Site icon Nedir ve Nasıl

Güvenlik Nedir

Güvenlik Nedir

Güvenlik Ne Demektir? Güvenlik Nedir Kısaca? Güvenlik Ne Demek? Güvenlik Nedir? Güvenlik Hakkında Bilgi?

Güvenlik Ne Demek, birçok kurum, bir güvenlik, duvarı firewall aldygynda güvenlik sorunlarının çoğunu çözdügünü sanmakta ve diğer önlemleri önemsemektedir. oysa güvenlik yönetimi ağ network üzerinde çalışan bütün elemanların güvenliğini içerir ve sürekli devam eden bir süreç olarak ele alınmaldır. bu yazıda, ağ trafiğinin üzerinden aktığı ağ cihazlarında alınması gereken temel güvenlik önlemleri ele alınmış ve bazı ipuçları verilmiştir.

ağ cihazlarynda kurulum sırasında olusan varsayılan default ayarların, kullanıcı tarafından aktif edilen bazı ayarların iptal edilmesi veya düzgün olarak tekrar ayarlanması gerekebilmektedir. bu yazıda bütün tcp/ıp ağları için geçerli ve firmadan bağimsız ayarlar hakkında bazy ipuçlari verilmektedir. uygulamalar cisco cihazları üzerinde yapylmış ve dogru çalystığı gözlenmistir.

Ağ Cihazları

bilgisayar sistemlerinin birbirleriyle iletişim kurabilmeleri için veri sinyallerini kablo ile veya kablosuz wireless olarak iletmeleri gerekmektedir. kablo ile veri iletilirken her bilgisayarın bağlantı kuracağı diğer bilgisayarlara ayrı ayrı kablolarla bağlanması, çok özel sistemler dışında efektif bir yöntem değildir

yerel aglarda birbirine yakın bilgisayarlar ortak bir cihaza baglanmakta ve bu cihaz genelde hub veya switch olarak adlandirilmaktadir. bu cihazların oluşturduğu ag network ise internete bağlanmak için yönlendirici router cihazina gerek duymaktadir. cihazlar osı katmaninin hangi seviyesinde çalistiklarina göre 1 1. katman, 12, 13 veya yeni nesil 11–17 cihazlar olarak siniflandirilmaktadir. ag cihazlarina diger cihazlarin baglandigi arabirimlere port denmektedir.

ag cihazlari yönetim açisindan, yönetilebilir managable veya yönetilemez unmanagable cihazlar olarak ikiye ayrilmaktadir. bu bildiride yönetilebilir cihazlarin güvenlik ayarlarina deginilecektir. yönetilebilir cihazlarin kendilerine özgü bir isletim sistemi ve konfigürasyonu bulunmaktadir. cisco cihazlarda ıos ve catos, alcatel xeonlarda xos, avaya cihazlarinda unixware, juniperde free bsd örnek olarak verilebilir. diger cihazlarda da genelde unıx tabanli isletim sistemleri bulunmaktadir. ag cihazlarinin ayarlanmasi, yönetimi ve kontrolü asagidaki sekillerde saglanabilmektedir

  1. http protokolü ile
    telnet veya ssh ile
    snmp protokolü ile
    tftp veya ftp ile
    konsol portuyla

konsol portu araciligiyla erisimde fiziksel güvenlik ön plana çikmaktadir. diger erisim türlerinde ise tcp/ıp protokolü kullanilacagindan bu protokolün zayifliklarina karsi önlem alinmasi gerekecektir.

cihazlarin ayarlari menüler araciligiyla, komut command yazarak veya grafik arayüzlerle yapilabilmektedir. cihazlarda kurulum sirasinda olusan varsayilan default ayarlarin, kullanici tarafindan aktif edilen bazi ayarlarin iptal edilmesi veya düzgün olarak tekrar ayarlanmasi gerekebilmektedir.

Fiziksel Güvenlik

cihaza fiziksel olarak erisebilen saldirganin konsol portu araciligiyla cihazin kontrolünü kolaylikla alabilecegi unutulmamalidir. ag baglantisina erisebilen saldirgan ise kabloya tap özel ekipmanla kabloya erisim ederek hatti dinleyebilir veya hatta trafik gönderebilir açikça bilinmelidir ki fiziksel güvenligi saglanmayan cihaz üzerinde alinacak yazilimsal yöntemlerin hiç bir kiymeti bulunmamaktadir. bazi fiziksel güvenlik önlemleri asagida verilmistir

cihazlar sadece ag yöneticisinin veya onun yardimcisinin açabilecegi kilitli odalarda tutulmalidir. oda ayirmanin mümkün olmadigi yerlerde özel kilitli dolaplar kabinetler içine konmalidir.

cihazlara fiziksel olarak kimin ve ne zaman eristigini belirten erisim listeleri tutulmali access auditing ve bu listeler sik sik güncellenmelidir

kablolar tek tek etiketlenmeli ve kayitlari tutulmalidir. kullanilmayan kablolar devre disi birakilmalidir cihazlarin yakinina güvenlik bilgileri sifre, ıp adresi gibi bilgiler yapistirilmamali ve gizli tutulmalidir cihazlara fiziksel erisim mümkün ise kullanilmayan portlar disable edilmelidir aktif cihazlarin elektrigi aldigi güç kaynaklarinin yeri belirlenmeli ve saldirganin bu güç kaynaklarini kesmesi engellenmelidir. devamli güç kaynaklarina ups yatirim yapilmalidir

aktif cihazlarin fiziksel erisime açik oldugu yerlerde saldirganin güç kablosunu çikartmasini engellemek için cihazin üstünde çesitli aparatlar kullanmali, güç kablosunu gözden irak tutmali, mümkünse uzakta ve fiziksel güvenligi, saglanan bir prize baglanmalidir

her ne kadar aktif cihazlarin çalinmasi pek olasi olmasa da bu tür olaylari engellemek için mümkünse çesitli kilit ve alarm mekanizmalari kullanilmalidir

Şifer Yönetimi

sifreler cihazlara her türlü izinsiz erisim de hesaba katilarak iyi seçilmelidir. ıyi sifrelerin özellikleri asagidaki gibidir büyük ve küçük harf içerirler, noktalama isaretleri ve rakamlar içerirler, bazi kontrol karakterleri ve/veya bosluklar içerirler, kolaylikla hatirlanabilirler ve bu nedenle bir yere not edilme ihtiyaci duymazlar, en az yedi veya sekiz karakter uzunlugundadirlar, kolay ve hizli yazilirlar ve böylece etraftan bakan birisi ne yazdigini anlayamaz

sifre yönetmenin en iyi yolu ldap, tacacs+ veya radıus dogrulama authentication sunuculari araciligiyla onay mekanizmasini kullanmaktir. bu sistem kullanilsa bile yetkili privileged haklar için o cihaza yerel local tanimli bir sifre, konfigürasyon dosyasinda bulunmalidir

birçok yönetilebilir cihaz, kullanici user modu ve yetkili enable mod gibi iki ayri login mekanizmasina sahiptir. kullanici modunda sadece arayüzler interface incelenebilirken yetkili modda ek olarak cihaz konfigürasyonu da yapilabilmektedir. cisco cihazlarinda girilen kullanici ve parolalarin konfigürasyon dosyasinda gözükmemesi için service password-encryption komutu girilmis olmalidir. zayif sifreleme algoritmasi kullanan enable password komutu yerine md5-tabanli algoritmayla sifreyi koruyan enable secret komutu kullanilmalidir. no enable password komutu kullanilarak enable passwordler silinmeli yerine enable secret yeni_sifreniz ile yeniden sifreler girilmelidir.

Cihaz Erişim Protokolerıne Dair Ayarlar

ag cihazlarinin ayarlanmasi, yönetimi ve kontrolünde kullanilan http, telnet, ssh, snmp, tftp ve ftp tcp/ıp protokolünün alt elemanlari olduklarindan, bu protokolün zayifliklarina karsi önlem alinmasi gerekmektedir. bu türden erisimlerde denetim, bu cihazlarin ve dolayisiyla ag trafiginin güvenligi için çok gereklidir.

Belirli İplerin Cihaza Erişimine İzin Vermek

cihazlara sadece belirli ıp adreslerinin ulasmasina izin verilmelidir. bu da access-list yazilarak saglanir. örnegin cisco ıosde sadece 200.100.17.2 ve 200.100.17.3 ıplerin erisimine izin verilmesi ve diger iplerin engellenmesi asagidaki access-list ile saglanmaktadir.

örnekte verilen 7 numarali access-list belirtilen ıplere izin vermekte permit, diger ıpleri kabul etmemektedir deny. bu access-listin devreye girmesi için herhangi bir arayüzde etkin hale getirilmesi gerekmektedir. telnet veya ssh için uygulanmasi da asagidaki gibi olmaktadir

line vty 0 4
access-class 7 in
http erisimi için kisitlanmasi da asagidaki gibi olmaktadir
ip http access-class 7
snmp erisimine belirtilen ıp lerin izin verilmesi ise asagidaki gibi olmaktadir
snmp-server host 200.100.17.2 snmp_sifresi
snmp-server host 200.100.17.3 snmp_sifresi

Http Erişimi

http protokolü ile web arayüzünden erisim, cihaza interaktif baglanti demektir. yönetilebilir cihazlarinin birçogunun üzerinde web sunucusu çalisir. bu da 80 nolu portta bir web sunucunun kurulu bekledigini gösterir. daha önceden de belirtildigi gibi http servisi verilecekse bu ag yönetimini saglayan belirli ıplere kisitli olarak verilmelidir. cihaz güvenligi nedeniyle mümkün oldugunca bu tür web üzerinden yönetimin kullanilmamasi gerektigi önerilmektedir. ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bilecegi baska bir port üzerinden, örnegin 500 nolu portta çalistirilabilecek sekilde ayarlanmalidir.

http protokolünde dogrulama mekanizmasi agda sifrenin düz metin seklinde gönderimi ile saglandigi için efektif degildir ama farkli üreticilerin degisik çözümleri bulunmaktadir. dogrulama mekanizmasi, onay sunuculari tacacs+, radius …vb kullanilarak yapilabilir. cisco ıosde dogrulama mekanizmasi ip http authentication komutuyla saglanmaktadir.

Telnet ve Secure Shell Ssh Erişimi

telnet ile erisimlerde saldirganin ag üzerinden dinlenme sniff yoluyla iletilen bilgiyi elde etmesi mümkün oldugundan, iletilen veriyi sifreleyen ssh protokolü mümkün oldugunca kullanilmaldir. ssh su anda bütün cihazlar ve cihaz isletim sistemleri tarafindan desteklenmemektedir. bu konuda üretici firmanin cihaz dökümantasyonu incelenmelidir.

Snmp Erişimi

simple network management protokol snmp, cihaz ve ag yönetimi için vazgeçilmez bir protokoldür. trafik istatistiklerinden bellek ve cpu kullanimina kadar bir cihaz hakkinda çok detayli bilgiler edinilebilmektedir. bir veya daha fazla ag yönetim ıstasyonu, üzerlerinde çalisan yazilimlarla belirli araliklarla ag cihazlari ve sunuculardan server bu istatistikleri toparlayacak poll sekilde ayarlanmalidir. cihazda gözlenen cpu, bellek veya hat kullaniminin fazla olmasi bir saldiri tespiti olabilmektedir. toplanan verileri grafiksel olarak görüntüleyen multi router traffic grapher mrtg gibi programlar bulunmaktadir

snmp protokolünün, özellikle snmp version 1in birçok uygulamasinda zayiflik vulnerability oldugu cert in raporlarinda belirtilmistir birçok cihaz üretecisi bu konuda yama patch çikartmis ve önerilerde bulunmustur snmp version 1, düz metin clear text dogrulama dizileri string kullandigindan bu dogrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. bu yüzden md5a dayanan öz digest dogrulama semasi kullanan ve çesitli yönetim verilerine kisitli erisim saglayan snmp version 2nin kullanilmasi gerekmektedir. mümkünse her cihaz için ayri bir md5 gizli secret degeri kullanilmalidir daha detayli bilgi için incelenebilir.

Öneriler

sadece oku read only ve oku-yaz read-write erisimleri için kullanilan varsayilan snmp sifre community adlari degistirilmeli ve bu iki parametre birbirinden farkli olmalidir.

snmp sifrelerine kritik bir unıx makinasindaki root sifresi gibi davranilmaldir snmp erisimi hakki sadece belirli güvenilir trusted ıplere ag yönetim istasyonlarina saglanmalidir. ag yönetim ıstasyonu tarafindan snmp erisimi yapilirken sadece oku parametresi kullanilmalidir. mümkünse cihazlarda oku-yaz parametresi iptal edilmelidir

ag yönetimi için ayri bir subnet, mümkünse vlan yaratilmalidir. access-list ve ates duvari firewall kullanilarak bu aga dis aglardan gelen trafik kisitlanmalidir.

ag yönetim ıstasyonlari, agdaki cihazlara ait snmp sifre dizileri gibi dogrulama bilgileri bulundurduklari için dogal bir saldiri hedefi durumuna gelmektedir. bu yüzden bu makinalarin fiziksel, yazilimsal ve ag güvenlikleri saglanmalidir.

Auxiliary Port

yönlendiricilerde acil durumlarda telefon hatlari üzerinden modem kullanilarak erisimin saglanmasi için auxiliary port bulunmaktadir. bu tür bir erisim için pppde point to point protocol pap password authentication protocol yerine chap challenge handshake authentication protocol dogrulama methodu kullanilmalidir. chap, dial-up ve noktadan noktaya point to point baglantilarda uç noktayi engelleyerek izinsiz erisimleri engellemektedir

Tftp- Ftp ile Erişim

cihazlara yeni isletim sistemleri veya konfigürasyonlari tftp veya ftp gibi protokollerle yüklenebilmekte veya ag yönetim ıstasyonuna yedek amaçli alinabilmektedir. özellikle tftp protokolü, udp kullanmasi ve kullanici-cihaz dogrulama sistemleri kullanmamasindan dolayi bilinen bazi güvenlik açiklarina sahiptir bu yüzden bu protokoller cihazlarda access-list ile kontrol altina alinmali ve dosya transferi belirli ıplerle sinirlandirilmalidir

tftp sunucu olarak kullanilan ag yönetim ıstasyonunda da bu protokolü kullanirken uygulayacagi ek güvenlik ayarlari yapilmali, mümkünse bu servis bu makinda sadece kullanilacagi zaman açilmalidir. cihaz ftpyi destekliyorsa bu protokolün kullanilmasi tercih edilmelidir.

Kayıtlama Loggıng Ayarları

ag cihazlari çesitli hadiseler event hakkinda kayitlama özelligine sahiptir. bu kayitlar, güvenlik hadiselerinin belirlenmesinden ve önlem alinmasinda kritik önem tasiyabilmektedir. arayüzlerin durum degisikligi, sistem konfigürasyon degisikligi, access-listlere takilan match baglantilar gibi güvenlik açisindan önemli olan bilgilerin kayidi tutulabilmektedir. cihazda kayitlama asagidaki sekillerde yapilabilmektedir

snmp trap logging sistem durumunda status karakteristik significant degisikliklerde ag yönetim ıstasyonuna uyari notification göndermektedir.

sistem kayitlamasi sistem konfigürasyonuna bagli olarak hadiselerin kayydyny tutmaktadir. sistem kayitlamasi farkli yerlere yapilabilmektedir

sistem konsoluna bagli ekrana logging console komutuyla, üzerinde unıxin syslog protokolü çalisan agdaki bir sunucuya logging ip-address, logging trap komutlariyla, logging 200.100.17.2 telnet veya benzeri protokolle açilan vty remote oturumlara session logging monitor, terminal monitor komutlariyla, yerel buffer olan ramine logging buffered komutuyla yapilabilmektedir

kayitlar düzenli olarak takip edilmeli ve sistemin düzgün çalisip çalismadigi kontrol edilmeldir. farkli cihazlardan ag yönetim ıstasyonuna gönderilen mesajlarin zamana göre senkronize olmasi için cihazlarda network time protokol ntp çalistirilmalidir

Vlan Uygulamaları

virtual lan vlan – sanal aglar kullanilarak kullanicilari fiziksel lokasyonundan bagimsiz olarak gruplamak, farkli subnetlerde toplamak mümkündür. vlana almak tek basina bir güvenlik önlemi sayilmamakla beraber bir güvenlik artisi olmaktadir. ag yönetimi için ayri bir vlan yaratilmalidir. bölgeler vlan trafiklerine göre prunning yapilarak ayrilmali, sadece o bölgede kullanilan vlanlar iletilmelidir.

vlan bilgilerini ve bütün ag trafigini aktif cihazlar arasinda tasimak için kullanilan cihaz portlari trunk olarak tanimlanmaktadir. trunk olmayacak portlarin trunk olarak tanimlanmasi o porta bagli cihazin bütün ag trafigini almasini saglayacagindan bu tür yanlis tanimlamalar mutlaka düzeltilmelidir

cihazlarin kullanilmayan portlarini l3 osı 3.katman baglantisi verilmemis bir vlana atamali veya portlar disable edilmelidir böylece saldirganin cihazin bos portuna girip aga ulasmasi engellenmis olmaktadir.

switchin port numarasina, cihazin mac adresine veya kullanilan protokole göre dinamik vlan atamasi uygulanarak cihazlarin vlan ve ıp bilgileri tek noktadan kontrol edilebilmekte ve daha güvenilir ag yapisi olusturulmaktadir. böylelikle sadece kayitli mac adreslerine sahip cihazlar izin verilen aglara ulasabilmektedir.

Exit mobile version