Ağ altyapısı aygıtları (yönlendiriciler, anahtarlar, yük dengeleyiciler, güvenlik duvarları, vb.), güvenlik konusunda önemli bir rol oynayan ve dolayısıyla buna göre korunmaları ve yapılandırılması gereken bir kuruluşun varlıkları arasındadır.
Birçok şirket sunucularını, uygulamalarını, veritabanlarını vb. korumaya odaklanmakta, ancak bazen kutudan çıkarılan konfigürasyonlarla kurulan ağ cihazlarının güvenliğini de unutmaktadır.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
Örneğin bir siber korsan tarafından ele geçirilmiş bir yönlendirici, verilere erişim sağlamak, diğer hedeflere giden trafiği yönlendirmek için yeniden yapılandırılmak, diğer ağlara saldırı başlatmak, diğer iç kaynaklara erişim sağlamak için kullanılarak işletmenin tüm güvenliğine zarar verebilir. Bu nedenle, ağ cihazlarının sıkılaştırması (hardening), işletmenin bütün güvenliğini arttırmak için esastır.
Cisco, bir ağ cihazını “düzlem” adı verilen 3 işlevsel elemanda ayırır. Bunlar şunlardır:
Bu yazıda, Yönetim Düzlemi güvenliğine odaklanacağız ve bir Cisco IOS ağ cihazını sıkılaştırmak için en önemli 10 adımı anlatacağız.
Aşağıdaki güvenlik kontrol listesi eksiksiz değildir, ancak bir Cisco IOS ağ cihazını kilitleyecek ve güvenliğini ve tüm ağın kalitesini artıracak en önemli komutları ve yapılandırmaları içerir. Aşağıdaki kontrol listesi hem Cisco Routers hem de Switch'leri için de geçerlidir.
IOS aygıtına ayrıcalıklı yönetim erişimi sağlamak için güçlü bir "Enable Secret" parolası oluşturmalısınız. En az 10 karakter uzunluğunda alfanümerik ve özel sembollerden oluşan bir parolakullanmanızı tavsiye ederim.
Güçlü bir şifreleme ile parola oluşturan “enable secret” komutunu kullandığınızdan emin olun.
Cisco aygıtında yapılandırılan tüm parolalar (“enable secret” hariç) yapılandırma dosyasında açık metin olarak gösterilir. Açık metin parolalarını şifrelemek ve yapılandırma dosyasında görünmesini engellemek için, “service password-encryption” global komutunu kullanın.
Yukarıdaki komut, yazılım araçlarıyla şifresi çözülebilen oldukça zayıf bir Vigenere şifresini kullanır. Esas olarak, bir gözlemcinin omzunun üzerinden ekrana baktıkları zaman, şifreleri okumasını önlemek için kullanılır.
Her cihazda yönetici erişimi için yerel kullanıcı hesaplarını kullanmak yerine, kullanıcıların aygıtlara erişimini Kimlik Doğrulama, Yetkilendirme ve Hesaplama işlemlerini yürütmek için harici bir AAA sunucusunu (TACACS + veya RADIUS) kullanması çok daha güvenli, esnek ve ölçeklenebilir.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
Merkezi bir AAA sunucusu ile hesap şifrelerini kolayca değiştirebilir / etkinleştirebilir / devre dışı bırakabilir, güçlü şifre politikaları uygulayabilir, hesap kullanımını ve kullanıcı erişimini izleyebilirsiniz.
Burada, TACACS + ve RADIUS AAA sunucularının “gizli” parolayla birlikte, AAA sunucusu yoksa geri dönüş olarak nasıl yapılandırılacağını göreceğiz.
RADIUS
Önceki bölümde ele alındığı gibi harici bir AAA sunucusu kuramıyor ve kullanamıyorsanız, cihazlarınıza erişim vereceğiniz herkes için ayrı bir yerel hesap oluşturun.
Örneğin, 3 ağ yöneticiniz varsa ve bunlar için yerel cihaz hesaplarını kullanmanız gerekiyorsa, her yönetici için kişiselleştirilmiş bir kullanıcı hesabı oluşturun. Bu, her farklı yönetici için cihazda gerçekleştirilen eylemler hakkında hesap verebilirliği sağlar.
Ayrıca, IOS versiyon 12.2 (8) T ve sonrasında cihaz üzerinde oluşturulan yerel hesaplar için “Geliştirilmiş Şifre Güvenliği” ni yapılandırabilirsiniz. Bu, yerel hesapların MD5 hash ile şifreleneceği anlamına gelir.
“Gelişmiş Şifre Güvenliği” ile 3 farklı yerel yönetici hesabını yapılandıralım.
Bu, cihazlardaki yerel kullanıcı hesapları için çalışır.
Bu, Cisco ağ cihazlarında muhtemelen en önemli güvenlik yapılandırmalarından biridir. IP adreslerini cihazlarınız için Telnet veya SSH'yi erişimi için sınırlandırmanız gerekir. Bu, yöneticilerin ağı yönetmek için kullanacakları birkaç yönetim sistemi ile sınırlandırılmalıdır.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
Yöneticilerin alt ağının 192.168.1.0/28 olduğunu varsayalım.
Günlüğe kaydetme, izleme, olay yanıtlama ve denetim için çok kullanışlıdır. Cihazın dahili bir belleğine veya harici bir Log sunucusuna günlüğe kaydetmeyi etkinleştirebilirsiniz. Çok daha fazla log verisi saklayabilmeniz ve günlükleri yerel loglamadan daha kolay analiz edebilmeniz nedeniyle daha esnek ve faydalıdır.
Her biri giderek daha fazla günlük veri detayları veren 8 farklı kayıt seviyesi (0'dan 7'ye kadar) vardır. Cihazı aşırı yükleyeceğinden, seviye 7'yi (hata ayıklama) kaydetmekten kaçınmalısınız.
Burada hem tamponlu günlükleri (cihaza dahili) hem de harici bir Sunucuya Günlüğe kaydetme konusunu ele alacağız. Aşağıda gösterildiği gibi ikisinden de yararlanabilirsiniz.
Bu adım, kayıt hakkındaki önceki bölüm için gereklidir. Günlük verilerinin doğru zaman ve saat dilimi ile damgalanması için tüm ağ cihazlarında doğru ve düzgün saat ayarlarına sahip olmanız gerekir. Bu, olay işleme ve doğru günlük izleme ve korelasyonunda muazzam bir şekilde yardımcı olacaktır.
Dahili veya harici bir NTP sunucusu yapılandırabilirsiniz (ayrıca kullanabileceğiniz birçok ortak NTP sunucusu vardır).
Telnet, Cisco cihazlarına Komut Satırı erişimi için varsayılan yönetim protokolüdür. Ancak, tüm yönetim trafiği Telnet ile açık metin olarak gönderilir. Güvenlik nedeniyle, Telnet yerine yönetim için SSH'yi tercih edin.
Bir Cisco cihazına SSH erişimini nasıl yapılandıralım.
SSH, bir ana makine adına (host name) ve yapılandırılmış alan adına (domain name) sahip olmayı ve ayrıca SSH anahtarlarını oluşturmayı gerektirir. Ayrıca, VTY satırlarında sadece SSH protokolüne izin verilir.
Basit Ağ Yönetimi Protokolü (SNMP) ağ cihazlarından bilgi toplamak için çok yararlı olabilir, ancak uygun şekilde yapılandırılmadıysa da bir güvenlik riski oluşturabilir.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
SNMP protokolü, cihazdaki SNMP verilerine erişimi kısıtlamak için şifre (Şifre Okuyucu veya Okuma / Yazma) olarak kullanılan bir “Topluluk Dizesi” kullanır. Güçlü bir Topluluk Dizesi yapılandırmaya ek olarak, yalnızca birkaç yönetim iş istasyonundan SNMP erişimine izin vermek için IP filtrelemesi de uygulanmalıdır.
İki Topluluk dizgisini (bir “READ ONLY” ve bir başka “READ / WRITE”) yapılandırın ve ayrıca ACL'lerle IP adresi kontrolü uygulayalım.
Yukarıdaki komutlar, 192.168.1.0/28 alt ağındaki yöneticilerin aygıtlara Salt Okunur SNMP erişimine sahip olmasını ve ayrıca 192.168.1.1 sunucusunun aygıtlara Tam Okuma / Yazma SNMP erişimine sahip olmasını sağlar.
networkstraining.com sitesinden uyarlanmıştır.
Birçok şirket sunucularını, uygulamalarını, veritabanlarını vb. korumaya odaklanmakta, ancak bazen kutudan çıkarılan konfigürasyonlarla kurulan ağ cihazlarının güvenliğini de unutmaktadır.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
Örneğin bir siber korsan tarafından ele geçirilmiş bir yönlendirici, verilere erişim sağlamak, diğer hedeflere giden trafiği yönlendirmek için yeniden yapılandırılmak, diğer ağlara saldırı başlatmak, diğer iç kaynaklara erişim sağlamak için kullanılarak işletmenin tüm güvenliğine zarar verebilir. Bu nedenle, ağ cihazlarının sıkılaştırması (hardening), işletmenin bütün güvenliğini arttırmak için esastır.
Cisco, bir ağ cihazını “düzlem” adı verilen 3 işlevsel elemanda ayırır. Bunlar şunlardır:
- Yönetim Düzlemi : Bu bir ağ cihazının yönetimi ile ilgilidir. Yönetim düzlemi, bir ağ cihazına erişmek, yapılandırmak, yönetmek ve izlemek için kullanılır. Bu makalede yönetim düzleminin güvenliği ele alınmıştır.
- Kontrol Düzlemi : Kontrol düzlemi, verileri kaynaktan hedefe taşımak için ağ cihazları arasında iletişim kuran protokoller ve süreçlerden oluşur. Buna BGP, OSPF, sinyal protokolleri vb. yönlendirme protokolleri dahildir.
- Veri Düzlemi : Veri düzlemi, veriyi kaynaktan hedefe taşımaktan sorumludur. Çoğu veri paketinin ağ cihazında aktığı yer burasıdır (genellikle donanım tarafından hızlandırılmıştır).
Bu yazıda, Yönetim Düzlemi güvenliğine odaklanacağız ve bir Cisco IOS ağ cihazını sıkılaştırmak için en önemli 10 adımı anlatacağız.
Aşağıdaki güvenlik kontrol listesi eksiksiz değildir, ancak bir Cisco IOS ağ cihazını kilitleyecek ve güvenliğini ve tüm ağın kalitesini artıracak en önemli komutları ve yapılandırmaları içerir. Aşağıdaki kontrol listesi hem Cisco Routers hem de Switch'leri için de geçerlidir.
1) Gizli Parolayı Etkinleştirin
IOS aygıtına ayrıcalıklı yönetim erişimi sağlamak için güçlü bir "Enable Secret" parolası oluşturmalısınız. En az 10 karakter uzunluğunda alfanümerik ve özel sembollerden oluşan bir parolakullanmanızı tavsiye ederim.
Güçlü bir şifreleme ile parola oluşturan “enable secret” komutunu kullandığınızdan emin olun.
Router# config terminalRouter(config)# enable secret strongpassword2) Parolaları cihazda şifrele
Cisco aygıtında yapılandırılan tüm parolalar (“enable secret” hariç) yapılandırma dosyasında açık metin olarak gösterilir. Açık metin parolalarını şifrelemek ve yapılandırma dosyasında görünmesini engellemek için, “service password-encryption” global komutunu kullanın.
Router# config terminalRouter(config)# service password-encryptionYukarıdaki komut, yazılım araçlarıyla şifresi çözülebilen oldukça zayıf bir Vigenere şifresini kullanır. Esas olarak, bir gözlemcinin omzunun üzerinden ekrana baktıkları zaman, şifreleri okumasını önlemek için kullanılır.
3) Kullanıcı Kimlik Doğrulaması için harici bir AAA sunucusu kullanın
Her cihazda yönetici erişimi için yerel kullanıcı hesaplarını kullanmak yerine, kullanıcıların aygıtlara erişimini Kimlik Doğrulama, Yetkilendirme ve Hesaplama işlemlerini yürütmek için harici bir AAA sunucusunu (TACACS + veya RADIUS) kullanması çok daha güvenli, esnek ve ölçeklenebilir.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
Merkezi bir AAA sunucusu ile hesap şifrelerini kolayca değiştirebilir / etkinleştirebilir / devre dışı bırakabilir, güçlü şifre politikaları uygulayabilir, hesap kullanımını ve kullanıcı erişimini izleyebilirsiniz.
Burada, TACACS + ve RADIUS AAA sunucularının “gizli” parolayla birlikte, AAA sunucusu yoksa geri dönüş olarak nasıl yapılandırılacağını göreceğiz.
TACACS+
Router# config terminalRouter(config)# enable secret K6dn!#scfw35 İlk önce bir "etkinleştirme" şifresi oluşturunRouter(config)# aaa new-model AAA hizmetini etkinleştirinRouter(config)# aaa authentication login default group tacacs+ enable "enable" şifresiyle kimlik doğrulama için TACACS + 'ı kullanın.Router(config)# tacacs-server host 192.168.1.10 Dahili AAA sunucusunu atamaRouter(config)# tacacs-server key ‘secret-key’ AAA sunucusunda yapılandırılmış gizli anahtarRouter(config)# line vty 0 4 Router(config-line)# login authentication default VTY satırlarına (Telnet, SSH vb.) AAA kimlik doğrulaması uygulayınRouter(config-line)# exitRouter(config)# line con 0 Konsol bağlantı noktasına AAA kimlik doğrulaması uygulayınRouter(config-line)# login authentication defaultRADIUS
Router# config terminal
Router(config)# enable secret K6dn!#scfw35
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius enable
Router(config)# radius-server host 192.168.1.10
Router(config)# radius-server key ‘secret-key’
Router(config)# line vty 0 4
Router(config-line)# login authentication default
Router(config-line)# exit
Router(config)# line con 0
Router(config-line)# login authentication default4) Kullanıcı Kimlik Doğrulaması için ayrı yerel hesaplar oluşturun
Önceki bölümde ele alındığı gibi harici bir AAA sunucusu kuramıyor ve kullanamıyorsanız, cihazlarınıza erişim vereceğiniz herkes için ayrı bir yerel hesap oluşturun.
Örneğin, 3 ağ yöneticiniz varsa ve bunlar için yerel cihaz hesaplarını kullanmanız gerekiyorsa, her yönetici için kişiselleştirilmiş bir kullanıcı hesabı oluşturun. Bu, her farklı yönetici için cihazda gerçekleştirilen eylemler hakkında hesap verebilirliği sağlar.
Ayrıca, IOS versiyon 12.2 (8) T ve sonrasında cihaz üzerinde oluşturulan yerel hesaplar için “Geliştirilmiş Şifre Güvenliği” ni yapılandırabilirsiniz. Bu, yerel hesapların MD5 hash ile şifreleneceği anlamına gelir.
“Gelişmiş Şifre Güvenliği” ile 3 farklı yerel yönetici hesabını yapılandıralım.
Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# username david-admin secret d4N3$6&%sf
Router(config)# username mary-admin secret 54sxSFT*&(zsd5) Maksimum Başarısız Kimlik Doğrulama Denemelerini Yapılandırma
Cihazlara kaba kuvvet şifre saldırılarını önlemek için, bir kullanıcı bu eşikten sonra kilitlenecek şekilde başarısız giriş denemesi sayısını yapılandırabilirsiniz.
Bu, cihazlardaki yerel kullanıcı hesapları için çalışır.
Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# aaa new-model
Router(config)# aaa local authentication attempts max-fail 5 maksimum 5 başarısız giriş denemesi
Router(config)# aaa authentication login default local6) Aygıtlara yalnızca belirli IP'lerden yönetim erişimine izin verme
Bu, Cisco ağ cihazlarında muhtemelen en önemli güvenlik yapılandırmalarından biridir. IP adreslerini cihazlarınız için Telnet veya SSH'yi erişimi için sınırlandırmanız gerekir. Bu, yöneticilerin ağı yönetmek için kullanacakları birkaç yönetim sistemi ile sınırlandırılmalıdır.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
Yöneticilerin alt ağının 192.168.1.0/28 olduğunu varsayalım.
Router# config terminal
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15
Router(config)# line vty 0 15
Router(config)# access-class 10 in Tüm VTY satırlarına IP kısıtlamaları uygulayın7) Günlüğü (Syslog)Etkinleştirin
Günlüğe kaydetme, izleme, olay yanıtlama ve denetim için çok kullanışlıdır. Cihazın dahili bir belleğine veya harici bir Log sunucusuna günlüğe kaydetmeyi etkinleştirebilirsiniz. Çok daha fazla log verisi saklayabilmeniz ve günlükleri yerel loglamadan daha kolay analiz edebilmeniz nedeniyle daha esnek ve faydalıdır.
Her biri giderek daha fazla günlük veri detayları veren 8 farklı kayıt seviyesi (0'dan 7'ye kadar) vardır. Cihazı aşırı yükleyeceğinden, seviye 7'yi (hata ayıklama) kaydetmekten kaçınmalısınız.
Burada hem tamponlu günlükleri (cihaza dahili) hem de harici bir Sunucuya Günlüğe kaydetme konusunu ele alacağız. Aşağıda gösterildiği gibi ikisinden de yararlanabilirsiniz.
Router# config terminal
Router(config)# logging trap 6 Harici sunucuya gönderilen günlükler için günlüğe kaydetme düzeyini 6 ile etkinleştirin
Router(config)# logging buffered 5 Yerel olarak arabellek içinde depolanan günlükler için günlüğe kaydetme düzeyini 5 ile
Router(config)# service timestamps log datetime msec show-timezone günlüklerdemilisaniye hassasiyetli zaman damgalarını dahil et
Router(config)# logging host 192.168.1.2 Günlükleri harici günlük sunucusuna gönder
Router(config)# logging source-interface ethernet 1/0 Günlük iletileri göndermek için Eth1 / 0 kullanın8) Ağ Zaman Protokolünü Etkinleştir (NTP)
Bu adım, kayıt hakkındaki önceki bölüm için gereklidir. Günlük verilerinin doğru zaman ve saat dilimi ile damgalanması için tüm ağ cihazlarında doğru ve düzgün saat ayarlarına sahip olmanız gerekir. Bu, olay işleme ve doğru günlük izleme ve korelasyonunda muazzam bir şekilde yardımcı olacaktır.
Dahili veya harici bir NTP sunucusu yapılandırabilirsiniz (ayrıca kullanabileceğiniz birçok ortak NTP sunucusu vardır).
Router# config terminal
Router(config)# ntp server 1.1.1.1
Router(config)# ntp server 2.2.2.29) Mümkünse Güvenli Yönetim Protokollerini kullanın
Telnet, Cisco cihazlarına Komut Satırı erişimi için varsayılan yönetim protokolüdür. Ancak, tüm yönetim trafiği Telnet ile açık metin olarak gönderilir. Güvenlik nedeniyle, Telnet yerine yönetim için SSH'yi tercih edin.
Bir Cisco cihazına SSH erişimini nasıl yapılandıralım.
Router# config terminal
Router(config)# hostname London
London(config)# ip domain-name mydomain.com
London(config)# ip ssh version 2
London(config)# crypto key generate rsa modulus 2048
London(config)# ip ssh time-out 60
London(config)# ip ssh authentication-retries 3
London(config)# line vty 0 15
London(config-line)# transport input sshSSH, bir ana makine adına (host name) ve yapılandırılmış alan adına (domain name) sahip olmayı ve ayrıca SSH anahtarlarını oluşturmayı gerektirir. Ayrıca, VTY satırlarında sadece SSH protokolüne izin verilir.
10) SNMP Erişimini Kısıtla ve Güvenli Hale Getir
Basit Ağ Yönetimi Protokolü (SNMP) ağ cihazlarından bilgi toplamak için çok yararlı olabilir, ancak uygun şekilde yapılandırılmadıysa da bir güvenlik riski oluşturabilir.
style="display:block"
data-ad-client="ca-pub-9527884110640698"
data-ad-slot="4964167560"
data-ad-format="auto">
SNMP protokolü, cihazdaki SNMP verilerine erişimi kısıtlamak için şifre (Şifre Okuyucu veya Okuma / Yazma) olarak kullanılan bir “Topluluk Dizesi” kullanır. Güçlü bir Topluluk Dizesi yapılandırmaya ek olarak, yalnızca birkaç yönetim iş istasyonundan SNMP erişimine izin vermek için IP filtrelemesi de uygulanmalıdır.
İki Topluluk dizgisini (bir “READ ONLY” ve bir başka “READ / WRITE”) yapılandırın ve ayrıca ACL'lerle IP adresi kontrolü uygulayalım.
Router# config terminal
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.1
Router(config)# snmp-server community Cbd43@#w5SDF RO 11 Salt Okunur (RO) topluluk dizesi oluşturun ve SNMP erişimini sağlamak için ACL 11 kullanın
Router(config)# snmp-server community Xcv4#56&454sdS RW 12 Okuma Yazma (RW) topluluk dizesi oluşturun ve SNMP erişimini sağlamak için ACL 12 kullanınYukarıdaki komutlar, 192.168.1.0/28 alt ağındaki yöneticilerin aygıtlara Salt Okunur SNMP erişimine sahip olmasını ve ayrıca 192.168.1.1 sunucusunun aygıtlara Tam Okuma / Yazma SNMP erişimine sahip olmasını sağlar.
networkstraining.com sitesinden uyarlanmıştır.
Yorumlar
Yorum Gönder