Cihaz erişim protokolüne ayar

Cihaz erişim protokolüne ayar

Ağ cihazlarının ayarlanması, yönetimi ve kontrolünde kullanılan HTTP, Telnet, SSH, SNMP, TFTP ve FTP; TCP/IP protokolünün alt elemanları olduklarından, bu protokolün zayıflıklarına karşı önlem alınması gerekmektedir. Bu türden erişimlerde denetim, bu cihazların ve dolayısıyla ağ trafiğinin güvenliği için çok gereklidir.

Belirli IP'lerin Cihaza Erişimine İzin Vermek
Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir. Bu da access-list yazılarak sağlanır. Örneğin Cisco IOS'de sadece 200.100.17.2 ve 200.100.17.3 IP'lerin erişimine izin verilmesi ve diğer ip'lerin engellenmesi aşağıdaki access-list ile sağlanmaktadır.

access-list 7 permit 200.100.17.2
access-list 7 permit 200.100.17.3
access-list 7 deny any log

Örnekte verilen 7 numaralı access-list belirtilen IP'lere izin vermekte (permit), diğer IP'leri kabul etmemektedir (deny). Bu access-list'in devreye girmesi için herhangi bir arayüzde etkin hale getirilmesi gerekmektedir. Telnet (veya ssh) için uygulanması da aşağıdaki gibi olmaktadır:
line vty 0 4
access-class 7 in
Http erişimi için kısıtlanması da aşağıdaki gibi olmaktadır:
ip http access-class 7
SNMP erişimine belirtilen IP'lerin izin verilmesi ise aşağıdaki gibi olmaktadır:

snmp-server host 200.100.17.2 snmp_şifresi
snmp-server host 200.100.17.3 snmp_şifresi

HTTP Erişimi
HTTP protokolü ile web ara yüzünden erişim, cihaza interaktif bağlantı demektir. Yönetilebilir cihazlarının birçoğunun üzerinde web sunucusu çalışır. Bu da 80 nolu portta bir web sunucunun kurulu beklediğini gösterir. Daha önceden de belirtildiği gibi HTTP servisi verilecekse bu ağ yönetimini sağlayan belirli IP'lere kısıtlı olarak verilmelidir. Cihaz güvenliği nedeniyle mümkün olduğunca bu tür web üzerinden yönetimin kullanılmaması gerektiği önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bileceği başka bir port üzerinden, örneğin 500 nolu portta çalıştırılabilecek şekilde ayarlanmalıdır.
HTTP protokolünde doğrulama mekanizması ağda şifrenin düz metin şeklinde gönderimi ile sağlandığı için efektif değildir ama farklı üreticilerin değişik çözümleri bulunmaktadır. Doğrulama mekanizması, onay sunucuları (Tacacs+, Radius .vb) kullanılarak yapılabilir. Cisco IOS'de doğrulama mekanizması "ip http authentication" komutuyla sağlanmaktadır.

Telnet ve Secure Shell (SSH) Erişimi
Telnet ile erişimlerde saldırganın ağ üzerinden dinlenme (sniff) yoluyla iletilen bilgiyi elde etmesi mümkün olduğundan, iletilen veriyi şifreleyen SSH protokolü mümkün olduğunca kullanılmaldır. SSH şu anda bütün cihazlar ve cihaz işletim sistemleri tarafından desteklenmemektedir. Bu konuda üretici firmanın cihaz dokümantasyonu incelenmelidir.
SNMP Erişimi
Simple Network Management Protokol (SNMP), cihaz ve ağ yönetimi için vazgeçilmez bir protokoldür. Trafik istatistiklerinden bellek ve CPU kullanımına kadar bir cihaz hakkında çok detaylı bilgiler edinilebilmektedir. Bir veya daha fazla Ağ Yönetim İstasyonu, üzerlerinde çalışan yazılımlarla belirli aralıklarla ağ cihazları ve sunuculardan (server) bu istatistikleri toparlayacak (poll) şekilde ayarlanmalıdır. Cihazda gözlenen CPU, bellek veya hat kullanımının fazla olması bir saldırı tespiti olabilmektedir. Toplanan verileri grafiksel olarak görüntüleyen Multi Router Traffic Grapher (MRTG) gibi programlar bulunmaktadır .
SNMP protokolünün, özellikle SNMP Version 1'in birçok uygulamasında zayıflık (vulnerability) olduğu CERT 'in raporlarında belirtilmiştir .Birçok cihaz üreticisi bu konuda yama (patch) çıkartmış ve önerilerde bulunmuştur.SNMP Version 1, düz metin (clear text) doğrulama dizileri (string) kullandığından bu doğrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5'a dayanan öz (digest) doğrulama şeması kullanan ve çeşitli yönetim verilerine kısıtlı erişim sağlayan SNMP Version 2'nin kullanılması gerekmektedir. Mümkünse her cihaz için ayrı bir MD5 gizli (secret) değeri kullanılmalıdır .

Öneriler:
Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erişimleri için kullanılan varsayılan SNMP şifre (community) adları değiştirilmeli ve bu iki parametre birbirinden farklı olmalıdır.
SNMP şifrelerine kritik bir UNIX makinasındaki root şifresi gibi davranılmalıdır .
SNMP erişimi hakkı sadece belirli güvenilir (trusted) IP'lere (Ağ Yönetim istasyonlarına) sağlanmalıdır.
Ağ Yönetim İstasyonu tarafından SNMP erişimi yapılırken "Sadece Oku" parametresi kullanılmalıdır. Mümkünse cihazlarda "Oku-Yaz" parametresi iptal edilmelidir .
Ağ Yönetimi için ayrı bir subnet, mümkünse VLAN yaratılmalıdır. Access-list ve Ateş Duvarı (firewall) kullanılarak bu ağa dış ağlardan gelen trafik kısıtlanmalıdır.
Ağ Yönetim İstasyonları, ağdaki cihazlara ait SNMP şifre dizileri gibi doğrulama bilgileri bulundurdukları için doğal bir saldırı hedefi durumuna gelmektedir. Bu yüzden bu makinaların fiziksel, yazılımsal ve ağ güvenlikleri sağlanmalıdır.
Auxiliary Port
Yönlendiricilerde acil durumlarda telefon hatları üzerinden modem kullanılarak erişimin sağlanması için "Auxiliary port" bulunmaktadır. Bu tür bir erişim için PPP'de (Point to Point Protocol) PAP (Password Authentication Protocol) yerine CHAP (Challenge Handshake Authentication Protocol) doğrulama methodu kullanılmalıdır. CHAP, dial-up ve noktadan noktaya (point to point) bağlantılarda uç noktayı engelleyerek izinsiz erişimleri engellemektedir.

TFTP- FTP ile Erişim
Cihazlara yeni işletim sistemleri veya konfigürasyonları TFTP veya FTP gibi protokollerle yüklenebilmekte veya Ağ Yönetim İstasyonu'na yedek amaçlı alınabilmektedir. Özellikle TFTP protokolü, UDP kullanması ve kullanıcı-cihaz doğrulama sistemleri kullanmamasından dolayı bilinen bazı güvenlik açıklarına sahiptir . Bu yüzden bu protokoller cihazlarda access-list ile kontrol altına alınmalı ve dosya transferi belirli IP'lerle sınırlandırılmalıdır. TFTP sunucu olarak kullanılan Ağ Yönetim İstasyonu'nda da bu protokolü kullanırken uygulayacağı ek güvenlik ayarları yapılmalı, mümkünse bu servis bu makinda sadece kullanılacağı zaman açılmalıdır. Cihaz FTP'yi destekliyorsa bu protokolün kullanılması tercih edilmelidir.

KAYITLAMA (LOGGING) AYARLARI
Ağ cihazları çeşitli hadiseler (event) hakkında kayıtlama özelliğine sahiptir. Bu kayıtlar, güvenlik hadiselerinin belirlenmesinden ve önlem alınmasında kritik önem taşıyabilmektedir. Arayüzlerin durum değişikliği, sistem konfigürasyon değişikliği, access-list'lere takılan (match) bağlantılar gibi güvenlik açısından önemli olan bilgilerin kayıdı tutulabilmektedir. Cihazda kayıtlama aşağıdaki şekillerde yapılabilmektedir:
SNMP Trap Logging: Sistem durumunda (status) karakteristik (significant) değişikliklerde Ağ Yönetim İstasyonuna uyarı (notification) göndermektedir.
Sistem Kayıtlaması: Sistem konfigürasyonuna bağlı olarak hadiselerin kayıdını tutmaktadır. Sistem kayıtlaması farklı yerlere yapılabilmektedir:
Sistem konsoluna bağlı ekrana "logging console" komutuyla,
Üzerinde UNIX'in syslog protokolü çalışan ağdaki bir sunucuya
"logging ip-address", "logging trap" komutlarıyla,
Ör: logging 200.100.17.2
Telnet veya benzeri protokolle açılan VTY remote oturumlara (session) "logging monitor", "terminal monitor" komutlarıyla,
Yerel buffer olan RAM'ine "logging buffered" komutuyla yapılabilmektedir.
Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün çalışıp çalışmadığı kontrol edilmeldir. Farklı cihazlardan Ağ Yönetim İstasyonu'na gönderilen mesajların zamana göre senkronize olması için cihazlarda Network Time Protokol (NTP) çalıştırılmalıdır.