Cem Kemal Erbaş Cem Kemal Erbaş
CBAC Özellikleri
Cisco IOS Güvenlik Duvarı’nın açık kimliğinin bir özelliği olan CBAC, uygulama katmanı bilgilerine göre TCP ve UDP paketlerini filtreler. Uygulamaya özel protokollerde, çoklu ortam uygulamalarında ve birden çok kanal gerektiren uygulamalarda, CBAC uygulama katmanı filtrelemesi yapar.
CBAC dört ana odada bulunur: trafik filtreleme, trafik izleme, izinsiz giriş tespiti, muayene kaydı ve uyarı.
Trafik Filtreleme:
CBAC, bağlantıların güvenlik duvarı üzerinden ağ bağlantısı üzerinden başlatılmasına izin vermek için yapılandırılabilir. ACL yaprak içinde geçici açılımlar yapar. CBAC ağ ve taşıma katmanı bilgisine göre değil aynı zamanda filtreleme menüsündeki uygulama katmanı bilgisine göre de filtreleme yapmaz.
Trafik kontrolü:
Kontrol edilen paketlerin oturum bilgileri CBAC’ın uygulama katmanında incelenmiştir. Bu bilgiler SYN-Taşkın Saldırısı gibi saldırılardan korunmaktadır. Denetleyicilerdeki TCP paketlerinin sıra numarası şüpheli çanak çömlek atar ve bu numaraların kabul edilebilir bir aralıkta olup olmadığını gösterir. DoN saldırıları engellenir.
İhlal Tespiti:
Bazı karakteristik saldırılar belirli özelliklere sahiptir. CBAC tarafından açıklananlar ve sistem günlüğü mesajı çıkarılır.
Denetim Kaydı ve Uyarı:
CBAC, güvenlik duvarının durumu hakkında bilgi sağlamak için gerçek zamanlı denetim günlükleri ve uyarılar oluşturur. Bu, kaynak ve hedef makineler, kullanılan bağlantı noktaları, taşınan veri miktarı ve diğer birçok özellik hakkında bilgi sağlar.
Not: CBAC, yalnızca yönetici tarafından belirtilen protokollerin denetlenmesinden sorumludur. Diğer protokollerin durumu mevcut ACL’ler tarafından kontrol edilir. Yalnızca güvenlik duvarından geçen saldırılar algılanabilir. Cisco IOS güvenlik duvarından geçmeyen saldırılar tespit edilemez.
CBAC Nasıl Çalışır?
CBAC aktif olmadığında, ACL’ler ağ ve taşıma katmanlarında filtreleme yapar. Ancak CBAC bir oturumun tüm dinamik uygulamalarını tanıyabilir. Aktif bağlantılar için durum tabloları oluşturur. Dinamik ACL’ler bu durum tabloları vasıtasıyla yaratılır ve böylece paket geçişleri kontrol edilir.
Güvenlik duvarı arayüzlerinde ACL’lerde içeriden dışarıya başlatılan trafik için geçici ACL’ler oluşturulur ve bu geçici ACL’lerden dönen trafiğin bu başlatılan trafiğin parçası olup olmadığını girmesine izin verilir. Aksi takdirde, harici trafik engellenir.
CBAC çalışma mekanizması aşağıdaki gibi birkaç adımda tanımlanabilir:
1-Korunan ağımızdan trafik oluşturulduğunda, yönlendiricimizden geçen bir ACL varsa ACL çalıştırılır. ACL pakete izin vermezse, paket atılır ve izin verirse CBAC denetim kuralları uygulanır.
2- Cisco IOS Yazılımı, bağlantıyı CBAC denetim kurallarına uygun olarak inceleyebilir. Eğer başlatılan trafik kontrol edilmezse, paketin geçmesine izin verilir, bilgi toplanmaz. Başlatılan trafik izleniyorsa, bir sonraki adım devam eder.
3- Bağlantı mevcut durum tablosu ile karşılaştırılır. Bağlantı zaten mevcut değilse, bir giriş eklenir. Bağlantı zaten mevcutsa, bağlantı zamanı sıfırlanır.
4- Yeni bir giriş eklenirse, giriş arayüzüne giriş yönünde dinamik ACL eklenir. Bu ACL, başlatılan trafik paketlerinin döndürülmesine izin verir. Bu açılış, yalnızca geçerli oturum açık olduğunda etkindir. NVRAM’da dinamik ACL ile kaydedilmemiş.
5- Oturum sona erdiğinde, dinamik ACL ve durum tablosundaki dinamik bilgiler silinir.
Router> enable
Router# configure terminal
Router(config)# interface FastEthernet 0/0
Router(config-if)# ip address 10.0.0.1 255.0.0.0
Router(config-if)# description INSIDE
Router(config-if)# no shut
Router(config)# interface FastEthernet 0/1
Router(config-if)# ip address 20.0.0.1 255.0.0.0
Router(config-if)# description OUTSIDE
Router(config-if)# no shut Router(config-if)# exit
DIŞARIDAN GELEN TÜM TRAFİĞİN YASAKLANMASI
Router(config)# ip access-list extended GIRIS_YASAK
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface FastEthernet 0/1
Router(config-if)# ip access-group GIRIS_YASAK in
Router(config-if)# exit
CBAC INSPECTION KURALLARININ OLUŞTURULMASI (TCP, UDP, ICMP vb.) (AYRICA L7 inspection’da yapılabilir. Telnet, FTP, IMAP, SSH vb.)
Router(config)# ip inspect name TAKIPET tcp
Router(config)# ip inspect name TAKIPET udp
Router(config)# ip inspect name TAKIPET icmp
INSPECTION KURALININ INTERFACE’E ÇIKIŞ YÖNÜNDE UYGULANMASI
Router(config)# interface FastEthernet 0/1
Router(config-if)# ip inspect TAKIPET out
Router(config-if)# end
Kontrol Komutları:
- show ip inspect interface
- show ip inspect sessions
(Sunucuya ping ve http ile erişilip hemen arkasından
“show ip inspect sessions” komutu çalıştırılır. Komut çıktıları aşağıdaki gibidir.
CBAC YAPILANDIRMASININ DOĞRULANMASI:
Router# show ip inspect interface
Interface Configuration
Interface FastEthernet0/1
Inbound inspection rule is not set
Outgoing inspection rule is TAKIPET
tcp alert is on audit-trail is on timeout 3600
udp alert is on audit-trail is on timeout 30
icmp alert is on audit-trail is on timeout 10
Inbound access list is GIRIS_YASAK
Outgoing access list is not set
Router# show ip inspect sessions
Router# show ip inspect sessions
Established Sessions
Session 435003024 (10.0.0.11:8)=>(20.0.0.11:5) icmp SIS_OPEN
Router# show ip inspect sessions
Established Sessions
Session 428383168 (10.0.0.11:1026)=>(20.0.0.11:80) tcp SIS_OPEN
