2 Mart 2012 Cuma

Router Güvenliği


Yönlendiricinin görevleri aşağıdaki gibi sınıflandırılabilir: 
•  Yol Seçmek(Routing): Yönlendirici, kendine bağlı olan bilgisayarların network adreslerini  tuttuğu gibi, kendisine bağlı veya kullanılan protokole göre bağımsız yönlendiricilerin network adreslerini de routing tablolarında tutmaktadır. Yönlendirici kendisine gelen paketlerin nereye gideceğini öğrendikten sonra bu adresi routing tablolarıyla karşılaştırarak hangi port’undan yollayacağına karar vermektedir.

•  Paket Filtreleme: Paket filtreleme, network adresi(IP), servisi ve protokolüne göre bilgi transferini kontrol etmektir. Yönlendirici bu kontrolleri ACL’ler (Access-Control List – Erişim Listesi) yardımı ile sağlar. ACL’ler kendisine gelen verinin kaynak, hedef ip adreslerine, bilginin gideceği port adresine veya kullanılmak istenen protokole göre kısıtlamalar yapabilmektedir. Bu  kısıtlamalar yapılırken iki şekilde yapılabilir. Birincisi sadece izin verilen servisler ve protokoller yazılarak servise  açılmakta ve geri kalanı
kapatılmaktadır. İkincisinde ise sadece kapatılan servisler yazılmakta ve diğerleri açılmaktadır. ACL yazarken komutların yukarıdan aşağıya doğru işleneceği ve gelen paketin yazdığımız herhangi bir kuralla takıldığı anda işlemin  bitirilip alttaki kurallara bakılmayacağıda akıldan çıkartılmamalıdır. Aşağıdaki ACL’de bütün bilgisayarlara 80. port (http) erişimi serbest bırakılmış ve diğer bütün servisler kısıtlanmıştır. 

access-list 101 permit ip any any eq 80
access-list 101 deny any any


Erişim listeleri, yönlendiricinin belirli bir arayüze uygulanmadan aktif olmazlar. Erişim listeleri uygulandıkları yön açısından iki türlü olmaktadır. Arayüzün içten gelen trafiğine (“in” - inbound) ya da dıştan gelen trafiğine (“out” - outbound) uygulanabilir. Örneğin aşağıdaki örnekte 101 numaralı erişim listesi, “ethernet 0” arayüzünün inbound’una uygulanmıştır.
Interface ethernet 0
access-group 101 in

YÖNLENDİRİCİ CİHAZININ GÜVENLİĞİ
 Yönlendiricinin, ağa bağlı bir cihaz olarak kendisinin güvenliğinin sağlanması gerekmektedir.
Yönlendirici cihazının güvenliği şu alt başlıklarda işlenebilir:
1. Fiziksel Güvenlik
2.Yönlendiriciye Erişim Hakları
3.Şifrelerin Güvenliği, 
4.Erişim Protokolleri  Güvenliği
5.Gereksiz Servisleri Kapatmak
6.İşletim Sistemi Güvenliği

 1.Fiziksel Güvenlik
 Fiziksel güvenliği saglamanın birkac yolu vardır. Bunlardan biri yönlendiricilerin bulunduğu odaların kapılarını kilitli tutarak yetkisiz kişilerin girişilerine izin vermemektir. Ayrıca bu odalarda cok fazla elektrik ve manyetik alan olmamasına; sıcaklık ve nemin de kontrol altında tutulmasına özen gösterilmelidir. Yönlendiriciler için ayrı bir oda ayırılamıyorsa en azından kilitli dolaplar (kabinet) içine koyulmalıdır. İkincisi bu odaya gelen elektriğin hiç kesilmemesidir . Bu UPS (Uninterupted power supply) kullanarak  sağlabilmektedir. Bir üçüncüsü; yönlendirici yakınlarına şifre veya ip bilgileri gibi bilgileri yazmaktan  kaçınmaktır.

2.Yönlendiriciye Erişim Hakları  
Yönlendiriciye kimlerin erişeceğinin bir politikayla belirlenmesi ve erişimlerin loglanması gerekmektedir. Bu politikada; kimin konfigürasyon yedeklerini alacağının, kimin yeni bir parça alımında yönlendiriciye yerleştireceğinin, kimin logları düzenli takip edileceğinin açık bir şekilde belirtilmesi gerekmektedir.
Temelde yönlendiricilere, kullanıcı (user) ve yönetici (enable) olarak iki çeşit erişim hakkı vardır. Kullanıcı modunda sadece kontroller yapılabilirken, yönetici modda ek olarak cihaz konfigürasyonu da yapılabilmektedir. Bu iki erişim hakkı, 15 seviyeli erişim mekanizmasıyla desteklenmiştir ve varsayılan (default) olarak üç adet erişim seviyesi vardır. Seviye 0’da sadece disable, enable ,help ,logout komutlarını; seviye 1’de kullanıcı modundaki komutları (router>); seviye 15’de exec modu (router#) diye tabir ettiğimiz yönetici komutlarını kullanma hakkına sahiptirler.Bu erişim seviyeleri, kişiler ve komutlar bazında yöneticinin isteğine göre ayarlanabilir. Mesela yönetici  kullanıcının  ping komutunu kullanmasını fakat snmp-server community  komutunu kullanmamasını isterse buna göre ayarlama yapabilmektedir. Bu seviyeler  yönlendiricide komut bazında veya TACACS+, RADIUS doğrulama(authentication) sunucuları bazında ayarlanabilmektedir.

3.Şifrelerin Güvenliği
Günümüzde büyük oranda kırma(hacking) işlemi “password quessing” (parola tahmin etme) yöntemiyle yapılmaktadır bu sebepten şifre seçimine gerektiği önem verilmelidir.Cisco yönlendiricilerde kullanıcı adı ve parolasının konfigürasyon dosyasında gözükmemesi için “service password-encription” komutu kullanılmalı. Zayıf şifreleme algoritması kullanan “enable password” kaldırılmalı, MD5-tabanlı algoritmayla şifreyi koruyan “enable secret” komutu kullanılmalıdır. “no enable password” komutu kullanılarak enable password’ler silinmeli yerine “enable secret yeni_şifreniz” ile yeniden şifreler girilmelidir.

4.Erişim Protokollerinin Güvenliği
 Yönlendiricilere fiziksel erişim konsol portundan yapılmaktadır. Bunun için fiziksel  güvenliğin sağlanması gerekmektedir. Diğer erişim yöntemleri olan HTTP, Telnet, SSH, TFTP, ve FTP kullanıldığında TCP/IP protokolünün zayıflıklarına karşı önlem alınması gerekmektedir. Alınması gereken önlemler aşağıdaki gibidir.

Belirli IP’lerin Cihaza Erişimine İzin Vermek:
Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir. Bu da erişim listesi (access-list) yazılarak sağlanır. Örneğin Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin erişimine izin verilmesi ve diğer ip’lerin engellenmesi ve bu erişimlerin kaydının tutulması aşağıdaki erişim listesi ile sağlanmaktadır 

access-list 7 permit 200.100.17.2
access-list 7 permit 200.100.17.3
access-list 7 deny any log

Örnekte verilen 7 numaralı erişim listesinin devreye girmesi için erişimin geleceği arayüzlerde etkin hale getirilmesi gerekmektedir. Telnet (veya  ssh) için uygulanması da aşağıdaki gibi olmaktadır:
 line vty 0 4
 access-class 7 in
Http erişimi için kısıtlanması da aşağıdaki gibi olmaktadır:
ip http access-class 7
SNMP erişimine belirtilen IP’lerin izin verilmesi ise aşağıdaki gibi olmaktadır:
snmp-server host 200.100.17.2 snmp_şifresi
snmp-server host 200.100.17.3 snmp_şifresi

HTTP Erişimi: 
HTTP protokolü ile web arayüzünden erişim, cihaza interaktif bağlantı demektir. Yönetilebilir  cihazlarının birçoğunun üzerinde web sunucusu çalışır. Bu da 80 nolu portta bir web sunucunun kurulu beklediğini gösterir. Daha önceden de belirtildiği gibi HTTP servisi verilecekse bu ağ yönetimini sağlayan belirli IP’lere kısıtlı olarak verilmelidir. Cihaz güvenliği nedeniyle mümkün olduğunca bu tür web üzerinden yönetimin kullanılmaması gerektiği önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bileceği başka bir port üzerinden, örneğin  “ip http server port 500” komutuyla 500 nolu portta çalıştırılabilecek şekilde ayarlanmalıdır.

Şifrenin Ağda Düz Metin Olarak İletilmesini Engellemek:
HTTP, Telnet, SNMP protokolleri ile cihaza erişimde, doğrulama mekanizması ağda şifrenin düz metin (clear text) şeklinde gönderimi ile sağlandığı için güvenlik açığı oluşmaktadır. Özellikle hub bulunan ortamlarda saldırganın ağ üzerinden dinleme (sniff) yoluyla iletilen bilgiyi elde etmesi mümkün olabilmektedir. Bunu engellemek için aşağıdaki önlemler alınabilir :

-  Konsol Kablosunu Yönetim Bilgisayarına Çekmek: Eğer cihaz tek bir makinadan yönetiliyorsa, o makinanın com portundaki arabirime çekilen bir utp kablo ile konsol erişimi sağlanabilir. Böylece erişim tek bir kablo üzerinden sağlanacaktır. -  Telnet yerine Secure Shell (SSH) Erişimi Vermek:  İletilen veriyi şifreleyen SSH protokolü mümkün olduğunca kullanılmalıdır. SSH’i desteklemek için cihazın işletim sisteminin güncellenmesi gerekebilmektedir. SSH, şu anda bütün cihazlar ve cihaz işletim sistemleri tarafından desteklenmemektedir. Bu konuda üretici firmanın cihaz dökümantasyonu incelenmelidir.

-  Güncel SNMP Versiyonlarını Kullanmak:  SNMP Versiyon 1, düz metin doğrulama dizileri (string) kullandığından bu doğrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan öz (digest) doğrulama şeması kullanan ve çeşitli yönetim verilerine kısıtlı erişim sağlayan SNMP Versiyon 2 veya 3’ün kullanılması gerekmektedir. Mümkünse her cihaz için ayrı bir MD5 gizli (secret) değeri kullanılmalıdır.

-  Hub olan ortamlardan cihaza erişim yapmamak: Hub olan ortamlardan yönlendiriciye  erişim yapılmamalıdır. Böyle erişimin zorunlu olduğu durumlarda, daha güvenli bir ortamda bulunan ve ssh’i destekleyen bir linux/unix sunucu varsa, o sunucuya bağlanarak onun üzerinden yönlendiriciye telnet erişimi yapılmalıdır.

-  Doğrulama Mekanizmaları Sağlamak : HTTP protokolünde doğrulama mekanizması ağda şifrenin düz metin şeklinde gönderimi ile sağlandığı için efektif değildir ama farklı üreticilerin değişik çözümleri bulunmaktadır. Doğrulama mekanizması, onay sunucuları (Tacacs+, Radius …vb) kullanılarak  yapılabilir. Cisco IOS’de doğrulama mekanizması “ip http authentication” komutuyla sağlanmaktadır.

Acil Durum Erişimini Ayarlamak:
Yönlendiricilere erişimin sağlanamadığı acil durumlarda telefon hatları üzerinden modem kullanılarak erişmek için “Auxiliary port” bulunmaktadır. Bu tür bir erişim için PPP (Point to Point Protocol) üzerinde PAP (Password Authentication Protocol) yerine CHAP (Challenge Handshake Authentication Protocol) doğrulama methodu kullanılmalıdır. CHAP, dial-up ve uçtan uca (point to point) bağlantılarda uç noktayı engelleyerek izinsiz erişimleri engellemektedir. 
Bütün bu önlemlere karşı saldırganlar yönlendiriciyi ele geçirebilmektedir. Bu sebeble en azından yönlendirici açılışına yasal haklarla erişebilinecek bir cihaza erişildiğini izinsiz erişimlere kanuni işlem yapılacağını belirten  yazı yazılmalıdır. Cihaza erişim yapıldığında bir uyarı gözükmesi için, “banner motd” komutu kullanılmaktadır. Örneğin aşağıdaki şekilde bir uyarı cihaza eklenebilir:
 banner motd ^C
Bu cihaza yetkisiz erisim yasaktir. Erisim bilgileriniz kayitlanmistir.
Unauthorized access to this device is prohibited. All access has been logged.
  
5.Gereksiz Servisleri Kapatmak
 Yönlendiricide kullanılmayan servisler kapatılmalıdır. Örneğin  kullanılmayan ve güvenlik açığı oluşturabilecek TCP/UDP services echo, chargen ve discard kapatılmalıdır:
no service tcp-small-servers
no service udp-small-servers
Bu cihaza bağlı kişiler hakkında saldırgana bilgiler sağlayabilecek “finger” servisi de kapatılmalıdır:
no service finger
Daha önceden de belirtildiği üzere yönlendiricide web sunucusu da çalıştırılmamalıdır:
 no ip http server 

6.İşletim Sistemi
Yönlendirici için işletim sistemi (Operating System) seçilirken ağın ihtiyaclarına uygun ve aynı zamanda donanımın desteklediği bir versiyon olmasına dikkat edilmelidir. Her ne kadar işletim sistemleri güvenlik testlerine tabi tutulup daha sonra  piyasaya sürülüyorsa da daha sonradan güvenlik açıkları bulunabilmektedir. Bu nedenden dolayı çıkan yamaları takip edip upgrade yapmak gerekebilmektedir. Şuda unutulmamalıdır ki; işletim sisteminin en son versiyonu  her zaman en iyi versiyon olmayabilmektedir. Bu nedenlerden dolayı, düzgün calıştıgı denenmiş en son versiyon tercih edilmeli ve kesinlikle eski versiyon yedeklenmelidir.
Cisco yönlendirici cihazlarının IOS larının güvenliği için referansından ayrıntılı olarak yararlanabilirsiniz. Eğer başka marka yönlendirici kullanıyorsanız en son işletim versiyonlarını üretici sitelerinden bulabilirsiniz. 

AĞI YÖNLENDİRİCİLERLE KORUMAK
Yönlendirici,  bazı ağlarda yönlendirici görevinin yanı sıra güvenlik duvarı gibi çalışacak şekilde de ayarlanabilmektedir. Bu güvenlik duvarı işlevi, basit bir paket filtreleme fonksiyonundan oluşmaktadır ve günümüzdeki güvenlik duvarlarına oranla oldukça ilkel kalmaktadır. Yönlendiricinin temel görevinin yönlendirme (routing) olduğu unutulmamalı, bu tür bir güvenlik duvarı işlevinin cihazın performansını düşüreceği dikkate alınmalıdır. Cihazda alınacak bu tür önlemler mümkün olduğunca en az oranda tutulmalı, bu tür güvenlik önlemleri için ayrı güvenlik duvarı (firewall) sistemleri kurulmalıdır. Yönlendiriciyi aynı zamanda detaylı paket filtreleme özellikleri ile kullanmak, sadece küçük ağlarda veya güçlü omurga cihazlarının bulunduğu kampüs ağlarındaki iç yönlendiricilerde tercih edilmelidir.
 Bu bölümde yönlendirici ile ağdaki bilgisayarlara gelebilecek saldırıların engellenmesi için bazı ipuçları verilecektir.

1. Riskli portları  kapatmak: 
İnternet üzerindeki servisler, kullanıcılara hizmet götürebilmek için bazı sanal port numaraları kullanırlar (örn: http için 80 numaralı port kullanılmaktadır). Saldırganlar veya  kötü yazılımlar servislerin açıklarını kullanarak hizmet verilen port numarası üzerinden bilgisayar ağına sızabilirler. Bunu önlemenin bir yolu riskli portları yönlendirici ile kısıtlamaktır. Riskli portların listesi [17] nolu referansının 38 ve 39 sayfalarında  listelenmiştir. Bu liste, ağ yöneticisi tarafından çeşitli güvenlik sitelerini takip ederek  sürekli olarak güncellenmelidir. Aşağıdaki örnekte 445 nolu UDP portu ile finger servisi bloklanmaktadır:

access-list 101 deny udp any any eq 445
access-list 101 deny tcp any any eq finger
access-list 101 permit ip any any

Yönlendiriciye fazla yük getirmediği sürece bu erişim listesini genişletmek mümkündür. Tanımlı mail ve web sunucularını belirlemek ve bu sunucular dışında bu tür protokolleri engellemek de mümkündür. Erişim listesi ne kadar kapsamlı olursa o kadar fazla işlemci gücü gerektirecek ve performans azalacaktır. O yüzden sık gelen paket türlerini erişim listesinde daha önde tutmak performansı arttıracaktır.

2.Bazı saldırı tekniklerine karşı önlemler
IP spoofing : IP kandırmacası anlamına gelmektedir. Kötü niyeli kişi hattı dinler giden paketlerin kaynak ve hedef adresini alır. Hedef adresini kendi  ip’si yaparak kaynak adrese cevap verir. Böylece erişim listesine takılmadan bilgisayar ağına sızmış olur. Bunu önlemenin yolu, yönlendiricinin kaynak adresi hedef makinaya varmadan kimseye göstermemesidir.Cisco cihazlarda “no ip source-route” komutuyla yapılabilmektedir.
Routing Protokole olan saldırılar: Bilindiği üzere yönlendiriciler kendi aralarında interior veya exterior routing protokollere göre haberleşmektedirler. Saldırgan  yönlendiricinin routing protokolünü bozmadan yollanan paketlerin bir kopyasının kendine de yollanmasını sağlayabilir(kredi kart numaraları gibi verileri almak için) veya protokolleri kaldırarak yönlendiricinin diğer yönlendiricilerle haberleşmesini kesebilir. Haberleşmenin yok olması, yönlendiricinin aldığı paketleri nereye göndereceğini bilmemesi ve servis dışı kalması(DoS) anlamını taşımaktadır. Bunu önlemenin yolu ise gönderilen ve alınan routing protokolu paketlerini de filtrelemektir.  Örneğin IGRP routing protokolünü filtrelemek için yazılmış ACL aşağıda verilmiştir. 

router eigrp 
network 200.100.17.0
distribute list 20 out ethernet 0
distance 255
distance 90 200.100.17.0 0.0.0.255
 access-list 20 permit 200.100.17.0 0.0.0.255

Çıkış (Egress) ve Giriş (Ingress) Erişim Listeleri 
Bu erişim listeleriyle yönlendiriciye gelen paketlerdeki kaynak IP adresleri kontrol edilmektedir. Dış ağdan iç ağa gelen paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne  giriş (ingress) filtreleme denmektedir. Bu kontrolde gelen paketlerdeki ip’lerde internet ortamında kullanılmayan (rezerve edilmiş) adresler bulunduğunda bu paketler kabul edilmeyecektir. Ağ adresimiz 200.100.17.0/24 ise, dış dünyadan böyle bir IP aralığına ait bir paket gelmemesi gerekmektedir. O zaman ingress kısıtlamaları aşagıdaki gibi olacaktır:

access-list 101 deny ip 10.0.0.0  0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 200.100.17.0 0.0.0.255 any
access-list 101 permit ip any any

İç ağdan dış ağa giden paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne çıkış (egress) filtreleme denmektedir. Kendi ağ ip adresi aralığında olmayıp da internete çıkmak isteyen ip’ler kısıtlanmalıdır. Böylece kurumun ağı kullanılarak başka kurumlara yapılabilecek kaynak IP adresi değiştirme tabanlı saldırılar engellenecektir. Bazı reserve edilmiş IP lerin kısıtlanması aşağıdaki gibidir:

access-list 102 permit ip 200.100.17.0 0.0.0.255 any
access-list 102 deny ip any any

Örnekte dışardan gelen trafik ingress erişim listesi ile seri arayüzde, içeriden gelen trafik de egress erişim listesi ile ethernet arayüzünde tanımlanmıştır.

interface serial 0
ip access-group 101 in 
interface ethernet 0
ip access-group 102 in 

“Reverse Path” Kontrolü: Gönderdiğimiz paket “ethernet 0” arayüzünden gönderiliyor fakat cevabı “ethernet 1” arayüzünden geliyorsa bu işte bir yanlışlık var demektir. Bunu önlemek için geliş gidiş istatiğini tutan CEF routing tablolarından yararlanmak gerekmektedir. Bu sağlamak için de seri arayüzde bu komutun uygulanması gerekmektedir.

İp cef disributed
interface serial 0
ip verify unicast reverse-path

“CAR Rate”i Güvenlik için Kısıtlamak:  Bir çeşit QOS(“Quality of Service” – Servis Kalitesi) sağlayarak belli protokoldeki verilerin belli ip adresleri veya mac adresleri için politikaya göre belirlenmiş belli oran ve miktarlarda kurumsal  ağa gelmesini veya kurumsal ağdan gitmesi sağlanabilir. Bu da kurum trafiğini boşu boşuna işgal eden ve kurumsal ağın yavaşlamasına yol açan paketlerden kurtulunmasını sağlar.  Mesela örnekte xy arayüzündeki TCP SYN paketlerini 8 Kbps’a indirilmesi gösterilmiştir.

interface xy
rate-limit output access-group 102 256000 8000 8000
conform-action transmit exceed-action drop [ikisi bir satırda]
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply

SYN saldırılarından korunmak: Eğer kötü kullanıcı belli bir sunucuya (server) belli sayıdan daha fazla bağlantı kurma isteğini gönderir fakat nerden bağlanmak istediğini göndermeyerek bağlantıları boşa açarsa buna “SYN flooding attack” denmektedir. Böylece o sunucunun iş görmesini engelliyerek servis dışı bırakmaktadır. Çözümü için referansı incelenebilir.
Smurf attack: IP adresi kandırmacası ve broadcast (aynı subnetteki herkese yollama) ilkelerine dayanır. Saldırgan, saldırmayı hedeflediği bilgisayarın IP’sinden paket geldiğinin sanılması için, kaynak adresi bu  IP olan “broadcast ping” paketleri oluşturur ve gönderir.
Gönderilen ping paketlerinin cevabı gerçekte bu IP’ye sahip olan bilgisayara gider ve orada gereksiz trafik yaratarak bilgisayarın ağa ulaşması engellenir. Bu olayı yönlendiriciden önlemenin bir yolu da yönlendiricideki arayüzlere “no ip directed-broadcast”  komutunu girmektir.

3. Gelişmiş Ayarlar
IOS’in bazı gelişmiş versiyonlarında ek güvenlik kontrolleri bulunmakta ve çeşitli güvenlik protokolleri desteklenmektedir. Örneğin  IOS Firewall Feature Set (güvenlik duvarı özelliği) bunlardan bir tanesidir. Bu tür gelişmiş ayarlarla VPN uygulamaları gerçekleştirmek, gelen http paketleri içinde belirli örüntüleri (pattern) aramak mümkündür. Bu tür özellikleri çalıştırabilmek için yönlendiricide daha güçlü donanım özellikleri bulunması gerekmektedir. Bu fonksiyonlar yönlendiricinin genel performansını eksi olarak etkilemektedir.


SİSTEMİ TAKİP ETMEK
 Ağ cihazlarını takip etmek için kullanılan bir veya birden fazla bilgisayar olabilir. Bu bilgisayarlara Ağ Yönetim İstasyonu - Merkezi (AYM) denmektedir. AYM, ağdaki cihazlara ait SNMP şifre dizileri gibi doğrulama bilgileri ve saldırı girişimi kayıtlarını bulundurdukları için doğal bir saldırı hedefi durumuna gelmektedir. Bu yüzden bu makinaların fiziksel, yazılımsal ve ağ güvenlikleri sağlanmalıdır. Sistemi takip etme (monitor) aşağıdaki yöntemlerle gerçekleştirilebilir:

-  Kayıtlama (logging)
-  SNMP

Kayıtlama (Logging)
Ağ cihazları çeşitli hadiseler (event) hakkında kayıtlama özelliğine sahiptir. Bu kayıtlar, güvenlik hadiselerinin belirlenmesinden ve önlem alınmasında kritik önem taşıyabilmektedir. Arayüzlerin durum değişikliği,  sistem konfigürasyon değişikliği, erişim listelerine takılan(match) bağlantılar gibi güvenlik açısından önemli olan bilgilerin kayıtı tutulabilmektedir. Cihazda kayıtlama aşağıdaki şekillerde yapılabilmektedir:

•  SNMP Trap Logging: Sistem durumunda (status) karakteristik (significant) değişikliklerde Ağ Yönetim İstasyonuna uyarı (notification) göndermektedir. Bu işlem cisco cihazlarda aşagıdaki gibi yapılmaktadır.
   snmp-server community community_kelimesi ro 10
 SNMP yi göreceklere izin verilir
  access-list 10 permit host snmp_mgmt_ip
  access-list 10 deny any
 “community” adlarıyla “trap”lar gönderilir. 
  snmp-server trap-authentication
 Bütün “trap”lar içerdeki arayüzde bulunan yönetim cihazına gönderilir. 
  snmp-server trap-source Ethernet0
  snmp-server host snmp_mgmt_ip community_kelimesi
   interface Ethernet0
   ip access-group e0-in in
   ip access-list extended e0-in
İçerdeki belirli bir makinanın erişimine izin verilir
  permit udp host snmp_mgmt_ip host 200.100.17.2 eq snmp 
 •  Sistem Kayıtlaması: Sistem konfigürasyonuna bağlı olarak hadiselerin kayıdını tutmaktadır. Sistem kayıtlaması farklı yerlere yapılabilmektedir:
o  Sistem konsoluna bağlı ekrana “logging console” komutuyla,
o  Üzerinde UNIX’in syslog protokolü çalışan ağdaki bir sunucuya “logging ip-address”, “logging trap” komutlarıyla,
Ör: logging 200.100.17.2
o  Telnet veya benzeri protokolle açılan VTY remote oturumlara (session) “logging monitor”, “terminal monitor” komutlarıyla,
o  Yerel buffer olan RAM’ine “logging buffered” komutuyla yapılabilmektedir.
Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün çalışıp çalışmadığı kontrol edilmeldir. Farklı cihazlardan Ağ Yönetim İstasyonu’na gönderilen mesajların zamana göre senkronize olması için cihazlarda Network Time Protokol (NTP) çalıştırılmalıdır.

SNMP
Simple Network Management Protokol (SNMP), cihaz ve yönlendirici için vazgeçilmez bir protokoldür. Trafik istatistiklerinden bellek ve CPU kullanımına kadar bir cihaz hakkında çok detaylı bilgiler edinilebilmektedir. 
Bir veya daha fazla AYM, üzerlerinde çalışan yazılımlarla belirli aralıklarla ağ cihazları ve sunuculardan (server) bu istatistikleri toparlayacak (poll) şekilde ayarlanmalıdır. Cihazda gözlenen CPU, bellek veya hat kullanımının fazla olması bir saldırı tespiti olabilmektedir.
Toplanan verileri grafiksel olarak görüntüleyen Multi Router Traffic Grapher (MRTG) gibi programlar bulunmaktadır.
SNMP kullanılırken dikkat edilmesi gerekenler aşağıdaki gibi özetlenebilir:
•  SNMP protokolünün, özellikle SNMP Version 1’in birçok uygulamasında zayıflık (vulnerability) olduğu CERT1 ‘in raporlarında belirtilmiştir[12] . Versiyon 2 veya 3’ün kullanılması önerilmektedir. Daha detaylı bilgi için [13] incelenebilir.
•  Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erişimleri için kullanılan varsayılan SNMP şifre (community) adları değiştirilmeli ve bu iki parametre birbirinden farklı olmalıdır.
•  SNMP şifrelerine kritik bir UNIX makinasındaki root şifresi gibi davranılmaldır.
•  SNMP erişimi hakkı sadece belirli güvenilir IP’lere  sağlanmalıdır.
•  AYM tarafından SNMP erişimi yapılırken “Sadece Oku” parametresi kullanılmalıdır.
Mümkünse cihazlarda “Oku-Yaz” parametresi iptal edilmelidir.
•  Ağ Yönetimi için yerel ağda ayrı bir alt ağ (subnet), mümkünse VLAN2  yaratılmalıdır.
Erişim listesi ve Ateş Duvarı (firewall) kullanılarak bu ağa dış  ağlardan gelen trafik kısıtlanmalıdır.

SİSTEMDE GÜVENLİK TESTLERİ UYGULAMAK
Kurumun sisteminin ne kadar güvenli olup olmadığının test edilmesi gereklidir. Bunun için sistemde yapılan güvenlik geliştirmelerinin düzgün çalışıp çalışmadığını kontrol eden ve güvenlik açıklarını size belirten bazı araçlara gereksinim duyulmaktadır. Aşağıda bu araçların bazılarından kısaca bahsedilecektir:.
•  RAT (Router Audit Tool): CIS (the Center for Internet Security) tarafından geliştirilmiş ve http://www.cisecurity.org/bench_cisco.html adresinden ücretsiz olarak temin edilebilen bir kontrol ve karşılaştırma (benchmark) aracıdır. Kullanılan Cisco marka yönlendiricinin işletim sistemi ve üzerindeki konfigürasyonunu çeşitli güvenlik özelliklerine göre karşılaştırmaya, eksik olan yanlarını bir rapor olarak düzeltebilmeye olanak sağlayan bir araçtır [16]. Web sitesindeki dökümanlarda kullanımı hakkında detaylı bilgi bulunmaktadır.

•  Tarayıcılarla Ağı Denetlemek:  Nessus (http://www.nessus.org) gibi tarayıcılarla kurum dışından bağlantılar yaparak, örneğin bir ISP’den internet erişiminde kurumun ağına ulaşma ve erişim listelerinin çalışıp çalışmadığını kontrol etme aşamaları yerine getirilmektedir.
•  Yönlendiricide IOS tabanlı kontrol: Tablo1’deki komutlar kullanılarak sistemin düzgün çalışıp çalışmadığı kontrol edilebilir. 

Komut Açıklaması
show processes cpu CPU kullanımı kontrol
show processes memory Bellek kullanımı kontrol
show interfaces ...  Arayüz kontrol
show stack Yığıt (stack) kontrol
show ip access-list Erişim listesi kontrolü
show tech-support ... Cisco’daki teknik personele daha detaylı analiz
yapabilmeleri için kullanabilecekleri detaylı bilgi sağlar.

•  Doğruluk – Bütünlük (Integrity) Kontrolleri:  Cihazın konfigürasyon dosyası ve işletim sistemi imgesinin değişip değişmediği kontrol edilmelidir. Bu ise sorunsuz çalışan konfigürasyon ve imgenin güvenli bir yerde tutularak belirli aralıklarla çalışan versiyonla karşılaştırılması ile gerçekleştirilir.

SONUÇ
Yönlendirici, kurumun dış bağlantılarında kilit bir cihazdır. Cihazın güvenliğini sağlamak ve yapılacak ayarlarla ağın güvenliğini sağlamak çok önemlidir. 

Hiç yorum yok:

Yorum Gönder