Professional Documents
Culture Documents
Ağ altyapısı aygıtları (yönlendiriciler, anahtarlar, yük dengeleyiciler, güvenlik duvarları, vb.), güvenlik konusunda önemli bir rol
oynayan ve dolayısıyla buna göre korunmaları ve yapılandırılması gereken bir kuruluşun varlıkları arasındadır.
Birçok şirket sunucularını, uygulamalarını, veritabanlarını vb. korumaya odaklanmakta, ancak bazen kutudan çıkarılan
konfigürasyonlarla kurulan ağ cihazlarının güvenliğini de unutmaktadır.
Örneğin bir siber korsan tarafından ele geçirilmiş bir yönlendirici, verilere erişim sağlamak, diğer hedeflere giden trafiği
yönlendirmek için yeniden yapılandırılmak, diğer ağlara saldırı başlatmak, diğer iç kaynaklara erişim sağlamak için kullanılarak
işletmenin tüm güvenliğine zarar verebilir. Bu nedenle, ağ cihazlarının sıkılaştırması (hardening), işletmenin bütün güvenliğini
arttırmak için esastır.
Cisco, bir ağ cihazını “düzlem” adı verilen 3 işlevsel elemanda ayırır. Bunlar şunlardır:
Yönetim Düzlemi : Bu bir ağ cihazının yönetimi ile ilgilidir. Yönetim düzlemi, bir ağ cihazına erişmek, yapılandırmak,
yönetmek ve izlemek için kullanılır. Bu makalede yönetim düzleminin güvenliği ele alınmıştır.
Kontrol Düzlemi : Kontrol düzlemi, verileri kaynaktan hedefe taşımak için ağ cihazları arasında iletişim kuran protokoller ve
süreçlerden oluşur. Buna BGP, OSPF, sinyal protokolleri vb. yönlendirme protokolleri dahildir.
Veri Düzlemi : Veri düzlemi, veriyi kaynaktan hedefe taşımaktan sorumludur. Çoğu veri paketinin ağ cihazında aktığı yer
burasıdır (genellikle donanım tarafından hızlandırılmıştır).
Bu yazıda, Yönetim Düzlemi güvenliğine odaklanacağız ve bir Cisco IOS ağ cihazını sıkılaştırmak için en önemli 10 adımı
anlatacağız.
Aşağıdaki güvenlik kontrol listesi eksiksiz değildir, ancak bir Cisco IOS ağ cihazını kilitleyecek ve güvenliğini ve tüm ağın
kalitesini artıracak en önemli komutları ve yapılandırmaları içerir. Aşağıdaki kontrol listesi hem Cisco Routers hem de Switch’leri
için de geçerlidir.
Güçlü bir şifreleme ile parola oluşturan “enable secret” komutunu kullandığınızdan emin olun.
https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 1/4
11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner
Router# config terminal
Router(config)# enable secret strongpassword
Yukarıdaki komut, yazılım araçlarıyla şifresi çözülebilen oldukça zayıf bir Vigenere şifresini kullanır. Esas olarak, bir gözlemcinin
omzunun üzerinden ekrana baktıkları zaman, şifreleri okumasını önlemek için kullanılır.
Merkezi bir AAA sunucusu ile hesap şifrelerini kolayca değiştirebilir / etkinleştirebilir / devre dışı bırakabilir, güçlü şifre politikaları
uygulayabilir, hesap kullanımını ve kullanıcı erişimini izleyebilirsiniz.
Burada, TACACS + ve RADIUS AAA sunucularının “gizli” parolayla birlikte, AAA sunucusu yoksa geri dönüş olarak nasıl
yapılandırılacağını göreceğiz.
TACACS+
RADIUS
https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 2/4
11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner
Önceki bölümde ele alındığı gibi harici bir AAA sunucusu kuramıyor ve kullanamıyorsanız, cihazlarınıza erişim vereceğiniz
herkes için ayrı bir yerel hesap oluşturun.
Örneğin, 3 ağ yöneticiniz varsa ve bunlar için yerel cihaz hesaplarını kullanmanız gerekiyorsa, her yönetici için kişiselleştirilmiş
bir kullanıcı hesabı oluşturun. Bu, her farklı yönetici için cihazda gerçekleştirilen eylemler hakkında hesap verebilirliği sağlar.
Ayrıca, IOS versiyon 12.2 (8) T ve sonrasında cihaz üzerinde oluşturulan yerel hesaplar için “Geliştirilmiş Şifre Güvenliği” ni
yapılandırabilirsiniz. Bu, yerel hesapların MD5 hash ile şifreleneceği anlamına gelir.
7) Günlüğü (Syslog)Etkinleştirin
Günlüğe kaydetme, izleme, olay yanıtlama ve denetim için çok kullanışlıdır. Cihazın dahili bir belleğine veya harici bir Log
sunucusuna günlüğe kaydetmeyi etkinleştirebilirsiniz. Çok daha fazla log verisi saklayabilmeniz ve günlükleri yerel loglamadan
daha kolay analiz edebilmeniz nedeniyle daha esnek ve faydalıdır.
Her biri giderek daha fazla günlük veri detayları veren 8 farklı kayıt seviyesi (0’dan 7’ye kadar) vardır. Cihazı aşırı
yükleyeceğinden, seviye 7’yi (hata ayıklama) kaydetmekten kaçınmalısınız.
Burada hem tamponlu günlükleri (cihaza dahili) hem de harici bir Sunucuya Günlüğe kaydetme konusunu ele alacağız. Aşağıda
gösterildiği gibi ikisinden de yararlanabilirsiniz.
https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 3/4
11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner
Router(config)# logging host 192.168.1.2 Günlükleri harici günlük sunucusuna gönder
Router(config)# logging source-interface ethernet 1/0 Günlük iletileri göndermek için Eth1 / 0
kullanın
Dahili veya harici bir NTP sunucusu yapılandırabilirsiniz (ayrıca kullanabileceğiniz birçok ortak NTP sunucusu vardır).
SSH, bir ana makine adına (host name) ve yapılandırılmış alan adına (domain name) sahip olmayı ve ayrıca SSH anahtarlarını
oluşturmayı gerektirir. Ayrıca, VTY satırlarında sadece SSH protokolüne izin verilir.
SNMP protokolü, cihazdaki SNMP verilerine erişimi kısıtlamak için şifre (Şifre Okuyucu veya Okuma / Yazma) olarak kullanılan
bir “Topluluk Dizesi” kullanır. Güçlü bir Topluluk Dizesi yapılandırmaya ek olarak, yalnızca birkaç yönetim iş istasyonundan SNMP
erişimine izin vermek için IP filtrelemesi de uygulanmalıdır.
İki Topluluk dizgisini (bir “READ ONLY” ve bir başka “READ / WRITE”) yapılandırın ve ayrıca ACL’lerle IP adresi kontrolü
uygulayalım.
Yukarıdaki komutlar, 192.168.1.0/28 alt ağındaki yöneticilerin aygıtlara Salt Okunur SNMP erişimine sahip olmasını ve ayrıca
192.168.1.1 sunucusunun aygıtlara Tam Okuma / Yazma SNMP erişimine sahip olmasını sağlar.
https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 4/4