Cisco Yönlendiricileri için Güvenlik İpuçlarõ



Benzer belgeler
YÖNLENDİRİCİ GÜVENLİĞİ

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 5. Yönlendiricilerde İşlem İzleme ve Hata Ayıklama

Ağ Cihazlarının Güvenliğinin Sağlanma Yöntemleri Ar. Gör. Enis Karaarslan, Ege Üniversitesi Kampüs Network Güvenlik Grubu

Layer 2 Güvenlik Yöntemleri(Bölüm1) SAFA Kısıkçılar / İTÜ BİDB 2010

Yönlendirici Güvenliği

F.Ü. MÜH.FAK BILGISAYAR MÜH. BÖL. BILGISAYAR SISTEMLERI LAB. DENEY NO: 7 ERİŞİM DENETİM LİSTELERİ

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Bir Ağ Üzerindeki Müsait İşlevler Ağ Kablosunun Ağa Bağlanmasõ Makineyi Ağ üzerinde Kurmak Windows Yapõlandõrma

IPv6 ve Güvenlik Duvarı

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Packet tracer arayüzü yukarıdaki şekilden de görüldüğü gibi üç ana araç çubuğundan oluşmaktadır.

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ

IPV6'DA MULTICAST KRİTİĞİ

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 3

Bilgisayar Mühendisliği Bölümü. Cisco PT Kullanımı. Arzu Kakışım BİL 372 Bilgisayar Ağları. GYTE - Bilgisayar Mühendisliği Bölümü

YÖNLENDİRİCİ GÜVENLİĞİ KILAVUZU

DHCP kurulumu için Client/Server mimarisine sahip bir ağ ortamı olmalıdır ki bu da ortamda bir Domain Controller olmasını zorunlu kılar.

Güvenli Kabuk: SSH. Burak DAYIOĞLU, Korhan GÜRLER

Ağ Protokolleri MKÜ ANTAKYA MESLEK YÜKSEKOKULU AĞ TEMELLERİ DERSİ. Bağlantı Katmanı Protokolleri. Ağ Protokolleri. ARP (Address Resolution Protocol)

İmza : Öğrenci Adı Soyadı : Süleyman ALTAN

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

Web Servis-Web Sitesi Bağlantısı

Kampüs Ağlarında Aranan Kullanıcıların Tespiti

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

ERİŞİM ENGELLEME DOS VE DDOS:

Kampüs Ağlarında Aranan Kullanıcıların Tespiti V1.1

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

Bağlantı Türlerine Göre Güvenlik Önlemleri

Türk Akreditasyon Kurumu. Doküman No.: P509 Revizyon No: 01. Kontrol Onay. İmza. İsim

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Meşrutiyet Caddesi 12/ Kızılay/ANKARA T: +90 (312) info@cliguru.com

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

VPN NEDIR? NASıL KULLANıLıR?

Đstanbul Teknik Üniversitesi Bilgi Đşlem Daire Başkanlığı. 9 Kasim 2007 INET-TR Ankara

P2P ENGELLEMEK İÇİN QOS İLE CİSCO NBAR KULLANILMASI

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Ağ Topolojisi ve Ağ Yazılımları

İÇİNDEKİLER Ön söz... İçindekiler...

CAP1300 Hızlı Kurulum Kılavuzu

T.C. MİLLİ EĞİTİM BAKANLIĞI MEGEP (MESLEKÎ EĞİTİM VE ÖĞRETİM SİSTEMİNİN GÜÇLENDİRİLMESİ PROJESİ) BİLİŞİM TEKNOLOJİLERİ ERİŞİM DENETİM LİSTELERİ

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

BİLGİSAYAR AĞLARI. «Uygulama Katmanı»

Ayni sistem(host) üzerinde IPC. Ağ(network) aracılığı ile IPC

AĞ HĠZMETLERĠ MODÜLÜ 1. TAŞIMA KATMANI PROTOKOLLERİ

Hastane Bilgi Sistemleri İle E-devlet Uygulamaları Arasında İnternetin Sürekliliğinin Sağlanması

Bilgi ve Olay Yönetim Sistemi

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

Protocol Mimari, TCP/IP ve Internet Tabanlı Uygulamalar

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 8. Ağ Adresi Dönüştürme (NAT-Network Address Translation)

DDoS El Kitabı. Eylül 2014 UR.RHB.004

Kurulum Dökümanı. v

Yrd. Doç. Dr. A. Burak İNNER

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Kas Salı, Çarşamba Öğr. Gör. Murat KEÇECİOĞLU

Yönlendiriciler ve Yönlendirme Temelleri

HotelTV. HotelTV Kurulum Öngereksinimleri REV A0.2 D Ekim

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

Yeni Nesil Ağ Güvenliği

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

BONASUS. Ertuğrul AKBAS [ANET YAZILIM]

YÖNLENDİRİCİNİZİ KENDİ SANAL LABORATUARINIZDA SIKILAŞTIRIP TEST EDİN (KISIM I)

IP Adres Subnet Mask Default Gateway ??

Merkezi Neden Korumalıyız?

Kampüs Ağlarında Etkin Bant Genişliği Yönetimi V1.1

Internetin Yapı Taşları

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

HotelTV. HotelTV Kurulum Dökümanı REV A0.4 D Ekim. Web : Mail : support@vestek.com.tr Tel :

Computer and Network Security Cemalettin Kaya Güz Dönemi

HUAWEI Cihazlara Erişim Yöntemleri

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

TECOM AR1021 HAKKINDA SIKÇA SORULAN SORULAR

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

MCR02-AE Ethernet Temassız Kart Okuyucu

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Kurulum Dökümanı * v * Bu döküman FortiLogger versiyonu için hazırlanmıştır.

AĞ ve SİSTEM GÜVENLİĞİ

EGE Üniversitesi Network (Ağ) Altyapısı

Tüm hakları Ciscoturk.com'a aittir. 2.BÖLÜM- L2 İLERİ SEVİYE (6 Hata)

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Ağ Yönetiminin Fonksiyonel Mimarisi

PowerConnect 2800 Serisi Akıllı LAN Anahtarları

FreeBSD Üzerinde VLAN Kullanımı

2.AĞ CİHAZ GÜVENLİĞİ. 2.1.Güvenli Cihaz Erişimi

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

Bilgi ve Olay Yönetim Sistemi

BLM 6196 Bilgisayar Ağları ve Haberleşme Protokolleri

Erişim Noktası Ayarları

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

5014 PW. Hızlı Kurulum Kılavuzu

Quedra L MON Log Yönetim ve Güvenli Kayıt Yazılımı

Kurumsal Güvenlik ve Web Filtreleme

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 1

Transkript:

Cisco Yönlendiricileri için Güvenlik İpuçlarõ Burak DAYIOĞLU, dayioglu@metu.edu.tr Yönlendiricilerin ağ trafiğinin önemli bir bölümünü taşõmasõ onlarõ saldõrõlar için çok önemli birer hedef haline getirmektedir. Hedef kuruluşun yönlendiricilerini ele geçiren bir saldõrgan, yapabileceği pek çok başka saldõrõnõn yanõnda, ağõ çalõşmaz hale getirebilir. Bu özet, küçük ve orta boy işletmelerin ağ yöneticileri için düzenlenmiştir. Yönlendiricilerin ayarlarõnõn güvenliği ön plana çõkartacak biçimde nasõl yapõlmasõnõn uygun olacağõna ilişkin ipuçlarõ vermeyi hedeflemektedir. Verilen komutlarõn bir kõsmõ yalnõzca belli (genellikle daha güncel olan) IOS sürümlerinde geçerli olacaktõr. Komutlarõn doğru biçimde çalõşmamasõ durumunda, IOS sürümünüzün kullanõm kõlavuzuna göz atarak uygun komut ile değiştirmeniz gerekebilir. 1. Konfigürasyonlarõnõzõ Düzenli Yedekleyin Yönlendiricinizin ayarõnõ her değiştirdiğinizde, yapõlandõrma dosyanõzõn bir kopyasõnõ güvenlikli bir ortamda yedekleyiniz; bu amaçla TFTP ya da SNMP protokolünü kullanabilirsiniz. Yapõlandõrma dosyalarõ erişim şifreleri gibi hassas bilgileri de içerdiğinden yedeklerinin güvenlikli ortamda saklandõğõndan emin olunuz. Yedek yapõlandõrma dosyalarõnõz, bir saldõrõ sonrasõnda ağõnõzõ yeniden işler duruma getirirken ya da yapõlandõrmada bir tuhaflõk fark ettiğinizde karşõlaştõrma yapmak için kullanõlabilir. Eğer mümkün ise, yapõlandõrma dosyalarõnõz üzerinde RCS gibi bir sürüm yönetim sistemi (ing. configuration management system) çalõştõrabilirsiniz; böylece yönlendirici ayarlarõnõ ne zaman, kimin, nasõl ve niye değiştirdiğini takip etmek çok daha kolay olacaktõr. 2. Gereksiz Tüm Hizmetleri Durdurun Yönlendiricinin temel işlevselliği için gerekmeyen ve pek az yapõlandõrmada kullanmanõzõn anlamlõ olabileceği tüm hizmetleri durdurun: (1) no cdp run (2) no service udp-small-servers (3) no service tcp-small-servers (4) no ip finger ya da no service finger (5) no ntp server (6) no ip bootp server (7) no snmp-server (8) no ip http server (9) no ip identd

(1) numaralõ satõrda Cisco Discovery Protocol (CDP) hizmeti durdurulmaktadõr; eğer Cisco RMON kullanmõyorsanõz bu hizmete ihtiyacõnõz olmayacaktõr. (2) numaralõ satõr, UDP temelli echo, discard ve chargen hizmetlerini durdurmanõzõ sağlayacaktõr. Bu hizmetlerin verilmesi hiçbir zaman gerekli olmadõğõndan çalõşmamalarõ problem teşkil etmeyecektir. (3) numaralõ satõr, TCP temelli echo, discard, chargen ve daytime hizmetlerini durdurmanõzõ sağlayacaktõr. Bu hizmetlerin verilmesi de hiçbir zaman gerekli olmadõğõndan, çalõşmamalarõ bir probleme neden olmayacaktõr. (4) numaralõ satõr, CISCO IOS sürümünüze göre iki biçiminden birisi olarak geçerli olacaktõr. Çalõşan bir finger hizmeti, herkesin yönlendiricinize ya da erişim sunucunuza (ing. access-server) bağlõ (ing. logged-in) kullanõcõlarõn bir listesini almasõna imkan verecektir. Bu komut, finger hizmetini tümüyle devre dõşõ bõrakmanõzõ sağlar. (5) numaralõ satõr, yönlendiricinizin Ağ Zaman Protokolü (ing. Network Time Protocol NTP) hizmetlerini durdurur. Eğer zaman senkronizasyonu için sunucu olarak yönlendiricinizi kullanmõyorsanõz (ya da bilgisayar sistemleriniz arasõnda zaman senkronizasyonunu hiç kullanmõyorsanõz) bu hizmeti hiç endişe etmeden durdurabilirsiniz. (6) numaralõ satõr, BOOTP hizmetini durdurmak içindir. Eğer disksiz istemcileriniz açõlõş için Cisco yönlendiricinizden BOOTP hizmeti almõyorsa (ya da hiç disksiz istemciniz yok ise) bu hizmeti durdurmanõz herhangi bir probleme neden olmayacaktõr. (7) numaralõ satõr, SNMP hizmetini durdurmak için kullanõlõr. Eğer bir ağ yönetim sistemine (MRTG, HP Openview vb.) sahip değilseniz bu hizmeti gönül rahatlõğõ ile durdurabilirsiniz. (8) numaralõ satõr, yönlendiricinin yönetimi için kullanõlan web sunucu yazõlõmõnõ durdurmanõzõ sağlar. Yapõlandõrmanõzõ web üzerinden yapmayõ özellikle tercih etmiyorsanõz web sunucusuna ihtiyacõnõz yoktur; pek çok Cisco yönlendirici öntanõmlõ olarak web sunucusu çalõşmayacak biçimde ayarlõdõr. (9) numaralõ satõr, tanõmlama (ing. identification) hizmetini devre dõşõ bõrakõr. 3. Parola Denetimini Kullanõn Ön tanõmlõ olarak, telnet erişimleri parola denetimsiz gerçekleşir. Parola denetimini gerçekleştirmek üzere aşağõdaki biçimde parola atamasõ yapabilirsiniz: (1) line vty 4 0 (2) login (3) password PAROLAM (4) access-class 2 in (5) exit

4. Kaynaktan Yönlendirmeyi Durdurun Kaynaktan yönlendirme (ing. source-routing) modern bir ağ üzerinde hiçbir zaman kullanmayacağõnõz bir özelliktir. Kaynağõndan yönlendirilmiş paketlerin ağõnõza girmesine müsaade etmeniz pek çok tehlikeyi de beraberinde getirecektir. Bunu engellemek üzere aşağõdaki komut ile kaynaktan yönlendirmeyi durdurabilirsiniz: (1) no ip source-route 5. Smurf Saldõrõlarõna Alet Olmayõn Çok popüler bir hizmet kesintisi (ing. Denial of Service) saldõrõsõ olan Smurf, yönlendiricilerin eksik yapõlandõrmalarõndan faydalanõr. Yönlendirilmiş yayõnlarõn (ing. directed broadcast) ağõnõza girmesini engellemeniz, bir Smurf saldõrõsõna alet olmanõzõ engelleyecektir. Her bir ağ arayüzünüz için aşağõdaki gibi bir komut setini işletmeniz gerekmektedir 1 : (1) interface eth 0/3 (2) no ip directed-broadcast 6. Günlük Kayõtlarõnõzõ İzleyin Yönlendiricinin günlük kaydõnõ (ing. system log) aktif hale getiriniz ve kurum içerisindeki bir UNIX syslog sunucusuna kayõt yapacak biçimde ayarlayõnõz: (1) logging buffered (2) service timestamps log date msec local show-timezone (3) logging trap info (4) logging facility daemon (5) logging 10.0.0.1 (5) numaralõ satõrda, kurum bünyesinde kayõt tutacak olan UNIX sunucusunun IP adresi verilmelidir. UNIX sunucusu üzerindeki syslog yazõlõmõnõn ayarlarõ yapõlarak yönlendiriciden gelen syslog kayõtlarõnõ almasõna izin verilmelidir. Günlük kayõtlarõ UNIX sunucuya aktarõlmaya başlandõktan sonra düzenli olarak izlenmeli ve tespit edilen problemlere hõzla müdahale edilmelidir. Yönlendiricinizin syslog kayõtlarõnõ izlemek için logsurfer, swatch ya da logwatch gibi popüler özgür yazõlõmlardan faydalanabilirsiniz. 7. Parolalarõnõzõ MD5 ile Koruyun Parolalarõnõzõ daha güvenilir bir şifreleme algoritmasõ olan md5 ile şifrelenmiş biçimde depoladõğõnõzdan emin olun; bu amaçla enable password komutunu değil, enable secret komutunu kullanmalõsõnõz. Yönlendirici yapõlandõrmanõzõn bir kopyasõnõn bir saldõrganõn eline geçmesi durumunda md5 ile şifrelenerek 1 Güncel Cisco IOS sürümleri yönlendirilmiş yayõnlarõ ön-tanõmlõ olarak geçirmeyecek biçimde ayarlõdõr. Güncel bir IOS sürümü kullanõyorsanõz bu maddede anlatõlanlarõ yapmanõza gerek yoktur.

saklanan parolanõzõn deneme-yanõlma ile bulunmasõ çok daha uzun süre gerektirecektir: (1) enable secret benim-parolam 8. Adres Şaşõrtmacasõna Geçit Vermeyin IP erişim denetim listelerini kullanarak, yönlendiricinizin adres şaşõrtmacasõ saldõrõlarõna karşõ korunmasõnõ sağlayõnõz. Bu sayede, örneğin, yönlendiricinizin İnternet te bakan arayüzünden iç ağõnõzdaki bir bilgisayarõn IP adresi ile paketlerin ağõnõza girmesini engelleyebilirsiniz. İç ağõnõzõn 10.0.0.0/24 C sõnõfõ adres aralõğõnda ve ethernet 0 arayüzüne bağlõ olduğu, yönlendiricinizin yalnõzca İnternet ile iç ağõnõz arasõnda konumlandõrõldõğõ ve internet bağlantõsõnõn ethernet 1 arayüzü ile gerçekleştirildiği durum için örnek yapõlandõrma satõrlarõ aşağõdaki gibidir: (1) no access-list 110 (2) access-list 110 permit ip 10.0.0.0 0.0.0.255 any (3) access-list 110 deny udp any range 1 65535 any log (4) access-list 110 deny tcp any range 1 65535 any log (5) access-list 110 deny ip any any log (6) interface ethernet 0 (7) ip access-group 110 in (8) exit (9) interface ethernet 1 (10) ip access-group 110 out (11) exit 9. Ayrõlmõş Adres Bloklarõndan Ağõnõza Girişi Engelleyin IANA tarafõndan özel amaçlar ve kurum içi kullanõmlar için rezerve edilmiş IP adres bloklarõndan ağõnõza paketlerin gelmesine engel olunuz; internet üzerinde kullanõlmasõ beklenmeyen IP adreslerinden ağõnõza doğru paketlerin gelmesinin makul bir açõklamasõ olamaz. IP erişim denetim listeleri ile bu engellemeyi gerçekleştirebilirsiniz. İnternet bağlantõsõnõn ethernet 0 arayüzü ile sağlandõğõ bir durum için örnek yapõlandõrma aşağõda verilmiştir: (1) no access-list 111 (2) access-list 111 deny ip 10.0.0.0 0.255.255.255 any log (3) access-list 111 deny ip 127.0.0.0 0.255.255.255 any log (4) access-list 111 deny 169.254.0.0 0.0.255.255 any log (5) access-list 111 deny 172.16.0.0 0.0.255.255 any log (6) access-list 111 deny 192.168.0.0 0.0.255.255 any log (7) access-list 111 deny 224.0.0.0 0.255.255.255 any log (5) access-list 111 deny ip host 0.0.0.0 any log (6) interface ethernet 0 (7) ip access-group 111 in

(8) exit 10. Gereksiz ICMP Paketleri Filtreleyin Yalnõzca çok gerekli ICMP paketlerinin ağõnõza girmesine müsaade ederek dağõtõk hizmet kesintisi saldõrõlarõnõn (DDoS) bir kõsmõndan kurtulabilirsiniz: Referanslar (1) no ip access-list 112 (2) access-list 112 deny icmp any any fragments (3) access-list 112 permit icmp any any echo (4) access-list 112 permit icmp any any echo-reply (5) access-list 112 permit icmp any any packet-too-big (6) access-list 112 permit icmp any any source-quench (7) access-list 112 permit icmp any any time-exceeded (8) access-list 112 deny icmp any any (9) access-list 112 permit ip any any (10) interface ethernet 0 (11) ip access-group 112 in (12) exit 1. N. Ziring ve diğerleri, Router Security Configuration Guide, National Security Agency (NSA), Nisan 2001. 2. Improving Security on Cisco Routers, Cisco Technical Notes, Cisco 2001. 3. N. Fischbach ve S. Lacoste-Seris, Protecting Your IP Network Infrastructure, BlackHat Amsterdam Seminer Slaytlarõ, 2001.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim