Yönlendiricinin görevleri aşağıdaki gibi
sınıflandırılabilir:
• Yol
Seçmek(Routing): Yönlendirici, kendine bağlı olan bilgisayarların network
adreslerini tuttuğu gibi, kendisine
bağlı veya kullanılan protokole göre bağımsız yönlendiricilerin network
adreslerini de routing tablolarında tutmaktadır. Yönlendirici kendisine gelen
paketlerin nereye gideceğini öğrendikten sonra bu adresi routing tablolarıyla
karşılaştırarak hangi port’undan yollayacağına karar vermektedir.
• Paket Filtreleme:
Paket filtreleme, network adresi(IP), servisi ve protokolüne göre bilgi
transferini kontrol etmektir. Yönlendirici bu kontrolleri ACL’ler
(Access-Control List – Erişim Listesi) yardımı ile sağlar. ACL’ler kendisine
gelen verinin kaynak, hedef ip adreslerine, bilginin gideceği port adresine
veya kullanılmak istenen protokole göre kısıtlamalar yapabilmektedir. Bu kısıtlamalar yapılırken iki şekilde
yapılabilir. Birincisi sadece izin verilen servisler ve protokoller yazılarak
servise açılmakta ve geri kalanı
kapatılmaktadır. İkincisinde ise sadece kapatılan servisler
yazılmakta ve diğerleri açılmaktadır. ACL yazarken komutların yukarıdan aşağıya
doğru işleneceği ve gelen paketin yazdığımız herhangi bir kuralla takıldığı
anda işlemin bitirilip alttaki kurallara
bakılmayacağıda akıldan çıkartılmamalıdır. Aşağıdaki ACL’de bütün
bilgisayarlara 80. port (http) erişimi serbest bırakılmış ve diğer bütün
servisler kısıtlanmıştır.
access-list 101 permit ip any any eq 80
access-list 101 deny any any
Erişim listeleri, yönlendiricinin belirli bir arayüze
uygulanmadan aktif olmazlar. Erişim listeleri uygulandıkları yön açısından iki
türlü olmaktadır. Arayüzün içten gelen trafiğine (“in” - inbound) ya da dıştan
gelen trafiğine (“out” - outbound) uygulanabilir. Örneğin aşağıdaki örnekte 101
numaralı erişim listesi, “ethernet 0” arayüzünün inbound’una uygulanmıştır.
Interface ethernet 0
access-group 101 in
YÖNLENDİRİCİ
CİHAZININ GÜVENLİĞİ
Yönlendiricinin, ağa
bağlı bir cihaz olarak kendisinin güvenliğinin sağlanması gerekmektedir.
Yönlendirici cihazının güvenliği şu alt başlıklarda
işlenebilir:
1. Fiziksel Güvenlik
2.Yönlendiriciye Erişim Hakları
3.Şifrelerin Güvenliği,
4.Erişim Protokolleri
Güvenliği
5.Gereksiz Servisleri Kapatmak
6.İşletim Sistemi Güvenliği
1.Fiziksel Güvenlik
Fiziksel güvenliği
saglamanın birkac yolu vardır. Bunlardan biri yönlendiricilerin bulunduğu
odaların kapılarını kilitli tutarak yetkisiz kişilerin girişilerine izin
vermemektir. Ayrıca bu odalarda cok fazla elektrik ve manyetik alan olmamasına;
sıcaklık ve nemin de kontrol altında tutulmasına özen gösterilmelidir.
Yönlendiriciler için ayrı bir oda ayırılamıyorsa en azından kilitli dolaplar
(kabinet) içine koyulmalıdır. İkincisi bu odaya gelen elektriğin hiç
kesilmemesidir . Bu UPS (Uninterupted power supply) kullanarak sağlabilmektedir. Bir üçüncüsü; yönlendirici
yakınlarına şifre veya ip bilgileri gibi bilgileri yazmaktan kaçınmaktır.
2.Yönlendiriciye
Erişim Hakları
Yönlendiriciye kimlerin erişeceğinin bir politikayla
belirlenmesi ve erişimlerin loglanması gerekmektedir. Bu politikada; kimin
konfigürasyon yedeklerini alacağının, kimin yeni bir parça alımında yönlendiriciye
yerleştireceğinin, kimin logları düzenli takip edileceğinin açık bir şekilde
belirtilmesi gerekmektedir.
Temelde yönlendiricilere, kullanıcı (user) ve yönetici
(enable) olarak iki çeşit erişim hakkı vardır. Kullanıcı modunda sadece
kontroller yapılabilirken, yönetici modda ek olarak cihaz konfigürasyonu da
yapılabilmektedir. Bu iki erişim hakkı, 15 seviyeli erişim mekanizmasıyla
desteklenmiştir ve varsayılan (default) olarak üç adet erişim seviyesi vardır.
Seviye 0’da sadece disable, enable ,help ,logout komutlarını; seviye 1’de
kullanıcı modundaki komutları (router>); seviye 15’de exec modu (router#)
diye tabir ettiğimiz yönetici komutlarını kullanma hakkına sahiptirler.Bu
erişim seviyeleri, kişiler ve komutlar bazında yöneticinin isteğine göre ayarlanabilir.
Mesela yönetici kullanıcının ping komutunu kullanmasını fakat snmp-server
community komutunu kullanmamasını
isterse buna göre ayarlama yapabilmektedir. Bu seviyeler yönlendiricide komut bazında veya TACACS+,
RADIUS doğrulama(authentication) sunucuları bazında ayarlanabilmektedir.
3.Şifrelerin
Güvenliği
Günümüzde büyük oranda kırma(hacking) işlemi “password
quessing” (parola tahmin etme) yöntemiyle yapılmaktadır bu sebepten şifre
seçimine gerektiği önem verilmelidir.Cisco yönlendiricilerde kullanıcı adı ve
parolasının konfigürasyon dosyasında gözükmemesi için “service
password-encription” komutu kullanılmalı. Zayıf şifreleme algoritması kullanan
“enable password” kaldırılmalı, MD5-tabanlı algoritmayla şifreyi koruyan
“enable secret” komutu kullanılmalıdır. “no enable password” komutu
kullanılarak enable password’ler silinmeli yerine “enable secret yeni_şifreniz”
ile yeniden şifreler girilmelidir.
4.Erişim
Protokollerinin Güvenliği
Yönlendiricilere
fiziksel erişim konsol portundan yapılmaktadır. Bunun için fiziksel güvenliğin sağlanması gerekmektedir. Diğer
erişim yöntemleri olan HTTP, Telnet, SSH, TFTP, ve FTP kullanıldığında TCP/IP
protokolünün zayıflıklarına karşı önlem alınması gerekmektedir. Alınması
gereken önlemler aşağıdaki gibidir.
Belirli IP’lerin Cihaza Erişimine İzin Vermek:
Cihazlara sadece belirli IP adreslerinin ulaşmasına izin
verilmelidir. Bu da erişim listesi (access-list) yazılarak sağlanır. Örneğin
Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin erişimine izin
verilmesi ve diğer ip’lerin engellenmesi ve bu erişimlerin kaydının tutulması
aşağıdaki erişim listesi ile sağlanmaktadır
access-list 7 permit 200.100.17.2
access-list 7 permit 200.100.17.3
access-list 7 deny any log
Örnekte verilen 7 numaralı erişim listesinin devreye girmesi
için erişimin geleceği arayüzlerde etkin hale getirilmesi gerekmektedir. Telnet
(veya ssh) için uygulanması da aşağıdaki
gibi olmaktadır:
line vty 0 4
access-class 7 in
Http erişimi için kısıtlanması da aşağıdaki gibi olmaktadır:
ip http access-class 7
SNMP erişimine belirtilen IP’lerin izin verilmesi ise
aşağıdaki gibi olmaktadır:
snmp-server host 200.100.17.2 snmp_şifresi
snmp-server host 200.100.17.3 snmp_şifresi
HTTP Erişimi:
HTTP protokolü ile web arayüzünden erişim, cihaza interaktif
bağlantı demektir. Yönetilebilir
cihazlarının birçoğunun üzerinde web sunucusu çalışır. Bu da 80 nolu
portta bir web sunucunun kurulu beklediğini gösterir. Daha önceden de
belirtildiği gibi HTTP servisi verilecekse bu ağ yönetimini sağlayan belirli
IP’lere kısıtlı olarak verilmelidir. Cihaz güvenliği nedeniyle mümkün olduğunca
bu tür web üzerinden yönetimin kullanılmaması gerektiği önerilmektedir. Ama web
üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bileceği
başka bir port üzerinden, örneğin “ip
http server port 500” komutuyla 500 nolu portta çalıştırılabilecek şekilde
ayarlanmalıdır.
Şifrenin Ağda Düz Metin Olarak İletilmesini Engellemek:
HTTP, Telnet, SNMP protokolleri ile cihaza erişimde,
doğrulama mekanizması ağda şifrenin düz metin (clear text) şeklinde gönderimi
ile sağlandığı için güvenlik açığı oluşmaktadır. Özellikle hub bulunan
ortamlarda saldırganın ağ üzerinden dinleme (sniff) yoluyla iletilen bilgiyi
elde etmesi mümkün olabilmektedir. Bunu engellemek için aşağıdaki önlemler
alınabilir :
- Konsol Kablosunu
Yönetim Bilgisayarına Çekmek: Eğer cihaz tek bir makinadan yönetiliyorsa, o
makinanın com portundaki arabirime çekilen bir utp kablo ile konsol erişimi
sağlanabilir. Böylece erişim tek bir kablo üzerinden sağlanacaktır. - Telnet yerine Secure Shell (SSH) Erişimi
Vermek: İletilen veriyi şifreleyen SSH
protokolü mümkün olduğunca kullanılmalıdır. SSH’i desteklemek için cihazın
işletim sisteminin güncellenmesi gerekebilmektedir. SSH, şu anda bütün cihazlar
ve cihaz işletim sistemleri tarafından desteklenmemektedir. Bu konuda üretici
firmanın cihaz dökümantasyonu incelenmelidir.
- Güncel SNMP
Versiyonlarını Kullanmak: SNMP Versiyon
1, düz metin doğrulama dizileri (string) kullandığından bu doğrulama
dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan
öz (digest) doğrulama şeması kullanan ve çeşitli yönetim verilerine kısıtlı
erişim sağlayan SNMP Versiyon 2 veya 3’ün kullanılması gerekmektedir. Mümkünse
her cihaz için ayrı bir MD5 gizli (secret) değeri kullanılmalıdır.
- Hub olan
ortamlardan cihaza erişim yapmamak: Hub olan ortamlardan yönlendiriciye erişim yapılmamalıdır. Böyle erişimin zorunlu
olduğu durumlarda, daha güvenli bir ortamda bulunan ve ssh’i destekleyen bir
linux/unix sunucu varsa, o sunucuya bağlanarak onun üzerinden yönlendiriciye
telnet erişimi yapılmalıdır.
- Doğrulama
Mekanizmaları Sağlamak : HTTP protokolünde doğrulama mekanizması ağda şifrenin
düz metin şeklinde gönderimi ile sağlandığı için efektif değildir ama farklı
üreticilerin değişik çözümleri bulunmaktadır. Doğrulama mekanizması, onay
sunucuları (Tacacs+, Radius …vb) kullanılarak
yapılabilir. Cisco IOS’de doğrulama mekanizması “ip http authentication”
komutuyla sağlanmaktadır.
Acil Durum Erişimini Ayarlamak:
Yönlendiricilere erişimin sağlanamadığı acil durumlarda
telefon hatları üzerinden modem kullanılarak erişmek için “Auxiliary port”
bulunmaktadır. Bu tür bir erişim için PPP (Point to Point Protocol) üzerinde
PAP (Password Authentication Protocol) yerine CHAP (Challenge Handshake
Authentication Protocol) doğrulama methodu kullanılmalıdır. CHAP, dial-up ve
uçtan uca (point to point) bağlantılarda uç noktayı engelleyerek izinsiz
erişimleri engellemektedir.
Bütün bu önlemlere karşı saldırganlar yönlendiriciyi ele
geçirebilmektedir. Bu sebeble en azından yönlendirici açılışına yasal haklarla
erişebilinecek bir cihaza erişildiğini izinsiz erişimlere kanuni işlem
yapılacağını belirten yazı yazılmalıdır.
Cihaza erişim yapıldığında bir uyarı gözükmesi için, “banner motd” komutu
kullanılmaktadır. Örneğin aşağıdaki şekilde bir uyarı cihaza eklenebilir:
banner motd ^C
Bu cihaza yetkisiz erisim yasaktir. Erisim bilgileriniz
kayitlanmistir.
Unauthorized access to this device is prohibited. All access
has been logged.
5.Gereksiz Servisleri Kapatmak
Yönlendiricide
kullanılmayan servisler kapatılmalıdır. Örneğin
kullanılmayan ve güvenlik açığı oluşturabilecek TCP/UDP services echo,
chargen ve discard kapatılmalıdır:
no service tcp-small-servers
no service udp-small-servers
Bu cihaza bağlı kişiler hakkında saldırgana bilgiler
sağlayabilecek “finger” servisi de kapatılmalıdır:
no service finger
Daha önceden de belirtildiği üzere yönlendiricide web
sunucusu da çalıştırılmamalıdır:
no ip http
server
6.İşletim Sistemi
Yönlendirici için işletim sistemi (Operating System)
seçilirken ağın ihtiyaclarına uygun ve aynı zamanda donanımın desteklediği bir
versiyon olmasına dikkat edilmelidir. Her ne kadar işletim sistemleri güvenlik
testlerine tabi tutulup daha sonra
piyasaya sürülüyorsa da daha sonradan güvenlik açıkları
bulunabilmektedir. Bu nedenden dolayı çıkan yamaları takip edip upgrade yapmak
gerekebilmektedir. Şuda unutulmamalıdır ki; işletim sisteminin en son
versiyonu her zaman en iyi versiyon
olmayabilmektedir. Bu nedenlerden dolayı, düzgün calıştıgı denenmiş en son
versiyon tercih edilmeli ve kesinlikle eski versiyon yedeklenmelidir.
Cisco yönlendirici cihazlarının IOS larının güvenliği için
referansından ayrıntılı olarak yararlanabilirsiniz. Eğer başka marka
yönlendirici kullanıyorsanız en son işletim versiyonlarını üretici sitelerinden
bulabilirsiniz.
AĞI YÖNLENDİRİCİLERLE
KORUMAK
Yönlendirici, bazı ağlarda yönlendirici görevinin yanı sıra
güvenlik duvarı gibi çalışacak şekilde de ayarlanabilmektedir. Bu güvenlik
duvarı işlevi, basit bir paket filtreleme fonksiyonundan oluşmaktadır ve
günümüzdeki güvenlik duvarlarına oranla oldukça ilkel kalmaktadır.
Yönlendiricinin temel görevinin yönlendirme (routing) olduğu unutulmamalı, bu
tür bir güvenlik duvarı işlevinin cihazın performansını düşüreceği dikkate
alınmalıdır. Cihazda alınacak bu tür önlemler mümkün olduğunca en az oranda
tutulmalı, bu tür güvenlik önlemleri için ayrı güvenlik duvarı (firewall)
sistemleri kurulmalıdır. Yönlendiriciyi aynı zamanda detaylı paket filtreleme
özellikleri ile kullanmak, sadece küçük ağlarda veya güçlü omurga cihazlarının
bulunduğu kampüs ağlarındaki iç yönlendiricilerde tercih edilmelidir.
Bu bölümde
yönlendirici ile ağdaki bilgisayarlara gelebilecek saldırıların engellenmesi
için bazı ipuçları verilecektir.
1. Riskli
portları kapatmak:
İnternet üzerindeki servisler, kullanıcılara hizmet
götürebilmek için bazı sanal port numaraları kullanırlar (örn: http için 80
numaralı port kullanılmaktadır). Saldırganlar veya kötü yazılımlar servislerin açıklarını
kullanarak hizmet verilen port numarası üzerinden bilgisayar ağına sızabilirler.
Bunu önlemenin bir yolu riskli portları yönlendirici ile kısıtlamaktır. Riskli
portların listesi [17] nolu referansının 38 ve 39 sayfalarında listelenmiştir. Bu liste, ağ yöneticisi
tarafından çeşitli güvenlik sitelerini takip ederek sürekli olarak güncellenmelidir. Aşağıdaki
örnekte 445 nolu UDP portu ile finger servisi bloklanmaktadır:
access-list 101 deny udp any any eq 445
access-list 101 deny tcp any any eq finger
access-list 101 permit ip any any
Yönlendiriciye fazla
yük getirmediği sürece bu erişim listesini genişletmek mümkündür. Tanımlı mail
ve web sunucularını belirlemek ve bu sunucular dışında bu tür protokolleri
engellemek de mümkündür. Erişim listesi ne kadar kapsamlı olursa o kadar fazla
işlemci gücü gerektirecek ve performans azalacaktır. O yüzden sık gelen paket
türlerini erişim listesinde daha önde tutmak performansı arttıracaktır.
2.Bazı saldırı
tekniklerine karşı önlemler
IP spoofing : IP kandırmacası anlamına gelmektedir. Kötü
niyeli kişi hattı dinler giden paketlerin kaynak ve hedef adresini alır. Hedef
adresini kendi ip’si yaparak kaynak
adrese cevap verir. Böylece erişim listesine takılmadan bilgisayar ağına sızmış
olur. Bunu önlemenin yolu, yönlendiricinin kaynak adresi hedef makinaya varmadan
kimseye göstermemesidir.Cisco cihazlarda “no ip source-route” komutuyla
yapılabilmektedir.
Routing Protokole olan saldırılar: Bilindiği üzere
yönlendiriciler kendi aralarında interior veya exterior routing protokollere göre
haberleşmektedirler. Saldırgan
yönlendiricinin routing protokolünü bozmadan yollanan paketlerin bir
kopyasının kendine de yollanmasını sağlayabilir(kredi kart numaraları gibi
verileri almak için) veya protokolleri kaldırarak yönlendiricinin diğer
yönlendiricilerle haberleşmesini kesebilir. Haberleşmenin yok olması,
yönlendiricinin aldığı paketleri nereye göndereceğini bilmemesi ve servis dışı
kalması(DoS) anlamını taşımaktadır. Bunu önlemenin yolu ise gönderilen ve
alınan routing protokolu paketlerini de filtrelemektir. Örneğin IGRP routing protokolünü filtrelemek için
yazılmış ACL aşağıda verilmiştir.
router eigrp
network 200.100.17.0
distribute list 20 out ethernet 0
distance 255
distance 90 200.100.17.0 0.0.0.255
access-list 20 permit
200.100.17.0 0.0.0.255
Çıkış (Egress) ve
Giriş (Ingress) Erişim Listeleri
Bu erişim listeleriyle yönlendiriciye gelen paketlerdeki
kaynak IP adresleri kontrol edilmektedir. Dış ağdan iç ağa gelen paketlerde,
gelen paketlerdeki kaynak ip’lerin kontrolüne
giriş (ingress) filtreleme denmektedir. Bu kontrolde gelen paketlerdeki
ip’lerde internet ortamında kullanılmayan (rezerve edilmiş) adresler
bulunduğunda bu paketler kabul edilmeyecektir. Ağ adresimiz 200.100.17.0/24
ise, dış dünyadan böyle bir IP aralığına ait bir paket gelmemesi gerekmektedir.
O zaman ingress kısıtlamaları aşagıdaki gibi olacaktır:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 200.100.17.0 0.0.0.255 any
access-list 101 permit ip any any
İç ağdan dış ağa giden paketlerde, gelen paketlerdeki kaynak
ip’lerin kontrolüne çıkış (egress) filtreleme denmektedir. Kendi ağ ip adresi
aralığında olmayıp da internete çıkmak isteyen ip’ler kısıtlanmalıdır. Böylece
kurumun ağı kullanılarak başka kurumlara yapılabilecek kaynak IP adresi
değiştirme tabanlı saldırılar engellenecektir. Bazı reserve edilmiş IP lerin
kısıtlanması aşağıdaki gibidir:
access-list 102 permit ip 200.100.17.0 0.0.0.255 any
access-list 102 deny ip any any
Örnekte dışardan gelen trafik ingress erişim listesi ile
seri arayüzde, içeriden gelen trafik de egress erişim listesi ile ethernet
arayüzünde tanımlanmıştır.
interface serial 0
ip access-group 101 in
interface ethernet 0
ip access-group 102 in
“Reverse Path” Kontrolü: Gönderdiğimiz paket “ethernet 0”
arayüzünden gönderiliyor fakat cevabı “ethernet 1” arayüzünden geliyorsa bu
işte bir yanlışlık var demektir. Bunu önlemek için geliş gidiş istatiğini tutan
CEF routing tablolarından yararlanmak gerekmektedir. Bu sağlamak için de seri
arayüzde bu komutun uygulanması gerekmektedir.
İp cef disributed
interface serial 0
ip verify unicast reverse-path
“CAR Rate”i Güvenlik için Kısıtlamak: Bir çeşit QOS(“Quality of Service” – Servis
Kalitesi) sağlayarak belli protokoldeki verilerin belli ip adresleri veya mac
adresleri için politikaya göre belirlenmiş belli oran ve miktarlarda
kurumsal ağa gelmesini veya kurumsal ağdan
gitmesi sağlanabilir. Bu da kurum trafiğini boşu boşuna işgal eden ve kurumsal
ağın yavaşlamasına yol açan paketlerden kurtulunmasını sağlar. Mesela örnekte xy arayüzündeki TCP SYN
paketlerini 8 Kbps’a indirilmesi gösterilmiştir.
interface xy
rate-limit output access-group 102 256000 8000 8000
conform-action transmit exceed-action drop [ikisi bir
satırda]
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
SYN saldırılarından korunmak: Eğer kötü kullanıcı belli bir
sunucuya (server) belli sayıdan daha fazla bağlantı kurma isteğini gönderir
fakat nerden bağlanmak istediğini göndermeyerek bağlantıları boşa açarsa buna
“SYN flooding attack” denmektedir. Böylece o sunucunun iş görmesini
engelliyerek servis dışı bırakmaktadır. Çözümü için referansı incelenebilir.
Smurf attack: IP adresi kandırmacası ve broadcast (aynı
subnetteki herkese yollama) ilkelerine dayanır. Saldırgan, saldırmayı
hedeflediği bilgisayarın IP’sinden paket geldiğinin sanılması için, kaynak
adresi bu IP olan “broadcast ping”
paketleri oluşturur ve gönderir.
Gönderilen ping paketlerinin cevabı gerçekte bu IP’ye sahip
olan bilgisayara gider ve orada gereksiz trafik yaratarak bilgisayarın ağa
ulaşması engellenir. Bu olayı yönlendiriciden önlemenin bir yolu da yönlendiricideki
arayüzlere “no ip directed-broadcast”
komutunu girmektir.
3. Gelişmiş Ayarlar
IOS’in bazı gelişmiş versiyonlarında ek güvenlik kontrolleri
bulunmakta ve çeşitli güvenlik protokolleri desteklenmektedir. Örneğin IOS Firewall Feature Set (güvenlik duvarı
özelliği) bunlardan bir tanesidir. Bu tür gelişmiş ayarlarla VPN uygulamaları
gerçekleştirmek, gelen http paketleri içinde belirli örüntüleri (pattern)
aramak mümkündür. Bu tür özellikleri çalıştırabilmek için yönlendiricide daha
güçlü donanım özellikleri bulunması gerekmektedir. Bu fonksiyonlar
yönlendiricinin genel performansını eksi olarak etkilemektedir.
SİSTEMİ TAKİP ETMEK
Ağ cihazlarını takip
etmek için kullanılan bir veya birden fazla bilgisayar olabilir. Bu
bilgisayarlara Ağ Yönetim İstasyonu - Merkezi (AYM) denmektedir. AYM, ağdaki
cihazlara ait SNMP şifre dizileri gibi doğrulama bilgileri ve saldırı girişimi
kayıtlarını bulundurdukları için doğal bir saldırı hedefi durumuna gelmektedir.
Bu yüzden bu makinaların fiziksel, yazılımsal ve ağ güvenlikleri sağlanmalıdır.
Sistemi takip etme (monitor) aşağıdaki yöntemlerle gerçekleştirilebilir:
- Kayıtlama (logging)
- SNMP
Kayıtlama (Logging)
Ağ cihazları çeşitli hadiseler (event) hakkında kayıtlama
özelliğine sahiptir. Bu kayıtlar, güvenlik hadiselerinin belirlenmesinden ve
önlem alınmasında kritik önem taşıyabilmektedir. Arayüzlerin durum
değişikliği, sistem konfigürasyon
değişikliği, erişim listelerine takılan(match) bağlantılar gibi güvenlik
açısından önemli olan bilgilerin kayıtı tutulabilmektedir. Cihazda kayıtlama
aşağıdaki şekillerde yapılabilmektedir:
• SNMP Trap Logging:
Sistem durumunda (status) karakteristik (significant) değişikliklerde Ağ
Yönetim İstasyonuna uyarı (notification) göndermektedir. Bu işlem cisco
cihazlarda aşagıdaki gibi yapılmaktadır.
snmp-server
community community_kelimesi ro 10
SNMP yi göreceklere
izin verilir
access-list 10
permit host snmp_mgmt_ip
access-list 10 deny
any
“community” adlarıyla
“trap”lar gönderilir.
snmp-server
trap-authentication
Bütün “trap”lar
içerdeki arayüzde bulunan yönetim cihazına gönderilir.
snmp-server
trap-source Ethernet0
snmp-server host
snmp_mgmt_ip community_kelimesi
interface Ethernet0
ip access-group
e0-in in
ip access-list
extended e0-in
İçerdeki belirli bir makinanın erişimine izin verilir
permit udp host
snmp_mgmt_ip host 200.100.17.2 eq snmp
• Sistem Kayıtlaması: Sistem konfigürasyonuna
bağlı olarak hadiselerin kayıdını tutmaktadır. Sistem kayıtlaması farklı
yerlere yapılabilmektedir:
o Sistem konsoluna
bağlı ekrana “logging console” komutuyla,
o Üzerinde UNIX’in
syslog protokolü çalışan ağdaki bir sunucuya “logging ip-address”, “logging
trap” komutlarıyla,
Ör: logging 200.100.17.2
o Telnet veya benzeri
protokolle açılan VTY remote oturumlara (session) “logging monitor”, “terminal
monitor” komutlarıyla,
o Yerel buffer olan
RAM’ine “logging buffered” komutuyla yapılabilmektedir.
Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün
çalışıp çalışmadığı kontrol edilmeldir. Farklı cihazlardan Ağ Yönetim
İstasyonu’na gönderilen mesajların zamana göre senkronize olması için
cihazlarda Network Time Protokol (NTP) çalıştırılmalıdır.
SNMP
Simple Network Management Protokol (SNMP), cihaz ve
yönlendirici için vazgeçilmez bir protokoldür. Trafik istatistiklerinden bellek
ve CPU kullanımına kadar bir cihaz hakkında çok detaylı bilgiler
edinilebilmektedir.
Bir veya daha fazla AYM, üzerlerinde çalışan yazılımlarla belirli
aralıklarla ağ cihazları ve sunuculardan (server) bu istatistikleri
toparlayacak (poll) şekilde ayarlanmalıdır. Cihazda gözlenen CPU, bellek veya
hat kullanımının fazla olması bir saldırı tespiti olabilmektedir.
Toplanan verileri grafiksel olarak görüntüleyen Multi Router
Traffic Grapher (MRTG) gibi programlar bulunmaktadır.
SNMP kullanılırken dikkat edilmesi gerekenler aşağıdaki gibi
özetlenebilir:
• SNMP protokolünün,
özellikle SNMP Version 1’in birçok uygulamasında zayıflık (vulnerability) olduğu
CERT1 ‘in raporlarında belirtilmiştir[12] . Versiyon 2 veya 3’ün kullanılması
önerilmektedir. Daha detaylı bilgi için [13] incelenebilir.
• Sadece Oku (Read
only) ve Oku-Yaz (Read-Write) erişimleri için kullanılan varsayılan SNMP şifre
(community) adları değiştirilmeli ve bu iki parametre birbirinden farklı
olmalıdır.
• SNMP şifrelerine
kritik bir UNIX makinasındaki root şifresi gibi davranılmaldır.
• SNMP erişimi hakkı
sadece belirli güvenilir IP’lere
sağlanmalıdır.
• AYM tarafından SNMP
erişimi yapılırken “Sadece Oku” parametresi kullanılmalıdır.
Mümkünse cihazlarda “Oku-Yaz” parametresi iptal edilmelidir.
• Ağ Yönetimi için
yerel ağda ayrı bir alt ağ (subnet), mümkünse VLAN2 yaratılmalıdır.
Erişim listesi ve Ateş Duvarı (firewall) kullanılarak bu ağa
dış ağlardan gelen trafik
kısıtlanmalıdır.
SİSTEMDE GÜVENLİK
TESTLERİ UYGULAMAK
Kurumun sisteminin ne kadar güvenli olup olmadığının test
edilmesi gereklidir. Bunun için sistemde yapılan güvenlik geliştirmelerinin
düzgün çalışıp çalışmadığını kontrol eden ve güvenlik açıklarını size belirten
bazı araçlara gereksinim duyulmaktadır. Aşağıda bu araçların bazılarından
kısaca bahsedilecektir:.
• RAT (Router Audit
Tool): CIS (the Center for Internet Security) tarafından geliştirilmiş ve
http://www.cisecurity.org/bench_cisco.html adresinden ücretsiz olarak temin
edilebilen bir kontrol ve karşılaştırma (benchmark) aracıdır. Kullanılan Cisco
marka yönlendiricinin işletim sistemi ve üzerindeki konfigürasyonunu çeşitli
güvenlik özelliklerine göre karşılaştırmaya, eksik olan yanlarını bir rapor
olarak düzeltebilmeye olanak sağlayan bir araçtır [16]. Web sitesindeki
dökümanlarda kullanımı hakkında detaylı bilgi bulunmaktadır.
• Tarayıcılarla Ağı
Denetlemek: Nessus
(http://www.nessus.org) gibi tarayıcılarla kurum dışından bağlantılar yaparak,
örneğin bir ISP’den internet erişiminde kurumun ağına ulaşma ve erişim
listelerinin çalışıp çalışmadığını kontrol etme aşamaları yerine
getirilmektedir.
• Yönlendiricide IOS
tabanlı kontrol: Tablo1’deki komutlar kullanılarak sistemin düzgün çalışıp
çalışmadığı kontrol edilebilir.
Komut Açıklaması
show processes cpu CPU kullanımı kontrol
show processes memory Bellek kullanımı kontrol
show interfaces ...
Arayüz kontrol
show stack Yığıt (stack) kontrol
show ip access-list Erişim listesi kontrolü
show tech-support ... Cisco’daki teknik personele daha
detaylı analiz
yapabilmeleri için kullanabilecekleri detaylı bilgi sağlar.
• Doğruluk – Bütünlük
(Integrity) Kontrolleri: Cihazın
konfigürasyon dosyası ve işletim sistemi imgesinin değişip değişmediği kontrol
edilmelidir. Bu ise sorunsuz çalışan konfigürasyon ve imgenin güvenli bir yerde
tutularak belirli aralıklarla çalışan versiyonla karşılaştırılması ile
gerçekleştirilir.
SONUÇ
Yönlendirici, kurumun dış bağlantılarında kilit bir
cihazdır. Cihazın güvenliğini sağlamak ve yapılacak ayarlarla ağın güvenliğini
sağlamak çok önemlidir.
Hiç yorum yok:
Yorum Gönderme