11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner

10 Adımda Cisco Cihaz Sıkılaştırması

21 Temmuz 2018 Cemal Taner

Ağ altyapısı aygıtları (yönlendiriciler, anahtarlar, yük dengeleyiciler, güvenlik duvarları, vb.), güvenlik konusunda önemli bir rol
oynayan ve dolayısıyla buna göre korunmaları ve yapılandırılması gereken bir kuruluşun varlıkları arasındadır.

Birçok şirket sunucularını, uygulamalarını, veritabanlarını vb. korumaya odaklanmakta, ancak bazen kutudan çıkarılan
konfigürasyonlarla kurulan ağ cihazlarının güvenliğini de unutmaktadır.

Örneğin bir siber korsan tarafından ele geçirilmiş bir yönlendirici, verilere erişim sağlamak, diğer hedeflere giden trafiği
yönlendirmek için yeniden yapılandırılmak, diğer ağlara saldırı başlatmak, diğer iç kaynaklara erişim sağlamak için kullanılarak
işletmenin tüm güvenliğine zarar verebilir. Bu nedenle, ağ cihazlarının sıkılaştırması (hardening), işletmenin bütün güvenliğini
arttırmak için esastır.

Cisco, bir ağ cihazını “düzlem” adı verilen 3 işlevsel elemanda ayırır. Bunlar şunlardır:

Yönetim Düzlemi : Bu bir ağ cihazının yönetimi ile ilgilidir. Yönetim düzlemi, bir ağ cihazına erişmek, yapılandırmak,
yönetmek ve izlemek için kullanılır. Bu makalede yönetim düzleminin güvenliği ele alınmıştır.
Kontrol Düzlemi : Kontrol düzlemi, verileri kaynaktan hedefe taşımak için ağ cihazları arasında iletişim kuran protokoller ve
süreçlerden oluşur. Buna BGP, OSPF, sinyal protokolleri vb. yönlendirme protokolleri dahildir.
Veri Düzlemi : Veri düzlemi, veriyi kaynaktan hedefe taşımaktan sorumludur. Çoğu veri paketinin ağ cihazında aktığı yer
burasıdır (genellikle donanım tarafından hızlandırılmıştır).

Bu yazıda, Yönetim Düzlemi güvenliğine odaklanacağız ve bir Cisco IOS ağ cihazını sıkılaştırmak için en önemli 10 adımı
anlatacağız.

Aşağıdaki güvenlik kontrol listesi eksiksiz değildir, ancak bir Cisco IOS ağ cihazını kilitleyecek ve güvenliğini ve tüm ağın
kalitesini artıracak en önemli komutları ve yapılandırmaları içerir. Aşağıdaki kontrol listesi hem Cisco Routers hem de Switch’leri
için de geçerlidir.

1) Gizli Parolayı Etkinleştirin

IOS aygıtına ayrıcalıklı yönetim erişimi sağlamak için güçlü bir “Enable Secret” parolası oluşturmalısınız. En az 10 karakter
uzunluğunda alfanümerik ve özel sembollerden oluşan bir parolakullanmanızı tavsiye ederim.

Güçlü bir şifreleme ile parola oluşturan “enable secret” komutunu kullandığınızdan emin olun.
https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 1/4
11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner
Router# config terminal
Router(config)# enable secret strongpassword

2) Parolaları cihazda şifrele

Cisco aygıtında yapılandırılan tüm parolalar (“enable secret” hariç) yapılandırma dosyasında açık metin olarak gösterilir. Açık
metin parolalarını şifrelemek ve yapılandırma dosyasında görünmesini engellemek için, “service password-encryption” global
komutunu kullanın.

Router# config terminal

Router(config)# service password-encryption

Yukarıdaki komut, yazılım araçlarıyla şifresi çözülebilen oldukça zayıf bir Vigenere şifresini kullanır. Esas olarak, bir gözlemcinin
omzunun üzerinden ekrana baktıkları zaman, şifreleri okumasını önlemek için kullanılır.

3) Kullanıcı Kimlik Doğrulaması için harici bir AAA sunucusu kullanın

Her cihazda yönetici erişimi için yerel kullanıcı hesaplarını kullanmak yerine, kullanıcıların aygıtlara erişimini Kimlik Doğrulama,
Yetkilendirme ve Hesaplama işlemlerini yürütmek için harici bir AAA sunucusunu (TACACS + veya RADIUS) kullanması çok
daha güvenli, esnek ve ölçeklenebilir.

Merkezi bir AAA sunucusu ile hesap şifrelerini kolayca değiştirebilir / etkinleştirebilir / devre dışı bırakabilir, güçlü şifre politikaları
uygulayabilir, hesap kullanımını ve kullanıcı erişimini izleyebilirsiniz.

Burada, TACACS + ve RADIUS AAA sunucularının “gizli” parolayla birlikte, AAA sunucusu yoksa geri dönüş olarak nasıl
yapılandırılacağını göreceğiz.

TACACS+

Router# config terminal

Router(config)# enable secret K6dn!#scfw35 İlk önce bir "etkinleştirme" şifresi oluşturun
Router(config)# aaa new-model AAA hizmetini etkinleştirin
Router(config)# aaa authentication login default group tacacs+ enable "enable" şifresiyle kimlik
doğrulama için TACACS + 'ı kullanın.
Router(config)# tacacs-server host 192.168.1.10 Dahili AAA sunucusunu atama
Router(config)# tacacs-server key ‘secret-key’ AAA sunucusunda yapılandırılmış gizli anahtar
Router(config)# line vty 0 4
Router(config-line)# login authentication default VTY satırlarına (Telnet, SSH vb.) AAA kimlik doğrulaması
uygulayın
Router(config-line)# exit
Router(config)# line con 0 Konsol bağlantı noktasına AAA kimlik doğrulaması uygulayın
Router(config-line)# login authentication default

RADIUS

Router# config terminal

Router(config)# enable secret K6dn!#scfw35
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius enable
Router(config)# radius-server host 192.168.1.10
Router(config)# radius-server key ‘secret-key’
Router(config)# line vty 0 4
Router(config-line)# login authentication default
Router(config-line)# exit
Router(config)# line con 0
Router(config-line)# login authentication default

4) Kullanıcı Kimlik Doğrulaması için ayrı yerel hesaplar oluşturun

https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 2/4
11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner
Önceki bölümde ele alındığı gibi harici bir AAA sunucusu kuramıyor ve kullanamıyorsanız, cihazlarınıza erişim vereceğiniz
herkes için ayrı bir yerel hesap oluşturun.

Örneğin, 3 ağ yöneticiniz varsa ve bunlar için yerel cihaz hesaplarını kullanmanız gerekiyorsa, her yönetici için kişiselleştirilmiş
bir kullanıcı hesabı oluşturun. Bu, her farklı yönetici için cihazda gerçekleştirilen eylemler hakkında hesap verebilirliği sağlar.

Ayrıca, IOS versiyon 12.2 (8) T ve sonrasında cihaz üzerinde oluşturulan yerel hesaplar için “Geliştirilmiş Şifre Güvenliği” ni
yapılandırabilirsiniz. Bu, yerel hesapların MD5 hash ile şifreleneceği anlamına gelir.

“Gelişmiş Şifre Güvenliği” ile 3 farklı yerel yönetici hesabını yapılandıralım.

Router# config terminal

Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# username david-admin secret d4N3$6&%sf
Router(config)# username mary-admin secret 54sxSFT*&(zsd

5) Maksimum Başarısız Kimlik Doğrulama Denemelerini Yapılandırma

Cihazlara kaba kuvvet şifre saldırılarını önlemek için, bir kullanıcı bu eşikten sonra kilitlenecek şekilde başarısız giriş denemesi
sayısını yapılandırabilirsiniz.
Bu, cihazlardaki yerel kullanıcı hesapları için çalışır.

Router# config terminal

Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# aaa new-model
Router(config)# aaa local authentication attempts max-fail 5 maksimum 5 başarısız giriş denemesi
Router(config)# aaa authentication login default local

6) Aygıtlara yalnızca belirli IP’lerden yönetim erişimine izin verme

Bu, Cisco ağ cihazlarında muhtemelen en önemli güvenlik yapılandırmalarından biridir. IP adreslerini cihazlarınız için Telnet veya
SSH’yi erişimi için sınırlandırmanız gerekir. Bu, yöneticilerin ağı yönetmek için kullanacakları birkaç yönetim sistemi ile
sınırlandırılmalıdır.

Yöneticilerin alt ağının 192.168.1.0/28 olduğunu varsayalım.

Router# config terminal

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15
Router(config)# line vty 0 15
Router(config)# access-class 10 in Tüm VTY satırlarına IP kısıtlamaları uygulayın

7) Günlüğü (Syslog)Etkinleştirin
Günlüğe kaydetme, izleme, olay yanıtlama ve denetim için çok kullanışlıdır. Cihazın dahili bir belleğine veya harici bir Log
sunucusuna günlüğe kaydetmeyi etkinleştirebilirsiniz. Çok daha fazla log verisi saklayabilmeniz ve günlükleri yerel loglamadan
daha kolay analiz edebilmeniz nedeniyle daha esnek ve faydalıdır.

Her biri giderek daha fazla günlük veri detayları veren 8 farklı kayıt seviyesi (0’dan 7’ye kadar) vardır. Cihazı aşırı
yükleyeceğinden, seviye 7’yi (hata ayıklama) kaydetmekten kaçınmalısınız.

Burada hem tamponlu günlükleri (cihaza dahili) hem de harici bir Sunucuya Günlüğe kaydetme konusunu ele alacağız. Aşağıda
gösterildiği gibi ikisinden de yararlanabilirsiniz.

Router# config terminal

Router(config)# logging
ile etkinleştirin
Router(config)# logging
kaydetme düzeyini 5 ile
Router(config)# service
zaman damgalarını dahil
trap 6 Harici sunucuya gönderilen günlükler için günlüğe kaydetme düzeyini 6
buffered 5 Yerel olarak arabellek içinde depolanan günlükler için günlüğe
timestamps log datetime msec show-timezone günlüklerdemilisaniye hassasiyetli
et

https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 3/4
11/29/2018 10 Adımda Cisco Cihaz Sıkılaştırması – Cemal Taner
Router(config)# logging host 192.168.1.2 Günlükleri harici günlük sunucusuna gönder
Router(config)# logging source-interface ethernet 1/0 Günlük iletileri göndermek için Eth1 / 0
kullanın

8) Ağ Zaman Protokolünü Etkinleştir (NTP)

Bu adım, kayıt hakkındaki önceki bölüm için gereklidir. Günlük verilerinin doğru zaman ve saat dilimi ile damgalanması için tüm
ağ cihazlarında doğru ve düzgün saat ayarlarına sahip olmanız gerekir. Bu, olay işleme ve doğru günlük izleme ve
korelasyonunda muazzam bir şekilde yardımcı olacaktır.

Dahili veya harici bir NTP sunucusu yapılandırabilirsiniz (ayrıca kullanabileceğiniz birçok ortak NTP sunucusu vardır).

Router# config terminal

Router(config)# ntp server 1.1.1.1
Router(config)# ntp server 2.2.2.2

9) Mümkünse Güvenli Yönetim Protokollerini kullanın

Telnet, Cisco cihazlarına Komut Satırı erişimi için varsayılan yönetim protokolüdür. Ancak, tüm yönetim trafiği Telnet ile açık
metin olarak gönderilir. Güvenlik nedeniyle, Telnet yerine yönetim için SSH’yi tercih edin.

Bir Cisco cihazına SSH erişimini nasıl yapılandıralım.

Router# config terminal

Router(config)# hostname London
London(config)# ip domain-name mydomain.com
London(config)# ip ssh version 2
London(config)# crypto key generate rsa modulus 2048
London(config)# ip ssh time-out 60
London(config)# ip ssh authentication-retries 3
London(config)# line vty 0 15
London(config-line)# transport input ssh

SSH, bir ana makine adına (host name) ve yapılandırılmış alan adına (domain name) sahip olmayı ve ayrıca SSH anahtarlarını
oluşturmayı gerektirir. Ayrıca, VTY satırlarında sadece SSH protokolüne izin verilir.

10) SNMP Erişimini Kısıtla ve Güvenli Hale Getir

Basit Ağ Yönetimi Protokolü (SNMP) ağ cihazlarından bilgi toplamak için çok yararlı olabilir, ancak uygun şekilde
yapılandırılmadıysa da bir güvenlik riski oluşturabilir.

SNMP protokolü, cihazdaki SNMP verilerine erişimi kısıtlamak için şifre (Şifre Okuyucu veya Okuma / Yazma) olarak kullanılan
bir “Topluluk Dizesi” kullanır. Güçlü bir Topluluk Dizesi yapılandırmaya ek olarak, yalnızca birkaç yönetim iş istasyonundan SNMP
erişimine izin vermek için IP filtrelemesi de uygulanmalıdır.

İki Topluluk dizgisini (bir “READ ONLY” ve bir başka “READ / WRITE”) yapılandırın ve ayrıca ACL’lerle IP adresi kontrolü
uygulayalım.

Router# config terminal

Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.1
Router(config)# snmp-server community Cbd43@#w5SDF RO 11 Salt Okunur (RO) topluluk dizesi oluşturun ve
SNMP erişimini sağlamak için ACL 11 kullanın
Router(config)# snmp-server community Xcv4#56&454sdS RW 12 Okuma Yazma (RW) topluluk dizesi oluşturun
ve SNMP erişimini sağlamak için ACL 12 kullanın

Yukarıdaki komutlar, 192.168.1.0/28 alt ağındaki yöneticilerin aygıtlara Salt Okunur SNMP erişimine sahip olmasını ve ayrıca
192.168.1.1 sunucusunun aygıtlara Tam Okuma / Yazma SNMP erişimine sahip olmasını sağlar.

https://www.cemaltaner.com.tr/2018/07/21/10-adimda-cisco-cihaz-sikilastirmasi/ 4/4