Şirket networkümüzde ftp protokolünün kullanılmasını bilgilerin dışarıya sızdırılması açısından bir güvenlik açığı olarak görüyorsanız kesinlikle haklısınız fakat ftp protokolünü tamamen kapamak zorunda değilsiniz.Sadece ftp komutlarını yasaklayarak sadece download amaçlı kullanılmasına geri kalan komutların yasaklanmasını sağlayabilirsiniz.
Ben örneğimde sadece belirli bir ftp sunucuya giden methodlar üzeride yasaklama sağlayacağım.Öncelikle trafiğin yönünün ve nereden nereye giderken trafiğin incelenmesi gerektiğini belirtebilmek için access-list ile trafiği yakalatıyorum.
access-list ftp_methodlari_yasak extended permit tcp any host 94.102.79.20 eq ftp
Class-Map içerisinde access-list ile match olan trafiği yakalatıyoruz.
class-map ftp_methodlari_yasak_cm34
match access-list ftp_methodlari_yasak
Layer 7 Policy-Map içerisinde ftp protokolünü inspect ettirerek içerisinde belirttiğimiz komutları yakaladığı taktirde işlemi reset’lemesini sağlıyoruz.
policy-map type inspect ftp ftp_yasak_methodlar_pm
parameters
match request-command appe cdup rnfr rnto put stou site dele mkd rmd
reset
Layer 3/4 Policy-Map içerisine yakaladığımız trafiği ve uygulayacağımız action’u Layer4’e downgrade ederek ilişkilendiriyor daha sonrasında ftp’nin bu duruma göre inspection yapmasını sağlıyoruz.
policy-map ftp_methodlari_yasak_pm34
class ftp_methodlari_yasak_cm34
inspect ftp strict ftp_yasak_methodlar_pm
Cihaz üzerinde default olarak gelen inspeciton rule ftp’yi de inspect etmektedir.Aynı anda iki işlemin birden ispect etmeye çalışması çakışma yaratacağından bu durumu düzelmek için default inspection içerisinden ftp’nin inspect edilmesini iptal ediyoruz.
policy-map global_policy
class inspection_default
no inspect ftp
Son olarak yarattığımız layer3/4 policy-map’imizi service policy içerisinde outside interface’e uygulayarak inspect işlemini hem gelen hem de giden trafik için gerçekleşmesini belirtiyoruz.
service-policy ftp_methodlari_yasak_pm34 interface outside
Bu örnek ile strict ftp üzerinden get ve help komutları dışındaki tüm request methodlar yasaklanmıştır.
show service-policy komutu ile inspection sayaçlarını kontrol edebiliriz ve kaç adet bağlantının resetlendiğini tespit edebiliriz.
clear service-policy interface outside sadece outside üzerine uygulanan service policy sayaçlarını temizleyebiliriz.
