Control Plane Policing(CoPP)
Control Plane Policing ve Örnek Konfigurasyon
Ağ cihazlarına giren trafiğin büyük bir bölümü cihazların kendileri dışında bir hedefe sahiptirler. Bir başka deyişle gelen trafiğin hedefe ulaşmasında görev alırlar, asıl hedef bu cihazlar değillerdir. Bu trafik data plane traffic olarak adlandırılır. Diğer yandan routing updateleri, yönetim trafiği, keepalive trafiği control and management plane traffic olarak adlandırılır. Basit bir UDP flood(UDP atağı) ile router ya da switchin uzaktan yönetimini devre dışı bırakılabilir. Bunun yanında CPU %100 kapasiteye ulaşacağından cihazların bazı fonksiyonları işlevini yitirebilir. Routerlara ve switchlere yönelik control plane ataklarına karşı Control Plane Policing çözüm olarak kullanılabilir. CoPP ile Control plane configuration mode'da policy map uygulanarak control plane paketleri için filtreleme ve bant genişliği limitlemesi yapılabilir. Aşağıda control plane’e uygulanmak üzere hazırlanmış bir policy örneği verilmiştir.
DHCP Snooping ve option 82(information option)
İlk bakışta bir switch'te DHCP Snooping’i devreye almak 2 satır global configuration mode komutu bir de uplink’e ya da DHCP sunucunuzun bulunduğu port’a trust yazmakla bitiyor gibi gözüküyor. Fakat DHCP Snooping devreye alındığında varsayılanda switch tarafından option 82(information option) bilgisinin istemci kaynaklı DHCP paketlerine eklenmesi de devreye alınmış olunuyor. Çok yararlı ve kullanışlı olabilecek bu özellik ilk etapta DHCP snooping’i devreye aldım ama istemciler neden IP alamıyorlar sorusunun cevabıdır çoğu zaman. Yazının başında, eğer option 82 bilgisini kullanan bir DHCP sunucunuz yoksa, aşağıdaki komutla option 82 bilgisinin eklenmesi özelliğini kapatmanızı şiddetle tavsiye ettiğim belirtmek isterim. Daha sonrasında ise option 82’nin detaylarını ve bu bilgiyi kullanarak ne gibi faydalar sağlarızı açıklayacağım. Sonraki bir yazımda ise option 82 destekleyen bir sunucu kurulumunu anlatıp option 82 özelliğini switchlerinizde tekrar aktive etmeniz yönünde sizi ikna etmeye çalışacağım 
DHCP Snooping’i Standart Konfigürasyonunuza ekleyin!
Birkaç yıl öncesine kadar sadece 3 katman switchlerde sunulan birçok güvenlik teknolojileri artık birçok 2. katman cihazda da kullanılabilir durumda. Gelişen teknoloji ve firmalar arasındaki rekabet, mevcut cihazlarımızın sadece işletim sistemlerini güncelleyerek bu güvenlik teknolojilerinin kullanılabilmesine imkan tanıyor. Bu teknolojilerden bazıları DHCP Snooping, Source Guard ve Dynamic ARP Inspection. DHCP Snooping desteği Cisco Catalyst 2950 switch’lerde 12.1(22)EA1 ve sonrası IOS’lar, Catalyst 2960 switch’lerde ise 12.2(35)SE5 ve sonrası IOS’lar ile birlikte gelen bir özellik. Bu yazımda kendi yönettiğimiz network’teki cihazlarda kullanımını standart hale getirdiğimiz DHCP Snooping’in çalışma yapısının testi, doğrudan ve dolaylı yoldan sağladığı çözümler ile bu konudaki ilginç tecrübelerimizi paylaşacağım.
DHCP Snooping Atakları
DHCP(Dynamic Host Configuration Protocol), istemci cihazların; IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve DNS adresi gibi bilgileri otomatik olarak edinmesini sağlayan bir protokoldür. Getirdiği bu faydanın yanında, birtakım güvenlik tehditlerine açık kapı bırakması ağlarda gerekli önlemlerin alınmasını zorunlu kılmaktadır.
Ağda sahte DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP cevabı dönebilir. İstemci bu cevabı aldığı andan itibaren ağ geçidi adresi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm paketleri izleme olanağına sahip olur. Bu, istemci güvenliğini ve gizliliğini açıkça tehdit eden bir durumdur. Man-in the-middle ataklarının bir türü olan DHCP Snooping atakları tam olarak bu şekilde gerçekleşir.
Erişim Kontrol Listesi Uygulamalarında “Establised” opsiyonu
Gelişen teknoloji sayesinde cihazlardaki açıkları en aza indirmek için güvenliğe ve dolayısıyla ACS'lere verilen önem giderek artmıştır. Bu ACS'lerin network performansını etkilemeden bir firewall çözümü olarak sunulması, bunun önemini biraz daha arttırmıştır. Günümüz networklerinde, network firewallları iç ve dış networklere uygulanacak kurallar diye 2’ye ayrılmıştır.Buradaki temel amaç, ihtiyaca göre dışarıdan gelecek tüm trafik ACS lerede belirtilen şekilde yönlendirilerek, gerekirse inbound yöne erişimi yasaklanmaktadır.
Kullanılan çoğu uygulamalar TCP üzerinde faaliyet göstermektedir. İlk çıkan IOS ların trafik filtrelerinde TCP protokolüyle çift yönlü sanal devrelerin güvenlik yönetimine "established" tanımı eklenmiştir. Bu da extended IP Access list diye tanımlanan güvenlik önlemleriyle geçerlilik kazanmıştır. Bu komutla, daha önce herhangi bir TCP portunda established tanımı bulunmayan bağlantının diğer tüm internetten gelen trafiği engellemesini amaçlamıştır.
Kuantum Kriptografi
Kriptoloji, kriptosistem ya da şifre adı verilen bir algoritma kullanılarak bir mesajın sadece anahtar olarak bilinen ek bilgilerle birleştirilip okunmasının sağlanması bilimidir. Bir kriptosisteme güvenli denebilmesi için anahtar olmadan kriptogramın kilidini çözmek imkansız olmalıdır.
Kriptolojide amaç, bilgiyi sadece gerçek alıcıya ulaşabilecek şekilde iletmektir. Modern şifrelerde anahtar diye çağrılan belirli parametrelerin bir kümesi, düzmetin ile birlikte şifreleme algoritmasına ve şifremetin ile birlikte de şifre çözme algoritmasına giriş olarak uygulanır. Şifreli metnin güvenliği tamamen anahtarın gizliliğine bağlıdır. Şifreleme ve şifre çözme algoritmalarının herkese açıklanmasında herhangi bir mahsur bulunmamaktadır.
Anahtar tamamen rasgele seçilen yeterli uzunluktaki bir bit dizisinden oluşur. Anahtar oluşturulduğunda, sonraki iletişim şifreli mesajları herkese açık, kalabalık bir ortamda yapılan bir anons gibi pasif dinlemeye karşı tamamen savunmasız bir kanal üzerinden göndermeyi içerir. Prensip olarak, herhangi bir klasik anahtar dağıtımı meşru kullanıcılar gizlice dinlendiklerinin farkına varmaksızın her zaman pasif olarak dinlenebilir.
Kuantum kriptografi ya da diğer adıyla kuantum anahtar dağıtımı, güvenlik modelinin anahtar yönü olarak matematiğin aksine daha fazla fiziğe güvenmesi bakımından geleneksel kriptografik sistemlerden farklıdır.
SAN Güvenlik Çözümleri
SAN da güvenliği sağlamak için ilk olarak depolama cihazlarını sunucuya bağlayan fiziksel yapının(SAN Fabric), bağlı olan tüm istemcilerin ve disklerin güvenli olması gerekmektedir. SAN güvenliği sağlanırken göz önünde bulundurulması gereken 6 yapı vardır;
1. SAN management; Administrator tarafından kullanılan yönetim servislerinin güvenliğinin sağlanması
2. Fabric access; sunucu ve depolama üniteleri arasındaki bağlantının güvenliğinin sağlanması.
3. Target access; depolama cihazlarına ve LUN’a erişim güvenliğinin sağlanması
4. SAN Protocols; kullanılan protokollerin güvenliğinin sağlanması
5. IP storage access; FCIP ve iSCSI güvenliğinin sağlanması
6. Data integrity and secrecy; ağda iletilen veriyi clear text yerine şifrelenmiş olarak yollayarak güvenliğin sağlanması
Aşağıdaki şekilde yukarda verilen 6 adım gösterilmektedir.
Time-based ACL
Time-based ACL’ler yapılandırılmasına göre güvenlik duvarının trafiği günü haftanın yada ayın belli zamanlarında kısıtlamasını sağlar. Ayrıca network ten kimi zaman özel bir trafik geçirmek gerekebilir, bu trafik belli bir süre akıcağı için bunun güvenliğinin sağlanamsı için gerekli olan güvenlik duvarı da bu süre zarfında etkii etmesi gerekmektedir.
Time-Based ACL Konfigurasyonu:
Time-based ACL tanımlamak için öncelikle, time-range komutuyla bir zaman dilimini belirlemek gerekmektedir.
Router(config)# time-range time_range_name
Reflexive ve Dinamik Erişim Listeleri
Yeni nesil IOS bazlı firewall çeşidi ise “Reflexive ACL” dir. Bu methodla, trafiğin kaynak ve hedef adresleri, port numaraları ve oturumların rotaları hedef alınmıştır. Reflexive ACL’ler, her oturum için ayrı geçici bir filtre kullanmaktadır. Oturum her sonlandığında kullanılan filtreler silinmektedir.Reflexive ACL’leri geçmek ciddi bir iştir. Çünkü daha önce eşleşen trafikten akan veriler, herhangi başka bir köprülemeyle farkı rotaları izlemezler. Ayrıca reflexive ACL lerde oturum sona erdikten sonra oluşturulan ACE(Acess control entries)’lerin silinmesi hacker arın attack şansını da zamanla orantılı olarak düşürmektedir.
Reflexive ACL konfigurasyonu:
Adım 1: Internal ACL oluşturulur.
Router(config)# ip access-list extended internal_ACL_name
Router(config-ext-nacl)# permit protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] reflect reflexive_ACL_name [timeout seconds]
Adım 2: Geridönüş trafiği için reflexive ACL nin kullanacağı external ACL oluşturulur.
R1(config)# ip access-list extended internal_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only-reflexive-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only-reflexive-ACL timeout 10
Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry
Cisco cihazlarda extended access-list’lerde range parametresi kullanılarak istenilen port aralıkları ifade edilebiliyor. Fakat range komutu ile belitilen ilk ve son port arasındaki ardışık tüm portlar bu access-list’e match ediyor. Örnek verecek olursak sadece ftp ve telnet trafiğine izin vermek isteyen biri aşağıdaki ACL satırlarını kullanacaktır.
ip access-list extended ftp_telnet
permit tcp any any range 20 21
permit tcp any any eq 23
Senaryomuza göre 22 port yasaklı olduğundan range komutu ile tek satırda gerekli izinleri veremiyoruz. Eğer ssh bağlantısına izin veriliyor olsaydı aşağıdaki tek satır ihtiyaçlarımızı karşılayacaktı.
ip access-list extended ftp_ssh_telnet
permit tcp any any range 20 23
12.2(25)S sürüm IOS ile birlikte gelen Named ACL Support for Noncontiguous Ports on an Access Control Entry özelliği sayesinde tek ACE(ACL satırı) ile ortak kaynak ve hedef için ayrı ayrı birbirini takip etmeyen 10’ar port belirtilebiliyor.