- Katılım
- 15 May 2013
- Konular
- 971
- Mesajlar
- 6,650
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 12 Gün
- MmoLira
- 22,212
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
rişim Kontrol Listeleri (ACL'ler) hakkındaki incelememiz başlıyor. ACL'ler, IP adresleri, protokoller ve port numaraları gibi başlık bilgilerine dayanarak trafiği tanımlamak için ağlarda kullanılan güçlü bir araçtır. ACL'lerin temel kavramlarını, nasıl çalıştıklarını ve bir ağda nerede uygulandıklarını ele alacağız.
Erişim Kontrol Listelerine (ACL'lere) neden ihtiyacımız var?
Yaygın bir gerçek dünya senaryosunu düşünün: yalnızca bir yönlendirici ve birkaç uç cihazdan oluşan küçük bir ağ. Bilgisayar trafiğinin kurumsal ağ üzerinden İnternet'e erişmek için NAT'tan geçmesi için yönlendiriciyi yapılandırmanız gerekir. Öte yandan, yazıcı ve telefon trafiği NAT'ı atlamalı ve değişmeden kalmalıdır. Bunu nasıl yaparsınız?
Pekala, bu bir NAT dersi değil, ancak temel kavram şu: Bilgisayar trafiğini tanımlamanız (veya "eşleştirmeniz") ve NAT işleminden geçirmeniz gerekiyor. Peki bir yönlendirici belirli paketleri nasıl eşleştirebilir?
İşte burada erişim kontrol listeleri veya ACL'ler devreye giriyor.
Erişim Kontrol Listeleri (ACL'ler) nedir?
"Erişim Kontrolü" listesi terimi, bir ACL'nin yalnızca trafiği engellemek veya filtrelemek (erişim kontrolü) için kullanıldığı izlenimini yanlış bir şekilde veriyor. Ancak bu, erişim listelerinin birincil işlevi DEĞİLDİR. Aslında, asıl görevleri IP adresleri, protokoller veya port numaraları gibi şeylere göre belirli trafiği eşleştirmektir. Örneğin, NAT yapan bir yönlendiriciniz olduğunu düşünün. Yalnızca İnternet'e giden trafiğin NAT'tan geçmesini istiyorsunuz, ancak şirket içi trafiğin olduğu gibi kalmasını istiyorsunuz. Bunu yapmak için, iki trafik türü arasında ayrım yapmanın bir yoluna ihtiyacınız var. İşte burada ACL'ler kullanışlıdır. Katman 2, Katman 3 veya Katman 4 başlıklarından gelen bilgileri kullanarak İnternet trafiğini eşleştirmek için bir ACL kullanabilirsiniz. Eşleştirme tamamlandıktan sonra, yönlendirici aşağıdaki şemada gösterildiği gibi hangi trafiği NAT üzerinden göndereceğini bilir.
Örnekte, ACL, kaynak IP adresi 10.1.1.0/24 olan tüm paketleri (sarı renkte) eşleştirir ve NAT işleminden geçirir. Diğer tüm trafik değişmeden kalır (gri renkte).
Erişim Kontrol Listeleri (ACL'ler) en yaygın olarak yönlendirme kararları, NAT, QoS, yönlendirme haritaları, IPsec ve kripto haritaları gibi özellikler için trafiği eşleştirmek amacıyla kullanılır. Bu durumlarda, ACL trafiği filtrelemez; bunun yerine, trafiği daha fazla işleme için eşleştirir. ACL'ler, IP adresleri, portlar ve protokoller de dahil olmak üzere her paketin başlıklarındaki ayrıntıları inceler. Örneğin, bir ACL, 10.1.1.1 gibi belirli bir kaynak IP adresinden veya 10.1.1.0/24 alt ağındaki IP adresleri gibi bir grup IP adresinden gelen paketlere izin verebilir veya bunları engelleyebilir. Ayrıca, SSH (TCP port 22) gibi belirli bir hedef porta yönlendirilmiş paketleri de eşleştirebilir.
Önemli Not: ACL'ler öncelikle protokol, IP adresleri ve portlar gibi başlık bilgilerine göre ilginç trafiği eşleştirmek için kullanılır.
ACL'ler nasıl çalışır?
Şimdi yakından inceleyelim ve erişim kontrol listelerinin (ACL'ler) nasıl çalıştığını görelim. En basit ve en anlaşılır senaryoyu ele alalım: trafiği filtrelemek için erişim kontrol listelerini kullanmak. Aşağıdaki topolojiyi kullanalım. R1'i kurumsal ağa giden trafiği şu şekilde filtreleyecek şekilde yapılandırmamız gerekiyor:
PC1'in kurumsal ağa erişimine izin verilmelidir.
PC2'nin kurumsal ağa erişimi engellenmelidir.
Yazıcı ve telefona izin verilmelidir.
Diğer tüm trafiğe izin verilmelidir.
Yönlendiriciyi bu gereksinimleri karşılayacak şekilde yeniden yapılandırma süreci aşağıdaki iki adımı içerir:
Trafiği eşleştiren ve bir eylem tanımlayan (izin ver veya reddet) bir ACL oluşturma.
Belirli bir trafik yönünde bir arayüze ACL uygulama.
Her adımı daha ayrıntılı olarak inceleyelim ve erişim listesinin nasıl çalıştığını tartışalım.
Adım 1. ACL Oluşturma
Açıkçası, ilk adım, gereksinimlere göre trafiği eşleştiren yeni bir erişim kontrol listesi yapılandırmaktır. Ancak, ne tür bir erişim kontrol listesine ihtiyacımız var?
IPv4 ACL Türleri
Cisco cihazları iki tür ACL'yi destekler: standart ve genişletilmiş. Her biri iki farklı yöntem kullanılarak yapılandırılabilir: ya bir sayıyı kimlik olarak atayarak ya da insan tarafından tanımlanmış bir adı kimlik olarak kullanarak. Bu, aşağıdaki şemada gösterildiği gibi aşağıdaki kombinasyonları ortaya çıkarır.
Standart ve genişletilmiş ACL arasındaki fark çok basittir:
Standart bir ACL, trafiği SADECE kaynak IP adresine göre filtreler.
Genişletilmiş bir ACL, kaynak ve hedef IP adresleri, protokoller ve port numaraları gibi DAHA ayrıntılı kriterler kullanarak trafiği filtreleyebilir.
Daha sonra, her tür, kimlik olarak bir sayı veya insan tarafından tanımlanmış bir ad kullanılarak yapılandırılabilir. Bunun temel nedeni tarihsel nedenlerdir. Başlangıçta Cisco yalnızca numaralı ACL'leri destekliyordu; standart ACL'ler 1'den 99'a kadar sayılar, genişletilmiş ACL'ler ise 100'den 199'a kadar sayılar kullanıyordu. Daha sonra, yapılandırmaları daha okunabilir ve yönetimi daha kolay hale getirmek için Cisco, mühendislerin yalnızca sayılar yerine açıklayıcı adlar kullanmasına olanak tanıyan adlandırılmış ACL'leri tanıttı. Ayrıca, modern cihazların yüzlerce erişim listesine sahip olabileceği için genişletilmiş numaralı aralıklar da eklediler. Sonuç olarak, ACL kimliği için aşağıdaki seçeneklere sahibiz:
Standart numaralı ACL'ler (1–99).
Genişletilmiş numaralı ACL'ler (100–199).
Genişletilmiş ACL aralıkları:
Standart için 300–1999.
Genişletilmiş için 2000–2699.
Sayılar yerine insan tanımlı adlar kullanan adlandırılmış ACL'ler.
Bir ACL'nin yapısı
Tamam, iki farklı tanımlayıcı türüne (numaralı veya adlandırılmış kimlikler) sahip olabilen iki tür erişim listesi olduğunu gördük. Yukarıdaki Şekil 3'te gösterildiği gibi tüm gereksinimleri karşılayan standart bir ACL yapılandıralım.
Standart ve genişletilmiş ACL arasındaki fark çok basittir:
Standart bir ACL, trafiği SADECE kaynak IP adresine göre filtreler.
Genişletilmiş bir ACL, kaynak ve hedef IP adresleri, protokoller ve port numaraları gibi DAHA ayrıntılı kriterler kullanarak trafiği filtreleyebilir.
Daha sonra, her tür, kimlik olarak bir sayı veya insan tarafından tanımlanmış bir ad kullanılarak yapılandırılabilir. Bunun temel nedeni tarihsel nedenlerdir. Başlangıçta Cisco yalnızca numaralı ACL'leri destekliyordu; standart ACL'ler 1'den 99'a kadar sayılar, genişletilmiş ACL'ler ise 100'den 199'a kadar sayılar kullanıyordu. Daha sonra, yapılandırmaları daha okunabilir ve yönetimi daha kolay hale getirmek için Cisco, mühendislerin yalnızca sayılar yerine açıklayıcı adlar kullanmasına olanak tanıyan adlandırılmış ACL'leri tanıttı. Ayrıca, modern cihazların yüzlerce erişim listesine sahip olabileceği için genişletilmiş numaralı aralıklar da eklediler. Sonuç olarak, ACL kimliği için aşağıdaki seçeneklere sahibiz:
Standart numaralı ACL'ler (1–99).
Genişletilmiş numaralı ACL'ler (100–199).
Genişletilmiş ACL aralıkları:
Standart için 300–1999.
Genişletilmiş için 2000–2699.
Sayılar yerine insan tanımlı adlar kullanan adlandırılmış ACL'ler.
Bir ACL'nin yapısı
Tamam, iki farklı tanımlayıcı türüne (numaralı veya adlandırılmış kimlikler) sahip olabilen iki tür erişim listesi olduğunu gördük. Yukarıdaki Şekil 3'te gösterildiği gibi tüm gereksinimleri karşılayan standart bir ACL yapılandıralım.
Şimdi erişim listesinin yapısını inceleyelim. Erişim Kontrol Listesi (ACL), bir dizi Erişim Kontrol Girişinden (ACE) oluşur. Her giriş, cihaza belirli trafiği nasıl ele alacağı konusunda talimat veren bir kuraldır.
Öncelikle, her girişin (ACE) bir sıra numarasıyla başladığını fark etmelisiniz. Bu, girişleri daha kolay yönetmenize ve düzenlemenize yardımcı olur. Sıra numaraları olmadan, bir erişim listesinin ortasına yeni bir kural eklemek isteseydiniz, tüm erişim listesini silip yeniden oluşturmanız gerekirdi. Sıra numaralarıyla, tüm ACL'ye dokunmadan belirli satırları ekleyebilir, değiştirebilir veya silebilirsiniz.
Sıra numarasından sonra giriş eylemi gelir – izin ver veya reddet. Bu, cihaza eşleşen trafiğe izin verip vermeyeceğini veya engelleyip engellemeyeceğini söyler.
Ardından, eşleşme kriterleri gelir – bunlar paketin karşılaması gereken koşullardır. Bunlar şunları içerebilir:
Standart ACL'ler yalnızca kaynak IP adresini eşleştirebilir.
Genişletilmiş ACL'ler kaynak ve hedef IP adreslerini, protokol türünü (TCP, UDP, ICMP) ve port numaralarını eşleştirebilir.
Son olarak, 40. sıradaki "herhangi" anahtar kelimesine dikkat edin. Bu, tüm IP adreslerini eşleştirmek için kullanılan bir eşleşme kriteridir. Basitçe söylemek gerekirse, "herhangi bir şeyi eşleştir" anlamına gelir. Bu, tüm olası IP adreslerini temsil eden 0.0.0.0 255.255.255.255'in kısaltmasıdır.
2. Adım. ACL'nin Uygulanması.
Şimdi R1 yönlendiricisinde 50 numaralı standart bir erişim listesi oluşturduk. Ancak, şu anda hiçbir etkisi yok. Bir Cisco cihazında yeni bir ACL oluşturduğunuzda, yalnızca belirli bir özelliğe veya arayüze uygulandıktan sonra etkili olur.
ACL Yönü ve Konumu
Cisco yönlendiricileri, paketler bir arayüze girdiğinde (gelen) veya bir arayüzden çıktığında (giden) ACL'leri uygulayabilir. Bu iki şey anlamına gelir:
ACL belirli bir arayüze bağlıdır.
ACL tek yönde çalışır—gelen veya giden.
ACL gelen yönde uygulanırsa, yönlendirici nereye göndereceğine karar vermeden önce paketi kontrol eder. Giden yönde uygulanırsa, ACL yönlendirici yönlendirme kararını verdikten ve çıkış arayüzünü seçtikten sonra paketi kontrol eder. Fikir aşağıda görselleştirilmiştir.
Örneğimizde, PC1'den gelen paketlerin kurumsal ağa ulaşmasına izin vermek istiyoruz, ancak PC2'den gelen paketleri engellemek istiyoruz. Bu nedenle, ACL'yi PC 1 ve 2'den gelen paketleri işleyen bir yönlendirici arayüzüne ve doğru akış yönünde yerleştirmeliyiz.
Şekilde, PC'ler ve kurumsal ağ arasındaki paketlerin geçtiği dört arayüz bulunmaktadır:
R1'in Gi0/0 arayüzünden gelen trafik
R1'in Gi0/1 arayüzünden giden trafik
R1'in Gi0/1 arayüzünden gelen trafik
R1'in Gi0/0 arayüzünden giden trafik
Yönün, standart ACL'lerin yalnızca bir paketteki kaynak IP adresini eşleştirebilmesiyle ilgili olduğunu anlamak önemlidir. Bu, eşleştirmek istediğiniz IP adresinin kaynak olduğu yönde en iyi şekilde çalıştıkları anlamına gelir. Trafik ters yönde hareket ediyorsa, aynı IP adresi hedef olarak görünecek ve standart ACL bunu eşleştirmeyecektir. Örneğin, PC2'nin kaynak IP adresi olan 10.1.1.4'ü eşleştirmek istiyoruz. PC2, 172.16.1.1 adresindeki kurumsal sunucuyla iletişim kurduğunda, aşağıdaki şemada gösterildiği gibi, kaynak IP adresi olan 10.1.1.4 yalnızca PC2'den kurumsal ağa doğru olan yönde görünür.
Gi0/1 arayüzüne gelen yönde standart ACL uygularsanız, hiçbir etkisi olmaz. Kısacası, paketleri filtrelemek için ACL, paketin geçtiği arayüzde ve doğru yönde etkinleştirilmelidir.
Örneğimizde, filtrelemek istediğimiz kaynaklara doğrudan bağlanan Gi0/0 arayüzüne gelen yönde erişim listesi uygulamamız gerekiyor. Bunu aşağıdaki yapılandırmayla yapıyoruz.
ACL belirli bir arayüze bağlıdır.
ACL tek yönde çalışır—gelen veya giden.
ACL gelen yönde uygulanırsa, yönlendirici nereye göndereceğine karar vermeden önce paketi kontrol eder. Giden yönde uygulanırsa, ACL yönlendirici yönlendirme kararını verdikten ve çıkış arayüzünü seçtikten sonra paketi kontrol eder. Fikir aşağıda görselleştirilmiştir.
Örneğimizde, PC1'den gelen paketlerin kurumsal ağa ulaşmasına izin vermek istiyoruz, ancak PC2'den gelen paketleri engellemek istiyoruz. Bu nedenle, ACL'yi PC 1 ve 2'den gelen paketleri işleyen bir yönlendirici arayüzüne ve doğru akış yönünde yerleştirmeliyiz.
Şekilde, PC'ler ve kurumsal ağ arasındaki paketlerin geçtiği dört arayüz bulunmaktadır:
R1'in Gi0/0 arayüzünden gelen trafik
R1'in Gi0/1 arayüzünden giden trafik
R1'in Gi0/1 arayüzünden gelen trafik
R1'in Gi0/0 arayüzünden giden trafik
Yönün, standart ACL'lerin yalnızca bir paketteki kaynak IP adresini eşleştirebilmesiyle ilgili olduğunu anlamak önemlidir. Bu, eşleştirmek istediğiniz IP adresinin kaynak olduğu yönde en iyi şekilde çalıştıkları anlamına gelir. Trafik ters yönde hareket ediyorsa, aynı IP adresi hedef olarak görünecek ve standart ACL bunu eşleştirmeyecektir. Örneğin, PC2'nin kaynak IP adresi olan 10.1.1.4'ü eşleştirmek istiyoruz. PC2, 172.16.1.1 adresindeki kurumsal sunucuyla iletişim kurduğunda, aşağıdaki şemada gösterildiği gibi, kaynak IP adresi olan 10.1.1.4 yalnızca PC2'den kurumsal ağa doğru olan yönde görünür.
Gi0/1 arayüzüne gelen yönde standart ACL uygularsanız, hiçbir etkisi olmaz. Kısacası, paketleri filtrelemek için ACL, paketin geçtiği arayüzde ve doğru yönde etkinleştirilmelidir.
Örneğimizde, filtrelemek istediğimiz kaynaklara doğrudan bağlanan Gi0/0 arayüzüne gelen yönde erişim listesi uygulamamız gerekiyor. Bunu aşağıdaki yapılandırmayla yapıyoruz.
ACL uygulandığında ne olur?
ACL bir arayüze uygulandıktan sonra, yönlendirici o arayüzden gelen her IP paketini erişim kontrol listesine göre kontrol eder ve izin verilip verilmeyeceğine veya engellenip engellenmeyeceğine karar verir.
Her erişim listesinin sonunda örtük (veya otomatik) bir reddetme kuralı bulunur. Bu, bir paket ACL'deki kurallardan herhangi biriyle eşleşmiyorsa, varsayılan olarak reddedileceği anlamına gelir. Bu reddetme kuralını kendiniz eklemenize gerek yoktur; Cisco cihazları her zaman bunun orada olduğunu varsayar. Bu nedenle, yalnızca "izin ver" kuralıyla eşleşen paketlere izin verilir; diğer her şey otomatik olarak reddedilir. Bu, beklenmedik veya istenmeyen trafiği engelleyerek ağı güvence altına almaya yardımcı olur.
Gerçek dünya ortamlarında, ağ mühendisleri genellikle son giriş olarak açık bir genel izin ifadesi ekler. Biz de 40 numaralı sıra numarasıyla "herhangi bir şeye izin ver" ifadesini ekledik. Bu, önceki girişlerle eşleşmeyen herhangi bir trafiğe izin verilmesini sağlayarak, geçerli paketlerin istenmeyen şekilde engellenmesini önler.
Önemli Noktalar
ACL'ler, filtrelemenin ötesinde, NAT'ı, yönlendirme kararlarını, QoS'yi ve güvenlik özelliklerini desteklemek de dahil olmak üzere, belirli trafik akışlarını seçici olarak eşleştirerek birden fazla amaca hizmet eder.
İki ana ACL türü vardır:
Standart ACL'ler, trafiği yalnızca kaynak IP adreslerine göre filtreler.
Genişletilmiş ACL'ler, kaynak ve hedef IP adreslerini, protokol türlerini ve port numaralarını eşleştirerek daha ayrıntılı kontrol sağlar.
Bir erişim listesinin etkili olabilmesi için, doğru yönde (gelen veya giden) bir arayüze veya özelliğe açıkça uygulanması gerekir.
Her erişim listesi, her bir girişin eşleştirme kriterlerini ve bir eylemi (izin ver veya reddet) tanımladığı bir dizi Erişim Kontrol Girişi (ACE) içerir.
Her erişim listesinin sonunda, herhangi bir izin ifadesiyle eşleşmeyen tüm trafiği otomatik olarak engelleyen ve güvenli varsayılan davranışı sağlayan örtük bir "herhangi bir şeyi reddet" kuralı bulunur.
İki ana ACL türü vardır:
Standart ACL'ler, trafiği yalnızca kaynak IP adreslerine göre filtreler.
Genişletilmiş ACL'ler, kaynak ve hedef IP adreslerini, protokol türlerini ve port numaralarını eşleştirerek daha ayrıntılı kontrol sağlar.
Bir erişim listesinin etkili olabilmesi için, doğru yönde (gelen veya giden) bir arayüze veya özelliğe açıkça uygulanması gerekir.
Her erişim listesi, her bir girişin eşleştirme kriterlerini ve bir eylemi (izin ver veya reddet) tanımladığı bir dizi Erişim Kontrol Girişi (ACE) içerir.
Her erişim listesinin sonunda, herhangi bir izin ifadesiyle eşleşmeyen tüm trafiği otomatik olarak engelleyen ve güvenli varsayılan davranışı sağlayan örtük bir "herhangi bir şeyi reddet" kuralı bulunur.
- Katılım
- 26 Tem 2023
- Konular
- 442
- Mesajlar
- 5,604
- Online süresi
- 2ay 24g
- Reaksiyon Skoru
- 3,218
- Altın Konu
- 133
- Başarım Puanı
- 249
- TM Yaşı
- 2 Yıl 8 Ay 28 Gün
- MmoLira
- 49,879
- DevLira
- 12
Eline sağlık
