Cisco Yönlendiricileri için Güvenlik İpuçlarõ

Transkript

1 Cisco Yönlendiricileri için Güvenlik İpuçlarõ Burak DAYIOĞLU, Yönlendiricilerin ağ trafiğinin önemli bir bölümünü taşõmasõ onlarõ saldõrõlar için çok önemli birer hedef haline getirmektedir. Hedef kuruluşun yönlendiricilerini ele geçiren bir saldõrgan, yapabileceği pek çok başka saldõrõnõn yanõnda, ağõ çalõşmaz hale getirebilir. Bu özet, küçük ve orta boy işletmelerin ağ yöneticileri için düzenlenmiştir. Yönlendiricilerin ayarlarõnõn güvenliği ön plana çõkartacak biçimde nasõl yapõlmasõnõn uygun olacağõna ilişkin ipuçlarõ vermeyi hedeflemektedir. Verilen komutlarõn bir kõsmõ yalnõzca belli (genellikle daha güncel olan) IOS sürümlerinde geçerli olacaktõr. Komutlarõn doğru biçimde çalõşmamasõ durumunda, IOS sürümünüzün kullanõm kõlavuzuna göz atarak uygun komut ile değiştirmeniz gerekebilir. 1. Konfigürasyonlarõnõzõ Düzenli Yedekleyin Yönlendiricinizin ayarõnõ her değiştirdiğinizde, yapõlandõrma dosyanõzõn bir kopyasõnõ güvenlikli bir ortamda yedekleyiniz; bu amaçla TFTP ya da SNMP protokolünü kullanabilirsiniz. Yapõlandõrma dosyalarõ erişim şifreleri gibi hassas bilgileri de içerdiğinden yedeklerinin güvenlikli ortamda saklandõğõndan emin olunuz. Yedek yapõlandõrma dosyalarõnõz, bir saldõrõ sonrasõnda ağõnõzõ yeniden işler duruma getirirken ya da yapõlandõrmada bir tuhaflõk fark ettiğinizde karşõlaştõrma yapmak için kullanõlabilir. Eğer mümkün ise, yapõlandõrma dosyalarõnõz üzerinde RCS gibi bir sürüm yönetim sistemi (ing. configuration management system) çalõştõrabilirsiniz; böylece yönlendirici ayarlarõnõ ne zaman, kimin, nasõl ve niye değiştirdiğini takip etmek çok daha kolay olacaktõr. 2. Gereksiz Tüm Hizmetleri Durdurun Yönlendiricinin temel işlevselliği için gerekmeyen ve pek az yapõlandõrmada kullanmanõzõn anlamlõ olabileceği tüm hizmetleri durdurun: (1) no cdp run (2) no service udp-small-servers (3) no service tcp-small-servers (4) no ip finger ya da no service finger (5) no ntp server (6) no ip bootp server (7) no snmp-server (8) no ip http server (9) no ip identd

2 (1) numaralõ satõrda Cisco Discovery Protocol (CDP) hizmeti durdurulmaktadõr; eğer Cisco RMON kullanmõyorsanõz bu hizmete ihtiyacõnõz olmayacaktõr. (2) numaralõ satõr, UDP temelli echo, discard ve chargen hizmetlerini durdurmanõzõ sağlayacaktõr. Bu hizmetlerin verilmesi hiçbir zaman gerekli olmadõğõndan çalõşmamalarõ problem teşkil etmeyecektir. (3) numaralõ satõr, TCP temelli echo, discard, chargen ve daytime hizmetlerini durdurmanõzõ sağlayacaktõr. Bu hizmetlerin verilmesi de hiçbir zaman gerekli olmadõğõndan, çalõşmamalarõ bir probleme neden olmayacaktõr. (4) numaralõ satõr, CISCO IOS sürümünüze göre iki biçiminden birisi olarak geçerli olacaktõr. Çalõşan bir finger hizmeti, herkesin yönlendiricinize ya da erişim sunucunuza (ing. access-server) bağlõ (ing. logged-in) kullanõcõlarõn bir listesini almasõna imkan verecektir. Bu komut, finger hizmetini tümüyle devre dõşõ bõrakmanõzõ sağlar. (5) numaralõ satõr, yönlendiricinizin Ağ Zaman Protokolü (ing. Network Time Protocol NTP) hizmetlerini durdurur. Eğer zaman senkronizasyonu için sunucu olarak yönlendiricinizi kullanmõyorsanõz (ya da bilgisayar sistemleriniz arasõnda zaman senkronizasyonunu hiç kullanmõyorsanõz) bu hizmeti hiç endişe etmeden durdurabilirsiniz. (6) numaralõ satõr, BOOTP hizmetini durdurmak içindir. Eğer disksiz istemcileriniz açõlõş için Cisco yönlendiricinizden BOOTP hizmeti almõyorsa (ya da hiç disksiz istemciniz yok ise) bu hizmeti durdurmanõz herhangi bir probleme neden olmayacaktõr. (7) numaralõ satõr, SNMP hizmetini durdurmak için kullanõlõr. Eğer bir ağ yönetim sistemine (MRTG, HP Openview vb.) sahip değilseniz bu hizmeti gönül rahatlõğõ ile durdurabilirsiniz. (8) numaralõ satõr, yönlendiricinin yönetimi için kullanõlan web sunucu yazõlõmõnõ durdurmanõzõ sağlar. Yapõlandõrmanõzõ web üzerinden yapmayõ özellikle tercih etmiyorsanõz web sunucusuna ihtiyacõnõz yoktur; pek çok Cisco yönlendirici öntanõmlõ olarak web sunucusu çalõşmayacak biçimde ayarlõdõr. (9) numaralõ satõr, tanõmlama (ing. identification) hizmetini devre dõşõ bõrakõr. 3. Parola Denetimini Kullanõn Ön tanõmlõ olarak, telnet erişimleri parola denetimsiz gerçekleşir. Parola denetimini gerçekleştirmek üzere aşağõdaki biçimde parola atamasõ yapabilirsiniz: (1) line vty 4 0 (2) login (3) password PAROLAM (4) access-class 2 in (5) exit

3 4. Kaynaktan Yönlendirmeyi Durdurun Kaynaktan yönlendirme (ing. source-routing) modern bir ağ üzerinde hiçbir zaman kullanmayacağõnõz bir özelliktir. Kaynağõndan yönlendirilmiş paketlerin ağõnõza girmesine müsaade etmeniz pek çok tehlikeyi de beraberinde getirecektir. Bunu engellemek üzere aşağõdaki komut ile kaynaktan yönlendirmeyi durdurabilirsiniz: (1) no ip source-route 5. Smurf Saldõrõlarõna Alet Olmayõn Çok popüler bir hizmet kesintisi (ing. Denial of Service) saldõrõsõ olan Smurf, yönlendiricilerin eksik yapõlandõrmalarõndan faydalanõr. Yönlendirilmiş yayõnlarõn (ing. directed broadcast) ağõnõza girmesini engellemeniz, bir Smurf saldõrõsõna alet olmanõzõ engelleyecektir. Her bir ağ arayüzünüz için aşağõdaki gibi bir komut setini işletmeniz gerekmektedir 1 : (1) interface eth 0/3 (2) no ip directed-broadcast 6. Günlük Kayõtlarõnõzõ İzleyin Yönlendiricinin günlük kaydõnõ (ing. system log) aktif hale getiriniz ve kurum içerisindeki bir UNIX syslog sunucusuna kayõt yapacak biçimde ayarlayõnõz: (1) logging buffered (2) service timestamps log date msec local show-timezone (3) logging trap info (4) logging facility daemon (5) logging (5) numaralõ satõrda, kurum bünyesinde kayõt tutacak olan UNIX sunucusunun IP adresi verilmelidir. UNIX sunucusu üzerindeki syslog yazõlõmõnõn ayarlarõ yapõlarak yönlendiriciden gelen syslog kayõtlarõnõ almasõna izin verilmelidir. Günlük kayõtlarõ UNIX sunucuya aktarõlmaya başlandõktan sonra düzenli olarak izlenmeli ve tespit edilen problemlere hõzla müdahale edilmelidir. Yönlendiricinizin syslog kayõtlarõnõ izlemek için logsurfer, swatch ya da logwatch gibi popüler özgür yazõlõmlardan faydalanabilirsiniz. 7. Parolalarõnõzõ MD5 ile Koruyun Parolalarõnõzõ daha güvenilir bir şifreleme algoritmasõ olan md5 ile şifrelenmiş biçimde depoladõğõnõzdan emin olun; bu amaçla enable password komutunu değil, enable secret komutunu kullanmalõsõnõz. Yönlendirici yapõlandõrmanõzõn bir kopyasõnõn bir saldõrganõn eline geçmesi durumunda md5 ile şifrelenerek 1 Güncel Cisco IOS sürümleri yönlendirilmiş yayõnlarõ ön-tanõmlõ olarak geçirmeyecek biçimde ayarlõdõr. Güncel bir IOS sürümü kullanõyorsanõz bu maddede anlatõlanlarõ yapmanõza gerek yoktur.

4 saklanan parolanõzõn deneme-yanõlma ile bulunmasõ çok daha uzun süre gerektirecektir: (1) enable secret benim-parolam 8. Adres Şaşõrtmacasõna Geçit Vermeyin IP erişim denetim listelerini kullanarak, yönlendiricinizin adres şaşõrtmacasõ saldõrõlarõna karşõ korunmasõnõ sağlayõnõz. Bu sayede, örneğin, yönlendiricinizin İnternet te bakan arayüzünden iç ağõnõzdaki bir bilgisayarõn IP adresi ile paketlerin ağõnõza girmesini engelleyebilirsiniz. İç ağõnõzõn /24 C sõnõfõ adres aralõğõnda ve ethernet 0 arayüzüne bağlõ olduğu, yönlendiricinizin yalnõzca İnternet ile iç ağõnõz arasõnda konumlandõrõldõğõ ve internet bağlantõsõnõn ethernet 1 arayüzü ile gerçekleştirildiği durum için örnek yapõlandõrma satõrlarõ aşağõdaki gibidir: (1) no access-list 110 (2) access-list 110 permit ip any (3) access-list 110 deny udp any range any log (4) access-list 110 deny tcp any range any log (5) access-list 110 deny ip any any log (6) interface ethernet 0 (7) ip access-group 110 in (8) exit (9) interface ethernet 1 (10) ip access-group 110 out (11) exit 9. Ayrõlmõş Adres Bloklarõndan Ağõnõza Girişi Engelleyin IANA tarafõndan özel amaçlar ve kurum içi kullanõmlar için rezerve edilmiş IP adres bloklarõndan ağõnõza paketlerin gelmesine engel olunuz; internet üzerinde kullanõlmasõ beklenmeyen IP adreslerinden ağõnõza doğru paketlerin gelmesinin makul bir açõklamasõ olamaz. IP erişim denetim listeleri ile bu engellemeyi gerçekleştirebilirsiniz. İnternet bağlantõsõnõn ethernet 0 arayüzü ile sağlandõğõ bir durum için örnek yapõlandõrma aşağõda verilmiştir: (1) no access-list 111 (2) access-list 111 deny ip any log (3) access-list 111 deny ip any log (4) access-list 111 deny any log (5) access-list 111 deny any log (6) access-list 111 deny any log (7) access-list 111 deny any log (5) access-list 111 deny ip host any log (6) interface ethernet 0 (7) ip access-group 111 in

5 (8) exit 10. Gereksiz ICMP Paketleri Filtreleyin Yalnõzca çok gerekli ICMP paketlerinin ağõnõza girmesine müsaade ederek dağõtõk hizmet kesintisi saldõrõlarõnõn (DDoS) bir kõsmõndan kurtulabilirsiniz: Referanslar (1) no ip access-list 112 (2) access-list 112 deny icmp any any fragments (3) access-list 112 permit icmp any any echo (4) access-list 112 permit icmp any any echo-reply (5) access-list 112 permit icmp any any packet-too-big (6) access-list 112 permit icmp any any source-quench (7) access-list 112 permit icmp any any time-exceeded (8) access-list 112 deny icmp any any (9) access-list 112 permit ip any any (10) interface ethernet 0 (11) ip access-group 112 in (12) exit 1. N. Ziring ve diğerleri, Router Security Configuration Guide, National Security Agency (NSA), Nisan Improving Security on Cisco Routers, Cisco Technical Notes, Cisco N. Fischbach ve S. Lacoste-Seris, Protecting Your IP Network Infrastructure, BlackHat Amsterdam Seminer Slaytlarõ, 2001.