Switch Securing

Posted on by

1. Privileged exec mode=enable mod  güvenliğini sağlamak için yapılması gerekenler:

Config# enable password cisco =>enable moda girebilmek için şifre verdik ancak burada şifre gözüküyor. Criptolu değil. Eneble secret cisco =>burada şifre criptolu gözükmüyorTüm şifreleri criptolamak için;Config#service password-encryption

2.   Console güvenliği için ;
Config#line console 0
Password cisco
Login
Config-line#exec timeout 5 =>burada 5 dk hiç bir şey yapılmazsa oturum esnasında oturumu sonlandırmaya yarıyor.

3.   telnet için şifreli güvenlik
config#line vty 0 15
login
password cisco
Config-line#exec timeout 5
4- ssh configuring
config# hostname switch1
ip domain-name fatih.com
username fatih secret cisco
crypto key generate rsa modulus 1024

config#line vty 0 15
login local
transport input ssh
exit
config# ip ssh version 2

routerdan yada switchten başka bir switche bağlantı yapacağımız zaman aşağıdaki komutu girmemiz gerekir.

ssh 10.1.1 4 – l  fatih
burdaki l nin anlamı login name sonra

ssh kontrol için;
#show ip ssh
Burada ssh enabled edildiği ve version numarası 1. Satırda gördüklerimiz
2.satırda authentication timeout yani 120 sn sonra timeout oluyoruz. En fazla 3 kez deneyebiliyoruz bağlantı için

Bize gelen bağlantıları görmek için ;
#show ssh

5.    Switchlere uzak bağlantı yapabilmek için default geteway tanıtmak zorundayız.
Config#default-gateway 10.1.1.1  gibi.

6. Güvenliği artırmak için birim bazlı kısıtlamalar yapılması gerekir.
Yani sadece IT departmanı ssh  ve telnet yapabilsin gibi Access listlerin yazılması gerekir.
Aşagıda buna bir örnek var.  Örnegi incelersek;

Acess listin 1. Satırı : sadece 10.1.1.0 networküne permit yani izin ver
2. satırda ise dany  any= başka hiç kimseye izin verme  ve  log = bağlanmaya çalışanları da loğla.

Sonraki tanımlamada ise Access listi bir yere uygulamak gerekiyor.
Line vty 0 15 =>switch yada 0 4 =>router
Access-class 1 in=>burda ki in bize gelen bağlantılar yönünde uygula demek yani switch ve router in yönü olmuş oluyor.

7. Tektek routera şifreye güvenlik için tanımlama yapmak yerine sisteme bir adet Radius or Tacacs+ serverlarından birini kurarak bağlantı güvenliğini sağlayabiliriz. Bu protokollerden birini kurduğumuzda tüm network cihazlarına bu tanımı yapmak gerekir.
Burada Radius=genel bir standart Microsoft, Linux hepsi için
Tacacs+ ise cicsonun protokolüdür.
Tüm console ssh, telnet bağlantıları için önce git serverdan authantice ol sonra network aygıtına giriş yapabilirsin.

Burdaki serverda yazan aaa authantication autherizatin acuanting

8.     Güvenlikle alakalı bir önemli konuda router yada switchlere  banner yazmak.
Config#banner login “izinsiz girişler yasaktır.”

9.  Kullanılmayan portların kapatılması gerekir. Bunun için
Config# interface range fastethernet 0/1 – 3
Shutdown

10.Port security ile network güvenliğinin nasıl  sağlandığını inceleyeceğiz.
Port security; Dynamic, static, combination ve sticky şeklinde yapabilyoruz.

Configuration
Config#interface fastethernet 0/5
Switchport mode Access => burada ki portun Access olduğunu belirttik eğer belirtmeseydik trunk bir bağlantıya da izin verebilir. Access port demek buraya pc, yazıcı gibi cihazlar bağlanabilir demek.
Switcport port-security =>security olduğunu belirttik portun
Switcport port-security maximum 1=>burda maximum bir pc bağlansın bunun başka bir kombinasyonu bu portta hub varsa 4 falan da diyebiliriz max 4 kişi bağlanır.
Switcport port-security mac-adress sticky=>sticky yerine elle mac adress girebiliriz ancak tüm portlar için uygularsak portlara o an hangi hostlar bağlanmışsa bundan sonra sadece o hostlar o portlardan erişim gerçekleştirebilir.
Switcport port-security violation shotdown=>bu komutla sticky den sonra başka bir mac adresli makine porttan erişim yapmaya çalışırsa port kendini shotdown ediyor.
Portun kapanmasını shotdown olmasını istemiyorsak
Switcport port-security violation restrict yazarız üstteki komutun yerine

·         Port security nin durumunu kontrol etmek için ;
Show port-security interface fastethernet 0/3
Yukarıdaki komutla
Port security :enable
Violation mode :shotdown
Maximum mac adress :1
Gibi değerleri görme imkanını elde ederiz.

·         Show interface status komutu ile interface durumlarını öğrenirken eğer statusaltında err-disabled yazıyor ise bu port security den kaynaklanan başka mac adresli bir makinanın bu porta takıldığını ve portun disable olduğunu gösterir.
·         Tüm port-security adreslerini görmek için
Show port-security address  demek gerekiyor bu komutla hangi port, hangi mac adres ile port security görebiliyoruz.
·         Show port security ile de hangi portun port security olduğunu görebiliriz.

11. CDP protokolünü disable etmek
Cdp default ta enable gelir.
İki yöntemle kapatılabilir. 1. Yöntem switchin tamamında komutu no cdp runtekrar aktif etmek için ise cdp enable  demek yeterlidir.
2.yöntem interface altında kapatmak bunun için
Config#interface fastethernet 0 /24
No cdp enable

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir