Network

ACL(ACCESS CONTROL LİST)

Access list’ler router üzerinden gelen trafigin port bazlı kontrol edilmesini sağlar.Bu koruma günümüzde şirketlerin kullandığı UTM,firewall’lar gibi üst düzey bir kontrol sağlamaz.Access control list’ler(ACL) router üzerinden iç ağ,dış ağ ve Dmz alanlarından gelen paketleri engelleyen veya izin veren listelerdir.
5 farklı Access List türü vardır.
1)Standart Accesslist
2)Extended Accesslist
3)Named Accesslist
4)Named Standart
5)Named Extended
Önemli bir uyarıda ACL kurallarının uygulamasında kural yazılarak izin verilmeyen ,yazmayı unuttuğumuz tüm trafik engellenir.Bu yüzden öncelikle yasaklamalar yapılıp ,sonrasında permit ile geri kalan trafiğe izin verilmesi daha anlamlı olur.
EXTENDED ACCESS LİST
Bu ACL kontrol kaynak ve hedef adreslerinin tanımlandığı gelişmiş erişim listeleridir.Kaynak ve hedef ağlar için Protocol ,Port,Ip tanımlamaları yapılabilir.
Kullanımı:
access-list [100-199][permit/deny][protocol][kaynak][hedef][port]
*extended access list 100’den 199’a kadar bir sayı alır.
Örnek:
access-list 107 deny tcp host 172.16.1.55 host 192.168.1.1 eq 80
172.16.1.55 adresinden 192.168.1.1’in 80 no’lu portuna yapılan istekler engellenir.

ACL KULLANIMINDA ÖNEMLİ UYARILAR

Tüm ACL’lerinde vlan’ların, router ‘de sub-interface olarak sonlanması halınde ACL’ler bu sub interface’lerin içinde tanımlanmalılar.Ağımızda uygulanan bir router arkasında DHCP sunucu var ise uyguladıgımız tüm ACL kurallarının başında DHCP parketlerine izin vermek için

-permit udp any eq bootpc any eq bootps-

kuralını eklemeliyiz.

ACL UYGULAMA

 

 

 

 

 

 

 

 

 

 

Bu yapımızda router’ımızın arkasında kalan bir tane web-dns server’ı,bir tane DHCP server’ı ve TFTP server’ımız var swicth’imizin vlan yapısını kullanarak 3 tip kullanıcı oluşturuyoruz. Admin,Personel ve Misafir kullanıcı olarak

Router’ımızda bu tanımlamaları yaptıktan sonra swicth’ımizinde vlan’larını bu tanımlamalara göre yapıp artık tekrar router’ımızda ACL’lerimizi yazabiliriz.

Router’ımızda bu yapımızda sonra artık Admin lerimize bütün izinler vermiş oluyoruz,Personel lerimiz sadece tftp sunucusu hariç diğer sunuculara ve internete izin vermiş oluyoruz, Misafir lerimiz de sadece internete erişim izni vermiş oluyoruz.

Burda sadece dikkat edilmesi gereken konu baştada belirttiğim gibi sub-interface yapıyorsak ACL’ler bu sub-interfacesların içinde tanımlanmalıdır.

Click to comment

You must be logged in to post a comment Login

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

popüler yazılar

To Top
%d blogcu bunu beğendi: