10 Adımda Cisco Cihaz Sıkılaştırması

Cisco, bir ağ cihazını “düzlem” adı verilen 3 işlevsel elemanda ayırır. Bunlar şunlardır:

• Yönetim Düzlemi : Bu bir ağ cihazının yönetimi ile ilgilidir. Yönetim düzlemi, bir ağ cihazına erişmek, yapılandırmak, yönetmek ve izlemek için kullanılır. Bu makalede yönetim düzleminin güvenliği ele alınmıştır.
• Kontrol Düzlemi : Kontrol düzlemi, verileri kaynaktan  hedefe taşımak için ağ cihazları arasında iletişim kuran protokoller ve süreçlerden oluşur. Buna BGP, OSPF, sinyal protokolleri vb. yönlendirme protokolleri dahildir.
• Veri Düzlemi : Veri düzlemi,  veriyi kaynaktan hedefe taşımaktan sorumludur. Çoğu veri paketinin ağ cihazında aktığı yer burasıdır (genellikle donanım tarafından hızlandırılmıştır).

Bu yazıda, Yönetim Düzlemi güvenliğine odaklanacağız ve bir Cisco IOS ağ cihazını sıkılaştırmak için en önemli 10 adımı anlatacağız.

Aşağıdaki güvenlik kontrol listesi eksiksiz değildir, ancak bir Cisco IOS ağ cihazını kilitleyecek ve güvenliğini ve tüm ağın kalitesini artıracak en önemli komutları ve yapılandırmaları içerir. Aşağıdaki kontrol listesi hem Cisco Routers hem de Switch’leri için de geçerlidir.

1) Gizli Parolayı Etkinleştirin

IOS aygıtına ayrıcalıklı yönetim erişimi sağlamak için güçlü bir “Enable Secret” parolası oluşturmalısınız. En az 10 karakter uzunluğunda alfanümerik ve özel sembollerden oluşan bir parolakullanmanızı tavsiye ederim.

Güçlü  bir  şifreleme ile parola oluşturan “enable secret” komutunu kullandığınızdan emin olun.

Router# config terminal
Router(config)# enable secret strongpassword

2) Parolaları cihazda şifrele

Cisco aygıtında yapılandırılan tüm parolalar (“enable secret” hariç) yapılandırma dosyasında açık metin olarak gösterilir. Açık metin parolalarını şifrelemek ve yapılandırma dosyasında görünmesini engellemek için, “service password-encryption” global komutunu kullanın.

Router# config terminal
Router(config)# service password-encryption

Yukarıdaki komut, yazılım araçlarıyla şifresi çözülebilen oldukça zayıf bir Vigenere şifresini kullanır. Esas olarak, bir gözlemcinin omzunun üzerinden ekrana baktıkları zaman,  şifreleri okumasını önlemek için kullanılır.

3) Kullanıcı Kimlik Doğrulaması için harici bir AAA sunucusu kullanın

Her cihazda yönetici erişimi için yerel kullanıcı hesaplarını kullanmak yerine, kullanıcıların aygıtlara erişimini Kimlik Doğrulama, Yetkilendirme ve Hesaplama işlemlerini yürütmek için harici bir AAA sunucusunu (TACACS + veya RADIUS) kullanması çok daha güvenli, esnek ve ölçeklenebilir.

Merkezi bir AAA sunucusu ile hesap şifrelerini kolayca değiştirebilir / etkinleştirebilir / devre dışı bırakabilir, güçlü şifre politikaları uygulayabilir, hesap kullanımını ve kullanıcı erişimini izleyebilirsiniz.

Burada, TACACS + ve RADIUS AAA sunucularının “gizli” parolayla birlikte, AAA sunucusu yoksa geri dönüş olarak nasıl yapılandırılacağını göreceğiz.

TACACS+

Router# config terminal
Router(config)# enable secret K6dn!#scfw35    İlk önce bir "etkinleştirme" şifresi oluşturun
Router(config)# aaa new-model   AAA hizmetini etkinleştirin
Router(config)# aaa authentication login default group tacacs+ enable  "enable" şifresiyle kimlik doğrulama için TACACS + 'ı kullanın.
Router(config)# tacacs-server host 192.168.1.10  Dahili AAA sunucusunu atama
Router(config)# tacacs-server key ‘secret-key’  AAA sunucusunda yapılandırılmış gizli anahtar
Router(config)# line vty 0 4  
Router(config-line)# login authentication default VTY satırlarına (Telnet, SSH vb.) AAA kimlik doğrulaması uygulayın
Router(config-line)# exit
Router(config)# line con 0  Konsol bağlantı noktasına AAA kimlik doğrulaması uygulayın
Router(config-line)# login authentication default

RADIUS

Router# config terminal
Router(config)# enable secret K6dn!#scfw35
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius enable
Router(config)# radius-server host 192.168.1.10
Router(config)# radius-server key ‘secret-key’
Router(config)# line vty 0 4
Router(config-line)# login authentication default
Router(config-line)# exit
Router(config)# line con 0
Router(config-line)# login authentication default

4) Kullanıcı Kimlik Doğrulaması için ayrı yerel hesaplar oluşturun

Önceki bölümde ele alındığı gibi harici bir AAA sunucusu kuramıyor ve kullanamıyorsanız, cihazlarınıza erişim vereceğiniz herkes için ayrı bir yerel hesap oluşturun.

Örneğin, 3 ağ yöneticiniz varsa ve bunlar için yerel cihaz hesaplarını kullanmanız gerekiyorsa, her yönetici için kişiselleştirilmiş bir kullanıcı hesabı oluşturun. Bu, her farklı yönetici için cihazda gerçekleştirilen eylemler hakkında hesap verebilirliği sağlar.

Ayrıca, IOS versiyon 12.2 (8) T ve sonrasında cihaz üzerinde oluşturulan yerel hesaplar için “Geliştirilmiş Şifre Güvenliği” ni yapılandırabilirsiniz. Bu, yerel hesapların MD5 hash ile şifreleneceği anlamına gelir.

“Gelişmiş Şifre Güvenliği” ile 3 farklı yerel yönetici hesabını yapılandıralım.

Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# username david-admin secret d4N3$6&%sf
Router(config)# username mary-admin secret 54sxSFT*&(zsd

5) Maksimum Başarısız Kimlik Doğrulama Denemelerini Yapılandırma

Bu, cihazlardaki yerel kullanıcı hesapları için çalışır.

Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# aaa new-model
Router(config)# aaa local authentication attempts max-fail 5  maksimum 5 başarısız giriş denemesi
Router(config)# aaa authentication login default local

6) Aygıtlara yalnızca belirli IP’lerden yönetim erişimine izin verme

Bu, Cisco ağ cihazlarında muhtemelen en önemli güvenlik yapılandırmalarından biridir. IP adreslerini cihazlarınız için Telnet veya SSH’yi erişimi için sınırlandırmanız gerekir. Bu, yöneticilerin ağı yönetmek için kullanacakları birkaç yönetim sistemi ile sınırlandırılmalıdır.

Yöneticilerin alt ağının 192.168.1.0/28 olduğunu varsayalım.

Router# config terminal
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15
Router(config)# line vty 0 15
Router(config)# access-class 10 in Tüm VTY satırlarına IP kısıtlamaları uygulayın

7) Günlüğü (Syslog)Etkinleştirin

Günlüğe kaydetme, izleme, olay yanıtlama ve denetim için çok kullanışlıdır. Cihazın dahili bir belleğine veya harici bir Log sunucusuna günlüğe kaydetmeyi etkinleştirebilirsiniz. Çok daha fazla log verisi saklayabilmeniz ve günlükleri yerel loglamadan daha kolay analiz edebilmeniz nedeniyle daha esnek ve faydalıdır.

Her biri giderek daha fazla günlük veri detayları veren 8 farklı kayıt seviyesi (0’dan 7’ye kadar) vardır. Cihazı aşırı yükleyeceğinden, seviye 7’yi (hata ayıklama) kaydetmekten kaçınmalısınız.

Burada hem tamponlu günlükleri (cihaza dahili) hem de harici bir Sunucuya Günlüğe kaydetme konusunu ele alacağız. Aşağıda gösterildiği gibi ikisinden de yararlanabilirsiniz.

Router# config terminal
Router(config)# logging trap 6   Harici sunucuya gönderilen günlükler için günlüğe kaydetme düzeyini 6 ile etkinleştirin
Router(config)# logging buffered 5  Yerel olarak arabellek içinde depolanan günlükler için günlüğe kaydetme düzeyini 5 ile
Router(config)# service timestamps log datetime msec show-timezone günlüklerdemilisaniye hassasiyetli  zaman damgalarını dahil et
Router(config)# logging host 192.168.1.2 Günlükleri harici günlük sunucusuna  gönder
Router(config)# logging source-interface ethernet 1/0   Günlük iletileri göndermek için Eth1 / 0 kullanın

8) Ağ Zaman Protokolünü Etkinleştir (NTP)

Bu adım, kayıt hakkındaki önceki bölüm için gereklidir. Günlük verilerinin doğru zaman ve saat dilimi ile damgalanması için tüm ağ cihazlarında doğru ve düzgün saat ayarlarına sahip olmanız gerekir. Bu, olay işleme ve doğru günlük izleme ve korelasyonunda muazzam bir şekilde yardımcı olacaktır.

Dahili veya harici bir NTP sunucusu yapılandırabilirsiniz (ayrıca kullanabileceğiniz birçok ortak NTP sunucusu vardır).

Router# config terminal
Router(config)# ntp server 1.1.1.1
Router(config)# ntp server 2.2.2.2

9) Mümkünse Güvenli Yönetim Protokollerini kullanın

Telnet, Cisco cihazlarına Komut Satırı erişimi için varsayılan yönetim protokolüdür. Ancak, tüm yönetim trafiği Telnet ile açık  metin olarak gönderilir. Güvenlik nedeniyle, Telnet yerine yönetim için SSH’yi tercih edin.

Bir Cisco cihazına SSH erişimini nasıl yapılandıralım.

Router# config terminal
Router(config)# hostname London
London(config)# ip domain-name mydomain.com
London(config)# ip ssh version 2
London(config)# crypto key generate rsa modulus 2048
London(config)# ip ssh time-out 60
London(config)# ip ssh authentication-retries 3
London(config)# line vty 0 15
London(config-line)# transport input ssh

SSH, bir ana makine adına (host name) ve yapılandırılmış alan adına (domain name) sahip olmayı ve ayrıca SSH anahtarlarını oluşturmayı gerektirir. Ayrıca, VTY satırlarında sadece SSH protokolüne izin verilir.

10) SNMP Erişimini Kısıtla ve Güvenli Hale Getir

Basit Ağ Yönetimi Protokolü (SNMP) ağ cihazlarından bilgi toplamak için çok yararlı olabilir, ancak uygun şekilde yapılandırılmadıysa da bir güvenlik riski oluşturabilir.

SNMP protokolü, cihazdaki SNMP verilerine erişimi kısıtlamak için şifre (Şifre Okuyucu veya Okuma / Yazma) olarak kullanılan bir “Topluluk Dizesi” kullanır. Güçlü bir Topluluk Dizesi yapılandırmaya ek olarak, yalnızca birkaç yönetim iş istasyonundan SNMP erişimine izin vermek için IP filtrelemesi de uygulanmalıdır.

İki Topluluk dizgisini (bir “READ ONLY” ve bir başka “READ / WRITE”) yapılandırın ve ayrıca ACL’lerle IP adresi kontrolü uygulayalım.

Router# config terminal
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.1
Router(config)# snmp-server community Cbd43@#w5SDF RO 11  Salt Okunur (RO) topluluk dizesi oluşturun ve SNMP erişimini sağlamak için ACL 11 kullanın
Router(config)# snmp-server community Xcv4#56&454sdS RW 12 Okuma Yazma (RW) topluluk dizesi oluşturun ve SNMP erişimini sağlamak için ACL 12 kullanın

Yukarıdaki komutlar, 192.168.1.0/28 alt ağındaki yöneticilerin aygıtlara Salt Okunur SNMP erişimine sahip olmasını ve ayrıca 192.168.1.1 sunucusunun aygıtlara Tam Okuma / Yazma SNMP erişimine sahip olmasını sağlar.