Network Cihazı Güvenliği

Device Hardening

Switch veya Router üzerinde konsole parolası verme.

Konsole erişimin güvenliği sağlamak. Artık cihazar erişir erişmez User olamayacağım demektir. Cihaza ilk defa bağlandığımızda console kablosunu bağladığımızda benden parola isteyecek.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#logout

Enable dediğimde root oluyorum. Bununda güvenliğini sağlamamız lazım.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable password class
Sw-Floor-1(config)# exit
Sw-Floor-1#

Şuan cihazımda 2 tane güvenlik önlemi almış oldum. Birincisi console ile bağlanırken bir parola sorması. ikincisi cihaza root olurken yani enable dediğimde # (priviledge mode) geçmek için benden bir parola sormasını istedik. Enable password Running Configurasyonda Plain text olarak gözüküyor. O yüzden güvenli değil.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#

Service password-encyption yazdığımızda type 7 ile kriptolama yapıyor bu bizim için çok da güvenli değil. Kırılabilir. Enable password yerine enable secret kullanmamız daha uygun. Enable secret ise MD5 ile kriptoluyor. MD5 de artık kırılabiliyor bu da çok güvenli değil.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#

Cihaza uzaktan erişim için yapılandırma. (Telnet)

Parolayı cisco giren herkes bu cihaza telnet üzerinden erişebilecek. Telnet güvenli değil. Wireshark ile kolayca izlenip kırılabilir. Clear text olarak iletildiği için. Daha güvenli protokol olan SSH kullanılabilir. Bilgisayarlar arasında da telnet yapmak mümkün. Windows makinede Telnet Client kapalı olarak geliyor Telnet uzaktan yapılandırma aracıdır. Konsole ile değil de ip ile eriştiğim sağlıyoruz.

GNS3 15.3(3) versiyonundan sonrakiler destekliyor.

Kullanıcı Oluşturma

Hashing => Tek yönlü matematiksel bir fonksiyondur ve girilen inputtan bir output ortaya çıkar. Fixed size bir output elde edersiniz. Tersine matematik de geri dönüşümü yoktur.

Enctyption ise geri dönüşümü olan bir yöntemdir. Encytion çift yönlüdür.

Ek Güvenlik Önlemleri

ÖRNEK

Örnek 2

Örnek 3

Başarısız Giriş Denemeleri

Privilege Levels

Eğer root isek 15.düzeydeyiz. User isem 1.düzeydeyim. 0'dan 15 e kadar 16 tane düzey var. Aradaki level'lar yok aslında Biz oluşturup oraya tanınmlama yapmalıyız. Kullanılacak komutları sınırlayabiliriz. Bu komutu kullan bu komutu kullanma

Örnek

Telnet ile bağlantı sağlandığımızda user5 ile girersek sadece user5 ile ilgili atadığımız komutları kullanıyor.

Örnek Konfigurasyon

Priviledge düzeylerden ziyade biz Role-based Cli kullanırız.

Role-Based View

Rol tabanlı CLI, hangi komutların kullanılabilir olduğunu belirleyen üç tür görünüm sağlar:

Root View : Her şeyi yapan, her komuta yetkisi olan. Level 15 düzey. CLI View : Hangi komutu kullanmak istiyorsanız View'ler oluşturmak gerekiyor. Superview: İçerisinde birden fazla View barındıran ve onların bütün komutlarını içeren

Örnek

Örnek

Level 15'e geçtim. Bundan sonra artık parser-view kullanabiliyorum

SuperView

Role-Based CLI Views Doğrulama Yapma

JR-ADMIN için erişilebilirlikleri doğrulama

Cihaz İzleme ve Yönetimi

Komutları ile image dosyasımıız ve konfigurasyon dosyamızı korumaya alabiliriz.

dir komut ile baktığımız zaman IOS dosyasını görebiliyoruz. Ama secure boot-image yazdığımızda artık IOS dosyasımızı göremiyoruz. Yanlışlıkla silinebilmesinin önüne geçmiş oluyorum. Tekrar görünmesini isterseniz başına no komutu kullanmak gerekiyor. Bu komut IOS localdeyse geçerli TFTP ile de yükleyip boot edebilirim o zaman geçerli değil.

Parola Kırma

Enable parolası verdik ve unuttuk. Konsole parolasi da olabilirdi . Kurtarmak istediğimizde cihazı kapatacaksın fiziksel olarak. Açılırken CTRL+Break tuşuna basarsanız veya CTRL+C kombinasyonuna basarsanız. İşletim sisteminin belleğe yüklenmesini önlemiş oluruz.Belleğe işletim sistemi yüklenmezse cihaz açılmayacak IOS yüklenmeyecek o zaman da bizi rommon moda atacaktır. Burada yapılması gereken şey confreg (config register) yazmak 0x2142 getirmek. ve ardından cihazı resetlemek gerekiyor. Konfigurasyon değerini 2142 ye çevirseniz ayarlarımız runnig-config'e yüklenmemiş olur. Yani startup-config, running-config'e yüklenmemiş olur. Ayarlarım belleğe yüklenmemiş oldu. Silinmedi Yani startup config var. ama running confige aktarılmadı . Ben start-up config'i running-config'e aktar diyecem.

Sh run yaptıktan sonra ayarlarımız tekrar görebiliriz. Unutmamız gereken bir şey var. Configuration register değerini orijinal değerine çekmek gerekiyor.

Parola kurtarma hizmetini devre dışı bırakabiliriz. O zaman artık cihazımızı sıfırlamamız gerekecek.

R1(config)#no service password-recovery

PreviousNATNextSNMP

Last updated