Yönlendirici (Router) Güvenliği

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları ve İnternet
Advertisements

Bölüm 6 IP Adresleme ve Yönlendirme
Universal Plug & Play (Evrensel Tak ve Çalıştır)
TEMEL AĞ TANIMLARI.
Network Layer Bölüm Ağ Katmanı Computer Networking: A Top Down Approach 4 th edition. Jim Kurose, Keith Ross Addison-Wesley, July 2007.
Filezilla Client & Server
Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.
Ağ Donanımları Cihazlar
Örnek Kampüs Uygulamaları ODTÜ Ulaknet Sistem Yönetim Konferansı - Güvenlik.
İÇERİK Ağ İzleme Ağ güvenliği için Tehlikeli Protokoller
Grup ilkesinin yerel düzenleyicisi Microsoft Windows XP' de, kullanıcı ve bilgisayar grupları için kullanıcı ve bilgisayar yapılandırmaları tanımlamak.
Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
AĞ GÜVENLİĞİ.
ARP DİNLEME.
Open Systems Interconnection
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
Depolama Alan Ağları – SAN Ağa Bağlı Depolama - NAS
WİNDOWS XP GRUP İLKESİ.
Cisco Discovery Protokolü. CDP?  Bir protokoldür  Veri iletim katmanında çalışır  Cisco tarafından geliştirilmiştir  Fiziksel olarak birbirine bağlı.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.
Yönlendirici Mimarisi
1- BİLGİSAYAR AĞLARINA GİRİŞ
ODTÜ Bilgi İşlem Merkezi Anti-Spam Çalışmaları Tayfun Asker ODTÜ-BİDB
Anahtar link-katmanı cihazı: hublardan daha zeki, aktif rol üstlenir
TCP/IP Sorun Çözme ve Ağ Komutları
SAMED ÖZCAN T-12/D 2446
BLM619 Bilgisayar Ağları ve Uygulamaları
TCP/IP’nin YApISI ve IP ADRESLEME
NAT: Network Address Translation (Ağ Adres Dönüşümü)
TCP/IP – DHCP Nedir?.
İnternet Teknolojisi Temel Kavramlar
Chapter 5. Ağ Protokolleri
Denetim Masası Ms. Windows 8.1
CensorNet Linux Internet Güvenlik Duvarı ve Kayıt Tutma Semineri
Ağ Donanımları Cihazlar
TCP/IP Sorun Çözme ve Ağ Komutları
LINUX AĞ AYARI ve ağ KOMUTLARI
BİLGİ GÜVENLİĞİ.
IP ADRES SINIFLARI.
KIRKLARELİ ÜNİVERSİTESİ
PARDUS İŞLETİM SİSTEMİ. PARDUS  Pardus adı : Anadolu parsı adlı kediğillerden gelmektedir.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
Ağ Temelleri Semineri erbiL KARAMAN. Gündem 1. İnternet 2. TCP / IP 3. Ağ Analizi 4. Ağ Güvenliği.
BİT’in Gizlilik ve Güvenlik Boyutları.  Bilgi; verinin, işlenerek karar verici için anlamlı ve kullanışlı hale gelmesidir. Veri ise, işletme içinde oluşan.
GÖZDEHAN ÖZTÜRK  Sunucu (Server), herhangi bir ağ üzerinde bir programı veya bir bilgiyi farklı kullanıcılara/sistemlere paylaştıran/dağıtan.
AĞ TEMELLERİ.  Ağ cihazları bilgisayar veya benzeri sayısal sistemlerin birbirleriyle karşılıklı çalışmalarını, iletişim yapmalarını sağlayan ara cihazlardır.
SUNUCU İŞLETİM SİSTEMLERİ
WEB GÜVENLİĞİ FURKAN KOÇ & EMİNE AÇAR. “Yıkılacakmış gibi duran bir binaya girermisiniz?” “Gitmek istediğimiz yer değil de oraya ulaşmak için izleyeceğiniz.
Öğr.Gör.Volkan ALTINTAŞ
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
BİLGİ İŞLEM ORGANİZASYONU -Voice/VoIP
TCP /IP ADRESLEMESİ.
Bilgisayar Ağlarında Güvenlik
Bilgi İşlem Organizasyonu
İnternet Adresleri IP Kavramı
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
PROXY SERVER YASİN ÇAKIR
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
KERİM KAYA 10/C macOS, her Mac’e hayat veren işletim sistemi. Başka bilgisayarlarda mümkün olmayan şeyleri yapmanızı sağlıyor. Çünkü üzerinde çalıştığı.
Meriç ÇETİN Muhittin KARAMAN Murat AYDOS
TCP/IP PROTOKOLÜ.
OSİ Modeli.
I-BEKCI SİSTEMİNİN KAMPUS ORTAMINDA KULLANIMI
Sunum transkripti:

Yönlendirici (Router) Güvenliği Erişim Listeleri

Yönlenlendirici (Router) Güvenliği Kurumsal Ağlar, ağ kaynaklarına sadece yetkili kullanıcıların erişmesini sağlamak için güvenliğe ihtiyaç duyar.

Trafik filtrelemesi aracılığıyla, ağ yöneticisi ağın çeşitli bölümlerinde trafiği denetleyebilir. Filtrelemek, pakete izin vermek ya da paketi engellemek için içeriğini analiz etme işlemidir. Paket filtrelemek, basit ya da karmaşık olabilir; trafik, aşağıdakilere bağlı olarak engellenebilir: Kaynağın IP adresi Hedefin IP adresi MAC adresleri Protokoller Uygulama türü

Paket filtreleme, e-posta filtrelemeyle kıyaslanabilir Paket filtreleme, e-posta filtrelemeyle kıyaslanabilir. Pek çok e-posta uygulaması, kullanıcının yapılandırmayı belirli kaynak adreslerden gelen e-postaları otomatik olarak silecek şekilde ayarlamasına olanak verir. Paket filtreleme de aynı şekilde yönlendiriciyi istenmeyen trafiği tanımlamak üzere yapılandırarak yapılabilir. Trafiği filtrelemek, ağ performansını arttırır. İstenmeyen ya da kısıtlanan trafik, kaynağına yakınken engellendiğinde, trafik ağda dolaşmaz ve önemli kaynakları tüketmez.

Trafik filtrelemek için en sık kullanılan aygıtlar aşağıdadır: Tümleşik yönlendiricilere yerleşik güvenlik duvarları Adanmış güvenlik araçları Sunucular Bazı aygıtlar sadece iç ağdan gelen trafiği filtreler. Daha karmaşık güvenlik aygıtları ise, harici kaynaklardan gelen, bilinen türde saldırıları tanımlar ve filtreler. Kurumsal yönlendiriciler zararlı trafiği tanır; bu trafiğin ağa erişmesini ve zarar vermesini engeller. Yönlendiricilerin neredeyse tamamı paketlerin kaynak ve hedef IP’lerine bağlı olarak trafiği filtreler. Yönlendiriciler ayrıca, belirli uygulamaları ve IP, TCP, HTTP, FTP ve Telnet gibi protokolleri filtreler.

Erişim Denetim Listeleri Trafik filtrelemenin en sık kullanılan yöntemlerinden biri, erişim denetimi listeleridir (ACL). ACL’ler hem ağa giren, hem de ağdan çıkan trafiği yönetmek ve filtrelemek için kullanılabilir. Bir ACL, tek bir kaynaktan gelen trafiğe izin veren ya da bu trafiği engelleyen bir bildiriden, ya da birden fazla kaynaktan gelen paketlere izin veren ya da bu paketleri engelleyen yüzlerce bildiriye kadar değişken boyutlarda olabilir. ACL’ler öncelikli olarak, kabul edilecek ya da engellenecek paketlerin tanımlanması için kullanılır.

ACL’lerin tanımlayabileceği çeşitli trafiklerin türleri aşağıdadır: NAT için dahili bilgisayarların tanımlanması QoS ve kuyruklama gibi ileri özellikler için trafiği tanımlamak ya da sınıflandırmak Yönlendirme güncellemelerinin içeriklerini sınırlamak Hata ayıklama çıktısını sınırlamak Yönlendiricilere sanal terminal erişimi denetlemek

ACL kullanmak, aşağıdaki potansiyel sorunlarla sonuçlanabilir: Paketlerin tamamını denetlemenin yönlendiriciye getirdiği fazladan yük, paketlerin iletimi için daha az zaman anlamına gelir. Kötü tasarlanmış ACL’ler, yönlendiriciye daha da fazla yük bindirir ve ağ kullanımını aksatabilir. Yanlış yerleştirilmiş ACL’ler, izin verilmesi gereken trafiği engeller ve engellenmesi gereken trafiğe izin verir.

Erişim Denetimi Listeleri Türleri Standart ACL'ler Standart ACL, üç türün en basitidir. Standart IP ACL’si oluştururken, ACL’ler paketleri kaynak IP adresine göre filtreler. Standart ACL’ler, IP gibi protokollere göre izin verir ya da engeller. Bu yüzden eğer bir aygıt standart ACL tarafından engellenirse, bu aygıttan gelen bütün hizmetler engellenecektir. ACL’nin bu türü, belirli bir kullanıcı ya da LAN’dan gelen hizmetlerin tamamına izin verip, diğer IP adreslerinden erişimi engellerken kullanışlıdır. Standart ACL’ler, kendilerine atanan numaralarla tanımlanırlar. IP trafiğine izin veren ya da bu trafiği engelleyen erişim listeleri için, tanımlama numaraları 1 ve 99 ya da 1300 ile 1999 arasında değişebilir.

Genişletilmiş ACL'ler Genişletilmiş ACL'ler, kaynak IP adresine ek olarak hedefin IP adresine, protokole ve bağlantı noktası numaralarına göre de filtreler. Genişletilmiş ACL’ler, daha fazla denetim sağladıkları ve daha özgül oldukları için Standart ACL’lerden daha sık kullanılır. Genişletilmiş ACL için numaralar, 100 ve 199 ya da 2000 ile 2699 arasında değişebilir. Adlandırılmış ACL’ler Adlandırılmış ACL’ler (NACL), numara yerine tanımlayıcı bir isimle ifade edilen standart ya da genişletilmiş biçimde ACL’lerdir. Adlandırılmış ACL’leri yapılandırırken, yönlendirici IOS’u NACL alt komut kipi kullanır.

ACL Türü Örnek ACL Komutu / Bildirisi Bildirinin Amacı Standart Router(config)#access-list 1 permit host 172.16.2.88 Belirli IP Adreslerine izin verir Genişletilmiş Router(config)#access-list 100 deny tcp 172.16.2.0 0.0.0.255 any eq http http kullanmayı deniyorlarsa 172.16.2.0/24 alt ağından diğer bilgisayarlara erişimi engeller İsimli Router(config)#ip access-list standard permit-ip Router(config-ext-nacl)#permit host 192.168.5.47 Permit-ip adlı standart bir erişim listesi oluşturur. 192.168.5.47 IP adresinden erişimi sağlar. İlk komut, yönlendiricinin NACL alt komut kipine girmesini sağlar.

Erişim Listeleri İşlenmesi Arayüze bir paket ulaştığında, yönlendirici aşağıdaki parametreleri denetler: Arayüzle ilişkilendirilmiş bir ACL bulunuyor mu? ACL, içe mi yoksa dışa mı yönelik? Trafik, engelleme ya da izin verme kriterleriyle eşleşiyor mu?

Genel Arama Maskesi Birden fazla adres ya da bir aralıkta adreslerin engellenmesi, birden fazla bildiri ya da genel arama karakteri maskesi kullanımı gerektirir. Tek bir bilgisayara izin veren genel arama maskesi 172.16.22.87 0.0.0.0 /24 ağında bir dizi bilgisayara izin veren genel arama maskesi 172.16.22.0 0.0.0.255 /16 ağının tamamnı izin veren genel arama maskesi 172.16.0.0 0.0.255.255

Örnek olarak, aşağıdaki bildiri 192. 168. 1 Örnek olarak, aşağıdaki bildiri 192.168.1.0 ağındaki bütün bilgisayarlara izin verir ve diğerlerinin tamamını engeller: access-list 1 permit 192.168.1.0 0.0.0.255

Bağlantı Noktası Filtrelemek için access-list 122 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.89 eq 80 Bu ACL bildirisi, 80. bağlantı noktasını kullanarak HTTP erişimi talep eden 192.168.1.0 adresinden gelen trafiğe izin verir. Eğer kullanıcılardan biri 192.168.2.89 adresindeki bilgisayara Telnet ya da FTP ile erişmek isterse, her erişim denetimi listesinin sonunda bulunan kesin ret tarafından engellenecektir.