Adım Adım Cisco Switch Güvenlik Sıkılaştırması

Cisco Switch Güvenlik  Sıkılaştırması

 

1. Genel Bakış

 

Bir ağ yöneticisi veya ağ mühendisi olarak, bir veri merkezinde yeni bir Cisco switch kurarken ve bunu ağ altyapısına bağlarken, bu ağ cihazını güvenli hale getirmeniz çok önemlidir. Bilgisayar korsanları bir switch’e zarar verirse, ağ altyapısının tüm güvenliği tehlikeye girer, sonuçlar korkunç olabilir.

Bu örnekte, Cisco switch için güvenlik sıkılaştırmasının nasıl yapılandırılacağı ve veri merkezindeki ağ altyapısının genel güvenliğini nasıl artıracağı anlatılacaktır.

 

2. Başlarken

 

a. Ağ altyapınızda zaten Tacacs + sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması

 

b. Ağ altyapınızda halihazırda Cacti veya Nagios gibi ağ izleme sunucunuz olduğunu varsayıyoruz. Eğer yoksa aşağıdaki bağlantıdan kurulum adımlarını takip ederek kurabilirsiniz.

IT Altyapısını İzlemek için RHEL / CentOS 7 Üzerinde Nagios Kurulumu

 

3. Senaryo

 

Aşağıdaki resimde senaryoyu görebilirsiniz. Konsol kablosu ile Cisco switch konsol portuna bağlı bilgisayar var. Data Center’daki Cisco switch, ağ altyapısına Ethernet bağlantıları üzerinden bağlanır. AAA protokolü ve SNMP protokolü kullanan Ağ İzleme Sistemi için Tacacs + hizmeti için iki özel sunucu zaten kurulmuş ve yapılandırılmıştır. Ağ yöneticisi veya ağ mühendisi, güvenlik sıkılaştırmasını Cisco switch’te konsol arabirimi üzerinden yapıyor ve bilgisayarı da bu ağ altyapısına bağlı.

4. Cihaza isim verme

 

Bir kurumsal Veri Merkezi’nde, bir ağ altyapısının çalışması için yapılandırılmış switch’ler, router’lar ve güvenlik duvarları gibi birçok ağ aygıtı vardır. Bu ağ aygıtları için ana makine adının ayarlanması, yönetilebilir bir ağ altyapısı için gerçekten önemlidir, çünkü cihazın konumunu ve amacını / işlevini / hizmetini ana bilgisayar adıyla kolayca belirleyebiliriz.

5. Yerel Kullanıcı Yönetici Hesabı Oluşturun

 

Yerel bir kullanıcı yönetici hesabı oluşturulmalıdır. Dolayısıyla, Cisco switch’e SSH ile uzaktan yönetimi veya konsol arabirimi üzerinden erişmek istediğinizde, önce doğru bir kullanıcı adı ve şifre girmemiz gerekir. Bu hesap bilgisi, Cisco switch’in, Tacacs + sunucusuna ulaşamaması veya bir cevap gelmemesi durumunda kullanılır.

6. Yönetim IP’sini Yapılandırma

 

Loopback arabirimleri her zaman “UP” olduğundan, Cisco switch’e SSH ile uzaktan erişim için, loopback arabirimlerinin kullanılması önerilir. Fiziksel arayüzler, potansiyel olarak UP/DOWN olabilirler ve cihaza erişim mümkün olmaz.

7. SSH Yapılandırmasını Yapın

 

SSH, şifreli ve güvenli uzaktan erişim sağladığından ağ yöneticisinin Cisco switch’e erişim için kullandığı bir uzaktan yönetim protokolüdür. Telnet bağlantısı düz metin içerdiğinden ve şifreniz kolayca yakalanabildiğinden, herhangi bir ağ cihazına erişmek için Telnet’i asla kullanmayın. Aşağıda, SSH yapılandırması örneğini görebilirsiniz.

8. Güvenli Giriş Denetimi’ni Etkinleştirin

 

Bazen kötü niyetli bir kullanıcı, şifre giriş ekranında sözlük saldırısı (dictionary attack) gerçekleştirmek isteyebilir. Belirli bir IP adresinden, belirli bir zaman dilimi içinde çok fazla sayıda başarısız girişimde bulunulması durumunda Cisco switch’e saldırı yapılan IP adresini blokla diyebilirsiniz.

9. Uzaktan Yönetim Erişimini Kısıtlama ve Güvenli Hale Getirme

 

Cisco switch’e yetkisiz SSH uzaktan erişimin engellenmesi, Access Control List (ACL) yapılandırılması ve yönetim erişimi için sadece ağ yöneticisinin IT ekibinin IP adreslerine izin verilmesi gerekir.

10. Konsol Erişimini Kısıtlayın

 

Konsol oturumlarının boşta kalma zaman aşımını süre olarak kısıtlandırın. Belirli bir süre kullanılmadığında konsol arabirimi bağlantısı kesilmesi de pratik bir güvenlik önlemidir.

 

11. Günlük kaydını etkinleştirin

 

Günlüğe kayıt tutma, Cisco switch’deki güvenlik sıkılaştırmaları için oldukça önemlidir. Güvenlik olaylarını Cisco switch ile daha etkili bir şekilde ilişkilendirmek ve denetlemek için, uzak bir syslog sunucusuna günlük kayıtlarınızı oluşturmanız önerilir.

12. Konfigürasyon Değişikliği Bildirimini ve Günlüğü Etkinleştirin

 

Cisco switch’inizde yapılan konfigürasyon değişikliklerini kaydetmeniz ve Günlüğe işlemeniz, bu kayıtların günlüğünü tutmanız önerilir. Konfigürasyon Değişikliği Bildirimi ve Günlüğe kaydetme özelliği etkinleştirildikten sonra, show archive log config all komutu ile önceki kayıtlardan bu bilgilere erişim sağlayabilirsiniz.

13. Konsol Logging veya Monitor Oturumlarını Günlük Tutmayı Kapatın

 

Monitör ve konsol oturumları etkileşimli yönetim oturumlarıdır ve Cisco switch’in CPU yükünü yükseltebilir. Bu yüzden show logging komutunu dikkatli kullanmanız önerilir.

14. NTP Sunucusunu Aktif Edin

 

NTP, doğru zaman ve saat dilimi ile listelenecek günlük verileri için doğru ve düzgün bir saat ayarlarına sahip olmak için çok önemlidir. Kayıtları oluşturma, işleme ve doğru biçimde izleme ve korelasyon kurmanızda yardımcı olur.

15. SNMP Erişimini Kısıtlayın ve Güvenli Hale Getirin

 

Büyük harf, küçük harf, sayılar ve özel karakterler kombinasyonuyla, her ağ aygıtında standart bir SNMP topluluk dizesi kullanılması önerilir. Genel veya özel gibi varsayılan dizeler kaldırılmalıdır. SNMP, erişim hakları RO (salt okunur) ve geçerli ACL ile yapılandırılmalıdır. Sadece SNMP sürüm 2.0 ve 3’e izin verilir.

SNMP version 2 yapılandırması.

SNMP version 3 yapılandırması.

Doğrulamak için ağ izleme sunucusundan snmpwalk komutunu kullanabiliriz.

16. Kullanılmayan Servisleri Kapatın

 

Sıklıkla kullanılan bazı servisler, DoS ve paket filtrelemeyle başka şekilde önlenen diğer saldırıları başlatmak için kullanılabilirler.

17. Login Banner’ı Aktif Edin

 

Computer Misuse Act 1990” yayını, kullanıcıların giriş yapmadan önce bilgisayarların bir başlık mesajı göstermelerini öngörür. Bu yasa, yetkisiz erişim suçunun ancak suçlunun zamanında bilmesi durumunda işlenebileceğini öngörür. “Regulation of Investigatory Powers Act 2000” ‘e göre, bilgisayara erişen kullanıcılara bilgi verilmesini gerektirmektedir. Login Banner da bu işe yarar.

 

 

18. TCP Sessions Keepalives Etkinleştirin

 

19. Bellek ve İşlemci Eşik Bildirimlerini Açın

 

Bir aygıttaki boş belleğin, yapılandırılmış eşik değerinden daha düşük olduğunu belirtmek için Bellek ve İşlemci  Eşik Bildiriminin günlük mesajı oluşturması önerilir.

20. Secure Copy Protocol (SCP) Etkinleştirin

 

Cisco switch yazılım imajının ve switch tarafından kullanılan aygıt yapılandırmasının bir kopyasını güvenli bir şekilde saklamak önemli bir güvenlik yöntemidir.

21. AAA Yapılandırması Yapın

 

Tacacs +, kimlik doğrulama, yetkilendirme, hesap denetimi olan AAA servisleri ile güvenlik için bir protokoldür. Yerel kullanıcı hesaplarını kullanmak yerine, ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap denetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.

22. Kullanılmayan Port’ları Devre Dışı Bırakın ve Port Güvenliği Uygulayın

 

Tüm Cisco switch cihazlarının port veya arabirimleri, Veri Merkezinde dağıtılmadan önce güvenceye alınmalıdır. Bağlantı noktası güvenliği, bir bağlantı noktasında izin verilen geçerli MAC adreslerinin sayısını sınırlayacak şekilde tüm Cisco switch’ler için yapılandırılmalı ve kullanılmayan tüm bağlantı noktaları devre dışı bırakılmalıdır.

 

23. Sonuç

 

Cisco switch’iniz için güvenlik sıkılaştırma adımlarını tamamladınız. Herhangi bir sorunuz veya öneriniz varsa, yorumlarınızı aşağıya yazabilirsiniz.

 

Adım Adım Cisco Switch Güvenlik Sıkılaştırması
Etiketlendi:                 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.