Adım Adım Cisco ASA Firewall Güvenlik Sıkılaştırması

Cisco ASA Firewall Güvenlik Sıkılaştırması

 

1. Genel Bakış

 

Bir ağ yöneticisi veya ağ mühendisi olarak, bir veri merkezinde yeni bir Cisco ASA güvenlik duvarı kurarken ve bunu ağ altyapısına bağlarken, bu ağ cihazını güvenli hale getirmeniz çok önemlidir. Bilgisayar korsanları bir Cisco ASA güvenlik duvarına zarar verirse, ağ altyapısının tüm güvenliği tehlikeye girer, sonuçlar korkunç olabilir.

Bu örnekte, Cisco ASA güvenlik duvarı için güvenlik sıkılaştırmasının nasıl yapılandırılacağı ve veri merkezindeki ağ altyapısının genel güvenliğini nasıl artıracağı anlatılacak ve bu sayede ağ güvenliği mimarisinin genel güvenliği artırılacaktır.

 

2. Başlarken

 

a. Ağ altyapınızda halihazırda Tacacs + sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması

 

b. Ağ altyapınızda halihazırda Cacti veya Nagios gibi ağ izleme sunucunuz olduğunu varsayıyoruz. Eğer yoksa aşağıdaki bağlantıdan kurulum adımlarını takip ederek kurabilirsiniz.

IT Altyapısını İzlemek için RHEL / CentOS 7 Üzerinde Nagios Kurulumu

 

3. Senaryo

 

Aşağıdaki resimde senaryoyu görebilirsiniz. Bilgisayarımız, Konsol kablosu ile Cisco ASA firewall konsol portuna bağlı. Data Center’daki Cisco ASA güvenlik duvarı, Ethernet altyapısı üzerinden ağ altyapısına bağlı durumda.

 

 

AAA protokolü için Tacacs+ servisi, SNMP protokolü kullanan Ağ İzleme Sistemi, Merkezi Kayıt sunucusu ve NTP sunucusu için dört adet sunucu kurulmuş ve yapılandırmaları tamamlanmıştır. Ağ yöneticisi, konsol arabirimi üzerinden Cisco ASA güvenlik duvarında güvenlik sıkılaştırması yapmakta ve bilgisayarı da Veri Merkezi’ndeki ağ güvenlik mimarisine bağlı.

 

4. Cihaza İsim Verme

 

Bir kurumsal Veri Merkezi’nde, bir ağ altyapısının çalışması için yapılandırılmış switch’ler, router’lar ve güvenlik duvarları gibi birçok ağ aygıtı vardır. Bu ağ aygıtları için ana makine adının ayarlanması, yönetilebilir bir ağ altyapısı için gerçekten önemlidir, çünkü cihazın konumunu ve amacını / işlevini / hizmetini ana bilgisayar adıyla kolayca belirleyebiliriz.

 

5. Yerel Kullanıcı Yönetici Hesabı Oluşturun

 

Yerel bir kullanıcı yönetici hesabı oluşturulmalıdır. Dolayısıyla, Cisco ASA güvenlik duvarına SSH ile uzaktan yönetimi veya konsol arabirimi üzerinden erişmek istediğinizde, önce doğru bir kullanıcı adı ve şifre girmemiz gerekir. Bu hesap bilgisi, Cisco ASA güvenlik duvarının Tacacs+ sunucusuna ulaşamaması veya bir cevap gelmemesi durumunda kullanılır.

 

6. Yönetim IP’sini Yapılandırma

 

En yüksek güvenlik düzeyine sahip olan ve güvenlik değeri 100 olarak ifade edilen “inside” arabirimi, yerel ağa (LAN) bağlı iç network arabirimidir. Cisco ASA güvenlik duvarına SSH erişimi için bu arayüzleri kullanabiliriz.

 

7. SSH Yapılandırmasını Yapın

 

SSH, şifreli ve güvenli uzaktan erişim sağladığından ağ yöneticisinin Cisco router’a erişim için kullandığı bir uzaktan yönetim protokolüdür. Telnet bağlantısı düz metin içerdiğinden ve şifreniz kolayca yakalanabildiğinden, herhangi bir ağ cihazına erişmek için Telnet’i asla kullanmayın. Aşağıda, SSH yapılandırması örneğini görebilirsiniz.

 

8. Uzaktan Yönetim Erişimini Kısıtlama ve Güvenli Hale Getirme

Cisco ASA güvenlik duvarına yetkisiz SSH erişimin engellenmesi için, güvenlik yapılandırmaları yapılmalı, bunun için yetkili IP adreslerinin listesi ya da subnet’i tanımlanmalı ve bu IP adreslerinin ayrıca Cisco switch üzerinde de SSH erişimini kısıtlaması için yapılandırma yapılması gereklidir. Yönetim erişimi için sadece ağ yöneticisinin IT ekibinin IP adreslerine izin verilmesi gerekir.

 

9. Konsol Erişimini Kısıtlayın

 

Konsol oturumlarının boşta kalma zaman aşımını süre olarak kısıtlandırın. Belirli bir süre kullanılmadığında konsol arabirimi bağlantısı kesilmesi de pratik bir güvenlik önlemidir.

 

10. Günlük Kaydını Etkinleştirin

 

Günlüğe kayıt tutma, Cisco ASA güvenlik duvarındaki güvenlik sıkılaştırmaları için oldukça önemlidir. Güvenlik olaylarını Cisco ASA güvenlik duvarı ile daha etkili bir şekilde ilişkilendirmek ve denetlemek için, uzak bir syslog sunucusuna günlük kayıtlarınızı oluşturmanız önerilir.

 

11. Konsol Logging veya Monitöring Oturumlarını Günlük Tutmayı Kapatın

 

Monitör ve konsol oturumları etkileşimli yönetim oturumlarıdır ve Cisco ASA güvenlik duvarının CPU yükünü yükseltebilir. Bu yüzden show logging komutunu dikkatli kullanmanız önerilir.

 

12. NTP Sunucusunu Aktif Edin

 

Doğru zaman ve saat dilimi ile listelenecek günlük verileri için Cisco ASA güvenlik duvarında doğru ve düzgün bir saat ayarlarına sahip olmak için çok önemlidir. Kayıtları oluşturma, işleme ve doğru biçimde izleme ve korelasyon kurmanızda yardımcı olur.

 

13. SNMP Erişimini Kısıtlayın ve Güvenli Hale Getirin

 

Büyük harf, küçük harf, sayılar ve özel karakterler kombinasyonuyla, her ağ aygıtında standart bir SNMP topluluk dizesi kullanılması önerilir. Genel veya özel gibi varsayılan dizeler kaldırılmalıdır. SNMP izleme, sadece yetkili IP’den erişilebilir olacak şekilde yapılandırılmalıdır. Sadece SNMP sürüm 2.0 ve 3’e izin verilmelidir.

SNMP version 2 yapılandırması.

 

 

SNMP version 3 yapılandırması.

 

 

Doğrulamak için ağ izleme sunucusundan snmpwalk komutunu kullanabiliriz.

 

14. Kullanılmayan Servisleri Kapatın

 

Sıklıkla kullanılan bazı servisler, DoS ve paket filtrelemeyle başka şekilde önlenen diğer saldırıları başlatmak için kullanılabilirler.

 

15. Login Banner’ı Aktif Edin

 

Computer Misuse Act 1990” yayını, kullanıcıların giriş yapmadan önce bilgisayarların bir başlık mesajı göstermelerini öngörür. Bu yasa, yetkisiz erişim suçunun ancak suçlunun zamanında bilmesi durumunda işlenebileceğini öngörür. “Regulation of Investigatory Powers Act 2000” ‘e göre, bilgisayara erişen kullanıcılara bilgi verilmesini gerektirmektedir. Login Banner da bu işe yarar.

 

16. Secure Copy Protocol (SCP) Etkinleştirin

 

Cisco ASA güvenlik duvarı yazılım imajının ve Cisco ASA güvenlik duvarı tarafından kullanılan aygıt yapılandırmasının bir kopyasını güvenli bir şekilde saklamak önemli bir güvenlik yöntemidir.

 

17. Denetimi Etkinleştirin

 

ICMP ve ICMP hata inceleme motorları, ICMP trafiğinin TCP ve UDP trafiği ile aynı şekilde denetlenmesini sağladığı için Cisco ASA güvenlik duvarında etkinleştirilmelidir. ICMP denetim motoru etkinleştirilmeden, bir ACL’de ICMP’ye izin verilmemesi önerilir. “Stateful” denetimi olmazsa, ICMP trafiği ağa saldırı için kullanılabilir. ICMP inceleme motoru, her bir istek için sadece bir yanıtın olmasını ve sıra numarasının doğru olmasını sağlar.

 

18. Arayüz Güvenlik Seviyesi

 

Cisco ASA, arayüzler arasındaki trafiği, güvenlik seviyesine göre belirler. Güvenlik seviyesi, 0 ile 100 arasında bir değer olabilir. Cisco ASA güvenlik duvarının arabirime atadığı güvenlik düzeyi ne kadar yüksekse, arabirim o kadar güvenilir olur. Trafik, herhangi bir Erişim Kontrol Listesi (ACL) olmaksızın, yüksek bir güvenlik seviyesinden daha düşük bir güvenlik seviyesi yönünde akacak şekilde olabilir.

19. AAA Yapılandırması Yapın

 

Tacacs+, kimlik doğrulama, yetkilendirme, hesap denetimi olan AAA servisleri ile güvenlik için bir protokoldür. Yerel kullanıcı hesaplarını kullanmak yerine, ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap denetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.

23. Sonuç

 

Cisco ASA güvenlik duvarınız için güvenlik sıkılaştırma adımlarını tamamladınız. Herhangi bir sorunuz veya öneriniz varsa, yorumlarınızı aşağıya yazabilirsiniz.

 

Adım Adım Cisco ASA Firewall Güvenlik Sıkılaştırması
Etiketlendi:                 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.