ÖZET
Birçok kurum, bir güvenlik duvary (firewall) aldygynda güvenlik sorunlarynyn çogunu çözdügünü sanmakta ve diger önlemleri önemsemektedir. Oysa güvenlik yönetimi ag (network) üzerinde çalysan bütün elemanlaryn güvenligini içerir ve sürekli devam eden bir süreç olarak ele alynmaldyr. Bu yazyda, ag trafiginin üzerinden aktigi ag cihazlarynda alynmasy gereken temel güvenlik önlemleri ele alynmys ve bazy ipuçlari verilmistir.
Ag cihazlarynda kurulum syrasynda olusan varsayylan (default) ayarlaryn, kullanycy tarafyndan aktif edilen bazy ayarlaryn iptal edilmesi veya düzgün olarak tekrar ayarlanmasy gerekebilmektedir. Bu yazyda bütün TCP/IP aglary için geçerli ve firmadan bagimsyz ayarlar hakkynda bazy ipuçlari verilmektedir. Uygulamalar Cisco cihazlary üzerinde yapylmys ve dogru çalystygy gözlenmistir.
1. AĞ CİHAZLARI
Bilgisayar sistemlerinin birbirleriyle iletisim kurabilmeleri için veri sinyallerini kablo ile veya kablosuz (wireless) olarak iletmeleri gerekmektedir. Kablo ile veri iletilirken her bilgisayarin baglanti kuracagy diger bilgisayarlara ayry ayry kablolarla baglanmasy, çok özel sistemler dysynda efektif bir yöntem degildir. Yerel aglarda birbirine yakyn bilgisayarlar ortak bir cihaza baglanmakta ve bu cihaz genelde hub veya switch olarak adlandirilmaktadir. Bu cihazlarin olusturdugu ag (network) ise internet’e baglanmak için yönlendirici (router) cihazina gerek duymaktadir. Cihazlar OSI katmaninin hangi seviyesinde çalistiklarina göre L1 (1. Katman), L2, L3 veya yeni nesil (L1–L7) cihazlar olarak siniflandirilmaktadir. Ag cihazlarina diger cihazlarin baglandigi arabirimlere port denmektedir.
Ag cihazlari yönetim açisindan, yönetilebilir (managable) veya yönetilemez (unmanagable) cihazlar olarak ikiye ayrilmaktadir. Bu bildiride yönetilebilir cihazlarin güvenlik ayarlarina deginilecektir. Yönetilebilir cihazlarin kendilerine özgü bir isletim sistemi ve konfigürasyonu bulunmaktadir. Cisco cihazlarda IOS ve CatOS, Alcatel XEON’larda XOS, Avaya cihazlarinda Unixware, Juniper’de Free BSD örnek olarak verilebilir. Diger cihazlarda da genelde UNIX tabanli isletim sistemleri bulunmaktadir. Ag cihazlarinin ayarlanmasi, yönetimi ve kontrolü asagidaki sekillerde saglanabilmektedir:
• HTTP protokolü ile,
• Telnet veya SSH ile,
• SNMP protokolü ile,
• TFTP veya FTP ile,
• Konsol portuyla.
Konsol portu araciligiyla erisimde fiziksel güvenlik ön plana çikmaktadir. Diger erisim türlerinde ise TCP/IP protokolü kullanilacagindan bu protokolün zayifliklarina karsi önlem alinmasi gerekecektir.
Cihazlarin ayarlari menüler araciligiyla, komut (command) yazarak veya grafik arayüzlerle yapilabilmektedir. Cihazlarda kurulum sirasinda olusan varsayilan (default) ayarlarin, kullanici tarafindan aktif edilen bazi ayarlarin iptal edilmesi veya düzgün olarak tekrar ayarlanmasi gerekebilmektedir.
2. FIZIKSEL GüVENLIK
Cihaza fiziksel olarak erisebilen saldirganin konsol portu araciligiyla cihazin kontrolünü kolaylikla alabilecegi unutulmamalidir. Ag baglantisina erisebilen saldirgan ise kabloya tap (özel ekipmanla kabloya erisim) ederek hatti dinleyebilir veya hatta trafik gönderebilir [1]. Açikça bilinmelidir ki fiziksel güvenligi saglanmayan cihaz üzerinde alinacak yazilimsal yöntemlerin hiç bir kiymeti bulunmamaktadir. Bazi fiziksel güvenlik önlemleri asagida verilmistir:
• Cihazlar sadece ag yöneticisinin veya onun yardimcisinin açabilecegi kilitli odalarda tutulmalidir. Oda ayirmanin mümkün olmadigi yerlerde özel kilitli dolaplar (kabinetler) içine konmalidir.
• Cihazlara fiziksel olarak kimin ve ne zaman eristigini belirten erisim listeleri tutulmali (access auditing) ve bu listeler sik sik güncellenmelidir [2].
• Kablolar tek tek etiketlenmeli ve kayitlari tutulmalidir. Kullanilmayan kablolar devre disi birakilmalidir [3].
• Cihazlarin yakinina güvenlik bilgileri (sifre, IP adresi) gibi bilgiler yapistirilmamali ve gizli tutulmalidir [3].
• Cihazlara fiziksel erisim mümkün ise kullanilmayan portlar disable edilmelidir [4].
• Aktif cihazlarin elektrigi aldigi güç kaynaklarinin yeri belirlenmeli ve saldirganin bu güç kaynaklarini kesmesi engellenmelidir. Devamli güç kaynaklarina (ups) yatirim yapilmalidir [2].
• Aktif cihazlarin fiziksel erisime açik oldugu yerlerde saldirganin güç kablosunu çikartmasini engellemek için cihazin üstünde çesitli aparatlar kullanmali, güç kablosunu gözden irak tutmali, mümkünse uzakta ve fiziksel güvenligi saglanan bir prize baglanmalidir [2].
• Her ne kadar aktif cihazlarin çalinmasi pek olasi olmasa da bu tür olaylari engellemek için mümkünse çesitli kilit ve alarm mekanizmalari kullanilmalidir [2].
3. SIFRE YöNETIMI
Sifreler cihazlara her türlü izinsiz erisim de hesaba katilarak iyi seçilmelidir. Iyi sifrelerin özellikleri asagidaki gibidir [5]:
• Büyük ve küçük harf içerirler,
• Noktalama isaretleri ve rakamlar içerirler,
• Bazi kontrol karakterleri ve/veya bosluklar içerirler,
• Kolaylikla hatirlanabilirler ve bu nedenle bir yere not edilme ihtiyaci duymazlar,
• En az yedi veya sekiz karakter uzunlugundadirlar,
• Kolay ve hizli yazilirlar; ve böylece etraftan bakan birisi ne yazdigini anlayamaz.
Sifre yönetmenin en iyi yolu LDAP, TACACS+ veya RADIUS dogrulama (authentication) sunuculari araciligiyla onay mekanizmasini kullanmaktir. Bu sistem kullanilsa bile yetkili (privileged) haklar için o cihaza yerel (local) tanimli bir sifre, konfigürasyon dosyasinda bulunmalidir [6]. Birçok yönetilebilir cihaz, kullanici (user) modu ve yetkili (enable) mod gibi iki ayri login mekanizmasina sahiptir. Kullanici modunda sadece arayüzler (interface) incelenebilirken yetkili modda ek olarak cihaz konfigürasyonu da yapilabilmektedir. Cisco cihazlarinda girilen kullanici ve parolalarin konfigürasyon dosyasinda gözükmemesi için “service password-encryption” komutu girilmis olmalidir. Zayif sifreleme algoritmasi kullanan “enable password” komutu yerine MD5-tabanli algoritmayla sifreyi koruyan “enable secret” komutu kullanilmalidir. “no enable password” komutu kullanilarak enable password’ler silinmeli yerine “enable secret yeni_sifreniz ” ile yeniden sifreler girilmelidir.
4. CIHAZ ERISIM PROTOKOLERINE DAIR AYARLAR
Ag cihazlarinin ayarlanmasi, yönetimi ve kontrolünde kullanilan HTTP, Telnet, SSH, SNMP, TFTP ve FTP; TCP/IP protokolünün alt elemanlari olduklarindan, bu protokolün zayifliklarina karsi önlem alinmasi gerekmektedir. Bu türden erisimlerde denetim, bu cihazlarin ve dolayisiyla ag trafiginin güvenligi için çok gereklidir.
Belirli IP’lerin Cihaza Erisimine Izin Vermek
Cihazlara sadece belirli IP adreslerinin ulasmasina izin verilmelidir. Bu da access-list yazilarak saglanir. örnegin Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin erisimine izin verilmesi ve diger ip’lerin engellenmesi asagidaki access-list ile saglanmaktadir.
access-list 7 permit 200.100.17.2
access-list 7 permit 200.100.17.3
access-list 7 deny any log
örnekte verilen 7 numarali access-list belirtilen IP’lere izin vermekte (permit), diger IP’leri kabul etmemektedir (deny). Bu access-list’in devreye girmesi için herhangi bir arayüzde etkin hale getirilmesi gerekmektedir. Telnet (veya ssh) için uygulanmasi da asagidaki gibi olmaktadir:
line vty 0 4
access-class 7 in
Http erisimi için kisitlanmasi da asagidaki gibi olmaktadir:
ip http access-class 7
SNMP erisimine belirtilen IP’lerin izin verilmesi ise asagidaki gibi olmaktadir:
snmp-server host 200.100.17.2 snmp_sifresi
snmp-server host 200.100.17.3 snmp_sifresi
HTTP Erisimi
HTTP protokolü ile web arayüzünden erisim, cihaza interaktif baglanti demektir. Yönetilebilir cihazlarinin birçogunun üzerinde web sunucusu çalisir. Bu da 80 nolu portta bir web sunucunun kurulu bekledigini gösterir. Daha önceden de belirtildigi gibi HTTP servisi verilecekse bu ag yönetimini saglayan belirli IP’lere kisitli olarak verilmelidir. Cihaz güvenligi nedeniyle mümkün oldugunca bu tür web üzerinden yönetimin kullanilmamasi gerektigi önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bilecegi baska bir port üzerinden, örnegin 500 nolu portta çalistirilabilecek sekilde ayarlanmalidir.
HTTP protokolünde dogrulama mekanizmasi agda sifrenin düz metin seklinde gönderimi ile saglandigi için efektif degildir ama farkli üreticilerin degisik çözümleri bulunmaktadir. Dogrulama mekanizmasi, onay sunuculari (Tacacs+, Radius …vb) kullanilarak yapilabilir. Cisco IOS’de dogrulama mekanizmasi “ip http authentication” komutuyla saglanmaktadir.
Telnet ve Secure Shell (SSH) Erisimi
Telnet ile erisimlerde saldirganin ag üzerinden dinlenme (sniff) yoluyla iletilen bilgiyi elde etmesi mümkün oldugundan, iletilen veriyi sifreleyen SSH protokolü mümkün oldugunca kullanilmaldir. SSH su anda bütün cihazlar ve cihaz isletim sistemleri tarafindan desteklenmemektedir. Bu konuda üretici firmanin cihaz dökümantasyonu incelenmelidir.
SNMP Erisimi
Simple Network Management Protokol (SNMP), cihaz ve ag yönetimi için vazgeçilmez bir protokoldür. Trafik istatistiklerinden bellek ve CPU kullanimina kadar bir cihaz hakkinda çok detayli bilgiler edinilebilmektedir. Bir veya daha fazla Ag Yönetim Istasyonu, üzerlerinde çalisan yazilimlarla belirli araliklarla ag cihazlari ve sunuculardan (server) bu istatistikleri toparlayacak (poll) sekilde ayarlanmalidir. Cihazda gözlenen CPU, bellek veya hat kullaniminin fazla olmasi bir saldiri tespiti olabilmektedir. Toplanan verileri grafiksel olarak görüntüleyen Multi Router Traffic Grapher (MRTG) gibi programlar bulunmaktadir [7].
SNMP protokolünün, özellikle SNMP Version 1’in birçok uygulamasinda zayiflik (vulnerability) oldugu CERT ‘in raporlarinda belirtilmistir [8]. Birçok cihaz üretecisi bu konuda yama (patch) çikartmis ve önerilerde bulunmustur [9] [10] [11]. SNMP Version 1, düz metin (clear text) dogrulama dizileri (string) kullandigindan bu dogrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan öz (digest) dogrulama semasi kullanan ve çesitli yönetim verilerine kisitli erisim saglayan SNMP Version 2’nin kullanilmasi gerekmektedir. Mümkünse her cihaz için ayri bir MD5 gizli (secret) degeri kullanilmalidir [1]. Daha detayli bilgi için [12] incelenebilir.
öneriler:
• Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erisimleri için kullanilan varsayilan SNMP sifre (community) adlari degistirilmeli ve bu iki parametre birbirinden farkli olmalidir.
• SNMP sifrelerine kritik bir UNIX makinasindaki root sifresi gibi davranilmaldir [4].
• SNMP erisimi hakki sadece belirli güvenilir (trusted) IP’lere (Ag Yönetim istasyonlarina) saglanmalidir.
• Ag Yönetim Istasyonu tarafindan SNMP erisimi yapilirken “Sadece Oku” parametresi kullanilmalidir. Mümkünse cihazlarda “Oku-Yaz” parametresi iptal edilmelidir [4].
• Ag Yönetimi için ayri bir subnet, mümkünse VLAN yaratilmalidir. Access-list ve Ates Duvari (firewall) kullanilarak bu aga dis aglardan gelen trafik kisitlanmalidir.
Ag Yönetim Istasyonlari, agdaki cihazlara ait SNMP sifre dizileri gibi dogrulama bilgileri bulundurduklari için dogal bir saldiri hedefi durumuna gelmektedir. Bu yüzden bu makinalarin fiziksel, yazilimsal ve ag güvenlikleri saglanmalidir.
Auxiliary Port
Yönlendiricilerde acil durumlarda telefon hatlari üzerinden modem kullanilarak erisimin saglanmasi için “Auxiliary port” bulunmaktadir. Bu tür bir erisim için PPP’de (Point to Point Protocol) PAP (Password Authentication Protocol) yerine CHAP (Challenge Handshake Authentication Protocol) dogrulama methodu kullanilmalidir. CHAP, dial-up ve noktadan noktaya (point to point) baglantilarda uç noktayi engelleyerek izinsiz erisimleri engellemektedir [13].
TFTP- FTP ile Erisim
Cihazlara yeni isletim sistemleri veya konfigürasyonlari TFTP veya FTP gibi protokollerle yüklenebilmekte veya Ag Yönetim Istasyonu’na yedek amaçli alinabilmektedir. özellikle TFTP protokolü, UDP kullanmasi ve kullanici-cihaz dogrulama sistemleri kullanmamasindan dolayi bilinen bazi güvenlik açiklarina sahiptir [13]. Bu yüzden bu protokoller cihazlarda access-list ile kontrol altina alinmali ve dosya transferi belirli IP’lerle sinirlandirilmalidir. TFTP sunucu olarak kullanilan Ag Yönetim Istasyonu’nda da bu protokolü kullanirken uygulayacagi ek güvenlik ayarlari yapilmali, mümkünse bu servis bu makinda sadece kullanilacagi zaman açilmalidir. Cihaz FTP’yi destekliyorsa bu protokolün kullanilmasi tercih edilmelidir.
5. KAYITLAMA (LOGGING) AYARLARI
Ag cihazlari çesitli hadiseler (event) hakkinda kayitlama özelligine sahiptir. Bu kayitlar, güvenlik hadiselerinin belirlenmesinden ve önlem alinmasinda kritik önem tasiyabilmektedir. Arayüzlerin durum degisikligi, sistem konfigürasyon degisikligi, access-list’lere takilan (match) baglantilar gibi güvenlik açisindan önemli olan bilgilerin kayidi tutulabilmektedir. Cihazda kayitlama asagidaki sekillerde yapilabilmektedir:
• SNMP Trap Logging: Sistem durumunda (status) karakteristik (significant) degisikliklerde Ag Yönetim Istasyonuna uyari (notification) göndermektedir.
• Sistem Kayitlamasi: Sistem konfigürasyonuna bagli olarak hadiselerin kayydyny tutmaktadir. Sistem kayitlamasi farkli yerlere yapilabilmektedir:
o Sistem konsoluna bagli ekrana “logging console” komutuyla,
o üzerinde UNIX’in syslog protokolü çalisan agdaki bir sunucuya
“logging ip-address”, “logging trap” komutlariyla,
ör: logging 200.100.17.2
o Telnet veya benzeri protokolle açilan VTY remote oturumlara (session) “logging monitor”, “terminal monitor” komutlariyla,
o Yerel buffer olan RAM’ine “logging buffered” komutuyla yapilabilmektedir.
Kayitlar düzenli olarak takip edilmeli ve sistemin düzgün çalisip çalismadigi kontrol edilmeldir. Farkli cihazlardan Ag Yönetim Istasyonu’na gönderilen mesajlarin zamana göre senkronize olmasi için cihazlarda Network Time Protokol (NTP) çalistirilmalidir [4].
6. VLAN UYGULAMALARI
Virtual Lan (VLAN - sanal aglar) kullanilarak kullanicilari fiziksel lokasyonundan bagimsiz olarak gruplamak, farkli subnetlerde toplamak mümkündür. VLAN’a almak tek basina bir güvenlik önlemi sayilmamakla beraber bir güvenlik artisi olmaktadir. Ag Yönetimi için ayri bir VLAN yaratilmalidir. Bölgeler VLAN trafiklerine göre prunning yapilarak ayrilmali, sadece o bölgede kullanilan VLAN’lar iletilmelidir.
VLAN bilgilerini ve bütün ag trafigini aktif cihazlar arasinda tasimak için kullanilan cihaz port’lari “trunk” olarak tanimlanmaktadir. Trunk olmayacak port’larin trunk olarak tanimlanmasi o port’a bagli cihazin bütün ag trafigini almasini saglayacagindan bu tür yanlis tanimlamalar mutlaka düzeltilmelidir [4].
Cihazlarin kullanilmayan portlarini L3 (OSI 3.katman) baglantisi verilmemis bir VLAN’a atamali veya portlar “disable” edilmelidir [4]. Böylece saldirganin cihazin bos portuna girip aga ulasmasi engellenmis olmaktadir.
Switch’in port numarasina, cihazin MAC adresine veya kullanilan protokole göre dinamik VLAN atamasi uygulanarak cihazlarin VLAN ve IP bilgileri tek noktadan kontrol edilebilmekte ve daha güvenilir ag yapisi olusturulmaktadir. Böylelikle sadece kayitli MAC adreslerine sahip cihazlar izin verilen aglara ulasabilmektedir. |
