AGCIYIZ.NET Network Kontrol Altında

6500′e çok para verdim ama SPAN Session’ım bitti!

Geçenlerde bir etkinlikte Cisco’dan Catalyst 6500 serisi ekibi yöneticilerinden birini dinleme fırsatı buldum. Abi Amerika’dan gelmiş Türkiye’ye 6500 Roadmap anlatmaya. 6500’deki yenilikler, donanım yazılım iyileştirmeleri… Teknoloji konusunda kesin konuşmamak lazım ama önümüzdeki birkaç sene daha 6500 serisi için çift yönlü local span session sayısı 2 ile sınırlı kalacak gibi gözüküyor. Span session gerek ağ monitor ya da güvenlik cihazları gerekse de problem anında müdahale konusunda sık kullandığımız bir özellik. Cisco, 6500 serisi için ödediğiniz onca paraya ve yüksek performans değerlerine oranla tabiri caizse SPAN’i koklatarak veriyor.

Cisco IOS Software Checker

Yakın bir süre önce Cisco, IOS Software Checker yazılımını Security Intelligence Operation (SIO) portalında duyumuştu. Bu uygulama sayesinde kullanıdığınız ya da upgrade etmeyi planladığınız IOS sürümlerinin Cisco tarafından önceden test edilerek hangi güvenlik problemlerden etkilenebileceğini hızlıca ve ayrıntılı bir şekilde görüntüleyebilirsiniz.

Uygulama 3 farklı şekilde çalışabilmektedir.

Bunlardan ilki;

Macof ile MAC flooding (CAM table overflow)

MAC flooding lan-based networklerde switchlerin mac adres tablosunu doldurarak gerçek isteklere cevap verememelerine neden olan bir tür DoS ataktır. Switch’e sürekli farklı kaynak MAC adresleriyle istekte bulunduğumuz zaman MAC Adresi Tablosu olarak adlandırılan (Cisco’da Content Addressable Memory(CAM) olarak da isimlendirilen) tablo dolar ve bu tabloya eklenmek istiyen yeni bilgisayarların tabloya dahil olamaz.Bu durumda switch hub gibi davranmaya başlar.

EEM Kullanarak Şifre ve Komut Gizleme

EEM kullanarak daha önce yazdığım eğlenceli sayılabilecek sayısal loto yazısından sonra artık EEM'nin biraz daha amacına yönelik kullanımına geçsek fena olmayacak sanırım. Bu yazıda geçen gün yazdığım type7 şifrelemeyi ios methoduyla çözme yazımda bahsettiğim güvenlik derecesini bir seviye daha yukarı çekmeyi amaçladım. Şimdi artık sh run, sh vtp password ..v.b. komutları işlettiğimizde etramızdakilerin şifreleri görüp görme telaşına kapılmadan rahat rahat işlerimizi yapabileceğimiz bir ortam oluşturabiliriz
Alttaki konfigürasyonda 2 farklı event manager applet'i oluşturdum. Bunlardan bir tanesi running-configuration içinde gözüken şifreleri gizlemeye ve aynı zamanda bu yaptığımız konfigürasyonun da sh run'da gözükmesini engelleyemeye yarayacak. Diğer applet ise,

Güvenilir Access-List

      Dinamik ACL(access-list)’ler güvenliği standart erişim listelerinin bir kaç seviye üzerine çıkaran uygulamalardır. Bu konu hakkında biraz daha temel bilgi edinmek istiyorsanız daha önce paylaştığım “Refleksive ve Dinamik Erişim Listeleri” yazıma göz atabilirsiniz. Sözü uzatmadan bu konuda gerçekletireceğim topolojiye geçiyorum.

     Yukarıdaki şekilde gözüktüğü üzere topolojide 3 tane router bulunmamaktadır GNS 3 ‘te PC eklemek başta biraz zahmetli bir iş olduğu için herzaman olduğu gibi yine PC yerine router ekleyerek bu uygulamayı gerçekleştireceğim.  Topolojiyi anladıktan sonra bu sistem üzerinde yapılandırmak istediğimiz maddeleri sıralayabiliriz.

Cisco type-7 şifrelemeyi IOS methoduyla çözmek

Gerek konsol başındayken gerekse uzaktan erişimlerde yönettiğimiz network cihazlarının hiçbir şifresinin 2. bir kişi tarafından okunmasını istemeyiz. Bu yüzden de konfigürasyonlarda sıkça kullanılan "service password-encrtyption" komutuyla konfigürasyondaki çoğu şifremizin güvenliğini bir seviye olsun arttırmak isteriz. Fakat hiçbir şifreleme tekniğine körü körüne güvenmememiz gerektiği gibi bu zayıf şifreleme tekniğine de güvenip networkü emanet etmemekte yarar var. Her nekadar bu teknik çoğu 3.parti yazılımlarla kolayca çözülebilse de, şifrelemeyi yapanın IOS'un kendisinin olduğunun hiçbir zaman unutulmaması gerekir. Bu kadar anlatımdan sonra gelelim type-7 şifrelemeyi başka herhangi bir araç ya da başka birşeye gerek duymadan çalıştığımız router üzerinden kırmaya...

Layer 2 Güvenlik Yöntemleri (Bölüm 2)

Spanning Tree(STP) her nekadar oluşabilecek loop'ları engellemek için çalışan bir protokol olsa da, böyle güzel işler yapmaya çalışan bir protokolün de belli önlemler alınarak yapılandırılması gerektiği gerçeğini ortadan kaldıramamaktadır. Alınabilecek önlemlerden ilki, "Portfast" enable edilen porttaki BPDU paketlerini engellemek ya da bir şekilde filtrelemektir. Kısaca PortFast'i anlatmak gerekirse; PortFast,portları listening learning gibi loop önleyen aşamalardan geçirmeyerek, çok hızlı bir şekilde ilgili portun açılmasını sağlamaktadır. Bu portlardan BPDU mesajı alındığında topoloji tamamen bozulabilir ve hatta sorunun loop'a kadar büyümesine neden olabilir.

IPSec

IPSec (Internet Protocol Security) protokolü, IP paketlerini kimlik doğrulamasına(authentication) ve şifrelemeye(encryption) tabi tutarak IP iletişimini güvenli hale getiren bir protokol takımıdır. IPSec, network katmanında çalışır ve routerlar,VPN istemcileri, PIX Firewall'lar ve IPSec uyumlu cihazlar arasında iletişimi güvenli kılar. IPSec açık bir standart olduğundan ötürü birçok kimlik doğrulama(authentication) ve şifreleme(encryption) algoritmasını içinde barındırır. 

Cisco Cihazlarda Ayrıcalık Seviyesi “Privilege Level” Belirlenmesi

Bir çok ağ yöneticisi yönettikleri cihazlarda hangi ayrıcalık seviyesinde işlem yaptığını veya işlem yaptıkları ayrıcalık seviyesinin onlara ne gibi haklar tanıdığını önemsemez ama cisco IOS’larda tanımlı 0’dan 15’e kadar ayrıcalık seviyeleri olduğunu biliyormuydunuz?
Cisco cihazlarda ayrıcalık seviyesi arttıkça cihazı yönetmede sahip olunan haklar da artar. Ancak cisco cihaz kullanan kullanıcılar genelde üç ayrı önceden tanımlanmış ayrıcalık seviyesinde işlem yaparlar. Bunlar:

• 5 komut içeren ve ayrıcalık seviyesi 0 olan mod. Bu mod disable, enable, exit, help ve logout komutlarını içerir ve nadiren kullanılır.
• User EXEC mode—ayrıcalık seviyesi 1
• Privileged EXEC mode—ayrıcalık seviyesi 15’tir.