Merhaba arkadaslar. Bu makalede Daha önce birinci bölümü yayinlanan Cisco IOS ile Routerlar üzerinde Access Contol Listeleri kullanarak paket filtreleme islemlerine, konuyu gelistirerek devam edecegiz. Ilk bölümde Access Control Listelerinin temel konfigürasyonlari hakkinda bilgiler vermis ve Standar – Extended ACL konfgürasyonlari örneklemistik.Bu makalemiz boyunca ise ACL’leri kullanarak DoS (TCP SYNY), IP Spoofing, DoS Smurf ataklarini nasil engelleyebilecegimizi anlatmaya çalisacagim.

 IP Spoofing ataklarini engellemek için Router üzerinde iki yönde de (Inbound ve Outbound) konfigürasyon yapilmali yani ACL tanimlanmalidir. Inboun ACL’in bu noktada opsiyonel oldugunu söyleyebiliriz. çüzki bu ACL disaridan bizim networke olabilecek Spoofing ataklarini engellemek için degil, Local Networkümüzden dis networklere olasi saldirilari engellemek için olacaktir.

örnek bir topoloji üzerinde olayi incelersek daha iyi anlasilacagini düsünüyorum. Burada Routerin Fastethernet 0/0 interface’ine bagli olan networkten uzak network ya da networklere olabilecek Spoofing ataklarini engellemek için 192.168.1.0 networkü disinda bir ip adresinin Router üzerinden geçmesini engellememiz gerekir.

IP Konfigürasyonu asagidaki gibi olan Router üzerinde simdi bu konfigürasyonu yapacagiz.

Burada yapmam gereken 192.168.1.0 networküne Fa0/0 interface’inde çikmak için izin veren ancak bunun disindaki ip adreslerini bloklayan bir rule tanimlamak olacaktir.

Locak networkümüz içerisinden dis networklere olasi Spoofing ataklarini engelledikten sonra silaridan içeriye gelebilecek ataklarida engelleyebiliriz. Bunun için topolojimizden hareketler 192.168.2.0 networkünde Local Networke erisilmesine izin verirken bunun disinda kalanlari bloklamaliyiz. Bu konfigürasyonda asagidaki sekilde olacaktir.



TCP SYN ataklarinida ACL konfigürasyonu ile engelleyebiliriz. öncelikle TCP SYN ataginin nasil bir saldiri sekili oldugundan bahsetmek faydali olacaktir. Uzakn networkten Local network içerisinde host veya hostlara sürekli olarak TCP SYN mesajlari geldigini ama devaminda ACK mesajinin gönderilmedigini düsünelim. Bu durumda Local networkte bulunan ve bu atapa ugrayan hostun hizmet verememeye baslamasi, örnegin bu bir web server ise legal istemcilere cevap verememesi olasiliklar dahilindedir. Bunu engellemek için outside interface’imize bütün trafigi yasaklayan bir ACL tanimlaybiliriz. Fakat bu durumda da iç networkümüzden baslayan TCP oturumlarinin, disaridan gelecek cevaplar bloklanacagi için tamamlanamamasi gibi bir sorun ile karsilasiriz. Bu durumda ACL’leri iki farkli sekilde modifiye ederek kurtulabiliriz.

1. Established Keyword
2. TCP Intercept

Her iki opsiyonda aslinda ayni islemi yapar diyebiliriz. Simdi ayni topoloji üzerindeki bir örnek ile her ikisinide açiklamaya çalisacagim.



Burada established ifadesi; 192.168.1.0 networküne (Local Network) gelen paketler için eger TCP oturumu kurulmussa izin ver anlamina gelmektedir.

TCP Intercept ile ise ayni islem su sekilde yapilabilir.



ACL kullanilarak engellenebilecek atak sekillerinden bir taneside Smurf ataklaridir. Smurf ataklari yüksek sayilardaki ICMP paketlerinin broadcast adreslerine gönderilmesi seklinde tanimlanabilir. Engellemel için ise disaridan gelen ve subnetimin broadcast adresine giden paketler bloklanmalidir.



Bunlar disinda bilinen bazi DDoS ataklarininda ACL kullanarak engellenmesi mümkündür. Bunlardan bazilari sunlardir;

1. TRIN00
2. Stacheldraht
3. Trinity v3
4. SubSeven

Bahsi geçen ataklar için ise asagidaki konfigürasyonlar kullanilarak engellenebilir. (Konfigürasyonlarda ayni topoloji göz önüne alinmistir.)

TRIN00


Router(config)#access-list 190 deny tcp any any eq 1524 log
Router(config)#access-list 190 deny tcp any any eq 27665 log
Router(config)#access-list 190 deny udp any any eq 31335 log
Router(config)#access-list 190 deny udp any any eq 27444 log
Router(config)#interface fa 0/0
Router(config-if)#ip access-group 190 in
Router(config-if)#end
Router(config)#interface fa 0/1
Router(config-if)#ip access-group 190 in
Router(config-if)#end



Stacheldraht

Router(config)#access-list 190 deny tcp any any eq 16660 log
Router(config)#access-list 190 deny tcp any any eq 65000 log
Router(config)#interface fa 0/0
Router(config-if)#ip access-group 190 in
Router(config-if)#end
Router(config)#interface fa 0/1
Router(config-if)#ip access-group 190 in
Router(config-if)#end



Trinity v3

Router(config)#access-list 190 deny tcp any any eq 39168 log
Router(config)#interface fa 0/0
Router(config-if)#ip access-group 190 in
Router(config-if)#end
Router(config)#interface fa 0/1
Router(config-if)#ip access-group 190 in
Router(config-if)#end


SubSeven

Router(config)#access-list 190 deny tcp any any eq 1243 log
Router(config)#access-list 190 deny tcp any any eq 2773 log
Router(config)#access-list 190 deny tcp any any range 6711 6713 log
Router(config)#access-list 190 deny tcp any any eq 6776 log
Router(config)#access-list 190 deny tcp any any eq 7000 log
Router(config)#access-list 190 deny tcp any any eq 7215 log
Router(config)#access-list 190 deny tcp any any eq 27374 log
Router(config)#access-list 190 deny tcp any any eq 27573 log
Router(config)#access-list 190 deny tcp any any eq 54283 log
Router(config)#interface fa 0/0
Router(config-if)#ip access-group 190 in
Router(config-if)#end
Router(config)#interface fa 0/1
Router(config-if)#ip access-group 190 in
Router(config-if)#end

Evet arkadaslar bu makalemizde bilinen bazi atak türlerinin ACL kullanarak nasil engellenebilecegini gördük. Makale serimizin bir sonraki adiminda çogunlukla switchler üzerinde kullanilan MAC Access Listeleri ve VLAN Access Listelerini (VACL) inceleyecegiz. Herkese iyi çalismalar.

Hayrullah Kolukisaoglu


İlgili Diğer Makaleler

Cisco IOS Paket Filtreleme 1

Cisco IOS Paket Filtreleme 3 

Ortalama Üye Değerlendirmesi

   (0 Oylama)