Cisco System

InterVLAN Routing

2008-04-27T22:56:38Z

Pratikte ağ topolojimizi cihazları farklı fiziksel switchlere bağlayarak ta kurabiliriz.Bu durumda oluşturduğumuz subnet'leri birbirleri ile görüştürebilmek için router'ımızda switch sayısı kadar ara yüz olmalıdır. Buda hem fazla switch kullandığımız hem de router'a fazla interface takmamız gerektiğinden maliyeti arttıracaktır.VLAN yapısı burada devreye girmektedir.

VLan yapılandırırken bazı kavramlar karşımıza çıkmaktadır ve önce bunlardan bahsedelim.

Broadcast Domain

Broadcast domain'i aynı IP subnetinde (ağında) herhangi bir bilgisayarın yada diğer cihazların router a uğramak zorunda olmadan birbirlerine veri transferi yapabildikleri bir mantıksal network(ağ) segmentidir. Vlan yapılandırması ile broadcast domain'nini küçültürüz.

Trunk

Burada kullanılan anlamıyla trunk, 2 switch arasında yada switch ile router arasında çoklu Vlan trafiğini bir protokol ile (VTP) taşıyan hattır.Başka bir deyişle aynı hat -kablo- üzerinde çok sayıda Vlan ın haberleşebilmesini saglayan yapıdır. Bir hattan fazla vlan bilgisini geçirebilmek için çokça kullanılan IEEE 802.1Q yada ISL protokollerinden birini kullanabiliriz.ISL, Cisco'ya özel bir protokoldur.

VTP -Vlan Trunking Protocol-

VTP, Vlan ekleme,silme,yönetme konusunda kullanılan protokoldür ve yönetimsel eforu oldukça hafifletmektedir. VTP bilgilerinin switchler üzerinde bulunan aynı VTP domainlerine taşınması ile her VLAN ın her switchte oluşturulmasına gerek kalmaz.Vlan bilgileri (VTP advertisements) ISL , 802.1Q, IEEE 802.10 yada LANE trunk hatlarından yollanır.

Şimdi Vlan'lar arası yönlendirmenin (routing) nasıl çalıştığından bahsedelim.

Farklı Vlan'lardaki ağ cihazları router'ın yönlendirmesi olmadan birbirleri ile görüşemezler. SwitchA da bulunan Vlan 10 daki A ve B istemcisinin switchB de bulunan Vlan20 deki C istemcisi ile görüşmesi için bir yönlendirici gerekmektedir. Alttaki şekillerde ise Vlan lar yine bir trunk hattı üzerinden görüşüyor.

Sağdaki şekilde router ın bir fiziksel ethernet interface i üzerinde 2 tane alt interface oluşturarak trunk hattı üzerinden vlan 10 ve 20 nin kullanımına sunulmalıdır. Böylece router, vlan 10 den gelen ve vlan 20 ye gitmesi gereken paketi routing table ına bakarak uygun alt interface inden gönderebilir.

Başarılı bir vlan yapısı için Vlan trunking protocol düzgün yapılandırılmalıdır. VTP ile vlan lar için ; switchlerin hangi modda çalışacağını , hangi domain’e üye olduklarını, pruning’in açık yada kapalı olma durumunu yapılandırırız. Aynı domain içindeki VTP bilgilerinin switch’ler arasında kopyalanacağını unutmamak gerekir.

Pruning, switch’lere gelen ve alakasız yerlere giden trafiği keserek bant genişliğini daha efektif kullanmamızı sağlar.

Şekle bakacak olursak SW1’ ve SW4 e bağlı RED isimli vlan ı görmekteyiz. Alttaki bilgisayar broadcast paketlerini SW1 e gönderdiğinde SW1 görüldüğü gibi bu broadcast’ her yere ulaştırır. Halbuki sadece SW1 ve SW4 ün ışında port’ları RED isimli Vlan’a üye olan switch yoktur. Varsayılanda kapalı olan VTP Prunning server modda çalışan switch’te açılırsa alakasız trafik engellenmiş olur.Aşağıdaki şekilde görülebilir.

Yönetimsel amaçlı kullandığımız VLAN 1 in trafiği pruning tabi değildir !

Vlan 10 , Vlan 20 ve Vlan 30 dan oluşan konfigürasyonumuza geçebiliriz. Yapımızda; bir router , 2 switch ve 3 faklı vlan da bulanan 3 adet test cihazım (test amaçlı router kullanıyorum) bulunmaktadır.

172.19.20.0 / 24 bloğunu kullanacağız. Öncelikle bloğu parçalayarak vlan’lara tahsis edelim.

Vlan 10 da 11 istemcim olsun. 172.19.20.0 / 28 subnetini kullanırsam yeterli miktarda ip elde ederim. Vlan 10 için ağ geçiti (gateway) 172.19.20.14 /28 ip si olabilir.

Vlan 20 de 3 istemcim olsun. 172.19.20.16 / 29 subnetini kullanırsam sorun olmayacaktır. Vlan 20 için ağ geçitim 172.19.20.22 / 29 ip’si olabilir.

Vlan 30 de 1 istemcim olsun. 172.19.20.24 / 32 sunbetini kullanabilirim. Vlan 30 için ağ geçitim 172.19.20.26 / 32 ip si olabilir.

Test amacıyla kullanacağım routerlara isimlerini ve ip lerini vererek başlayalım.

R1 vlan 10 da bulunmaktadır

R2 vlan 20 de bulunmaktadır

R3 vlan 30 da bulunmaktadır.

R1 172.19.20.1 / 28 ipsini kullanıyor.

R2 172.19.20.17 / 29 ipsini kullanıyor.

R3 172.19.20.25 / 32 ipsini kullanıyor.

R1 isimli router’ın ismini ve ip sini yapılandırdık.

R2 isimli router’ın ismini ve ipsini yapılandırdık.

R3 isimli router’ın da ismini ve ip’sini yapılandırdık. Şimdi bu 3 router’ın bağlı bulunduğu SW1 e geçerek ismini verelim ve komşularını görüntüleyelim.

Client modunda çalışacak olan switch e ismini -SW1- verdik ve komşularını görüntüledik.Burada üstte görünen switch ileride SW0 olacak olan switch’tir. İlgili portlarından test amaçlı olarak kullanacağımız router lara bağlı olduğunu görebiliriz. Artık server modda çalışacak ve ismi SW0 olacak olan switch e geçerek vlan yapımızı oluşturalım.

İlgili vlan larımızı SW0 da oluşturduk. SW0 server modunda çalışmakta ve domain adımız CISCO olarak yapılandırılmıştır. Vlan larımızı görüntülemek istersek #show vlan komutunu kullanabiliriz.

Show komutunun çıktısı üstteki şekildedir. Bu bilgilerin diğer switch e taşınabilmesi için onda da ilgili ayarlarımızı yapmalıyız. Client modda olduğunu , domain bilgisini SW1 de yapılandırmalıyız. Bunları orada yapılandırmak yetmeyecektir. Trunk hatlarını belirlememiz ve yapılandırmamız gerekmektedir. SW0 in her iki interface’i , SW1 in ise SW0 a bakan interface i trunk olmalıdır. Ardından SW1 e SW0 dan bilgilerin gittiğini görebiliriz. Şimdilik SW0 ile SW1 in birbirlerine bakan interfacelerini trunk moduna alalım daha vlan lar arası haberleşmeyi sağlayacak R0 ı devreye alacağız. Öncelikle SW0 da ve SW1 de komşulara bakalım ve hangi interface i seçeceğim karmaşasından kurtulalım.

SW1’de de komşulara bakalım. Burada henüz R0’ı göremiyorum çünkü yapılandırmadım.

SW0’ın komşuları da görünmektedir.

Üstteki resimlerden bakacak olursak SW1’in 0/1 no lu portundan SW0 a bağlı olduğunu görebiliriz dolayısıyla burada trunk çalışacaktır.

Yine SW0 in SW1 e giden 0/2 no lu interface inde trunk çalışmalıdır.

Trunk portlarını yapılandırdık. (SW1 in R0 a giden interface’i de trunk portudur ileride yapılandıracağız)

SW1 e CISCO domainde olduğunu ve client modda olduğunu söyleyelim ve ardından Vlan bilgilerini görüntüleyelim.

Artık SW1 de vlanlarımızı görebiliriz. Yine #show vlan komutu işimizi görecektir. Bu komutu her iki switch te çalıştırıp çıktılarını inceleyelim.

SW1 de;

SW0 da ;

Görüldüğü gibi SW0 dan SW1 vlan bilgilerimiz geçmiştir. Şimdi de Her iki switch te VTP yapısına bakalım. Bunun için #show vtp status komutunu kullanacağız.

SW0 da;

SW1 de;

Her iki switch deki vtp durumu üstteki gibidir.

Şimdi sıra SW1 de test cihazlarımı vlan lara dahil etmeye ve ilgili portları access port olarak belirlemeye geldi. SW1 de test cihazlarımıza giden port lar erişim portları olmalıdır. SW1 in komşularına bakarsanız 0/4 , 0/8 ve 0/11 nolu portarının erişim portaları olması gerektiğini görebilirsiniz. 0/4 portu vlan 10 a , 0/8 no lu portu vlan 20 ye, 0/11 no lu portu vlan 30 a dahil edelim.

İlgili portaları ilgili vlan lara atadık ve erişim portları olduğunu belirledik. Henüz birbirleri ile görüşemeyecekler. Çünkü her üç test cihazımızda farklı ağlarda bulunmaktadır. O halde R0’ı yapılandırabiliriz. R0’ın SW0 a bakan fiziksel interface’i üzerinde 3 adet alt interface açacağız ve iplerini daha önce belirlediğimiz gibi vereceğiz. Encapsulation’ı da belirleyeceğiz. Ne tür encapsulation yöntemleri kullanılabileceğini başta belirtmiştik. Burada dot1Q kullanacağız. Yapılandırmaya geçelim.

R0’ın yapılandırması

Görüldüğü gibidir. SW0’da artık R0 a bakan portu trunk’a alabiliriz.

SW0’da R0 a giden taraf ta trunk’a alınmıştır. Artık vlan’larımız birbirleri ile görüşebilir.Burada senaryomuza özel bir durumu açıklamak gerekebilir. Senaryoya bağlı kalarak uygularsanız R0'da vlan'larımızdaki test amaçlı kullandığımız routerlara ping atabilirsiniz buda vlan yapımızın başarılı olduğunu gösterir.Ama test amaçlı kullandığımız R1,R2,R3 den şu halleri ile birbirlerine ping atamazsınız. Çünkü herhangi bir routing protokolü yapılandırmadık!!!

Cisco PIX 501’in internet erişimi ve Remote Desktop Bağlantı konfigurasyonu

2008-04-03T20:05:00Z

Merhabalar arkadaşlar. Bu makalemizde sizlerle Cisco firmasının üretmiş olduğu ve piyasada güvenlik amaçlı kullandığımız cihazlardan birisi olan Cisco PIX 501 konfigürasyonunu ele alıcaz.

Bildiğimiz gibi dünya üzerindeki network alt yapısının %85’e yakın bir kısmı Cisco firmasının üretmiş olduğu network cihazları sayesinde iletişim kurmaktadır. Kurumsal anlamda da ele alırsak Cisco aynı başarısını sürdürmektedir.

Cisco PIX ile neler yapabiliriz?

Cisco PIX küçük işletmeler için enterprise sınıfında güvenlik hizmeti verebilen bir cihazdır. Broadband olarak tanımladığımız özellikle ADSL internet erişiminin kullanıldığı işletmelerde sürekli açık olucak şekilde güvenliği sağlayan bir cihazdır.

Adaptive Security Algorithm (ASA) tabanlı durumsal güvenlik taraması yapabilir.

Önceden tanımlanmış 100’ün üzerinde uygulama,servis ve protokolü erişim kontrolünde kullanabilir.

IKE/IPSec standartlarına uygun bir şekilde güvenli bir uzak bağlantı olan Virtual Private Network (VPN) yapısını oluşturabilirsiniz.

55’in üzerinde network tabanlı saldırılara karşı önlemler alınabilir.

Üzerinden geçen WEB trafiğini temel yada ana hatlarıyla yada ek bir üçüncü parti yazılımla filtrelemeye tabi tutabilirsiniz (URL filtering).

Kendi üzerinde gelen etegre edilmiş switch özelliği ile tek bir bağlantıyı birden fazla kişinin kullanımına açabilirsiniz.

Cisco PIX donanımsal ve yazılımsal olarak nelere sahiptir?

Aşağıdaki resimde de görüldüğü gibi küçük ama işlevleri iyi olan görevini sizin verdiğiniz talimaltlarla katı bir şekilde yerine getiren bir kutu olarak karşınıza çıkıcaktır.

Harici bir güç ünitesine sahiptir. Dışarıdan bir kablo ile beslenir.

133 MHz bir CPU’ya sahiptir.

16 MB RAM ve 8 MB flash RAM’e sahiptir.

Bağlantılarda dış bacak (outside) olarak kullanılacak 1 tane 10/100 Mbps Ethernet arayüzüne sahiptir. (port 0). Üzerinde 4 adet de 10/100 Mbps port vardır. Bunları da LAN bağlantılarında kullanıcaz.

Konfigürasyonlarımızı üzerinde gelen seri konsoldan da gerçekleştirebiliriz.

Her cihazda olduğu gibi ön panelde ışıklarımız mevcut.

PIX firewall V 6.1 yazılımı destekler.

Konfigürasyonu basitleştirmek için üzerinde basit bir konfigürasyon vardır.

Cisco PIX Device Manager (PDM) vardır ve web tabanlı konfigürasyon da gerçekleştirilebilir. Ancak Java yüklü olmalı. Ben www.java.com ‘dan en son versiyonu indirdim kurdum ve sorunsuz bir şekilde konfigürasyonumu yaptım.

Sınırlı ve sınırsız lisanslama ile kullanıcılarınızın durumunu belirleyebilirsiniz. 50 kullanıcılı bir lisans paketi alabilirsiniz. Yada sınırsız bir lisans alıp limitlere takılmazsınız.

Inernal bir DHCP server vardır. DHCP server lisanslama ile bağlantılı bir şilde çalışır. 10 kullanıcılı bir lisans aldıysanız DHCP 32 adres dağıtıcaktır. Eğer 50 kullanıcılı aldıysanız 128 adres dağıtılıcak ve sınırsız lisans alırsanız da 256 ip dağıtımı gerçekleştirebilir.

10 tane Remote Access ve site-to-site VPN bağlantısına izin verir.

Bu kadar tanıtım yeter. Artık yavaş yavaş konfigürasyonumuza geçelim. Ilk once firewallımız firmamızda nereye koyucaz bununla ilgili bir karar vermemis gerekiyor. Bunun için de aşağıdaki resimde de görüldüğü gibi tamamen organizasyonumuzun yapısına bağlı kalarak bir firewallımızı nereye koyacağımıza karar verebiliriz.

Ben firewallımı aşağıdaki gibi yerleştirdim.

Cisco PIX 501’in konfigürasyonunu iki farklı şekilde yapabilrisiniz. Bunlardan birincisi komut girişi gerçekleştirerek ve ikincisi ise web arayüzünü yada cihaz ile birlikte gelen program sayesinde yapabilrisiniz. Biz Web arayüzünden gerçekleştiricez. Bunun için öncelikle https://192.168.1.1 adresinden cihaza web tarayıcımız ile bağlanmamız lazım. Cihaza bağlandıktan sonra karşımıza aşağıdaki pencere gelicektir.

Bu kısımda karşımıza çıkan sertifika yüklenmesi ile ilgili kısımda YES diyoruz ve diğer aşamaya geçiyoruz. Bu pencerenin karşımıza çıkmasının nedeni Cisco PIX’in web arayüzünün “https” tabanlı çalışmasıdır. Burda YES dedikten sonra karşımıza artık cihazın ana menüsü diyebileceğimiz pencere gelecektir.

Yukarıdaki arayüzde cihaz ile ilgili temel bilgiler mevcut. Aygıt durumu,VPN durumu,Sistem kaynak durumu ve Ethernet arayüzlerle ilgili bilgiler görülmektedir. Bunlara ek olarak birde cihaz üzerindeki trafik hakkında da temel bilgiler sunmaktadır.

Şimdi temel konfigürasyona bir bakalım ve cihazın sunacağı hizmetleri adım adım ayarlayalım. Bütün bu ayarları arayüzden yapabildiğimiz gibi aynı şekilde konsoldan cihaza bağlanarak da yapabiliriz ancak konsoldan konfigürasyon yapabilmek için iyi bir cisco’cu olmak lazım. Ayrıca komutlarını bilmek ve uygun bir şekilde girişini gerçekleştirmek gerekir. Makalenin sonunda komut satırından yapılmış bir konfigürasyon örneği vericem onu inceleyebilirsiniz.

Cisco cihazı ile birlikte gelen Cisco Pix Device Manager yazılımındaki Wizard’I kullanarak temel Cisco Pix konfigürasyonumuzu gerçekleştiricez. Bunun için Menü çubuğunda bulunan Wizards tabında bulunan Startup Wizard’I kullanıcaz. Ayrıca orda VPN Wizard da mevcut. VPN konfigürasyonunuzu da basit ve hızlı bir şekilde sağlayabilirsiniz.

Konfigürasyon için wizardın seçilmesi ve devam edilmesi.

Daha sonra karşımıza aşağıdaki gibi bir pencere gelicektir.

Yukarıdaki pencerede cihazımızla ilgili isimlendirme ve cihaza girişte bizden isteyeceği şifreleri tanımlıyoruz. Ilk aşamada cihaza girişte bizden hiçbir şekilde şifre istemez default değerler boştur. Ancak cihazımızın güvenliğini sağlamak için buraya şifre girmemiz gerekiyor. Yok benim cihazıma kimse girmez deyip buraları boş bırakmayın mutlaka bir şifre girin. Isimlendirmesini de istediğiniz gibi verebilirsiniz. Bütün bunları tamamladıktan sonra diğer adıma geçiyoruz.

Bu kısımda da cihazımızın dış bacak (outside) yani ADSL modeme bağlı olan arayüzünün konfigürasyonunu yapıyoruz. Speed (hız) seçimini gerçekleştiriyoruz.

IP Adresi kısmında cihazımızın dış bacağına (outside) gelicek ip bilgisini tanımlamamız gerekiyor. Burda 3 farklı seçim mevcut ve bize en uygun olanı tercih etmemiz gerekir.

1)Use PPPoE: burda adsl modemimizin çalışma modunu bridge olarak ayarlayıp Cisco PIX’in PPPoE gibi kullanabiliriz ve modemle işimiz olmaz artık.

2)Use DHCP: cihazımızın dış bacağına gelicek olan ip’nin DHCP tarafından atanmasını istiyorsak bu seçimi kullanabiliriz. Ancak modem üzerindeki DHCP aktif olamalı.

3)Static IP Address: bu kısımda da biz cihazımıza static (manuel) bir IP girişi gerçekleiştiriyoruz. Ayrıca bu arayüzün ağ maskesi ve ağ geçidini de tanımlıyoruz ki erişimi gerçekleştirebilsin.

Bu kısıdamki ayarları da tamamladıktan sonra diğer adıma geçebiliriz.

Bu adımda da iç kısma (inside) IP dağıtımı gerçekleştiricek olan DHCP servisini configure edicez.

Başlangıç ve bitiş adreslerini tanımlayarak DHCP adres havuzunu oluşturuyoruz. Dikkat ederseniz 129 ile bitiyor. Bizim şuan ki cihazımız 50 kullanıcı lisanslı ve ben ordaki değerleri değiştirsem bile örnek olarak başlangıç ip 192.168.1.2 ve bitiş ip’si 192.168.1.200 dersem sistem otomatik olarak bitiş ip’ni 129’a geri çekecektir. Havuzu tanımladıktan sonra artık DHCP’nin istemcilere dağıtacağı seçenekleri girmemiz gerekiyor. Bu seçeneklerimiz de DNS bilgisi,WINS bilgisi,Alan adı ve kiralama süresi bilgileridir.

Artık iç kısımdaki istemcilerimize IP dağıtıcak servisimiz de hazır hale geldi veartık konfigürasyonumuz daha doğrusu wizard ile işimiz bitti. Diğer aşamalarda artık diğer tanımlamalarımızı yapıcaz. NAT olayının gerçekleştirilmesi vs. Kural tanımlamalarımıza baktığımızda ilk aşamada bütün trafik açık durumda.

Özel kurallar oluşturmak için yine wizardları kullanabiliriz. Bunun için karşımızda bulunan pencereden (yukarıdaki pencereden bakabilirsiniz) Access Rules,AAA (authentication, authorization, or accounting) ve Filter Rules kullanabiliriz. Bunlara ek olarak Translation Rules,VPN,Hosts/Networks ve System Properties kısımları da mevcuttur.

Örnek olarak biz firma dışından içerideki servera bağlanmak için gerekli olan 3389 nolu port yönlendirmesi için bir kural tanımlıcaz. Bunun için Access Rules kısmındayken yada Menü çubuğunda yer alan Rules tabından ekleyebiliriz. Karşımıza aşağıdaki pencere çıkıcaktır.

Yukarıdaki pencerede öncelikle kurala izin mi vericez yoksa kısıtlayacakmıyız ona karar veriyoruz. Daha sonra Source (kaynak)Host/Network kısmından bağlantının nerden geleceğini tanımlıyoruz. Dış bacaktan (outside) 0.0.0.0 seçili hangi IP’den gelirse gelsin. Ve daha sonra sağ tarafta bulunan Destination (hedef) Host/Network kısmında içerideki serverımızın bilgilerini giriyoruz. Burda ben 192.168.1.100 IP’sine sahip olan serverıma gidiş için bir kural tanımladım. Protokol yada servis kısmında ise kullanılan protokolü ve hedef portu seçiyoruz. TCP ve 3389 olarak bunları da tanımlıyoruz. Daha sonra OK deyip çıkıyoruz. Ve cihazımızın son haline bir bakalım.

Şekilde de görüldüğü gibi kuralımız tanımlanmış durumda. Birde Translation Rules kısmına bakalım.

Daha sonra yapacağımız ise bütün bu ayarları kaydetmemiz lazım.

Menü çubuğunda bulunan “Save” butonuna basabiliriz yada File menüsünde bulunan “Save Running Configuration to Flash” deyip yapmış olduğumuz ayarları kaydediyoruz ve çıkıyoruz.

Bütün bunları yaptıktan sonra artık sıra dışarıdan bağlanmaya geliyor. Remote Desktop Connection’u açıyoruz.

IP adresini yazdıktan sonra Windows Vista karşımıza bir uyarı mesajı çıkarıyor.

Bu durumda “YES” deyip burayı da geçiyoruz ve karşımıza bağlandığımız serverın logon penceresi geliyor. Kullanıcı adınızı ve şifresini girdikten sonra artık işyerinizdeki serverınızda gezinmeye başlayabilirsiniz.

Konsoldan gerçekleştirilmiş bir konfigürasyon örneği:

Building configuration...

: Saved

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname cakmak

domain-name cakmak

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list RDPout_IN permit tcp any interface outside eq 3389

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside 10.0.0.10 255.255.255.0

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.100 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp interface 3389 192.168.1.100 3389 netmask 255.255.255.255 0 0

access-group RDPout_IN in interface outside

route outside 0.0.0.0 0.0.0.0 10.0.0.2 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.129 inside

dhcpd dns 192.168.1.1 10.0.0.2

dhcpd wins 192.168.1.1 10.0.0.2

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

Cryptochecksum:4ae129693b4aefbb830ba53b2498a2c5

: end

[OK]

Kaynakça:

1)Cisco Systems internet sayfası (resimler için kullandım)

2)Cihazın fiziksel ve yazılımsal özellikleri için cihazla birlikte gelen kullanım ve konfigürasyon klavuzunu kullandım.

3)Çözünpark (www.cozumpark.com) ‘daki arkadaşların yardımları.

Cisco ASA 5510' un Temel Konfigurasyonu

2008-04-03T19:52:00Z

Merhabalar arkadaşlar.

Bu sefer de değişik bir cisco ürünü olan Cisco ASA 5510 üzerinde biraz çalışacağız. Temel olarak yapacağımız işlemler;

1)İnternet trafiği bu cihaz üzerinden geçecek,

2)Güvenlik sağlanacak,

3)Uzak masa bağlantısı için gerekli ayarlamalar yapılacak,

4)Firma içerisinde kullanılan bir uygulamaya dışarıdan erişebilmek için gerekli olan ayarlar ve izinler tanımlanacaktır.

Şirketimizde 1 adet ADSL modem mevcuttur. Biz internet erişimini bu ADSL modem ile sağlayacağız ancak bütün trafik ASA üzerinden geçecektir. Bu durumda ADSL modem üzerinde de birkaç yönlendirme yapmamız gerekecektir. Onları da makalemizin devamında anlatacağım.

Cisco ASA nedir ne değildir? Bu cihaz ile neler yapılabilir? Öncelikle bunları bir inceleyelim;

Cihazımız yukarıdaki resimlerde görüldüğü gibidir. Kendisi ve modülleri ile birlikte.

-ASA = Adaptive Security Appliance demektir.

-Küçük,orta ve büyük ölçekli işletmelere gelişmiş seviyede güvenlik ve network servisleri verebilen bir cihazdır.

-Bu servisleri yönetmek ve uygulamak basittir. İster komut satırından isterseniz de cihazla birlikte gelen ve Cisco ASDM (Adaptive Security Device Manager) olarak adlandırılan program ile görsel olarak da cihazın konfigürasyonunu basit ve hızlı bir şekilde yapabilirsiniz.

-Yüksek seviyede firewall ve VPN (Virtual Private Network) hizmetlerini sağlayabilir.

-Değişik modülleri mevcuttur ve bu modülleri satın alarak sisteminizi daha da güvenli hale getirebilirsiniz.

Cisco ASA 5510’unun temel özellikleri aşağıdaki tabloda görüldüğü gibidir.

Feature	Description
Firewall throughput	Up to 300 Mbps
Concurrent threat mitigation throughput (firewall + IPS services)	· Up to 150 Mbps with AIP-SSM-10 · Up to 300 Mbps with AIP-SSM-20
VPN throughput	Up to 170 Mbps
Concurrent sessions	50,000/130,000*
IPsec VPN peers	250
SSL VPN peer license levels**	10, 25, 50, 100, or 250
Security contexts	Up to 5***
Interfaces	3 Fast Ethernet + 1 management port; 5 Fast Ethernet ports*
Virtual interfaces (VLANs)	10; 25*
High availability	Not supported; Active/Active, Active/Standby*

Cihaz hakkında bu kadar bilgi verdikten sonra artık yavaş yavaş konfigürasyonumuza başlayabiliriz. Ancak daha detaylı bilgi almak isterseniz aşağıdaki adrese bir gözatmanızı tavsiye ederim;

http://www.cisco.com/en/US/products/ps6120/products_data_sheet0900aecd802930c5.html

ilk olarak cihazımıza bağlantı sağlamamız gerekiyor.Bunu için cihazı düzgün bir şekilde sistem entegre etmemiz gerekiyor. ilk olarak modemden gelen kablomuzu outside (dışbacak) olarak belirlediğimiz Ethernet arayüzüne takıyoruz. Daha sonra inside (içbacak yada LAN) olarak tanımladığımız arayüze de kablomuzu takıyoruz. Eğer konsoldan girişler gerçekleştireceksek konsol kablosunu da serverımızın yada konfigürasyonu yaparken kullanacağımız makinanın com portuna takıyoruz ve hyper terminalden de bunu kullanarak konfigürasyon yapabiliriz. Bunların hepsini yağtığımızı farzefiyorum ve artık ilk adıma geçiyorum. Ben ASDM kullanacağım.ilk önce Cisco ASA’ya bağlantıyı gerçekleştiriyorum.

Yukarıdaki şekilde de görüldüğü gibi cihazımıza bağlantıyı sağlamak için IP,kullancı adı ve şifre girişini gerçekleştirip OK tuşuna bastıktan sonra cihaza bağlantı sağlanıyor. Daha sonra karşımıza aşağıdaki gibi bir pencere çıkıcak. Bu pencere Cisco ASA’nın ana penceresi ve bizim ilk göreceğimiz pencere burasıdır.

Yukarıdaki resimde de görüldüğü gibi cihazımız hakkında detaylı bir bilgi bulunmaktadır.

Device information: Bu kısımda aygıt ile ilgili bilgiler mevcuttur. Üzerindeki yazılımlar ve versiyonları hakkında bilgiler var.

Interface Status: Bu bölümde ise cihaz üzerinde yer alan entegre edilmiş Ethernet arayüzleri hakkına bilgileri görebiliriz. Down yada Up olup olmadıklarını burdan görebiliriz.Benim konfigürasyonumda inside ve outside up durumda ancak management (yönetim için ayrılan Ethernet arayüzü) down durumda görünüyor.

VPN Tunnels: Bu kısımda ise VPN bağlantıları hakkında bilgileri alabiliriz. Ben VPN yapmadığım için hiçbir bilgi göremiyoruz.

System Resources Status: Cisco ASA üzerindeki CPU ve RAM değerleri hakkında bilgiler vermektedir.

Traffic Status: ASA üzerinden geçen trafik hakkında bilgi veriliyor.

Ve en alt kısımda da cihazın sistem loglarını görebilirsiniz.

Evet cihazımıza bağlandık ve artık yavaş yavaş yapmak istediğimiz ayarları yapmaya sıra geldi. Bunun için ben Wizard (en kolayı bu) kullanıcam ancak makalemin devamında Wizard kullanmadan da bütün bu ayarların nasıl yapıldığını anlatacağım.

Yukarıdaki şekilde de görüldüğü gibi Anamenü’deki Wizards altında bulunan Startup Wizard’a tıklıyoruz ve işlemlerimize devam ediyoruz. Karşımıza aşağıdaki gibi Wizard başlangıcı gelecek.

Burada karşımıza iki seçenek geliyor. Bunlardan birincisi “Modify Existing configuration” ve “Reset configuration to factory defaults”. Cihazın üzerinde default gelen bir konfigürasyon mevcut zaten biz bunu seçerek konfigürasyonumuza devam ediyoruz. Ancak bir sorun olursa ve fabrikasyona dönmek isterseniz ikinci seçeneği seçip cihazı resetleyebilirsiniz. Devam ettiğimizde karşımıza aşağıdaki şekil gelecek.

Yukarıdaki şekilde de görüldüğü gibi cihazımıza bir isim veriyoruz. Ben “muminasa” dedim ve domain name kısmına da “cozumpark” dedim. Default değerleri bırakırsanız ASA Host Name “ciscoasa” ve domain kısmı da “yourdomain.com” şeklinde kalır.Sadece tanımlamak amacıyla bu işlemi gerçekleştiriyoruz ve diğer adımımıza geçiyoruz.

Yukarıdaki şekilde de görüldüğü gibi bu kısımda cihazımıza ait olan Outside seçimini yapıyoruz. Yani ADSL modemden gelecek olan kablonun takılacağı bacağı seçiyoruz.Ben Ethernet0/0’I dışbacak (outside) olarak tanımlıyorum ve gerekli IP bilgilerini giriyorum.Bu kısımda üç seçenek mevcut.

1)PPPoE kullan 2)DHCP kullan 3)Ve bizim tanımladığımız IP’yi kullan

Arayüzleri ayarladıktan sonra durum aşağıdaki gibi olacaktır.

Diğer adımımıza geçtiğimizde karşımıza yönlendirme bilgileri gelecekti ve bizden bir yönlendirme girip girmeyeceğimizi soracaktır. Ben static olarak bir yönlendirme girdim. Daha sonra da bu girişler gerçekleştirilebilir.

Evet burada dışa bacağımızı seçiyorum ve 0.0.0.0 0.0.0.0 olan yani içeriden nerden gelirse gelsin 192.168.0.1 üzerinden çıkışını gerçekleştiren yönlendirmeyi static olarak giriyorum.

Ve wizard ile son aşamamız olan kısma geliyoruz. Aşağıdaki şekilde de görüldüğü gibi Wizard ile yaptıklarımızın bir özetini bize sunuyor ve “Finish” butonuna basıp Wizard ile olan konfigürasyon yolculuğumuzu başarıyla bitirmiş oluyoruz.

Şimdi sıra geldi artık cihazımızla ilgili ayarları wizard kullanmadan yapmaya ve makalemizin başlangıcında tanımladığımız yapıyı oluşturmaya. Bunun için Cisco ASA’ya ilk bağlandığımızda karşımıza çıkan ana menüyü hatırlıyoruz herhalde. O pencerede olan menüleri kullanarak ayarlarımızı yapacağız.

Yukarıda da gördüğümüz gibi Home,Configuration,Monitoring,Back,Forward,Packet Tracer,Refresh,Save ve Help menülerini açan kısayol tuşlarımız mevcut. Biz bunları kullanarak ayarlarımızı yapacağımız menülere ulaşacağız.

İlk aşamamız Configuration olacaktır. Configurationa tıklıyoruz ve karşımıza aşağıdaki pencere çıkacaktır.

Sol kanattaki kısımlara bakarsak karşımıza aşağıdaki seçenekler çıkıyor;

1)interfaces: arayüzler hakkında bilgileri içerir.

2)Security Policy: kuralları oluşturacağımız kısım.

3)NAT: nat olayını gerçekleştireceğimiz bölüm.

4)VPN: vpn ayarlarını yapabileceğimiz arayüz.

5)CSD Manager:cisco secure desktop ile ilgili birim.

6)Routing: yönlendirmelerimizi yapabileceğimiz kısımdır.

7)Global Objects

8)Properties: aygıtla ilgili manuel olarak konfigürasyon yapabileceğimiz birimler burada mevcuttur.

Arayüzleri ve Configuration altında bulunan ksımları kısaca inceledikten sonra artık onların yapılandırmasına başlama vakti gelmiştir.

İlk olarak Security Policy ayarlarına bir bakalım. Burda içeriden ve dışarıdan gelicek olan isteklere karşı bazı güvenlik politikaları ve kuralları tanımlayacağız.Yeni bir kural oluşturmak için aşağıdaki gibi hareket etmemiz gerekiyor.

Şekil 2

Yukarıdaki birinci şekilde gördüğümüz gibi Access Rules tabında iken “+Add”’e basarsak karşımıza şekil 2’deki kural oluşturma penceresi gelecektir.

Burada yapacağımız ilk işlem Source (kaynak) adresin belirlenmesi var. Ben burada Any seçip devam ediyorum. Action kısmında ise kuralımızın Permit (izin) kuralı mı yoksa Deny (yasaklama) kuralı mı olduğunu tanımlıyorum. Ben izin vereceğim için Permit seçiyorum. Daha sonra Destination (Hedef) belirlemem gerekiyor. Bu kuralı oluşturmaktaki amacım dışarıdan içerideki server uzak masa üstü ile bağlantıyı sağlamaktır. Dolayısıyle 3389 nolu portu içerideki 10.0.0.200 nolu IP’ye sahip olan servera yönlendiriyorum. Zaten Rule Flow Diagram kısmına bakarsak kuralımızın uygun oluğunu görüyoruz. Evet ilk kuralımızı tanımladık.

Eğer ikinci bir kural tanımlamak istiyorsanız artık +Add tuşuna basmanıza gerek yok. Yapmanız gereken tek bir iş var oda daha önce tanımladığımız kurallardan birisine sağ tıklıyoruz ve Copy diyoruz. Bu işlemi yaptıktan sonra sadece kural üzerindeki bazı yerleri değiştirmemiz gerekiyor. Aşağıdaki şekildeki gibi kuralımızı yeniden düzenleyebiliriz.

Ilk önce Copy diyoruz. Şekil 1’de görüldüğü gibi. Daha sonra Şekil 2’deki gibi kuralımızı Paste ediyoruz ve değiştirmelerimizi yapıyoruz. Hepsini yaptıktan sonra OK dediğimizde yeni bir kural tanımlamış oluyoruz.

Bütün kurallarımızı bu şekilde tanımlayabiliriz.

Şekil 1

Şekil 2

Evet şimdi sıra geldi diğer servislerimizi yapılandırmaya. Ilk olarak DHCP servisinin yapılandırılmasını gerçekleştiricez. Makalemin başlarında da söylediğim gibi herşeyi Wizard ile yapayacağız demiştim. Şimdi Wizard kullanmadan DHCP servisini yapılandıracağız.

Bunun için Configuration altında Properties kısmına gidiyoruz. Karşımıza aşağıdaki gibi bir pencre gelecektir.

Bu kısımda yapacağımız işlemlere gelince. İlk once DHCP server seçimimizi yapıyoruz. Ardından sağ tarafta açılan pencerede “inside” seçiyoruz. Bunu seçmemizin sebebi DHCP servisini içeriye dönük bir hizmet olarak kullanacağımızdır. Edit tıklayıp değerleri görebiliriz. Seçimimizi yaptıktan sonra artık DHCP ile ilgili seçenekleri ayarlamaya geliyor sıra. DNS Server,Wins Server,Domain Name ve kiralama sürelerinin girişlerini gerçekleştirdikten sonra Apply’a basıyoruz ve ayarlarımızı Flash’a gönderiyoruz. DHCP servisimizi de aktif hale getirdik. Artık içerideki bilgisayarlarımıza cihazımız IP dağıtabilir.

Sıra geldi cihazımızın üzerinde kullanıcı tanımlamalarına. Bunu neden yapıyoruz? Dışarıdan ve içeriden güvenliği arttırmak. Benim burda kullanıcıları oluşturmamın sebebi; şirket içinde kullanılan bir uygulamaya kullanıcılar dışarıdan herhangi bir yerden erişirken şifre sorması içindir.Bunun için Properties altında Device Administration altındaki User Accounts kısmını kullanacağız.

Şekil 1

Şekil 1’de görüldüğü gibi cihazımıza eklemiş olduğum kullanıcıları görmekteyiz. Yeni bir kullanıcı eklemek istediğimizde ise Add butonuna basmamız yeterlidir. Daha sonra karşımıza aşağıdaki gibi bir pencere gelicek ve bu kısımda gerekli bilgilerin girilmesi gerekecektir.

Yukarıda da gördüğümüz gibi kullanıcı adını ve şifresini giriyoruz.

Evet kullanıcılarımızı da ekledik.

En son aşama ise yapmış olduğumuz bütün bu ayarların kaydedilmesidir. Bunun için iki seçeneğimiz var.

1)Ana pencerede bulunan menu çubuğundaki Save butonunu kullanmaktır.

2)File menüsündeki Save Running Configuration to Flash demektir.

Yukarıdaki işlemi de yaptıktan sonra artık bütün ayarlarımız Flash’a yazılmış oldu.

Şimdi sıra ADSL modem üzerindeki yönlendirmeye. Modem üzerinde de içeriden gelicek olan bütün isteklerin modemin IP’ni gateway olaraktanımlayan yönlendirme kuralını da modemin Routing kısmında static olarak girişini gerçekleştiriyoruz ve işimiz tamamlanmış oluyor.

Artık serverımıza ve uygulamamıza dışarıdan bağlanmayı deneyebiliriz.Bunun için Remote Desktop Conneciton kullanacağız.

Gerekli bilgileri girdikten sonra Connect diyoruz.

Şifre girişinin gerçekleştirilmesi.

Web tabanlı olarak çalışan uygulamıza erişmek için ise internet explorer adres çubuğunda http://212.25.25.25 yazım Enter tuşuna bastığımızda karşımıza ilk önce daha önce Cisco ASA üzerinde tanımlamış olduğumuz kullanıcı adı ve şifre giriş penceresi gelecektir.

Kullanıcı adımızı ve şifremizi giriyoruz.

Cisco ASA’nın sormuş olduğu kullanıcı adı ve şifresi doğru ise bizi doğruca içeride kullandığımız programın kullanıcı adı ve şifre giriş pencresi karşılayacaktır.

Kullanıcı adı ve şifre doğru ise artık programda çalışabiliriz.

Evet geldik makalemizin sonuna. Daha bir sürü özelliği var ancak bu kadarını hazırlayabildim. Öğrendikçe sizlerle paylaşmaya devam edicem.

Bütün yukarıdaki yaptıklarımıza ek olarak cihaz üzerinde;

1)Monitoring yapabilirsiniz

2)IP’leri izleyebilirsiniz

3)Banner ekleyebilirsiniz

4)URL Filtering yapabilirsiniz

5)Cihazınızın otomatik olarak güncel kalmasını sağlayabilirsiniz

Bir sürü özelliği var hepsini incelemek uzun sürerdi. Ancak dediğim gibi öğrendikçe sizlerle paylaşacağım.

Teşekkürler.