Home
ASA
Adım Adım Cisco ASA Firewall Güvenlik Sıkılaştırması
ASA, cisco, Firewall, güvenlik, IOS, ipucu, network

Adım Adım Cisco ASA Firewall Güvenlik Sıkılaştırması

Yorum yapılmamış

Cisco ASA Firewall Güvenlik Sıkılaştırması

 

1. Genel Bakış

 

Bir ağ yöneticisi veya ağ mühendisi olarak, bir veri merkezinde yeni bir Cisco ASA güvenlik duvarı kurarken ve bunu ağ altyapısına bağlarken, bu ağ cihazını güvenli hale getirmeniz çok önemlidir. Bilgisayar korsanları bir Cisco ASA güvenlik duvarına zarar verirse, ağ altyapısının tüm güvenliği tehlikeye girer, sonuçlar korkunç olabilir.

Bu örnekte, Cisco ASA güvenlik duvarı için güvenlik sıkılaştırmasının nasıl yapılandırılacağı ve veri merkezindeki ağ altyapısının genel güvenliğini nasıl artıracağı anlatılacak ve bu sayede ağ güvenliği mimarisinin genel güvenliği artırılacaktır.

 

2. Başlarken

 

a. Ağ altyapınızda halihazırda Tacacs + sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması

 

b. Ağ altyapınızda halihazırda Cacti veya Nagios gibi ağ izleme sunucunuz olduğunu varsayıyoruz. Eğer yoksa aşağıdaki bağlantıdan kurulum adımlarını takip ederek kurabilirsiniz.

IT Altyapısını İzlemek için RHEL / CentOS 7 Üzerinde Nagios Kurulumu

 

3. Senaryo

 

Aşağıdaki resimde senaryoyu görebilirsiniz. Bilgisayarımız, Konsol kablosu ile Cisco ASA firewall konsol portuna bağlı. Data Center’daki Cisco ASA güvenlik duvarı, Ethernet altyapısı üzerinden ağ altyapısına bağlı durumda.

 

 

AAA protokolü için Tacacs+ servisi, SNMP protokolü kullanan Ağ İzleme Sistemi, Merkezi Kayıt sunucusu ve NTP sunucusu için dört adet sunucu kurulmuş ve yapılandırmaları tamamlanmıştır. Ağ yöneticisi, konsol arabirimi üzerinden Cisco ASA güvenlik duvarında güvenlik sıkılaştırması yapmakta ve bilgisayarı da Veri Merkezi’ndeki ağ güvenlik mimarisine bağlı.

 

4. Cihaza İsim Verme

 

Bir kurumsal Veri Merkezi’nde, bir ağ altyapısının çalışması için yapılandırılmış switch’ler, router’lar ve güvenlik duvarları gibi birçok ağ aygıtı vardır. Bu ağ aygıtları için ana makine adının ayarlanması, yönetilebilir bir ağ altyapısı için gerçekten önemlidir, çünkü cihazın konumunu ve amacını / işlevini / hizmetini ana bilgisayar adıyla kolayca belirleyebiliriz.

 

# hostname DCFW-INT01

5. Yerel Kullanıcı Yönetici Hesabı Oluşturun

 

Yerel bir kullanıcı yönetici hesabı oluşturulmalıdır. Dolayısıyla, Cisco ASA güvenlik duvarına SSH ile uzaktan yönetimi veya konsol arabirimi üzerinden erişmek istediğinizde, önce doğru bir kullanıcı adı ve şifre girmemiz gerekir. Bu hesap bilgisi, Cisco ASA güvenlik duvarının Tacacs+ sunucusuna ulaşamaması veya bir cevap gelmemesi durumunda kullanılır.

 

# username netadmin password XXXX privilege 15
# enable password YYYY
# aaa authentication serial console LOCAL
# aaa authentication ssh console LOCAL
# aaa authentication http console LOCAL
# aaa local authentication attempts max-fail 10

6. Yönetim IP’sini Yapılandırma

 

En yüksek güvenlik düzeyine sahip olan ve güvenlik değeri 100 olarak ifade edilen “inside” arabirimi, yerel ağa (LAN) bağlı iç network arabirimidir. Cisco ASA güvenlik duvarına SSH erişimi için bu arayüzleri kullanabiliriz.

 

# interface gi0/0
    nameif inside
    security-level 100
    ip address 10.10.10.1 255.255.255.0

7. SSH Yapılandırmasını Yapın

 

SSH, şifreli ve güvenli uzaktan erişim sağladığından ağ yöneticisinin Cisco router’a erişim için kullandığı bir uzaktan yönetim protokolüdür. Telnet bağlantısı düz metin içerdiğinden ve şifreniz kolayca yakalanabildiğinden, herhangi bir ağ cihazına erişmek için Telnet’i asla kullanmayın. Aşağıda, SSH yapılandırması örneğini görebilirsiniz.

 

# domain-name tanergunal.com.tr
# crypto key generate rsa modulus 2048
# ssh version 2
# ssh timeout 30

8. Uzaktan Yönetim Erişimini Kısıtlama ve Güvenli Hale Getirme

Cisco ASA güvenlik duvarına yetkisiz SSH erişimin engellenmesi için, güvenlik yapılandırmaları yapılmalı, bunun için yetkili IP adreslerinin listesi ya da subnet’i tanımlanmalı ve bu IP adreslerinin ayrıca Cisco switch üzerinde de SSH erişimini kısıtlaması için yapılandırma yapılması gereklidir. Yönetim erişimi için sadece ağ yöneticisinin IT ekibinin IP adreslerine izin verilmesi gerekir.

 

# ssh 10.10.10.0 255.255.255.0 inside

9. Konsol Erişimini Kısıtlayın

 

Konsol oturumlarının boşta kalma zaman aşımını süre olarak kısıtlandırın. Belirli bir süre kullanılmadığında konsol arabirimi bağlantısı kesilmesi de pratik bir güvenlik önlemidir.

 

# console timeout 15

10. Günlük Kaydını Etkinleştirin

 

Günlüğe kayıt tutma, Cisco ASA güvenlik duvarındaki güvenlik sıkılaştırmaları için oldukça önemlidir. Güvenlik olaylarını Cisco ASA güvenlik duvarı ile daha etkili bir şekilde ilişkilendirmek ve denetlemek için, uzak bir syslog sunucusuna günlük kayıtlarınızı oluşturmanız önerilir.

 

# logging buffered informational
# logging buffer-size 128000
# logging host inside 10.10.10.7
# logging timestamp
# logging console critical

11. Konsol Logging veya Monitöring Oturumlarını Günlük Tutmayı Kapatın

 

Monitör ve konsol oturumları etkileşimli yönetim oturumlarıdır ve Cisco ASA güvenlik duvarının CPU yükünü yükseltebilir. Bu yüzden show logging komutunu dikkatli kullanmanız önerilir.

 

# no logging console
# no logging monitor

12. NTP Sunucusunu Aktif Edin

 

Doğru zaman ve saat dilimi ile listelenecek günlük verileri için Cisco ASA güvenlik duvarında doğru ve düzgün bir saat ayarlarına sahip olmak için çok önemlidir. Kayıtları oluşturma, işleme ve doğru biçimde izleme ve korelasyon kurmanızda yardımcı olur.

 

# clock timezone PHN 7
# ntp server 10.10.10.8

13. SNMP Erişimini Kısıtlayın ve Güvenli Hale Getirin

 

Büyük harf, küçük harf, sayılar ve özel karakterler kombinasyonuyla, her ağ aygıtında standart bir SNMP topluluk dizesi kullanılması önerilir. Genel veya özel gibi varsayılan dizeler kaldırılmalıdır. SNMP izleme, sadece yetkili IP’den erişilebilir olacak şekilde yapılandırılmalıdır. Sadece SNMP sürüm 2.0 ve 3’e izin verilmelidir.

SNMP version 2 yapılandırması.

 

# snmp-server host inside 10.10.10.8 community T@s9aMon version 2c
# snmp-server contact netadmin@tanergunal.com.tr
# snmp-server location DC

 

SNMP version 3 yapılandırması.

 

# snmp-server group SYSMON v3 priv 
# snmp-server user nms-v3 SYSMON v3 auth md5 3333 priv 3des 4444

 

Doğrulamak için ağ izleme sunucusundan snmpwalk komutunu kullanabiliriz.

 

# snmpwalk -v2c -c A@B9aMon 10.10.10.1
# snmpwalk -v3 -u nms-v3 -A 33331111 -l auth -a MD5 -x DES -X 44442222 10.100.1.36

14. Kullanılmayan Servisleri Kapatın

 

Sıklıkla kullanılan bazı servisler, DoS ve paket filtrelemeyle başka şekilde önlenen diğer saldırıları başlatmak için kullanılabilirler.

 

# no http server enable
# clear configure dhcpd
# no dhcpd enable inside

15. Login Banner’ı Aktif Edin

 

Computer Misuse Act 1990” yayını, kullanıcıların giriş yapmadan önce bilgisayarların bir başlık mesajı göstermelerini öngörür. Bu yasa, yetkisiz erişim suçunun ancak suçlunun zamanında bilmesi durumunda işlenebileceğini öngörür. “Regulation of Investigatory Powers Act 2000” ‘e göre, bilgisayara erişen kullanıcılara bilgi verilmesini gerektirmektedir. Login Banner da bu işe yarar.

 

# banner login UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED! You must have explicit permission to access or configure this system. All activities performed on this system may be logged, and violations of this policy may result in disciplinary action, and may be reported to law enforcement. Use of this system shall constitute consent to monitoring.
# banner motd AUTHORIZED ACCESS ONLY! If you are not an authorized user, disconnect IMMEDIATELY! All connections are monitored and recorded.

16. Secure Copy Protocol (SCP) Etkinleştirin

 

Cisco ASA güvenlik duvarı yazılım imajının ve Cisco ASA güvenlik duvarı tarafından kullanılan aygıt yapılandırmasının bir kopyasını güvenli bir şekilde saklamak önemli bir güvenlik yöntemidir.

 

# ssh scopy enable
# copy scp://tanergunal@192.168.11.100//home/tanergunal/x flash:

17. Denetimi Etkinleştirin

 

ICMP ve ICMP hata inceleme motorları, ICMP trafiğinin TCP ve UDP trafiği ile aynı şekilde denetlenmesini sağladığı için Cisco ASA güvenlik duvarında etkinleştirilmelidir. ICMP denetim motoru etkinleştirilmeden, bir ACL’de ICMP’ye izin verilmemesi önerilir. “Stateful” denetimi olmazsa, ICMP trafiği ağa saldırı için kullanılabilir. ICMP inceleme motoru, her bir istek için sadece bir yanıtın olmasını ve sıra numarasının doğru olmasını sağlar.

 

# policy-map global_policy
    class inspection_default
       inspect icmp
       inspect icmp error

18. Arayüz Güvenlik Seviyesi

 

Cisco ASA, arayüzler arasındaki trafiği, güvenlik seviyesine göre belirler. Güvenlik seviyesi, 0 ile 100 arasında bir değer olabilir. Cisco ASA güvenlik duvarının arabirime atadığı güvenlik düzeyi ne kadar yüksekse, arabirim o kadar güvenilir olur. Trafik, herhangi bir Erişim Kontrol Listesi (ACL) olmaksızın, yüksek bir güvenlik seviyesinden daha düşük bir güvenlik seviyesi yönünde akacak şekilde olabilir.

19. AAA Yapılandırması Yapın

 

Tacacs+, kimlik doğrulama, yetkilendirme, hesap denetimi olan AAA servisleri ile güvenlik için bir protokoldür. Yerel kullanıcı hesaplarını kullanmak yerine, ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap denetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.

23. Sonuç

 

Cisco ASA güvenlik duvarınız için güvenlik sıkılaştırma adımlarını tamamladınız. Herhangi bir sorunuz veya öneriniz varsa, yorumlarınızı aşağıya yazabilirsiniz.

 

Google+0LinkedIn0Pin0Total0StumbleUpon0Print0
Etiketler:, , , ,

İlginizi Çekebilecek Diğer İçerikler

Yazar Hakkında

tanergunal

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: