cisco, fix, güvenlik, IOS, ipucu, network, router, switch

Cisco Cihazlara Erişimin Zorlaştırılması

Cisco Cihazlara Erişimin Zorlaştırılması

Cihaza Erişim Parolası Atanması:

1-Console erişimine:

Router (config)#line console 0
Router (config-line)# password parola 
Router (config-line)# login

(login komutu, cihaza parola sor talimatını verir)

2-Aux erişimine:

Router (config)#line aux 0
Router (config-line)# password parola
Router (config-line)# login

3-Telnet(SSH) erişimine:

Router (config)#line vty 0 4

(Cisco cihazlarlar minimum aynı anda 5 kişinin erişimine izin verirler, bu sebepten 0 ,1,2,3,4,5 numaralı olarak 5 kişi telnet veya ssh yapabilir)

Router (config-line)# password parola
Router (config-line)# login

4-Yetkili moda (Privilege Mode / Enable Mode) geçiş parolası:

Router (config)# enable secret parola

Konfigurasyonda parolaların görünümü:

line console 0
password PAROLA
login
line vty 0 4
password PAROLA
login
enable secret 5 $1$mERr$SphwwyqgvHeKdVs08YEhf0

Konsol(Console) ve Telnet(Vty) parolaları okunabilmekte (clear text), enable parolası ise okunamamaktadır. Çünkü MD5 hash fonksiyonu ile kriptolanmıştır.

Line parolası da okunamaz hale getirmek istenirse:

Router(config)#service password-encryption

komutu kullanılır. Bu durumda konsol parolası konfigurasyonda şöyle gözükür:

line console 0
password 7 08314D5C061504

Parola okunmaz ancak bu parolalar çok kolay bulunabilecek parola çözücü yazılımlar ile hemen çözülebilmektedir. Ancak MD5 kullanılan enable parolası bu yazılımlar ile çözülemez.

5- Minimum parola uzunluğunun belirlenmesi:

(config)# security passwords min-length 10

Bu komut sayesinde parola 10 karakterden kısa seçilemez, seçilmesi durumunda cihaz aşağıdaki hatayı verir.

“Password too short - must be at least 10 characters. Password configuration failed.”

Komut Satırının Kullanılmaması Durumunda Kapatılması:

Yönetici cihaza bağlı iken 10 dakika işlem yapmazsa bağlantı otomatik koparılır. Bu da 10 dakika boyunca PC başına geçebilecek birine cihaza erişme şansı verir. Bu süreyi kısaltmak için:

Router(config-line)#exec-timeout 3 30

komutu kullanılabilir. Bu komutla süre 3 dakika 30 sn olarak atanmıştır.

Cihaza İlk Bağlantının Kullanıcı Adı ve Parola İle Gerçekleştirilmesi:

1- Kullanıcı adları ve parolaları atamak için aşağıdaki komutlar kullanılabilir.

Router(config-line)# username kullanici_1 password parola

(Parola basit kriptolama ile saklanır, bu yüzden önerilmez.)

Router(config-line)# username kullanici_2 secret parola

(Parola MD5 hash ile saklanır, önerilen)

2- Cihazın sadece parola değil de kullanıcı adı da sorması talimatının verilmesi:

Router(config)#line console 0 Router(config-line)#login local

PAROLA DENEME ATAKLARINA KARŞI KORUMALAR:

Aşağıdaki komut ile 15 saniye içinde 5 kere yanlış parola ile giriş denenirse 120 saniye cihaza giriş bloklanır. Bloklanmış durumdaki cihaza “Quiet-Mode” da denir.

Router(config)#login block-for 120 attempts 5 within 15

** Ancak bir saldırgan tarafında cihazın sürekli erişme bloklanması ve asıl yetkili kişinin de cihaza giriş yapmasını engelleyebilir. Bunu engellemek için aşağıdaki komut kullanılabilir. Buna göre 50 numara ile atanmış Erişim kontrol listesinde belirtilmiş IP’ler Quiet Modada bile olsa cihaz erişebilirler.

Router(config)# login quiet-mode access-class 50 
Router(config)# Access-list 50 permit host 10.0.0.1 
Router(config)# Access-list 50 permit host 10.0.0.5

Show login” komutu ile cihazın Normal Mod’da mı, yoksa Quite Mod’da mı olduğu görülebilir. Bu çeşit ataklara karşı başka bir koruma komudu da aşağıdaki gibidir. Bu komut ile her parola denemeden sonra sonraki denemeye geçmeden önce 3 saniye beklenir.

Router(config)# login delay 3

Aşağıdaki komutlar ile de başarılı olmuş(success) veya başarısız olmuş (failure) girişimler detaylı olarak loglanır.

Router(config)#login on-success log Router(config)#login on-failure log

Bu logları görebilmek için:

Router#show login failures” komutu kullanılır.

CİHAZA GİRİŞTE UYARI MESAJI KONMASI:

Cihaza girişte uyarı mesajı çıkması için aşağıdaki komut kullanılabilir. Burada “*” Metin girişi bitişini belirtmek için verilmiştir. “*” yerine metinde kullanılmayacak başka bir karakterde belirtilebilir.

Router(config)# banner motd *

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED! You must have explicit permission to access or configure this system. 
 All activities performed on this system may be logged, and violations of this policy may result in disciplinary action, and may be reported to law enforcement. 
 Use of this system shall constitute consent to monitoring.
 # 
# banner motd # 
 AUTHORIZED ACCESS ONLY! If you are not an authorized user, disconnect IMMEDIATELY! All connections are monitored and recorded.
 #

Giriş yazısında istenirse aşağıdaki değerler otomatik alınabilir.

Cihazın hostname’i otomatik alınsın diye : $(hostname)
Cihazın domain adı otomatik alınsın diye : $(domain)
Cihaza bağlantı yapılan line numarası otomatik alınsın diye : $(line)
Cihaza bağlantı yapılan line’a ait açıklama otomatik alınsın diye : $(line-desc)

NOT: Giriş yazısında cihaza hoş geldiniz gibi davetkar ya da kışkırtıcı yazılar yazılmamalıdır. Hatta cihaz hakkında pek bilgi verilmemesi önerilir.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: