endLesS
Webmaster
Cisco IOS lar gerekli ayarlamaları yaptığınızda çok ileri düzeyde olmasada firewall olarak kullanılabilirler.Biz burada CBAC (Context Based Access Control) ın nasıl çalıştırılıcağına deyiniceğiz.CBAC,Access-list lerden daha kullanışlı ,uygulama ve oturum bazlı erişim kontrolüne olanak sağlar,fakat CBAC ın dezavantajı her protokolu desteklemiyor olmasıdır,aslında buna dezavantaj diyemeyiz,bir zayıflık diyebliriz.CBAC la ilgili olarak bir iki komutlara deyiniceğiz,
Şimdi örneklerimize geçelim;
Yukarda yapmış olduğumuz konfigurasyonla internetten gelen http trafigi için oturumlar iç network ten başlatılmışsa izin verecektir.Fakat unutmamamız gereken bir şey internetten iç networkümüze doğru olan bütün trafiği extended Access-list ile deny etmemiz gerekir ki bunu da aşağıdaki uygulamada yapıyoruz;
Yukardaki bu iki konfigurasyonlarda CBAC ı çalıştırmaya başladık diyebiliriz,ancak biz burada bir iki uygulama üzerindede durucağız
Firewall umuzun üzerindeki olayları bir log server da tutmak için;
Firewall un half open olarak algıladığı oturum sayısı hangi değere ulaştığında oturumların drop edilmeye başlanacağı(high) ve hangi değere kadar (low) drop edilmeye devam ediliceğini göstermektedir.Default olarak high için 500 ve low için ise 400 dür,hemen bakalım aşağıdaki konfigimizde bu ayarları yapıcağız;
Ayrıca TCP ve UDP trafigi için idle-time süresi belirleyebiliriz.Bir tcp oturumu için idle-time süresi default olarak 1 saat,udp için 30 saniyedir;
Belirtilen süreler boyunca FİREWALL bir oturumda herhangi bir aktivite tespit etmemiş ise bu oturumları drop edicektir.
Bu arada HALF-OPEN NEDİR DERSEK?
Half-Open oturum bir istek ile başlatılmış fakat established duruma geçmemiş yani TCP THREE WAY HANDSHAKE tamamlanmamış demektir.
Şimdi örneklerimize geçelim;
Yukarda yapmış olduğumuz konfigurasyonla internetten gelen http trafigi için oturumlar iç network ten başlatılmışsa izin verecektir.Fakat unutmamamız gereken bir şey internetten iç networkümüze doğru olan bütün trafiği extended Access-list ile deny etmemiz gerekir ki bunu da aşağıdaki uygulamada yapıyoruz;
Yukardaki bu iki konfigurasyonlarda CBAC ı çalıştırmaya başladık diyebiliriz,ancak biz burada bir iki uygulama üzerindede durucağız
Firewall umuzun üzerindeki olayları bir log server da tutmak için;
Firewall un half open olarak algıladığı oturum sayısı hangi değere ulaştığında oturumların drop edilmeye başlanacağı(high) ve hangi değere kadar (low) drop edilmeye devam ediliceğini göstermektedir.Default olarak high için 500 ve low için ise 400 dür,hemen bakalım aşağıdaki konfigimizde bu ayarları yapıcağız;
Ayrıca TCP ve UDP trafigi için idle-time süresi belirleyebiliriz.Bir tcp oturumu için idle-time süresi default olarak 1 saat,udp için 30 saniyedir;
Belirtilen süreler boyunca FİREWALL bir oturumda herhangi bir aktivite tespit etmemiş ise bu oturumları drop edicektir.
Bu arada HALF-OPEN NEDİR DERSEK?
Half-Open oturum bir istek ile başlatılmış fakat established duruma geçmemiş yani TCP THREE WAY HANDSHAKE tamamlanmamış demektir.