CISCO Networks Security Configuration

CCNA Ana Sayfa | CCNA Nedir?
ROUTER Nedir? | IOS | MODELLER | Uygulamalar
Yönlendirme Türleri | STATIK YÖNLENDIRME | RIP | IGRP | EIGRP| OSPF
Nedir? | Kurulum | Yapilandirma | Uygulamalar
Access List | VPN Security | NAT (Network Address Translation) | Uygulamalar
Nedir? | Kurulum | Yapilandirma | Uygulamalar
Nedir? | Kurulum | Yapilandirma | Uygulamalar
Nedir? | Kurulum | Yapilandirma | Uygulamalar
Nedir? | Kurulum | Yapilandirma | Uygulamalar

Cisco Pix Firewall

Cisco Pix Firewall Configuration

(Konuyu hazırlayan Cana Yüzak)

PIX FIREWALL

ASA:
PIX "Stateful" kontrol yaratmak icin kullanılan bu algoritma ile, dışarıdan iç(korunan) ağ'a doğru gelen her paketi ASA ve hafızada tutulan bağlantı durumu bilgisini kontrol eder. TCP protokolü gereği korunan ağlardan yapılmış bir isteğe cevap niteliği taşıyan paketler, ya da korunan ağlarda bulunan sunuculara (örneğin WEB) doğru gelen istekler dışındaki paketleri keser, izin verdigi paketlerin de paket yapısını kontrol edip içeri geçirir. Bu tarz bir güvenlik sistemi diğer firewall sistemlerine göre daha emniyetli kabul edilmektedir.

Özellikle izin verilmezse bütün ICMP paketleri kesilir.
UDP protocolu için de TCP'de olduğu gibi bir "istek yapan ip - cevap veren ip" tablosu oluşturulur.
Ve bu tabloya yazılmış bir bağlantı durumuna ait olmayan bütün paketler kesilir.
NOT: Check Point 'de de buna benzer bir sistem kullanılmaktadır.


Nat ve Pat

PIX diğer bütün firewall'lar gibi Nat (Network Address Translation) yapabilmektedir. Dinamik Nat icin DHCP sunucu kullanılabilir.
Pat yani port address translation yapılabilir.

Cut-through Proxy
Performansı artırma amacı taşıyan bu uygulama ile, bir kimlik tanılama sunucusu tarafından onaylanan kullanıcılardan PIX'e gelen paketler, diğer tüm firewall'lardan farklı olarak OSI katmanındaki 7.ci seviye olan uygulama (application) seviyesinde kontrol edilmeksizin doğrudan paket akışına tabii olurlar. 7.ci katman uygulamalarının kontrolu zaman ve kaynak tüketen bir uygulama oldugu icin, Cut-through proxy imkanına hak verilmiş kullanıcılar için önemli oranda performans artırımı sağlanmış olur.


Access Control


PIX üzerinde, ağ kullanıcılarına, 3 ayrı şekilde hak tanımı yapılabilir.

AAA Integration:
Radius ya da TACACS sunucular ile PIX'in entegre edilmesi                      mümkündür. Sunucularda tanımlanan kullanıcılara, "User" (kullanıcı)      bazında haklar verilebilir.

Access Lists:
PIX uzerine Access-list (erişim listesi) yada access-group komutları ile yazılan access-list'lerle ip bazında haklar tanımlanabilir.

Conduit :
Access-list'lerle aynı işlevi gören conduit ve outbound komutları ile ip bazında haklar tanımlanabilir. Ancak access-listler daha çok tercih edilmektedir.


Ataklardan Korunma

PIX ile ağ aktivitesi gereğince yapılabilecek, aşağıdaki belli başlı bazı atak türlerinden korunma sağlanabilir. Bunlara ek olarak PIX üzerinde kısıtlı bir atak türü (signature) veritabanı ile IDS savunması yapılabilmektedir. Bu konu sonraki bölümlerde anlatılacaktır.


Unicast Reverse Path Forwarding:
"Reverse Route Lookup" olarak da bilinen bu özellik ile içerden ve dışardan kaynaklanabilecek "Ip Spoofing" aktivitesini engellemeye yardımcı olmak amaçlanmıstır. Dışardan gelen paketler icin "source address" uyumlulugu kontrol edilir.Yani iç ağa ait bir "source ip" ile dışardan gelinemez. Ayrıca dışarı doğru giden paketlerin hedef ip'ye varsa en kısa yoldan gitmeleri amaçlanır. Tabii ki bunun icin route tablosuna hedef ip için tanımlama yapmak gereklidir.

SPOOFING:
FİZİKSEL TA DA DONANIMSAL ADRESİN YANLIŞ GÖSTERİLMESİDİR.BU SAYEDE HEDEF,KAYNAĞI GÜVENİLİR BİR ADRES SANABİLİR.

Flood Guard:
Bu özellik AAA servisinin cevaplanmayan login girişimlerindeki bekleme süresini kontrol eder. Böylece AAA servisi üzerinden gelebilecek bir DoS (denial of service) atağını engellemek amaçlanır. Ve AAA servisinin optimum şekilde kullanılması sağlanır.
Default olarak aktiftir, floodguard 1 komutuyla kontrol edilir.

Flood Defender:
Bu özellik iç sistemlere TCP SYN paketleri kullanılarak yapılabilecek DoS ataklarına karşı geliştirilmiştir. Nat ve static komutlarına "maximum embryonic connections" opsiyonu set edilerek kullanılır. Bir iç sistemle kurulabilecek maksimum bağlantı sayısı ("maximum embryonic connections") sistemin kapasitesine göre belirlenir, bu sayı aşıldıktan sonra başka bağlantıya izin verilmez.

FragGuard and Virtual Re-Assembly:
Bu özellik ile "teardrop.c" gibi saldırılarla bölünmüş ve bozulmuş ip paketlerinin sistemlere zarar vermesini engellemek amaçlanmıstır. PIX üzerinden yönlendirilen bozuk yada yarım paketler, sanal olarak düzeltilir ya da tamamlanır.
Aksi halde drop edilir. Bu özellik default olarak açıktır.

DNS Control:
Her zaman aktif olan bu özellikle iç ağdaki bir makinadan birden çok DNS sunucusuna yapılmış DNS isteğine, verilen ilk cevabın kabul edilmesi sağlanır. Diğer sunucuların cevapları kesilir.

ActiveX Blocking:
PIX, activex bloklama özelliği ile HTML web sayfasındaki HTML <object> komutlarını bloke eder. Bilindiği gibi ActiveX teknolojisi ağ kullanıcıları için pek çok potansiyel problem içermektedir.

Java Filtering:
Bu özellik korunan ağdaki bir sistemin, Java Aplet'lerini download etmesini engellemek için kullanılır.

Url Filtering:
PIX, NetPartners Websense ürünü ile beraber çalışarak Url Filtreleme yapmaktadır. Dışa doğru olan Url istekleri Websense sunucusuna yönlendirilir. Ve PIX Websense sunucu üzerinde tanımlanmış Url kurallarına(policy) göre davranır.

 

Uygulamalarda kullanılacak network şeması

 

 

 

 

 

 

 

 

 

 

 

 

 

| | | | ©2009 A. Alper Şahan