çeşitli etkinlikler belirleyebilirsiniz.
ACL in en yaygın türü nedir?
IP ACL'leri erişim listeleri en popüler türü IP trafiğinin en yaygın türüdur.
Burada iki sekile Ip Access List vardir, Standart ve Extended
Standart IP ACL'leri Sadece kaynak IP adresine dayalı trafik kontrol edebilirsiniz.
Extended IP ACL'leri çok daha güçlüdur ; burada kaynak IP, kaynak portu, hedef IP tabanlı ve hedef port trafik saptayabilirsin.
Ip ACL leri icin uygulanan kayitli numaralar nelerdir ?
En sık numaraları IP ACL'leri için kullanılan 1-99 standart listeleri ve 100-199 uzun listeleri içindir.
Ancak, birçok diğer aralıkları da mümkündür.
Standard Ip access list : 1 den 99 a kadar ve 1300 dan 1999 a kadar.
Extended Ip access list : 100 den 199 a kadar ve 2000 den 2699 kadar
ACL ler in kullaniminda de Trafigi nasil filitrelersin ?
ACL filitrelemede kullanabilecegin protokoller basina, arayuz basina , yon basina ve Protokol basina filitreleme degisir,
(örneğin, IP veya IPX) olabilir, tek başına arabirimi (örneğin, ACL FastEthernet0 / 0) ve yön başına bir ACL (örneğin, IN veya OUT).
ACL yarimi ile nasil bir network deki virus ve hacklere karsi onlem alinabilir ?
Bir paket listesini paketler için belirli bir ihtiyacı karşılamak Sniffer olarak bir ACL kullanabilirsiniz. Bu nedenle, Ornegin : Bir Chat Streamning bağlantı noktası 194 üzerinde trafik göndermeden's ağınızda bir virüs's Örneğin, (sayı 101 gibi), trafik belirlemek için uzun ACL oluşturabilir. Daha sonra debug IP paket İnternet üzerinde 101 detay komutu kullanabilirsiniz
Kaynak ip adres listesi yönlendirici dönük tüm bağlantı noktası 194 üzerinde paketleri gönderiyor olur.
Bir ACL operasyonunda duzenleme nedir ?
ACL lere tepeden bakacak olursak,
Ne zaman yönlendiricinin listesine karşı trafik değerlendirir, bu listenin başında ve hamle aşağı at ya izin veya trafik inkar olarak gider başlar. Ne zaman liste yolunda çalıştı, işlem durdurulur.
Bu hangisi kural ilk önceliklidir geliyor demektir.
ACL birinci bölümü ise, ancak trafik reddediyor ACL bir alt parçası yani allows it, yönlendirici hala trafik yalanlayabilirsiniz demektir.
Bir örneğe bakalım:
PHP-
Kod: [Seç]
Access-list 1 permit any
Access-list 1 deny host 10.1.1.1
Access-list 1 deny any
Bu ACL permit nedir?
Ilk olan permit butun herseyi, ondan sonra gelen , tum trafigi bu karsilamaktadir, Router Butun trafigi permit yapacak, ama islem sona erecektir cunku deny any vardir
Biraz dusunurseniz yapacaginiz islemi cok iyi ve akillica yapmaniz gerekmekte !
Tip : ornegin
1-Ilk olarak bi kagida neleri blok edeceginizi nelerin permit olacagini yazin,
2- Ondan sonra, iclerinde iyi bir siralama yaparak bunlari siralayin , bazen bazi seyler bazi rulez lerin ustune gecebilir, TCP nin IP level inin altinda oldugu level gibi
Bunun icin google dan OZI modeline basvurun ve bakin!
3- yapacaginiz ornegin cogunlukla permit ise permitleri yazin sonra cisco systemlerinde son hamle herzaman
hic bir sey yazmassaniz , Dny any any dir ,
bu nedemek olur yaptiginiz sadece ip adresleri haricinde kimse giremez oluyo
Yukaridaki Acl de kisaca ilk satirda , butun herseyin girislerini onaylar,ama sadece host olarak 10.1.1.1 I girisini engeller, ve ondan sonar gelen gine butun baglantiyi engeller,
Bir ACL de Özel bir trafik adresi yoktur..
ACL sonunda bir örtük beyanı inkar oldugunu bilmemgerekiyor yani secret gozukmeyen sey. yani Deny any any oldugunu hic bir zaman unutma ,
Kod: [Seç]
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Bu ACL de ne tur Permit var ? yani gosterecek olursak ..
Yok: Yönlendirici çünkü örtük beyanı inkar olan tüm trafik reddediyor. Diğer bir deyişle, ACL gerçekten şuna benzer:
Kod: [Seç]
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 deny ANY
ACL e isim verebilirmiyim ( named ACL ) ?
Numarali yani kisacasi numara verilen access grouplarinda oluyor,
Ayrıca çok daha kolay ve amaç belirlemek icin sizde ACL'leri adlandırabilirsiniz. Her iki standart ve extended ACL'leri adlandırabilirsiniz. İşte adlı ACL kullanarak bir örnek vereyim:
Kod: [Seç]
router(config)# ip access-list ?
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
router(config)# ip access-list extended test
router(config-ext-nacl)#
router(config-ext-nacl)# 10 deny ip any host 192.168.1.1
router(config-ext-nacl)# exit
router(config)# exit
router# show ip access-list
Extended IP access list test
10 deny ip any host 192.168.1.1
Numbering sequence nedir ? ( sira sayilari )
Aslında, bu hala bazı Cisco yapılandırmalarında düzenlemek için iyi bir yoldur ( notepad ) bunun icin super bir sey aslinda hala notepad kullaniyom : )
Ancak, bu yaklaşım aynı zamanda bir güvenlik riski oluşturabilir. Bunu değiştirmek için ACL kaldırdık zaman sırasında, yönlendirici olarak gerekli trafik kontrolleri değildir. Ama bu komutlar bir numaralı ACL düzenlemek mümkündür. İşte bir örnek:
Kod: [Seç]
router(config)# access-list 75 permit host 10.1.1.1
router(config)#^Z
router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)# ip access-list standard 75
router(config-std-nacl)# 20 permit any
router(config-std-nacl)# no 10 permit 10.1.1.1
router(config-std-nacl)#^Z
router# show ip access-lists 75
Standard IP access list 75
20 permit any
router#
Başka ne tur veya nasıl bir ACL kullanabilirim?
ACleri Sadece trafiği filtreleme degil, ayrıca operasyonlarınizda çeşitli kullanabilirsiniz.
Bazı olası diğer kullanım bakalım:
Kod: [Seç]
1-Hata ayıklama çıkışını kontrol için: hata ayıklama çıkışını kontrol etmek için debug listesi X komutunu kullanabilirsiniz. Başka bir hata ayıklama komutunu önce bu komutu kullanarak, komut yalnızca listede ne tanımlı olduğunuz için de geçerlidir.
2- Rota erişim kontrolü için: dağıtmak sadece izin verecek veya bir ya da yönlendirme protokolü dışında bazı yollar inkar listesi ACL bir yönlendirme kullanabilirsiniz.
3- Bir BGP AS-path ACL olarak: Siz izin veya BGP rotalar inkar düzenli ifadeleri kullanabilirsiniz.
4- Yönlendirici yönetim için: iş istasyonu ve ag ACL ve erişim ile yönlendirici olan yöneten kontrol etmek için sınıf bildirimi için VTY yani Telnet hatları için bir ACL kullanabilirsiniz. Veya console larda
5- Şifreleme için: ne kadar trafik şifrelemek belirlemek için ACL'leri kullanabilirsiniz. İki yönlendirici veya bir yönlendirici ve bir güvenlik duvarı arasındaki trafiği şifrelemek isterseniz, yönlendirici trafik, trafik ne şifrelenmemiş göndermek içdir.
Access Control List Nedir ?
Cisco IOS, bir erişim kontrol listesini tanımlar ve trafiği yöneten bir kaydıdır. Trafik belirledikten sonra, bir yönetici bu trafiği olabilir çeşitli etkinlikler belirleyebilirsiniz.
ACL in en yaygın türü nedir?
IP ACL'leri erişim listeleri en popüler türü IP trafiğinin en yaygın türüdur.
Burada iki sekile Ip Access List vardir, Standart ve Extended
Standart IP ACL'leri Sadece kaynak IP adresine dayalı trafik kontrol edebilirsiniz.
Extended IP ACL'leri çok daha güçlüdur ; burada kaynak IP, kaynak portu, hedef IP tabanlı ve hedef port trafik saptayabilirsin.
Ip ACL leri icin uygulanan kayitli numaralar nelerdir ?
En sık numaraları IP ACL'leri için kullanılan 1-99 standart listeleri ve 100-199 uzun listeleri içindir.
Ancak, birçok diğer aralıkları da mümkündür.
Standard Ip access list : 1 den 99 a kadar ve 1300 dan 1999 a kadar.
Extended Ip access list : 100 den 199 a kadar ve 2000 den 2699 kadar
ACL ler in kullaniminda de Trafigi nasil filitrelersin ?
ACL filitrelemede kullanabilecegin protokoller basina, arayuz basina , yon basina ve Protokol basina filitreleme degisir,
(örneğin, IP veya IPX) olabilir, tek başına arabirimi (örneğin, ACL FastEthernet0 / 0) ve yön başına bir ACL (örneğin, IN veya OUT).
ACL yarimi ile nasil bir network deki virus ve hacklere karsi onlem alinabilir ?
Bir paket listesini paketler için belirli bir ihtiyacı karşılamak Sniffer olarak bir ACL kullanabilirsiniz. Bu nedenle, Ornegin : Bir Chat Streamning bağlantı noktası 194 üzerinde trafik göndermeden's ağınızda bir virüs's Örneğin, (sayı 101 gibi), trafik belirlemek için uzun ACL oluşturabilir. Daha sonra debug IP paket İnternet üzerinde 101 detay komutu kullanabilirsiniz
Kaynak ip adres listesi yönlendirici dönük tüm bağlantı noktası 194 üzerinde paketleri gönderiyor olur.
Bir ACL operasyonunda duzenleme nedir ?
ACL lere tepeden bakacak olursak,
Ne zaman yönlendiricinin listesine karşı trafik değerlendirir, bu listenin başında ve hamle aşağı at ya izin veya trafik inkar olarak gider başlar. Ne zaman liste yolunda çalıştı, işlem durdurulur.
Bu hangisi kural ilk önceliklidir geliyor demektir.
ACL birinci bölümü ise, ancak trafik reddediyor ACL bir alt parçası yani allows it, yönlendirici hala trafik yalanlayabilirsiniz demektir.
Bir örneğe bakalım:
PHP-
Kod: [Seç]
Access-list 1 permit any
Access-list 1 deny host 10.1.1.1
Access-list 1 deny any
Bu ACL permit nedir?
Ilk olan permit butun herseyi, ondan sonra gelen , tum trafigi bu karsilamaktadir, Router Butun trafigi permit yapacak, ama islem sona erecektir cunku deny any vardir
Biraz dusunurseniz yapacaginiz islemi cok iyi ve akillica yapmaniz gerekmekte !
Tip : ornegin
1-Ilk olarak bi kagida neleri blok edeceginizi nelerin permit olacagini yazin,
2- Ondan sonra, iclerinde iyi bir siralama yaparak bunlari siralayin , bazen bazi seyler bazi rulez lerin ustune gecebilir, TCP nin IP level inin altinda oldugu level gibi
Bunun icin google dan OZI modeline basvurun ve bakin!
3- yapacaginiz ornegin cogunlukla permit ise permitleri yazin sonra cisco systemlerinde son hamle herzaman
hic bir sey yazmassaniz , Dny any any dir ,
bu nedemek olur yaptiginiz sadece ip adresleri haricinde kimse giremez oluyo
Yukaridaki Acl de kisaca ilk satirda , butun herseyin girislerini onaylar,ama sadece host olarak 10.1.1.1 I girisini engeller, ve ondan sonar gelen gine butun baglantiyi engeller,
Bir ACL de Özel bir trafik adresi yoktur..
ACL sonunda bir örtük beyanı inkar oldugunu bilmemgerekiyor yani secret gozukmeyen sey. yani Deny any any oldugunu hic bir zaman unutma ,
Kod: [Seç]
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Bu ACL de ne tur Permit var ? yani gosterecek olursak ..
Yok: Yönlendirici çünkü örtük beyanı inkar olan tüm trafik reddediyor. Diğer bir deyişle, ACL gerçekten şuna benzer:
Kod: [Seç]
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 deny ANY
ACL e isim verebilirmiyim ( named ACL ) ?
Numarali yani kisacasi numara verilen access grouplarinda oluyor,
Ayrıca çok daha kolay ve amaç belirlemek icin sizde ACL'leri adlandırabilirsiniz. Her iki standart ve extended ACL'leri adlandırabilirsiniz. İşte adlı ACL kullanarak bir örnek vereyim:
Kod: [Seç]
router(config)# ip access-list ?
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
router(config)# ip access-list extended test
router(config-ext-nacl)#
router(config-ext-nacl)# 10 deny ip any host 192.168.1.1
router(config-ext-nacl)# exit
router(config)# exit
router# show ip access-list
Extended IP access list test
10 deny ip any host 192.168.1.1
Numbering sequence nedir ? ( sira sayilari )
Aslında, bu hala bazı Cisco yapılandırmalarında düzenlemek için iyi bir yoldur ( notepad ) bunun icin super bir sey aslinda hala notepad kullaniyom : )
Ancak, bu yaklaşım aynı zamanda bir güvenlik riski oluşturabilir. Bunu değiştirmek için ACL kaldırdık zaman sırasında, yönlendirici olarak gerekli trafik kontrolleri değildir. Ama bu komutlar bir numaralı ACL düzenlemek mümkündür. İşte bir örnek:
Kod: [Seç]
router(config)# access-list 75 permit host 10.1.1.1
router(config)#^Z
router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)# ip access-list standard 75
router(config-std-nacl)# 20 permit any
router(config-std-nacl)# no 10 permit 10.1.1.1
router(config-std-nacl)#^Z
router# show ip access-lists 75
Standard IP access list 75
20 permit any
router#
Başka ne tur veya nasıl bir ACL kullanabilirim?
ACleri Sadece trafiği filtreleme degil, ayrıca operasyonlarınizda çeşitli kullanabilirsiniz.
Bazı olası diğer kullanım bakalım:
Kod: [Seç]
1-Hata ayıklama çıkışını kontrol için: hata ayıklama çıkışını kontrol etmek için debug listesi X komutunu kullanabilirsiniz. Başka bir hata ayıklama komutunu önce bu komutu kullanarak, komut yalnızca listede ne tanımlı olduğunuz için de geçerlidir.
2- Rota erişim kontrolü için: dağıtmak sadece izin verecek veya bir ya da yönlendirme protokolü dışında bazı yollar inkar listesi ACL bir yönlendirme kullanabilirsiniz.
3- Bir BGP AS-path ACL olarak: Siz izin veya BGP rotalar inkar düzenli ifadeleri kullanabilirsiniz.
4- Yönlendirici yönetim için: iş istasyonu ve ag ACL ve erişim ile yönlendirici olan yöneten kontrol etmek için sınıf bildirimi için VTY yani Telnet hatları için bir ACL kullanabilirsiniz. Veya console larda
5- Şifreleme için: ne kadar trafik şifrelemek belirlemek için ACL'leri kullanabilirsiniz. İki yönlendirici veya bir yönlendirici ve bir güvenlik duvarı arasındaki trafiği şifrelemek isterseniz, yönlendirici trafik, trafik ne şifrelenmemiş göndermek içdir.