GET VPN – 1
Group Encrypted transport VPN, Cisco'nun 2005 yılının sonlarına doğru duyurduğu ve temelinde RFC 3547 ile detayları açıklanmış Group Domain of Interpretation (GDOI) protokolünün olduğu gelişmiş şifreleme çözümüdür.
Get VPN'in çıkış amacı şifreleme yaparken yaşadığımız sorunlara çözümler bulmaktır. Standart IPSEC yaparken yaşadığımız en önemli sorunlar, Multicast trafiği taşıyamamak dolayısıyla dinamik yönlendirme protokollerini ipsec ile şifrelediğimiz linklerden geçirememektir. IPSEC ile şifreleme yaptığımız networkde her bir çift routerının birbirlerinine trafik göndermeden önce şifreleme için gereken protokollerde (transform set) anlaşmaları ve şifreleme için gereken anahtarları paylaşmaları gerekir. Full mesh bir yapıda 50 adet routerın kendi arasında ipsec faz-1 yapmaları (50x49)/2 (1225 kere 
)yani kere bu işlemin tekrarlanması anlamına geliyor. Birde işin politika tarfı var. Her bir router üzerine hangi trafiğin şifreleneceğine dair erişim listesinin ayrı ayrı yönetilmesi gerekiyor.
Login Kısıtlamaları
Ne tür bir cihaz yönetilirse yönetilsin, cihaza gelebilecek her türlü girişmler(başta login girişimleri olmak üzere) düzgün bir şekilde ve en kestirme yoldan düzenlenmelidir. Aşağıda, cihaz üzerinde uygulanabilecek login kısıtlamaları üzerine örnekler verilmiştir.
- Agciyiz(config)#login block-for 300 attempts 5 within 120
Uygulamada 120 saniye içerisinde bulunulabilecek 5 kez yanlış girişim için sistem kendini 300 sn bekleme moduna almaktadır.
Kablosuz Ağlarda EAP Tabanlı Güvenlik Metotları
EAP(Extensible Authentication Protocol)
EAP(Extensible Authentication Protocol), birçok kablosuz ağ güvenliği metodunun temelini oluşturan protokoldür. EAP protokolü üzerinden geliştirilen PEAP, LEAP, EAP-TLS, EAP-FAST metotları bunlara örnek olarak gösterilebilir. Bunlardan her biri EAP’i temel alır, fakat kimlik denetimi için farklı referanslar kullanırlar. Bazılarında ek güvenlik özellikleri mevcuttur.
LEAP(Lightweight EAP)
Cisco tarafından geliştirilmiş bir protokol olan LEAP’te AP’ler kullanıcıların kimlik denetimlerini bir RADIUS(Remote Authentication In User Server/Service) üzerinden gerçekleştirirler. Kimlik denetimi için kullanıcı adı ve şifre kullanılır.
LEAP ayrıca WEP’i kullanarak veri güvenliğini de sağlar. Her kablozuz ağ kullanıcısı için dinamik olarak RADIUS sunucu tarafından bir WPA anahtarı üretilir. Böylece kullanıcı bazlı veri güvenliği sağlanmış olur.
Layer 2 Güvenlik Yöntemleri (Bölüm 1)
Pekçok güvenlik ve network yöneticisi sistemlerinin güvenliğini sağlayabilmek için gelebilecek tehditleri üst katmanlara kadar taşımaktansa, olabildiğince alt katmanda yapılacak gerekli yapılandırma veya kısıtlamalarla çözüm arayışına gitmektedirler. Gelelim yönetilebilir bir switch'i sahada kullanmaya başlamadan önce bu cihaz üzerinde uygulanması gereken güvenlik aşamalarına. Öncelikle network’e dahil edilecek her cihazda olması gerektiği gibi, cihazın şifreleri belirlenmelidir. Bu şifreler belirlenirken, herkes tarafından kolayca tahmin edilebilen ya da herhangi bir sözlük atakla kolaylıkla tespit edilebilen bir şifre vermemeye özen gösterilmelidir. Birden fazla switch ve network yöneticisinin bulunduğu yerlerde, en iyi yöntem AAA Authentication modu aktive edilerek, bunun üzerinde kullanıcıların sorgularının yapılacağı yerel kullanıcı veritabanı, TACACS+ ya da RADIUS sunucu üzerinden kimlik doğrulaması yapılmasıdır. TACACS+ bunlar arasında ayrıntılı log tutma özelliğiyle diğerlerinden bir adım önde olarak gözükse ihtiyaca göre kullanılacak yöntem de değişebilmektedir.
Cisco IOS ve PIX Firewall ACL Konfigürasyonu
Cisco IOS ACL Konfigürasyonu
ACL (Access Control List), network ataklarını engellemek ve network trafiğini kontrol etmek için kullanılan bir yapıdır. ACL’ler sayesinde networkümüze giren ve networkümüzden çıkan trafiği adres ve port bazlı olarak filtreleyebiliriz. Bu işlemi yapmak için kullanılan iki tür ACL vardır. Bunlar Standard ACL ve Extended ACL’dir.
Standard ACL
Standard ACL’ler 1-99 veya 1300-1999 arası numaralandırılan ve trafiği kontrol etmek için IP başlıklarındaki kaynak IP bilgisini inceleyen ACL’lerdir. Standard ACL’ler filtreleme işlemini sadece Layer 3 bilgisine bakarak gerçekleştirirler. Standard ACL’ler şu şekilde oluşturulur:
Router(config)# access-list {1-99} {permit|deny} source-addr [source-wildcard]
İlk bölüm, ACL numarasını ifade eder. İkinci bölüm, belirtilen kaynak IP adresine izin verilip verilmeyeceğini belirtir. Üçüncü bölüm, üzerinde işlem yapılacak kaynak IP adresini gösterir. Dördüncü kısımdaki wildcard maskesi ise üzerinde işlem yapılacak ip adres aralığını belirler.
AGCIYIZ_ACL(config)# ip access-list standard 70
AGCIYIZ_ACL(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Cisco PIX Firewall Temel Konfigürasyonu
PIX firewall’da interface seçimi, inside ya da outside interface’in belirtilmesi, seçilen bu interface’lere göre rotaların düzenlenmesi temel olarak aşağıdaki şekilde yapılabilir. Öncelikle firewall’ın iç ve dış ayağının hangisi olacağının ve bu interface’lere güvenlik seviyelerinin atanması yapılır.
pixfirewall(config)# interface <interface_türü>
pixfirewall(config)# nameif <interface_adi>
pixfirewall(config)# security-level <0-100>
Örnek olarak aşağıdaki gibi bir konfigürasyon yapılabilir;
Agciyiz_Firewall(config)# interface Ethernet0
Agciyiz_Firewall(config-if)# nameif inside
Agciyiz_Firewall(config-if)# security-level 100 (Default Değeri 100’dür.)
Agciyiz_Firewall(config)# interface Ethernet1
Agciyiz_Firewall(config-if)# nameif outside
Agciyiz_Firewall(config-if)# security-level 0 (Default Değeri 0’dır.)
Daha sonra, belirlenen bu interface’lere ip adresleri aşağıdaki şekilde verilir.
ICMP Ataklarına CoPP Önlemi
Daha önceki yazılarda da bahsedildiği üzere UDP, ICMP ya da bunun gibi ataklarla herhangi bir network cihazında gerek kısa süreli gerekse saldırının büyüklüğüne göre uzun süreli karmaşık sorunlar yaratmak pek de zor gözükmüyor. Fakat bu denli sorun yaşanması muhtemel bir ortamda, saldırıya açık cihazların korunması için CoPP (Control Plane Policing) ile gelen trafik belirlenen kurallara uydurularak istenilen güvenlik sağlanabilir. Önceki yazılarda CoPP'in ne olduğu, kullanım yerleri ve örnek konfigurasyonlar üzerinde durulmuştu, bu yazıda ise yine önceki yazının devamı niteliği taşıyan Control Plane Policing kullanılarak hazırladığımız bir topolojide network cihazımızı güvenli olmayan bir bölgeden gelebilcek ICMP ataklarına karşı koruyacağız.
Juniper Şifre Sıfırlama Yöntemleri
Networkle ilgilenen ya da yeni ilgilenmeye başlayan birçok kişinin bir şekilde karşılaştığı işletim sistemi JunOS, Linux bir kernelden derlenmiş FreeBSD özelliklerini devam ettiren, önümüzdeki dönemlerde Cisco'yu en çok zorlayacak rakibi olması beklenen Juniper'in cihazlarında kullandığı işletim sistemidir. Ayrıca kullanılan komutlar bakımından ilk bakışta Cisco'dan bambaşka olduğu düşünülse de, bir süre sonra cisco bir cihazı yönetebilenlerin kısa bir sürede alışabileceklerini söylemek sanırım hiç de yanlış sayılmaz. Gelelim bu yazıda Juniper hakkında inceleyeceğimiz konuya. Juniper hakkında giriş niteliğinde bir yazı olacak olan, JunOs işletim sistemine sahip Juniper bir switch'in şifre sıfırlama tekniklerinden bahsetmek sanırım şimdilik iyi bir başlangıç olacaktır.
IP Source Guard
IP Source Guard 2. katman interfacelerde IP trafigini, DHCP Snooping Binding veritabanina ya da el ile konfigüre edilmis IP Source Binding verilerine bakaraktan kisitlamaya yarayan güvenlik özelligidir. IP Source Guard IP çakismalarina engel olmak için ya da son kullanicilarin komsulara ait IP'leri almasini önlemek için kullanılabilir.
IP Source Guard özelliginin kullanılabilmesi için switchte DHCP Snooping özelligi aktif durumda olmalıdır. IP Source Guard özelligi aktif konuma getirildiginde switch, interface üzerinde DHCP snooping tarafindan izin verilen haricinde bütün IP trafiğini keser.
IP Source Binding Tablosu, DHCP tarafindan atanmış Binding verileri ile statik olarak atanmış IP Binding bilgilerinden olusur. Bu tabloda IP adresleri ve IP adreslerine karşılık gelen MAC adresleri, bu adreslere ait VLAN bilgileri bulunur.