Erişim Kontrol Listesi Uygulamalarında "Establised" opsiyonu

Gelişen teknoloji sayesinde cihazlardaki açıkları en aza indirmek için güvenliğe ve dolayısıyla ACS’lere verilen önem giderek artmıştır. Bu ACS’lerin network performansını etkilemeden bir firewall çözümü olarak sunulması, bunun önemini biraz daha arttırmıştır. Günümüz networklerinde, network firewallları iç ve dış networklere uygulanacak kurallar diye 2’ye ayrılmıştır.Buradaki temel amaç, ihtiyaca göre dışarıdan gelecek tüm trafik ACS lerede belirtilen şekilde yönlendirilerek, gerekirse inbound yöne erişimi yasaklanmaktadır.
Kullanılan çoğu uygulamalar TCP üzerinde faaliyet göstermektedir. İlk çıkan IOS ların trafik filtrelerinde TCP protokolüyle çift yönlü sanal devrelerin güvenlik yönetimine “established” tanımı eklenmiştir. Bu da extended IP Access list diye tanımlanan güvenlik önlemleriyle geçerlilik kazanmıştır. Bu komutla, daha önce herhangi bir TCP portunda established tanımı bulunmayan bağlantının diğer tüm internetten gelen trafiği engellemesini amaçlamıştır.

• “established” opsiyonunun extended ACL lerde kullanım şekli aşağıdaki gibidir;
Router(config)# access-list {100-199} {permit | deny} protokol kaynak-adres [kaynak-wildcard][operator operand] hedef-adres [hedef-wildcard] [operator operand] [established]

“Established” parametresi trafiğin network içinde açık olan bir porttan akmasını sağlar.Bu paremetre routerin TCP segmentini içindeki “TCP ACK” ve “RST” bitlerinin bayraklarını kontrol etmesini gerektirir. Eğer kontrol edilen segmentteki ACK bayrağının biti ayarlanmışsa, tcp trafiği izinli sayılır, aksi takdirde yeni bağlantı oluşturmayı gerektirir.

Aşağıdaki örnekte;

192.168.1.0/24 uzayından sadece kaynak portu 443 olarak belirlenmiş “established” trafiğe izin verilmiştir. Geri dönen bu frame’in ACK TCP segmentinin kontrol bayrağı ayarlanmıştır. Böylece trafik akışı sağlanmıştır.

R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established
R1(config)# access-list 100 permit tcp any 192.168.1.3 0.0.0.0 eq 22
R1(config)# access-list 100 deny ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 100 in

SAFA KISIKÇILAR

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir