Layer 2 Güvenlik

Pek çok güvenlik ve network yöneticisi sistemlerinin güvenliğini sağlayabilmek için gelebilecek tehditleri üst katmanlara  kadar  taşımaktansa, olabildiğince alt katmanda yapılacak gerekli yapılandırma veya kısıtlamalarla çözüm arayışına gitmektedirler. Gelelim yönetilebilir bir switch’i sahada kullanmaya başlamadan önce bu cihaz üzerinde uygulanması gereken güvenlik aşamalarına. Öncelikle network’e dahil edilecek her cihazda olması gerektiği gibi, cihazın şifreleri belirlenmelidir. Bu şifreler belirlenirken, herkes tarafından kolayca tahmin edilebilen ya da herhangi bir sözlük atakla kolaylıkla tespit edilebilen bir şifre vermemeye özen gösterilmelidir. Birden fazla switch ve network yöneticisinin bulunduğu yerlerde, en iyi yöntem AAA Authentication modu aktive edilerek, bunun üzerinde kullanıcıların sorgularının yapılacağı yerel kullanıcı veritabanı, TACACS+ ya da RADIUS sunucu üzerinden kimlik doğrulaması yapılmasıdır.  TACACS+ bunlar arasında ayrıntılı log tutma özelliğiyle diğerlerinden bir adım önde olarak gözükse ihtiyaca göre kullanılacak yöntem de değişebilmektedir.

1) SSH erişimini aktive etme ve kimlik doğrulama yöntemi

Ayrıca, yine cihazı yönetebilmek için, cihazın performans ve yüküne göre ssh ya da telnet erişimleri aktif edilmelidir. Tercih daima kriptolu olan ssh bağlantısı olması gerekir fakat yine de belirlenecek güvenlik seviyesine göre telnet erişimi de tercih edilebilmektedir.

Cisco IOS üzerinde Örnek SSH Yapılandırması

Komut Açıklama
Kullanıcı eklenir ve şifre atanır.
Yerel veritabanı kullanılarak,AAA modu ayarlamaları yapılır.
Alan adı belirlenir.
Sertifika oluşturulur.(en az 768 bit Diffie-Hellman key kullanılır)
İlgili vty belirlenir.
Yalnızca SSH bağlantılarına izin verilir.

 

Cisco Catalyst OS Üzerinde Örnek SSH Yapılandırması

Komut Açıklama
1024 bit RSA key oluşturur.
Belirlenen ip aralığıdaki SSH bağlantılarına izin verilir.

2) VTP ve SNMP yapılandırması

Kullanıcı sayısı ve bunun paralelinde cihaz sayısı yüksek networklerde VLAN yapılandırmasının network’ü rahatlatan ve düzeni sağlayan bir işlevi olsa  da, düzgün konfigüre edilmeyen bir VLAN yapılandırması çok ciddi güvenlik açıklarına neden olmaktadır.Bu konuda yapılabilecek en iyi düzenleme ise,, switch üzerinde oluşturulan vlan veritabanın paylaşımını gerekli etki alanı altında, belirlenen şifreyle sadece ilgili cihazlara aktarılmasını sağlamaktır. Ayrıca VTP pruning özelliğiyle de switchler arasında akan broadcast trafiği sadece  ilgili cihazlara yönelerek, cihazın üzerinden gereksiz trafiğin geçmesini engelleyecektir.

Cisco IOS Üzerinde Örnek VTP Konfigürasyonu

Komut Açıklama
VTP adı belirlenir
VTP şifresi belirlenir.
VTP pruning aktive edilir.

 

Cisco Catalyst OS Üzerinde Örnek VTP Konfigürasyonu

Komut Açıklama
VTP adı belirlenir
VTP şifresi belirlenir.
VTP pruning aktive edilir.

Bunun yanına cihazın üzerinden anlık bilgileri okuyabilmek gibi pek çok farklı şekilde kullanılan SNMP’nin ayarlamaları da en düzgün şekilde belirlenmelidir. Cihaz üzerine gelen SNMP sorgularının kontrolü sağlanmadığı sürece, SNMP kullanılarak yapılabilen farklı uygulamalarla cihaz kolaylıkla ele geçirilebilir.  SNMP versiyonları arasında da en güvenli sürümü v3 sürümüdür. Bu sürümde v1 ve v2 de kullanılan topluluk belirleme ve kullanıcı işlemleri gibi işlemlere ek olarak şifreleme gibi özellikler eklenmiştir.

Cisco IOS Üzerinde Örnek SNMP Konfigürasyonu

Komut Açıklama
ACL 10 ile korunan read-only SNMP sorgusu belirlenir.
ACL 11 ile korunan read-write SNMP sorgusu belirlenir.
Read-only SNMP sorgusunun yapılabileceği ip(ler) belirlenir.
Read-write SNMP sorgusunun yapılabileceği ip(ler) belirlenir.

 

Cisco Catalyst OS Üzerinde Örnek SNMP Konfigürasyonu

Komut Açıklama
read-only sorgu belirlenir.
read-write sorgu belirlenir.
read-write-all sorgu belirlenir.

3) Port kısıtlamaları ve tanımlamaları

Cihaz üzerinde gerekmedikçe trunk port bırakılmamalıdır. Hatta, switch üzerinde kullanılmayan bir vlan oluşturularak, tüm kullanılmayan portlar bu vlan’e atanmalıdır. Ayrıca yine kullanılmayan portlar  gerek duyulmadıkça “shutdown” durumunda bırakılmalıdır ve “description PORTUN-AÇIKLAMASI” komutuyla  kullanılan her porta olası bir hata tespit durumunda sonuca daha çabuk ulaştırabilecek tanımlamalar yapılmalıdır. Son olarak bu konuda dikkat edilmesi gereken en önemli nokta ise, vlan yapılandırmasında pek çok konuda (native vlan) portlara varsayılan olarak atanan VLAN 1, gerekmedikçe kullanılmamalıdır.

Cisco IOS Üzerinde Temel Port Örnek Kısıtlamaları

Komut Açıklama
interface 1 – 48 arasına komut girilebilecek interface moda girilir
Portu VLAN 8’e atar.
VLAN Trunking modunu disable eder.
Portu kapatır.

4) Allowed-Vlan belirleme

Trunk olarak belirlenen portlar dahil, üzerinden tüm vlanlerin geçmesine izin verilmeyip, sadece o porttan akması gereken vlan trafiklerine izin verilmelidir.

Cisco IOS Üzerinde Örnek VLAN Trunking Kısıtlamaları

Komut Açıklama
Kısıtlama yapılacak interfacenin içine girilir.
Port trunk moda ayarlanır.
Encapsulation türü belirlenir.
10-14 ve 26-28 arası vlanlere izin verilir.

Spanning Tree(STP) her nekadar oluşabilecek loop’ları engellemek için çalışan bir protokol olsa da, böyle güzel işler yapmaya çalışan bir protokolün de belli önlemler alınarak yapılandırılması gerektiği gerçeğini ortadan kaldıramamaktadır. Alınabilecek önlemlerden ilki, “Portfast” enable edilen porttaki BPDU paketlerini engellemek ya da bir şekilde filtrelemektir. Kısaca PortFast’i anlatmak gerekirse; PortFast,portları listening learning gibi loop önleyen aşamalardan geçirmeyerek, çok hızlı bir şekilde ilgili portun açılmasını sağlamaktadır. Bu portlardan BPDU mesajı alındığında topoloji tamamen bozulabilir ve hatta sorunun loop’a kadar büyümesine neden olabilir. Bununla beraber Cisco switchler üzerinde yapılacak RootGuard yapılandırması ile, bir porta bağlanan cihazın küçük olan bridge ID’si topolojiyi etkileyerek root olarak seçilmesini engelleyecektir.

Cisco IOS üzerinde STP BPDU ve Root Guard Kısıtlamaları

Komut Açıklama
Switch üzerinde BPDU guard’ı aktif eder.
Switch üzerinde Root guard’ı aktif eder.
Farklı IOS’larda ki kullanım şekli.

Switchlerin üzerinde sınırlı sayıda mac adresi kayıt altına alınabilir. Bu da saldırgan kişiler tarafından atak yapılabilecek bir açık olarak değerlendirilebilir. Switche bağlı kişi çok kısa sürede çokça kez mac adresini değiştirerek dchp sunucusundan ip isteğinde bulunur, bu sayede hem dhcp havuzunu hem de switch üzerindeki mac adres tablosunu doldurarak atağın ilk aşamasını tamamlamış olurlar. Switch üzerindeki mac addreslerinin tutulduğu veritabanı dolunca switch hub olarak görev yapmaya başlar. Bu da switch üzerindeki tüm trafiğin tüm portlara yönlendirilmesi anlamına gelmektedir. Artık bu aşamadan sonra cihaz üzerindeki tüm trafiği dinleyebilen saldırgan artık network’ün bir parçası haline gelmiştir:) Bu atağı engellemek için cisco cihazlarda aşağıdaki konfigürasyon kullanılabilir.

Cisco IOS Üzerinde  MAC Adres Tablosu Ataklarına Karşı Kısıtlama

Komut Açıklama
Değişiklik yapılacak interface’ler (ya da interface) belirlenir.
Port-Security aktif edilir.
İnterface üzerinde izinli sayılacak mac adresi sayısı belirlenir.
İzinsiz mac’lere switch tarafından uygulacak yaptırım belirlenir.
Örnekte görüldüğü üzere, mac adresi 5 dakika “inactivity” modunda kaldıktan sonra tablodan silineceğini gösterir.
İlgili mac adreslerinin tablodan silinmesini gerektirecek şart belirlenir.
NOT:Örnekte “range” komutuyla birden fazla porta uygulanmıştır, komutlar yalnızca istenilen interface’e de uygulanabilmektedir.

Cenker Çetin sitesinden alınmıştır.

 

 

Layer 2 Güvenlik
Etiketlendi:                                                         

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir