A
B
C
Ç
D
E
F
G
Ğ
H
I
İ
J
K
L
M
N
O
P
R
S
Ş
T
U
Ü
V
Y
Z
Q
W
X
+ Ekle
Ag Cihazlarının Güvenliginin Saglanma Yöntemleri

Ag Cihazlarının Güvenliginin Saglanma Yöntemleri

Ag Cihazlarının Güvenliginin Saglanma Yöntemleri

Ar. Gör. Enis Karaarslan, [email protected]

Ege Üniversitesi Kampüs Network Güvenlik Grubu

ÖZET

Birçok kurum, bir güvenlik duvarı (firewall) aldıgında güvenlik sorunlarının çogunu

çözdügünü sanmakta ve diger önlemleri önemsemektedir. Oysa güvenlik yönetimi ag

(network) üzerinde çalısan bütün elemanların güvenligini içerir ve sürekli devam eden bir

süreç olarak ele alınmaldır. Bu bildiride, ag trafiginin üzerinden aktıgı ag cihazlarında

alınması gereken temel güvenlik önlemleri ele alınmıs ve bazı ipuçları verilmistir.

Ag cihazlarında kurulum sırasında olusan varsayılan (default) ayarların, kullanıcı

tarafından aktif edilen bazı ayarların iptal edilmesi veya düzgün olarak tekrar ayarlanması

gerekebilmektedir. Bu bildiride bütün TCP/IP agları için geçerli ve firmadan bagımsız

ayarlar hakkında bazı ipuçları verilmektedir. Uygulamalar Cisco cihazları üzerinde

yapılmıs ve dogru çalıstıgı gözlenmistir.

1. AG CHAZLARI

Bilgisayar sistemlerinin birbirleriyle iletisim kurabilmeleri için veri sinyallerini kablo ile

veya kablosuz (wireless) olarak iletmeleri gerekmektedir. Kablo ile veri iletilirken her

bilgisayarın baglantı kuracagı diger bilgisayarlara ayrı ayrı kablolarla baglanması, çok

özel sistemler dısında efektif bir yöntem degildir. Yerel aglarda birbirine yakın

bilgisayarlar ortak bir cihaza baglanmakta ve bu cihaz genelde hub veya switch olarak

adlandırılmaktadır. Bu cihazların olusturdugu ag (network) ise internet’e baglanmak için

yönlendirici (router) cihazına gerek duymaktadır. Cihazlar OSI katmanının hangi

seviyesinde çalıstıklarına göre L1 (1. Katman), L2, L3 veya yeni nesil (L1–L7) cihazlar

olarak sınıflandırılmaktadır. Ag cihazlarına diger cihazların baglandıgı arabirimlere port

denmektedir.

Ag cihazları yönetim açısından, yönetilebilir (managable) veya yönetilemez

(unmanagable) cihazlar olarak ikiye ayrılmaktadır. Bu bildiride yönetilebilir cihazların

güvenlik ayarlarına deginilecektir. Yönetilebilir cihazların kendilerine özgü bir isletim

sistemi ve konfigürasyonu bulunmaktadır. Cisco cihazlarda IOS ve CatOS, Alcatel

XEON’larda XOS, Avaya cihazlarında Unixware, Juniper’de Free BSD örnek olarak

verilebilir. Diger cihazlarda da genelde UNIX tabanlı isletim sistemleri bulunmaktadır.

Ag cihazlarının ayarlanması, yönetimi ve kontrolü asagıdaki sekillerde

saglanabilmektedir:

HTTP protokolü ile,

Telnet veya SSH ile,

SNMP protokolü ile,

TFTP veya FTP ile,

Konsol portuyla.

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu

Konsol portu aracılıgıyla erisimde fiziksel güvenlik ön plana çıkmaktadır. Diger erisim

türlerinde ise TCP/IP protokolü kullanılacagından bu protokolün zayıflıklarına karsı

önlem alınması gerekecektir.

Cihazların ayarları menüler aracılıgıyla, komut (command) yazarak veya grafik

arayüzlerle yapılabilmektedir. Cihazlarda kurulum sırasında olusan varsayılan (default)

ayarların, kullanıcı tarafından aktif edilen bazı ayarların iptal edilmesi veya düzgün

olarak tekrar ayarlanması gerekebilmektedir.

2. FZKSEL GÜVENLK

Cihaza fiziksel olarak erisebilen saldırganın konsol portu aracılıgıyla cihazın kontrolünü

kolaylıkla alabilecegi unutulmamalıdır. Ag baglantısına erisebilen saldırgan ise kabloya

tap (özel ekipmanla kabloya erisim) ederek hattı dinleyebilir veya hatta trafik

gönderebilir [1]. Açıkça bilinmelidir ki fiziksel güvenligi saglanmayan cihaz üzerinde

alınacak yazılımsal yöntemlerin hiç bir kıymeti bulunmamaktadır. Bazı fiziksel güvenlik

önlemleri asagıda verilmistir:

Cihazlar sadece ag yöneticisinin veya onun yardımcısının açabilecegi kilitli

odalarda tutulmalıdır. Oda ayırmanın mümkün olmadıgı yerlerde özel kilitli

dolaplar (kabinetler) içine konmalıdır.

Cihazlara fiziksel olarak kimin ve ne zaman eristigini belirten erisim listeleri

tutulmalı (access auditing) ve bu listeler sık sık güncellenmelidir [2].

Kablolar tek tek etiketlenmeli ve kayıtları tutulmalıdır. Kullanılmayan kablolar

devre dısı bırakılmalıdır [3].

Cihazların yakınına güvenlik bilgileri (sifre, IP adresi) gibi bilgiler

yapıstırılmamalı ve gizli tutulmalıdır [3].

Cihazlara fiziksel erisim mümkün ise kullanılmayan portlar disable edilmelidir

[4].

Aktif cihazların elektrigi aldıgı güç kaynaklarının yeri belirlenmeli ve saldırganın

bu güç kaynaklarını kesmesi engellenmelidir. Devamlı güç kaynaklarına (ups)

yatırım yapılmalıdır [2].

Aktif cihazların fiziksel erisime açık oldugu yerlerde saldırganın güç kablosunu

çıkartmasını engellemek için cihazın üstünde çesitli aparatlar kullanmalı, güç

kablosunu gözden ırak tutmalı, mümkünse uzakta ve fiziksel güvenligi saglanan

bir prize baglanmalıdır [2].

Her ne kadar aktif cihazların çalınması pek olası olmasa da bu tür olayları

engellemek için mümkünse çesitli kilit ve alarm mekanizmaları kullanılmalıdır

[2].

3. SFRE YÖNETM

Sifreler cihazlara her türlü izinsiz erisim de hesaba katılarak iyi seçilmelidir. yi sifrelerin

özellikleri asagıdaki gibidir [5]:

Büyük ve küçük harf içerirler,

Noktalama isaretleri ve rakamlar içerirler,

Bazı kontrol karakterleri ve/veya bosluklar içerirler,

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu

Kolaylıkla hatırlanabilirler ve bu nedenle bir yere not edilme ihtiyacı duymazlar,

En az yedi veya sekiz karakter uzunlugundadırlar,

Kolay ve hızlı yazılırlar; ve böylece etraftan bakan birisi ne yazdıgını anlayamaz.

Sifre yönetmenin en iyi yolu LDAP, TACACS+1 veya RADIUS dogrulama

(authentication) sunucuları aracılıgıyla onay mekanizmasını kullanmaktır. Bu sistem

kullanılsa bile yetkili (privileged) haklar için o cihaza yerel (local) tanımlı bir sifre,

konfigürasyon dosyasında bulunmalıdır [6]. Birçok yönetilebilir cihaz, kullanıcı (user)

modu ve yetkili (enable) mod gibi iki ayrı login mekanizmasına sahiptir. Kullanıcı

modunda sadece arayüzler (interface) incelenebilirken yetkili modda ek olarak cihaz

konfigürasyonu da yapılabilmektedir. Cisco cihazlarında girilen kullanıcı ve parolaların

konfigürasyon dosyasında gözükmemesi için “service password-encryption” komutu

girilmis olmalıdır. Zayıf sifreleme algoritması kullanan “enable password” komutu

yerine MD5-tabanlı algoritmayla sifreyi koruyan “enable secret” komutu kullanılmalıdır.

no enable password” komutu kullanılarak enable password’ler silinmeli yerine “enable

secret yeni_sifreniz ” ile yeniden sifreler girilmelidir.

4. CHAZ ERSM PROTOKOLERNE DAR AYARLAR

Ag cihazlarının ayarlanması, yönetimi ve kontrolünde kullanılan HTTP, Telnet, SSH,

SNMP, TFTP ve FTP; TCP/IP protokolünün alt elemanları olduklarından, bu protokolün

zayıflıklarına karsı önlem alınması gerekmektedir. Bu türden erisimlerde denetim, bu

cihazların ve dolayısıyla ag trafiginin güvenligi için çok gereklidir.

Belirli IP’lerin Cihaza Erisimine zin Vermek

Cihazlara sadece belirli IP adreslerinin ulasmasına izin verilmelidir. Bu da access-list

yazılarak saglanır. Örnegin Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin

erisimine izin verilmesi ve diger ip’lerin engellenmesi asagıdaki access-list ile

saglanmaktadır.

access-list 7 permit 200.100.17.2

access-list 7 permit 200.100.17.3

access-list 7 deny any log

Örnekte verilen 7 numaralı access-list belirtilen IP’lere izin vermekte (permit), diger

IP’leri kabul etmemektedir (deny). Bu access-list’in devreye girmesi için herhangi bir

arayüzde etkin hale getirilmesi gerekmektedir. Telnet (veya ssh) için uygulanması da

asagıdaki gibi olmaktadır:

line vty 0 4

access-class 7 in

Http erisimi için kısıtlanması da asagıdaki gibi olmaktadır:

ip http access-class 7

SNMP erisimine belirtilen IP’lerin izin verilmesi ise asagıdaki gibi olmaktadır:

1 TACACS+: Terminal Access Controller Access Control System Plus

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu

snmp-server host 200.100.17.2 snmp_sifresi

snmp-server host 200.100.17.3 snmp_sifresi

HTTP Erisimi

HTTP protokolü ile web arayüzünden erisim, cihaza interaktif baglantı demektir.

Yönetilebilir cihazlarının birçogunun üzerinde web sunucusu çalısır. Bu da 80 nolu portta

bir web sunucunun kurulu bekledigini gösterir. Daha önceden de belirtildigi gibi HTTP

servisi verilecekse bu ag yönetimini saglayan belirli IP’lere kısıtlı olarak verilmelidir.

Cihaz güvenligi nedeniyle mümkün oldugunca bu tür web üzerinden yönetimin

kullanılmaması gerektigi önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web

sunucusu sadece sistem yöneticisinin bilecegi baska bir port üzerinden, örnegin 500 nolu

portta çalıstırılabilecek sekilde ayarlanmalıdır.

HTTP protokolünde dogrulama mekanizması agda sifrenin düz metin seklinde gönderimi

ile saglandıgı için efektif degildir ama farklı üreticilerin degisik çözümleri

bulunmaktadır. Dogrulama mekanizması, onay sunucuları (Tacacs+, Radius …vb)

kullanılarak yapılabilir. Cisco IOS’de dogrulama mekanizması “ip http authentication

komutuyla saglanmaktadır.

Telnet ve Secure Shell (SSH) Erisimi

Telnet ile erisimlerde saldırganın ag üzerinden dinlenme (sniff) yoluyla iletilen bilgiyi

elde etmesi mümkün oldugundan, iletilen veriyi sifreleyen SSH protokolü mümkün

oldugunca kullanılmaldır. SSH su anda bütün cihazlar ve cihaz isletim sistemleri

tarafından desteklenmemektedir. Bu konuda üretici firmanın cihaz dökümantasyonu

incelenmelidir.

SNMP Erisimi

Simple Network Management Protokol (SNMP), cihaz ve ag yönetimi için vazgeçilmez

bir protokoldür. Trafik istatistiklerinden bellek ve CPU kullanımına kadar bir cihaz

hakkında çok detaylı bilgiler edinilebilmektedir. Bir veya daha fazla Ag Yönetim

stasyonu, üzerlerinde çalısan yazılımlarla belirli aralıklarla ag cihazları ve sunuculardan

(server) bu istatistikleri toparlayacak (poll) sekilde ayarlanmalıdır. Cihazda gözlenen

CPU, bellek veya hat kullanımının fazla olması bir saldırı tespiti olabilmektedir.

Toplanan verileri grafiksel olarak görüntüleyen Multi Router Traffic Grapher (MRTG)

gibi programlar bulunmaktadır [7].

SNMP protokolünün, özellikle SNMP Version 1’in birçok uygulamasında zayıflık

(vulnerability) oldugu CERT2 ‘in raporlarında belirtilmistir [8]. Birçok cihaz üretecisi bu

konuda yama (patch) çıkartmıs ve önerilerde bulunmustur [9] [10] [11]. SNMP Version

1, düz metin (clear text) dogrulama dizileri (string) kullandıgından bu dogrulama

dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan öz

2 CERT: Computer Emergency Response Team – http://www.cert.org

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu

(digest) dogrulama seması kullanan ve çesitli yönetim verilerine kısıtlı erisim saglayan

SNMP Version 2’nin kullanılması gerekmektedir. Mümkünse her cihaz için ayrı bir MD5

gizli (secret) degeri kullanılmalıdır [1]. Daha detaylı bilgi için [12] incelenebilir.

Öneriler:

Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erisimleri için kullanılan

varsayılan SNMP sifre (community) adları degistirilmeli ve bu iki parametre

birbirinden farklı olmalıdır.

SNMP sifrelerine kritik bir UNIX makinasındaki root sifresi gibi davranılmaldır

[4].

SNMP erisimi hakkı sadece belirli güvenilir (trusted) IP’lere (Ag Yönetim

istasyonlarına) saglanmalıdır.

Ag Yönetim stasyonu tarafından SNMP erisimi yapılırken “Sadece Oku”

parametresi kullanılmalıdır. Mümkünse cihazlarda “Oku-Yaz” parametresi iptal

edilmelidir [4].

Ag Yönetimi için ayrı bir subnet, mümkünse VLAN3 yaratılmalıdır. Access-list

ve Ates Duvarı (firewall) kullanılarak bu aga dıs aglardan gelen trafik

kısıtlanmalıdır.

Ag Yönetim stasyonları, agdaki cihazlara ait SNMP sifre dizileri gibi dogrulama bilgileri

bulundurdukları için dogal bir saldırı hedefi durumuna gelmektedir. Bu yüzden bu

makinaların fiziksel, yazılımsal ve ag güvenlikleri saglanmalıdır.

Auxiliary Port

Yönlendiricilerde acil durumlarda telefon hatları üzerinden modem kullanılarak erisimin

saglanması için “Auxiliary port” bulunmaktadır. Bu tür bir erisim için PPP’de (Point to

Point Protocol) PAP (Password Authentication Protocol) yerine CHAP (Challenge

Handshake Authentication Protocol) dogrulama methodu kullanılmalıdır. CHAP, dial-up

ve noktadan noktaya (point to point) baglantılarda uç noktayı engelleyerek izinsiz

erisimleri engellemektedir [13].

TFTP- FTP ile Erisim

Cihazlara yeni isletim sistemleri veya konfigürasyonları TFTP veya FTP gibi

protokollerle yüklenebilmekte veya Ag Yönetim stasyonu’na yedek amaçlı

alınabilmektedir. Özellikle TFTP protokolü, UDP kullanması ve kullanıcı-cihaz

dogrulama sistemleri kullanmamasından dolayı bilinen bazı güvenlik açıklarına sahiptir

[13]. Bu yüzden bu protokoller cihazlarda access-list ile kontrol altına alınmalı ve dosya

transferi belirli IP’lerle sınırlandırılmalıdır. TFTP sunucu olarak kullanılan Ag Yönetim

stasyonu’nda da bu protokolü kullanırken uygulayacagı ek güvenlik ayarları yapılmalı,

mümkünse bu servis bu makinda sadece kullanılacagı zaman açılmalıdır. Cihaz FTP’yi

destekliyorsa bu protokolün kullanılması tercih edilmelidir.

3 VLAN: Virtual Local Area Network

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu

5. KAYITLAMA (LOGGING) AYARLARI

Ag cihazları çesitli hadiseler (event) hakkında kayıtlama özelligine sahiptir. Bu kayıtlar,

güvenlik hadiselerinin belirlenmesinden ve önlem alınmasında kritik önem

tasıyabilmektedir. Arayüzlerin durum degisikligi, sistem konfigürasyon degisikligi,

access-list’lere takılan (match) baglantılar gibi güvenlik açısından önemli olan bilgilerin

kayıdı tutulabilmektedir. Cihazda kayıtlama asagıdaki sekillerde yapılabilmektedir:

SNMP Trap Logging: Sistem durumunda (status) karakteristik (significant)

degisikliklerde Ag Yönetim stasyonuna uyarı (notification) göndermektedir.

Sistem Kayıtlaması: Sistem konfigürasyonuna baglı olarak hadiselerin kayıdını

tutmaktadır. Sistem kayıtlaması farklı yerlere yapılabilmektedir:

o Sistem konsoluna baglı ekrana “logging console” komutuyla,

o Üzerinde UNIX’in syslog protokolü çalısan agdaki bir sunucuya

“logging ip-address”, “logging trap” komutlarıyla,

Ör: logging 200.100.17.2

o Telnet veya benzeri protokolle açılan VTY remote oturumlara (session)

logging monitor”, “terminal monitor” komutlarıyla,

o Yerel buffer olan RAM’ine “logging buffered” komutuyla

yapılabilmektedir.

Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün çalısıp çalısmadıgı kontrol

edilmeldir. Farklı cihazlardan Ag Yönetim stasyonu’na gönderilen mesajların zamana

göre senkronize olması için cihazlarda Network Time Protokol (NTP) çalıstırılmalıdır

[4].

6. VLAN UYGULAMALARI

Virtual Lan (VLAN - sanal aglar) kullanılarak kullanıcıları fiziksel lokasyonundan

bagımsız olarak gruplamak, farklı subnetlerde toplamak mümkündür. VLAN’a almak tek

basına bir güvenlik önlemi sayılmamakla beraber bir güvenlik artısı olmaktadır. Ag

Yönetimi için ayrı bir VLAN yaratılmalıdır. Bölgeler VLAN trafiklerine göre prunning

yapılarak ayrılmalı, sadece o bölgede kullanılan VLAN’lar iletilmelidir.

VLAN bilgilerini ve bütün ag trafigini aktif cihazlar arasında tasımak için kullanılan

cihaz port’ları “trunk” olarak tanımlanmaktadır. Trunk olmayacak port’ların trunk olarak

tanımlanması o port’a baglı cihazın bütün ag trafigini almasını saglayacagından bu tür

yanlıs tanımlamalar mutlaka düzeltilmelidir [4].

Cihazların kullanılmayan portlarını L3 (OSI 3.katman) baglantısı verilmemis bir VLAN’a

atamalı veya portlar “disable” edilmelidir [4]. Böylece saldırganın cihazın bos portuna

girip aga ulasması engellenmis olmaktadır.

Switch’in port numarasına, cihazın MAC4 adresine veya kullanılan protokole göre

dinamik VLAN ataması uygulanarak cihazların VLAN ve IP bilgileri tek noktadan

4 MAC Adresi: Media Access Control Adresi, ethernet aglarında ethernet kart adresi

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu

kontrol edilebilmekte ve daha güvenilir ag yapısı olusturulmaktadır. Böylelikle sadece

kayıtlı MAC adreslerine sahip cihazlar izin verilen aglara ulasabilmektedir.

VLAN kullanılan aglarda ne tür zayıflıklar olabilecegi SANS Enstitüsü tarafından

incelenmistir. Detaylı bilgi için bakınız [14].

7. ÇÖZÜM ve SONUÇLAR

Ag güvenligi sadece bir güvenlik duvarı (firewall) alınarak saglanamaz. Ag Güvenligi

Yönetimi’nin her zaman devam eden bir süreç oldugu unutulmamaldır. Aga baglı her

elemanın güvenligi belirli seviyerlerde saglanmalı ve sistem devamlı kontrol altında

tutulmalıdır. Bu bildiride ag trafiginin üzerinden aktıgı ag cihazlarında alınması gereken

temel güvenlik önlemleri ele alınmıs ve ipuçları verilmistir. Ag Güvenligi konusundaki

çalısmalarımız Ege Üniversitesi Güvenlik Grubu’nun web sayfasından (

http://security.ege.edu.tr ) takip edilebilir.

KAYNAKLAR

[1] Increasing security on IP Networks

http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htm

[2] Why Is Physical Security Important?,Aron Hsiao, 2001, http://www.informit.com

[3] Pc Security Products, Physical Security

http://www.utoronto.ca/security/pcsecphy.htm

[4] SAFE: A Security Blueprint for Enterprise Networks, Sean Convery , Bernie

Trudel, 2000,

http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.htm

[5] Sifre Seçimi, Ege Üniversitesi Network Güvenlik Grubu,

http://security.ege.edu.tr/dokumanlar.php

[6] Improving Security on Cisco Routers,

http://www.cisco.com/warp/public/707/21.html

[7] Multi Router Traffic Grapher,

http://people.ee.ethz.ch/oetiker/webtools/mrtg

[8] CERT® Advisory CA-2002-03 Multiple Vulnerabilities in Many

Implementations of the Simple Network Management Protocol (SNMP),

http://www.cert.org/advisories/CA-2002-03.html

[9] Avaya Security Advisories on SNMP Vunerability,

http://support.avaya.com/security/2002-1/index.jhtml

[10] Cisco Advisory on SNMP Vulnerability,

http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml

[11] Alcatel’s response to SNMP Security Vulnerability,

http://www.ind.alcatel.com/service_support/CERT_Bulletin_031101_00.pdf

[12] Simple Network Management Protocol (SNMP) Vulnerabilities Frequently Asked

Questions (FAQ), http://www.cert.org/tech_tips/snmp_faq.html

[13] Talisker’s Intrusion Detection List,

www.networkintrusion.co.uk/Cisco.htm

[14] Are there Vulnerabilites in VLAN Implementations?, VLAN Security Test

Report, David Taylor, 2000

http://www.sans.org/newlook/resources/IDFAQ/vlan.htm

Ar. Gor. Enis Karaarslan – Ege Üniversitesi Network Güvenlik Grubu














  • diline pelesenk olmak ne demek
  • dillere pelesenk olmuş ne demek
  • pelesenk
  • pelesenk ne demek
  • Pelesenk Ne Demek – Pelesenk Sözlük Anlamı
  • pelesenk olmak ne demek
  • pelesenk olmak ne demektir
  • pelesenk olmuş ne demek
  • Yüksek Yüksek Tepelere sözleri
  •   Ad Soyad
      Yorum