Cem Kemal Erbaş Cem Kemal Erbaş
IOS ZBF erişim kontrolü / kısıtlaması için kullanılan bir özelliktir. Bildiğimiz en temel kısıtlama yöntemi bir erişim listesi oluşturmak ve onu IN / OUT arayüzlerine uygulamaktır. Ancak, bölgeler ZBF’de oluşturulur. Arayüzler bölgelere dahil edilmiştir. Kısıtlama, bölgeler arasında erişim kuralları belirlenerek yapılır. Bu şekilde, daha ayrıntılı önlemler alınabilir. Profesyonel bir yapılandırma ile bir yönlendirici, güvenlik duvarına yakın bir verimlilik sağlayabilir.
Temel konseptler :
Security Zone:
Güvenlik bölgeleri, arayüzlerden veya arayüzlerden oluşan mantıksal alanlardır. Varsayılan olarak, yönlendiricinin tüm arayüzleri aynı bölgeye (otomatik bölge) kaydedilir. Bu nedenle, varsayılan olarak herhangi bir kısıtlama yoktur. Ancak, arayüzler farklı bölgelere kaydedilmişse, trafik varsayılan olarak bir bölgeden diğerine geçemez. Bunu başarmak için, bölge çifti (+ ilkesi) oluşturulmalıdır.
Zone-Pair:
Bölge çifti, bir bölgeden diğerine tek yönlü olarak tanımlanan güvenlik duvarı politikalarıdır. Bölge çifti sayesinde, ACL’ler altındaki trafik akış yönünü belirtmeye gerek yoktur. Çünkü burada zaten bir yön var. Bu nedenle kurallar sadece protokollerle oluşturulabilir. İki taraflı akan trajik bir çift bölge çifti tanımlamaya gerek yoktur. Tek bölge yeterli.
Zone Policy :
Bölge politikası bölgeler arasında uygulanacak kurallardan oluşur. QB’yi yapılandırırken izlediğimiz yöntemlerden biri olan MQC’ye benzer şekilde ZBF’yi yapılandırıyoruz. Tek fark, sınıf haritası ve politika haritalarının inceleme türü olmasıdır. Bu inceleme tipi haritalarla derin paket analizinin seviyesi
ne kadar detay mümkün.
//HEDEF: Kurum güvenliğini sağlayacak ZBF FIREWALL yapılandırmasını tamamlayın.
ZONE’LAR: INSIDE , OUTSIDE
INTERFACE’LER:
Fa 0/0 –> INSIDE ZONE
Fa0/1 –> OUTSIDE ZONE
POLICY: Dışarı yönlü Tüm HTTP, DNS, SMTP servisleri inspect et.
Router(config)# hostname R1
R1(config)# interface FastEthernet 0/0
R1(config-if)# ip address 10.0.0.1 255.0.0.0
R1(config-if)# description INSIDE
R1(config-if)# no shut
R1(config-if)# interface FastEthernet 0/1
R1(config-if)# ip address 20.0.0.1 255.0.0.0
R1(config-if)# description OUTSIDE
R1(config-if)# no shut
R1(config-if)# exit
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
Adım 1- Zone’ların Tanımlanması
Adım 2- Trafiğin Tanımlanması (class-maps)
Adım 3- Aksiyonun Tanımlanması (policy-maps) (inspect, pass, drop)
Adım 4- zone pair (zone çifti) yaratıp, Service Policy’nin Uygulanması
Adım 5- Zone’ların interface’lere atanması
ADIM 1- ZONE’LARIN TANIMLANMASI
R1(config)#zone security INSIDE
R1(config-sec-zone)# zone security OUTSIDE
R1(config-sec-zone)# exit
ADIM 2- TRAFİĞİN TANIMLANMASI (CLASS-MAPS)
R1(config)#class-map type inspect match-any MY_CLASS
R1(config-cmap)# match protocol http
R1(config-cmap)# match protocol dns
R1(config-cmap)# match protocol smtp
ADIM 3- AKSİYONUN TANIMLANMASI (POLİCY-MAPS) (İNSPECT, PASS, DROP)
R1(config-cmap)#policy-map type inspect MY_POLICY
R1(config-pmap)# class type inspect MY_CLASS
R1(config-pmap-c)# inspect
R1(config-pmap-c)#end
ADIM 4- ZONE PAİR (ZONE ÇİFTİ) YARATIP, SERVİCE POLİCY’NİN UYGULANMASI
R1(config)#zone-pair security IN-to-OUT source INSIDE destination OUTSIDE
R1(config-sec-zone-pair)# service-policy type inspect MY_POLICY
R1(config-sec-zone-pair)# end
ADIM 5- ZONE’LARIN İNTERFACE’LERE ATANMASI
R1(config)#interface fa 0/0
R1(config-if)# zone-member security INSIDE
R1(config-if)#interface fa 0/1
R1(config-if)# zone-member security OUTSIDE
Kontrol Komutu:
R1# show policy-map type inspect zone-pair sessions
Zone-pair: IN-to-OUT
Service-policy inspect : MY_POLICY
Class-map: MY_CLASS (match-any)
Match: protocol http
6 packets, 249 bytes
30 second rate 0 bps
Match: protocol dns
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol smtp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Established Sessions
Session 430688704 (10.0.0.11:1025)=>(20.0.0.11:80) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:04, Last heard 00:00:04
Bytes sent (initiator:responder) [326:575]
Class-map: class-default (match-any)
Match: any
Drop (default action)
0 packets, 0 bytes
