Günümüzde ağ topolojilerinin hızlı bir şekilde büyümekte olması sebebiyle, ağ güvenliğini sağlayabilmek için çeşitli teknikler geliştirilmek zorunda kalınmıştır. Bu tekniklerden en yaygın olanı güvenlik duvarı (firewall) kullanmaktır. Cisco cihazlar üzerinde temel olarak basit bir güvenlik duvarı işlevi gören Erişim Kontrol Listesi (Access Control List-ACL) adı verilen kontroller uygulanabilir. Erişim Kontrol Listeleri, belli kaynakların kullanımının yetkili kişilerle sınırlandırılması amacıyla kullanılan bir teknolojidir. Bu teknoloji ile, ağın içine ve dışına doğru olan trafiğin kontrol edilmesi sağlanır. Bu kontrol ağdaki adreslere izin vermek ya da reddetmek şeklinde olabilir. Bunun dışında, ağdaki trafiğin kontrol edilmesi için ACL’ ler TCP portları baz alınarak da konfigüre edilebilir. Özetle ACL’ ler çeşitli anahtarlayıcılar (switch) ve yönlendiriciler (router) üzerinden gelen ve giden ağ trafiğini denetleyebilmek için IP veya port bazında filtreleme yapılmasını sağlayan kontrol sistemi olarak adlandırılabilir. Bu listeler, ağ ve sistem yöneticilerine ağdaki trafik akışını kontrol edebilmek için geniş bir fırsat sağlar.
Ayrıca ACL’ ler yönlendirici (router) üzerinde paket alışverişini sınırlamak amacıyla da kullanılabilir. Yönlendiricinin arayüzlerine yazılacak kontrol listesi o arayüzden geçebilecek olan paketleri IP veya port numarasına bakarak durdurabilir ve paket kontrol listesine uymadığı takdirde yönlendirme yapılmadan yok edebilir. Bu aşamada yönlendirici tanımlanan filtreleme kurallarına uygun olarak çalışan bir paket filtreleyicisi gibi çalışır. Yönlendirici üzerinden yapılan bu kontrol nedeniyle, paket filtreleme işlemi 3. Katmanda (Ağ Katmanı) gerçekleşmektedir.
Kontrol listeleri genel olarak 2 başlık altında çeşitlenebilir:
• Standart Kontrol Listesi
• Genişletilmiş (Extended) Kontrol Listesi
Kontrol Listeleri oluşturulurken ağ üzerindeki yönlendirici veya anahtarlayıcıların sahip olduğu arayüzün (interface) sadece girişine ya da çıkışına uygulanabilir. Girişine uygulanırsa o arayüze gelen paketler yönlendirilmeden önce kontrol listesindeki kayıtlarla karşılaştırılır ve ona göre yönlendirilir. Buna Inbound Access List (Giriş Kontrol Listesi) denir. Çıkışına uygulanması durumunda ise Outbound Control List (Çıkış Kontrol Listesi) adını alır. Bu durumda yönlendirme tablosuna göre ilk olarak yönlendirme işlemi yapılır, daha sonra kontrol listesine bakılarak engelleme işlemi gerçekleştirilir. Her arayüzün girişine ya da çıkışına sadece bir tane kontrol listesi tanımlanabilir. Aşağıdaki herbir protokole ait tanımlanabilecek kontrol listelerinin sayı aralıkları verilmiştir:
1-99 arası IP standart access list
100-199 arası IP extended access list
1000-1099 arası IPX SAP access list
1100-1199 arası Extended 48-bit MAC address access list
1200-1299 arası IPX summary address access list
200-299 arası Protocol type-code access list
300-399 arası DECnet access list
400-499 arası XNS standart access list
500-599 arası XNS extended access list
600-699 arası Appletalk access list
700-799 arası 48-bit MAC address access list
800-899 arası IPX standart access list
900-999 arası IPX extended acess list
Standart Kontrol Listesi
Bilinen en eski erişim kontrol listesidir. Bu tür kontrol listesinde trafiğin kontrol edilmesi gelen IP paketlerinin kaynak adresi (Source Adress) ile Erişim Kontrol Listesi üzerinde tanımlanmış adreslerin karşılaştırılması ile sağlanır. Paketlere izin verme ya da yasaklama durumu bütün protokolleri kapsar. Genel olarak Standart Kontrol Listesi izin verme ya da yasaklama işlemini IP Header (IP Başlığı) kısmına göre yapar.
Örnek vermek gerekirse;
“RouterA(config)#access-list 10 deny 160.75.5.215” komutu ile bu cihaz üzerinden gelebilecek paketler filtrelenmiştir. Burada 10 kontrol listesi numarası, 160.75.5.215 ise engellenecek cihazdır.
Standart erişim listesinin çalışma mekanizması şu şekildedir:
Genişletilmiş Kontrol Listesi
Bu türden kontrol listeleri yönlendirici üzerine gelen paketlerin birçok özelliğe bakarak filtreleme işlemini gerçekleştirir. Bu özelliklere örnek olarak şunları gösterilebilir:
- Kaynak ve hedef IP adresleri
- Kaynak ve hedef TCP ve UDP portları
- Protokol tipi (IP, ICMP, UDP, TCP ya da protokol numarası)
Standart Kontrol Listesinden en önemli farkı bütün ip trafiğinin değil, belirli protokollerin engellenebilmesi özelliğine sahip olmasıdır. ICMP, TCP, UDP gibi değişik tür trafikler bu sayede özel olarak seçilip filtrelenebilir. Bu işlemi yapabilmek için Ağ Katmanı (Network Layer) üzerinde tanımlanmış olan protokol alanı ile Taşıma Katmanı (Transport Layer) katmanındaki port alanını kontrol eder.
Örnek vermek gerekirse;
“RouterA(config)#access-list 150 deny tcp any host 160.75.5.215 eq 21” komutu ile 160.75.5.215 IP adresine sahip cihazdan gelecek bütün FTP istekleri engellenmiştir. Burada 150 kontrol listesi numarası, 21 ise FTP’nin kullandığı kapı numarasıdır.
Kompleks Erişim Listeleri
Bu tür erişim listeleri ek işlevsellik özelliği sağlar. Kompleks Erişim Listeleri (Complex Access List), Standart ve Genişletilmiş ACL’ leri temel alır ve 3 çeşidi vardır. Bunlar:
- Dinamik ACL’ ler (Dynamic ACLs) : Bu tür erişim listeleri sadece IP trafiği üzerinde etkindir ve IP tariğinin takip altına alınmasını sağlar. Bu tür listeler daha çok aynı ağ içerisindeki uzak kullanıcı gruplarının (remote user groups) erişiminin denetlenmesini sağlar. Statik ACL’ lere göre birçok üstünlüğü mevcuttur. Bunlara örnek vermek gerekirse: Geniş ağlar için kullanımı daha uygundur, sistemdeki güvenlik açığı daha azdır, daha güvenlidir ve kullanılan CPU miktarıda daha düşüktür. Ayrıca kullanıcıya özgü sorun mekanizmaları yaratılmaktadır.
- Dönüşlü ACL’ ler (Reflexive ACLs) : IOS (Internetworking Operating System) bazlı bir güvenlik duvarı çeşitidir. Bu yöntemle trafiğin kaynak ve hedef adresleri, port numaraları ve oturumların rotaları hedef alınır. Oldukça güvenli bir erişim denetimi sağlarlar. Çünkü daha önce eşleşen herhangi başka bir köprülemeyle başka bir rota izlemezler.
- Time-based ACL’ ler (Zaman Bazlı ACLs) : Zamana göre erişim denetimi sağlayan erişim listesi türüdür. Günün, haftanın ya da ayın belli zamanlarında trafiğin kısıtlanabilmesini sağlar. Ağdan belli bir zaman diliminde bir trafiğin akması durumu söz konusu olduğunda, bu süre zarfındaki güvenliğin sağlanması tanımlanan bu ACL sayesinde olur.