Cisco Cihazlara Erişimin Zorlaştırılması

Cisco Cihazlara Erişimin Zorlaştırılması

Cihaza Erişim Parolası Atanması:

1-Console erişimine:

(login komutu, cihaza parola sor talimatını verir)

2-Aux erişimine:

3-Telnet(SSH) erişimine:

(Cisco cihazlarlar minimum aynı anda 5 kişinin erişimine izin verirler, bu sebepten 0 ,1,2,3,4,5 numaralı olarak 5 kişi telnet veya ssh yapabilir)

4-Yetkili moda (Privilege Mode / Enable Mode) geçiş parolası:

Konfigurasyonda parolaların görünümü:

Konsol(Console) ve Telnet(Vty) parolaları okunabilmekte (clear text), enable parolası ise okunamamaktadır. Çünkü MD5 hash fonksiyonu ile kriptolanmıştır.

Line parolası da okunamaz hale getirmek istenirse:

komutu kullanılır. Bu durumda konsol parolası konfigurasyonda şöyle gözükür:

Parola okunmaz ancak bu parolalar çok kolay bulunabilecek parola çözücü yazılımlar ile hemen çözülebilmektedir. Ancak MD5 kullanılan enable parolası bu yazılımlar ile çözülemez.

5- Minimum parola uzunluğunun belirlenmesi:

Bu komut sayesinde parola 10 karakterden kısa seçilemez, seçilmesi durumunda cihaz aşağıdaki hatayı verir.

Komut Satırının Kullanılmaması Durumunda Kapatılması:

Yönetici cihaza bağlı iken 10 dakika işlem yapmazsa bağlantı otomatik koparılır. Bu da 10 dakika boyunca PC başına geçebilecek birine cihaza erişme şansı verir. Bu süreyi kısaltmak için:

komutu kullanılabilir. Bu komutla süre 3 dakika 30 sn olarak atanmıştır.

Cihaza İlk Bağlantının Kullanıcı Adı ve Parola İle Gerçekleştirilmesi:

1- Kullanıcı adları ve parolaları atamak için aşağıdaki komutlar kullanılabilir.

(Parola basit kriptolama ile saklanır, bu yüzden önerilmez.)

(Parola MD5 hash ile saklanır, önerilen)

2- Cihazın sadece parola değil de kullanıcı adı da sorması talimatının verilmesi:

PAROLA DENEME ATAKLARINA KARŞI KORUMALAR:

Aşağıdaki komut ile 15 saniye içinde 5 kere yanlış parola ile giriş denenirse 120 saniye cihaza giriş bloklanır. Bloklanmış durumdaki cihaza “Quiet-Mode” da denir.

** Ancak bir saldırgan tarafında cihazın sürekli erişme bloklanması ve asıl yetkili kişinin de cihaza giriş yapmasını engelleyebilir. Bunu engellemek için aşağıdaki komut kullanılabilir. Buna göre 50 numara ile atanmış Erişim kontrol listesinde belirtilmiş IP’ler Quiet Modada bile olsa cihaz erişebilirler.

Show login” komutu ile cihazın Normal Mod’da mı, yoksa Quite Mod’da mı olduğu görülebilir. Bu çeşit ataklara karşı başka bir koruma komudu da aşağıdaki gibidir. Bu komut ile her parola denemeden sonra sonraki denemeye geçmeden önce 3 saniye beklenir.

Aşağıdaki komutlar ile de başarılı olmuş(success) veya başarısız olmuş (failure) girişimler detaylı olarak loglanır.

Bu logları görebilmek için:

Router#show login failures” komutu kullanılır.

CİHAZA GİRİŞTE UYARI MESAJI KONMASI:

Cihaza girişte uyarı mesajı çıkması için aşağıdaki komut kullanılabilir. Burada “*” Metin girişi bitişini belirtmek için verilmiştir. “*” yerine metinde kullanılmayacak başka bir karakterde belirtilebilir.

Giriş yazısında istenirse aşağıdaki değerler otomatik alınabilir.

Cihazın hostname’i otomatik alınsın diye : $(hostname)
Cihazın domain adı otomatik alınsın diye : $(domain)
Cihaza bağlantı yapılan line numarası otomatik alınsın diye : $(line)
Cihaza bağlantı yapılan line’a ait açıklama otomatik alınsın diye : $(line-desc)

NOT: Giriş yazısında cihaza hoş geldiniz gibi davetkar ya da kışkırtıcı yazılar yazılmamalıdır. Hatta cihaz hakkında pek bilgi verilmemesi önerilir.

 

Cisco Cihazlara Erişimin Zorlaştırılması
Etiketlendi:             

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.