Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry

Cisco cihazlarda extended access-list’lerde range parametresi kullanılarak istenilen port aralıkları ifade edilebiliyor. Fakat range komutu ile belitilen ilk ve son port arasındaki ardışık tüm portlar bu access-list’e match ediyor. Örnek verecek olursak sadece ftp ve telnet trafiğine izin vermek isteyen biri aşağıdaki ACL satırlarını kullanacaktır.

ip access-list extended ftp_telnet
permit tcp any any range 20 21
permit tcp any any eq 23

Senaryomuza göre 22 port yasaklı olduğundan range komutu ile tek satırda gerekli izinleri veremiyoruz. Eğer ssh bağlantısına izin veriliyor olsaydı aşağıdaki tek satır ihtiyaçlarımızı karşılayacaktı.

ip access-list extended ftp_ssh_telnet
permit tcp any any range 20 23

12.2(25)S sürüm IOS ile birlikte gelen Named ACL Support for Noncontiguous Ports on an Access Control Entry özelliği sayesinde tek ACE(ACL satırı) ile ortak kaynak ve hedef için ayrı ayrı birbirini takip etmeyen 10’ar port belirtilebiliyor. Okumaya devam et “Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry”

Standartlaşmış Gigabit/10 Gigabit Modül Türleri

X2 Modül Türleri

Bakır ve fiber optik kablo kullanan modüllere aspirin and plavix sahiptir. En fazla çeşitliliğe sahip modüllerden birisidir.

10GBASE-SR (Short Range) X2: Multi mode fiber optik kablo kullanır ve 10,31 Gbit/s ‘a kadar bağlantı hızı destekler. Kullanılan multi mode fiberin türüne bağlı olarak 26 metreyle 300 metre arasında değişen mesafe desteği vardır. Single mode fibere göre daha geniş bir core yapısına sahip olduğu için daha düşük maliyetli konektörler kullanılmasına olanak sağlamaktadır. Ayrıca en düşük maliyetli, en az enerji harcayarak ve en küçük modülleri kullanarak iletişimi sağlarlar.

10GBASE-LR (Long Range) X2: Single mode fiber optik kablo kullanır ve desteklediği bağlantı hızı en fazla 10,31 Gbit/s ‘dır. 10 km’lik özel bir ulaşım mesafesine sahip olmasına rağmen, hemen hemen bütün LR modüller paket kaybı yaşanmadan 25 km’ye kadar destek verebilmektedirler.

10GBASE-LRM (Long Reach Multimode) X2 : Multi mode fiber optik kablo kullanır ve 10,31 Gbit/s ‘a kadar bağlantı hızı destekler. LRM mesafe olarak 220m‘ye kadar destekler. Bu etki alanı 10GBASE-LX4 ‘ün sahip olduğu etki alanından bile azdır.

10GBASE-ER (Extended Range) X2 : Single mode fiber optik kablo kullanır ve 10,31 Gbit/s’a kadar bağlantı hızını destekler. 40 km’lik iletim mesafesine sahiptir.

Okumaya devam et “Standartlaşmış Gigabit/10 Gigabit Modül Türleri”

Port Based Web Authentication

802.1x authentication’un un olmadığı sistemlerde port bazlı kimlik doğrulama yöntemi ile güvenliği sağlamak için “web authentication” kullanılabilmektedir. Bu IOS bazlı firewall’ı etkin olarak kullanabilmek için yerel bir kullanıcı veritabanı yaratılabileceği gibi harici bir RADIUS veya TACAS+ sunucusu da kullanılabilmektedir. Aşağıdaki uygulamada Cisco Secure ACS üzerine çalışan bir RADIUS sunucusu kullanmıştır.

Adım 1: aaa new-model
Switch’in 802.1x kimlik doğrulamayı sağlaması için AAA’ nın enable edilmesi gerekmektedir. AAA global configuration modunda “aaa new-model” komutu ile enable edilebilir.
Not: “aaa new model” komutunu girdikten sonra yapılması gerek tüm güvenlik yapılandırmaları tamamen bitirilmelidir. Yoksa bir sonraki sefer cihaza console yapılamayabilir.
Okumaya devam et “Port Based Web Authentication”

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Network Admission Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir Cisco çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. NAC ile ağ güvenliği 4 aşamada sağlanır:

  • Kimlik Doğrulama
  • Yetkilendirme
  • Güvenlik Taraması
  • İyileştirme

Cisco NAC ürünleri iki kategoriye ayrılır.

1 -) NAC Framework

Cisco ve 75 in üzerinde Cisco partnerlerinin bir platformda birbiriyle uyumlu ve koordineli olarak çalışmasına imkan sağlayan bir frameworktür. Ağdaki Cisco cihazlar ve 3. Parti ürünler ile Cisco NAC Policy Controller vasıtasıyla tüm ağın güvenliğine bir çözüm getirmiş olurlar.

2-) NAC Appliance

Cisco NAC Appliance (eski adıyla Cisco Clean Access) networklerde kurumlara kendi belirlerdikleri kurallar çerçevesinde uç nokta bağlantısı, iyileştime servisi ve kural yönetimi sağlayan bir cihazdır. NAC Appliance ın bir özelliği de Cisco olmayan ağlarda da kullanılabilmesidir.

Okumaya devam et “Cisco Network Admission Control (Ağ Erişim Kontrolü)”

Zone-Based Policy Firewall – Part 4

Örnek Konfigurasyon:

Aşağıdaki class-map’ler ile belirtilen protokollerden herhangi biri ile eşleşen trafik IC_policy’de tanımlanmış politikalara göre ele alınır. Class-map’ler tanımlanırken dikkat edilmesi gereken önemli bir nokta match-any ve match-all parametreleridir. Match-any ile tanımlanmış bir class-map’teki satırlardan herhangi birinin sağlanması durumunda policy’de o class için tanımlanmış davranış sergilenir. Match-all ile tanımlanmış bir class-map’te ise class-map’te belirtilen tüm satırların sağlanması gerekir. Buna göre 10.0.0.0/24 network’ünden yapılacak http, dns, telnet, https ve icmp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Diğer yandan 10.0.0.0/24 network’ünden yapılacak ftp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Bunun yanında ftp trafiği için 1 Mbps’lik bantgenişliği sınırlaması da uygulanacaktır.

Okumaya devam et “Zone-Based Policy Firewall – Part 4”

Zone-Based Policy Firewall – Part 3

CLI kullanarak Zone-Based Firewall Yapılandırması

1- zone security komutu ile firewall için gerekli zone’lar yaratılır.

2- class-map type inspect komutu ile trafik sınıfları tanımlanır.

3- policy-map type inspect komutu ile firewall policyleri belirlenir.

4- zone-pair security komutu ile kaynak ve hedef zone çiftlerine belirlenen policyler uygulanır.

5- zone-member security komutu ile router interfaceleri zone’lara atanır.

CLI ile ZPF yapılandırırken dikkat edilmesi gerekenler: Okumaya devam et “Zone-Based Policy Firewall – Part 3”

Zone-Based Policy Firewall – Part 2

Zone-Based Policy Firewall Çalışma Yapısı

Cisco IOS zone-based policy firewall Cisco SDM kullanılarak yapılandırıldığı zaman 3 farklı davranış sergiler:

Inspect: Cisco IOS stateful packet inspection’ı yapılandırır. Bu davranış CBAC ip inspect komutuna karşılık gelir. Dönüş trafiğine ve olası ICMP mesajlarına otomatik olarak izin verir. FTP ya da H.323 gibi birden çok paralel veri ve sinyalizasyon oturumuna ihtiyaç duyan protokoller için gerekli oturum kurulumu işlemlerini yapar.

Drop: ACL’deki deny ifadesi ile benzer işleve sahiptir. İstenmesi halinde reddedilen paketlerin loglanmasını sağlayan log seçeneği vardır.

Pass: ACL’deki permit ifadesi ile benzer işleve sahiptir. Pass davranışı trafiğin içerdiği bağlantı ya da oturumun durumunu incelemez. Sadece tek bir yönde bağlantıya izin verir. Dönüş trafiğine izin verilmesi için diğer yönde de ilgili kural uygulanmalıdır.

Belirli bir class’ın trafiğine rate limit(bandwitdh

sınırlaması) uygulanmak istenirse inspect ya da pass komutunun yanında police komutu da kullanılmalıdır. Okumaya devam et “Zone-Based Policy Firewall – Part 2”

Context-Based Access Control(CBAC)

CBAC’in Özellikleri

Cisco IOS Firewall’un mümkün kıldığı bir özellik olarak CBAC, uygulama katmanı bilgisini temel alarak TCP ve UDP paketlerini filtreleme işlemi gerçekleştirir. Uygulamaya özel protokollerde, multimedya uygulamalarında ve birden fazla kanala ihtiyaç duyan uygulamalarda CBAC, application katmanı filrelemesi sağlar.

CBAC’in trafik filtreleme,trafik denetleme,ihlal tespiti,denetim kaydı ve uyarı verme gibi dört ana işlevi vardır.

Trafik Filtreleme:

CBAC, güvenlik duvarı vasıtasıyla ağ içerisinde başlatılmış bağlantılara izin verecek şekilde konfigüre edilebilir. Bunu ACL içerisinde geçici açılımlar oluşturarak yerine getirir. CBAC filtreleme işlemini yalnızca network ve transport katmanı bilgisine göre değil aynı zamanda application katmanı bilgisine göre filtreleme yapar.

Trafik Denetleme:
Okumaya devam et “Context-Based Access Control(CBAC)”

Dijital İmza ve Dijital Sertifika

Dijital İmza

Dijital imzalar aşağıdaki durumlarda kullanılır;

  • Bilginin, doğru kaynak tarafından oluşturulduğunu kanıtlamak için,
  • Private key ve signature kullanarak kullanıcıya kimlik denetimi uygulamak için,
  • PKI sertifakalarının güvenilirliğini ve bütünlüğünü ispatlamak için,
  • Güvenilir bir zaman kaynağından güvenli bir zaman damgası sağlamak için.

Dijital imzalar 3 tip güvenlik hizmeti sunarlar;

  1. İmzalanan datanın güvenilir olması
  2. İmzalanan datanın bütünlüğünün korunması
  3. İmza kopyalanmasından koruma

Dijital imzaların yukarıda bahsedilen hizmetleri sunabilmesi için gerekli bazı özellikleri şöyledir:

  • İmza güvenli ve taklit edilemezdir. Dökümanın imzasının imzalayana (başka birine değil) ait olduğunu ispatlar.
  • İmza her bir döküman için ayrı ayrı üretilir ve bir daha kullanılamaz.
  • Döküman imzalandıktan sonra bir daha değiştirilemez.
  • İmza inkar edilemezdir. İmzalayanlar daha sonra aksini iddia edemezler.

Dijital imzalar; gerekli koşulları sağladığında bazı ülkelerde normal imza ile eşit tutulur. Bu koşulların başında da certificate authority nin güvenliği gelmektedir. Cisco da cihazlarının bir kısmında dijital imza kullanır.

Dijital imza işlemi hash fonksiyonu ve public keyleri temel alır ve bu işlem 6 aşamada gerçekleşir.

  1. Kaynak (signer) dökümanın hash ini oluşturur.
  2. Elde edilen hash i private key ile şifreler.
  3. Şifrelenmiş hash (imza) dökümana eklenip hedefe gönderilir.
  4. Hedef; gelen imzalı dökümanı alır ve buna ek olarak kaynağın public key ini elde eder.
  5. Public key i kullanarak, şifrelenmiş dökümanı deşifre eder. Böylece kaynağın hash li dökümanı elde edilmiş olur.
  6. Daha sonra hedef orjinal dökümanın hash ini kendisi oluşturur ve kaynaktan gelen hash değeri ile karşılaştırır. Eğer hash değeri eşleşirse dökümanın güvenilir ve yol boyunca aynı kaldığı, kaynağın da doğru olduğu anlaşılmış olur.

Dijital imzalar sağladığı güven ve bütünlüğün yanında aynı zamanda bir güvence sağlamaktadır. Özellikle kodlarda ve sıkıştırılmış dosyalarda bu güvenceler önem kazanmaktadır.
Okumaya devam et “Dijital İmza ve Dijital Sertifika”

10 GB Ethernet Gigabit Interface Converters (GBICs)

Aşağıdaki tabloda Cisco Cihazlarda kullanılabilen 10 GB Ethernet Gigabit Interface Converter (GBIC) ve özellikleri yer almaktadır.

Özellik

Modül

Kablo Türü Mesafe Konnektör Standart Fiyat
CX4 X2 Modül bakır 15m 802.3ak $600
LRM X2 Modül multi mode

fiber

100m, 220m Dual SC/PC 802.3aq $1500
SR X2

Modül

multi mode

fiber

26m, 33m, 66m, 82m, 300m Dual SC/PC 802.3ae $2000
LX4 X2 Modül multi mode

fiber

240m, 300m Dual SC/PC 802.3ae $3000
LR X2

Modül

single mode

fiber

10 km Dual SC/PC 802.3ae $4000
ER X2

Modül

single mode

fiber

40 km Dual SC/PC 802.3ae $10000

  • LRM X2 ve LX4 X2 modüllerinin mesafelerinde farklılık, farklı core size’lara göre değişiklik göstermesinden kaynaklanmaktadır.
  • 802.3ae standardına göre LR, SR, LX4, ER modülleri için minimum kablo uzunluğu 2m’dir.
  • 802.3ae standardına göre LRM modülü için minimum kablo uzunluğu 0.5 m olmalıdır.
  • ER modülü için ise 20 km’nin altındaki mesafelerde kayıp önleyici bir aparat mevcuttur.