Sınır Güvenliği Cihazlarının Sıkılaştırılmasında Test ve Denetim Araçlarının Kullanılması (Nipper)

27 Şub
2010
Yorum
Yap

Ağ güvenliği, gün geçtikçe daha çok önem kazanan bir konu haline gelmektedir. Bunun başlıca sebepleri arasında e-ticaretin hızla yaygınlaşması, bankaların interaktif uygulamalarının çeşitlenmesi ve e-devlet kavramının önem kazanması olarak gösterilebilir. Ağın güvenli olabilmesi, o ağda bulunan cihazların ayrı ayrı güvenli bir şekilde yapılandırılmış olmasıyla doğrudan ilişkilidir.

Dolayısıyla aktif ağ cihazlarına ait yapılandırmaların sıkı olması ve güvenliğinin en yüksek seviyeye çıkarılması sistemin genel güvenliğini artırmak için önemlidir. Örneğin, ağ cihazında http servisinin gereksiz yere açık olduğu ve bu servise erişimlerin kısıtlanmadığı durumlarda, http servisini kullanarak cihaza saldırı gerçekleştirecek olan bir kişi cihazın yapılandırma dosyasına ulaşabilir veya cihazın işleyişini engelleyecek girişimlerde bulunabilir. Sıkılaştırma işleminde amaç genel olarak aşağıdaki maddelerle gösterilebilir: 

  • Cihaz yönetimine olan erişimin kontrol altına alınması ve cihaza yetkisiz erişimlerin engellenmesi

  • Cihaz üzerinden geçen trafiğin denetlenmesi ve gereksiz trafiğin engellenmesi

  • Cihaza veya ağa yapılacak olan saldırıların başarı oranının en düşük seviyeye çekilmesi

Sıkılaştırma yapılırken dikkate alınması gereken başlıca hususlar arasında işletim sistemi güncelliği, parola koruması, yetkilendirme derecelerinin ayarlanması, uzaktan erişimin kısıtlanması, yerelden erişimin kısıtlanması, erişimlere ve trafiğe ait kayıtların tutulması, IP sahtekârlığına önlem alınması, servis dışı bırakma saldırılarına önlem alınması, kullanılmayan servislerin kapatılması ve kullanılan servislere olan erişimlerin kısıtlanması gösterilebilir.

Sıkılaştırma yapılırken herhangi bir sorun çıkmaması için sıkılaştırma yapılmadan önceki ayarların kaydedilmesi ve yapılandırma dosyasının saklanması tavsiye edilir. Eğer sıkılaştırma sırasında herhangi bir işleve yönelik sorun çıkarsa ve eğer sorun birkaç adımda çözülemezse, eski ayarların tekrar uygulanması gerekebilir.

Sıkılaştırma yapmak için değişik yollar izlenebilir. Cihaza ait yapılandırma dosyası incelenerek gerekli yerlerde sıkılaştırma yapılabileceği gibi, yapılandırma dosyası hazır bir yazılımla da test edilebilir ve yazılımın raporu doğrultusunda gerekli ayarlamalar yapılabilir.

Sıkılaştırma işleminde kullanılmak üzere pek çok yazılım bulunmaktadır. Bu yazılımlardan bazıları ücretsiz, bazıları ise ücretlidir. Yazının kalan kısmında ücretsiz bir yazılım olan Nipper ile yapılandırma dosyalarının incelenmesi ve güvenlik analizi anlatılacaktır. Ayrıca örnek olarak, IOS işletim sistemiyle çalışan Cisco anahtara ait yapılandırma dosyasının Nipper yazılımı tarafından incelenmesi sonucu ortaya çıkan rapor ve tavsiyeler verilecektir.

Nipper ücretsiz bir yapılandırma dosyası inceleme ve güvenlik analiz yazılımıdır. Nipper yazılımı kullanılarak, bazı ağ cihazlarının yapılandırma dosyaları güvenlik açısından incelenebilir.

Nipper yazılımının desteklediği cihazlar ve işletim sistemleri şunlardır:

  • Cisco IOS işletim sistemine sahip anahtarlar

  • Cisco IOS işletim sistemine sahip yönlendiriciler

  • Cisco CatOS işletim sistemine sahip anahtarlar

  • Cisco PIX güvenlik duvarı

  • Cisco ASA güvenlik duvarı

  • Cisco FWSM güvenlik duvarı

  • Cisco CSS tabanlı içerik servis anahtarları

  • Juniper Netsecreen ScreenOS tabanlı güvenlik duvarı

Güvenlik incelemesinde Nipper, parola ve bağlantı zamanaşımı sürelerini test edebilir. Bu seçenekler nipper komut satırından değiştirilebilmektedir. Seçenekler şunlardır:

  • Zamanaşımı testi

  • En küçük parola uzunluğu testi

  • Parolada büyük harf varlığı testi

  • Parolada küçük harf varlığı testi

  • Parolada sayı varlığı testi

  • Parolada özel karakter varlığı testi

  • Parolalara sözlük saldırısı testi

Nipper, yapılandırma dosyası güvenlik analizinde yapılandırma dosyasında bulunan bazı önemli kısımları incelemektedir. Yapılandırma dosyası güvenlik analizinde Nipper tarafından incelenen ve denetlenen kısımlardan bazıları şunlardır:

IOS tabanlı işletim sistemlerinde:

  • Yazılım versiyonları

  • Varsayılan parolalar

  • Zayıf şifreler

  • OSPF asılama

  • EIGRP asıllama

  • RIP asıllama

  • VRRP asıllama

  • Bağlantı zamanaşımları

  • AUX portu

  • Kaynak yönlendirme

  • Finger servisi

  • http servisi

  • SNMP Versiyon 1 / 2

  • TelnetErişim listeleri

  • Anahtar port güvenliği

  • Kayıt tutma

  • Proxy ARP

  • SSH Protokol versiyonu

  • CDP

  • En düşük parola uzunluğu

  • Bootp

  • IP Unreachables

  • Enable parolası

  • Gizli/Açık parola

  • Banner

PIX/ASA/FWSM: 

  • Bağlantı zamanaşımları

  • Erişim kontrol listeleri

  • SSH protocol versiyonu

  •  

Juniper Netscreen: 

  • Politikalar

  • Bağlantı zamanaşımı

  • Yönetimsel http yönlendirme

  • Yönetim IP numarası

 

 

Nipper Yazılımı ile Örnek Bir Yapılandırma Dosyasını İnceleme

 

Bu kısımda, Nipper yazılımı ile incelenen Cisco anahtara ait yapılandırma dosyası ve bu yapılandırma dosyası ile ilgili güvenlik raporu verilecektir. Örnek Cisco IOS yapılandırma dosyası: 

 

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

hostname Cisco-2950

enable secret 5 $1$xv3v$3syk.LQ9ZwjE4/F5A3Lb37

enable password 7 095C4F4D5D1247000F

username admin password 7 095C4F4D5D1247000F

ip subnet-zero

no ip domain-lookup

cluster enable INTERNET 1

cluster member 2 mac-address 0007.85d7.d456

cluster member 3 mac-address 0007.50ef.f345

cluster member 4 mac-address 0007.8503.3266

cluster member 5 mac-address 0009.7c90.d341 vlan 1

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

interface Loopback0

no ip address

no ip route-cache

interface Port-channel1

interface Port-channel2

interface FastEthernet0/1

description TEST1

switchport access vlan 11

interface FastEthernet0/2

description TEST2

switchport access vlan 6

switchport mode access

interface FastEthernet0/3

description TEST3

switchport access vlan 11

switchport mode access

switchport port-security

shutdown

interface FastEthernet0/4

description TEST4

switchport access vlan 11

switchport mode access

switchport port-security

switchport port-security maximum 4

switchport port-security violation restrict

shutdown

spanning-tree portfast

interface FastEthernet0/5

description TEST5

switchport access vlan 20

switchport mode access

switchport port-security

switchport port-security violation restrict

switchport port-security mac-address 0016.6764.451b

spanning-tree portfast

interface GigabitEthernet0/1

switchport mode trunk

interface GigabitEthernet0/2

interface Vlan1

no ip address

no ip route-cache

shutdown

interface Vlan6

ip address 10.1.1.5 255.255.255.0

ip access -group 15 in

no ip route-cache

ip default-gateway 10.1.1.1

no ip http server

ip access -list extended CMP-NAT-ACL

dynamic Cluster-HSRP deny ip any any

dynamic Cluster-NAT permit ip any any

logging 10.3.1.8

access -list 15 permit 10.1.1.1

access -list 15 permit 10.1.1.34

access -list 15 deny any

snmp-server community commtest1 RO 15

snmp-server community commtest2 RO

snmp-server enable traps snmp authentication linkdown linkup coldstart

snmp-server enable traps config

snmp-server enable traps syslog

snmp-server enable traps entity

snmp-server enable traps rtr

snmp-server enable traps c2900

snmp-server enable traps vtp

snmp-server enable traps MAC-Notification

snmp-server enable traps hsrp

snmp-server enable traps cluster

snmp-server enable traps vlan-membership

line con 0

exec-timeout 0 0

password 7 095C4F4D5D1247000F

login local

line vty 0 4

password 7 095C4F4D5D1247000F

login local

line vty 5 15

access -class 15 in

password 7 095C4F4D5D1247000F

login local

End 

Konfigürasyon dosyası Nipper yazılımı tarafından incelendiğinde aşağıdaki güvenlik sonuç raporu ortaya çıkmıştır.  

Cisco Switch Device Cisco–2950 Security Report

Nipper performed a security audit of the Cisco Switch Cisco-2950 on Thursday March 2008. This report details the security-related issues identified during the security audit, the impact of each issue and any recommendations.

  • Software Version

  • Weak Passwords / Keys

  • Inbound TCP Connection Keep Alives

  • Connection Timeout

  • Simple Network Management Protocol

  • ICMP Redirects

  • Access Control Lists

  • Switch Port Trunking

  • Switch Port Security

  • Proxy ARP

  • Cisco Discovery Protocol

  • BOOTP

  • IP Unreachables

  • Enable Secret

  • Login Banner

  • Maintenance Operations Protocol

Software Version

Observation: It is critically important that software be regularly maintained with patches and upgrades in order to help mitigate the risk of an attacker exploiting a known software vulnerability. Furthermore, additional security features and other functionality are normally added or extended with each software revision.

Nipper determined that the Cisco Switch Cisco-2950 was running the out of date software Internet Operating System (IOS) version 12.1. Some of the known vulnerabilities for this software version are listed in Table 1. 

 

 Description   CVE Reference 
   Bugtraq ID
 ?/ http request denial of service   CVE-2000-0984    1838
 http configuration arbitrary administrative access   CVE-2001-0537    2936
 SSH denial of service   CVE-2002-1024    5114
 2GB http GET buffer overflow   CVE-2003-0647    8373
 http malformed request denial of service   -    10014
 Telnet remote denial of service   CVE-2004-1464    11060
 Ipv4 TCP listener denial of service   CVE-2007-0479    22208
 

 Table 1: Potential software vulnerabilities

It is worth noting that Nipper used the version number detailed in the device configuration to identify the potential vulnerabilities, and patches may have already been applied. Additionally, a specific device configuration may be required in order for device to become vulnerable.

Impact: The vulnerabilities listed in Table 1 could allow an attacker to gain remote administrative access or perform a Denial of Service (DoS) attack.

Ease: Exploit code is widely available on the Internet for known Cisco Switch vulnerabilities.

Recommendation: Nipper strongly recommends that the software be updated and patched to the latest software version. Furthermore, Nipper recommends that the current patch policy be reviewed.

Weak Passwords / Keys

Observation: Strong passwords tend to contain a number of different types of character, such as uppercase and lowercase letters, numbers and punctuation characters. Weaker passwords tend not to contain a mixture of character types. Additionally, weaker passwords tend to be short in length.

Nipper identified two passwords/keys that did not meet the minimum password complexity requirements. These are listed in Table 2.


 Type  Service  Username  Password
 Community  SNMP  (read-only)  commtest1
 Community  SNMP  (read-only)  commtest2
 

Table 2: Weak passwords / keys

Impact: If an attacker were able to gain a password or key, either through dictionary-based guessing techniques or by a brute-force method, the attacker could gain a level of access to Cisco-2950.

Ease: A number of dictionary-based password guessing and password brute-force tools are available on the Internet.

Recommendation: Nipper strongly recommends that the weak passwords be immediately changed to ones that are stronger. Nipper recommends that passwords be made up of at least eight characters in length and contain either uppercase or lowercase characters and numbers.

Inbound TCP Connection Keep Alives

Observation: Connections to a Cisco Switch device could become orphaned if a connection becomes disrupted. An attacker could attempt a DoS attack against a Cisco Switch by exhausting the number of possible connections. Transmission Control Protocol (TCP) keep alive messages can be configured to confirm that a remote connection is valid and then terminate any orphaned connections.

Nipper determined that TCP keep alive messages are not sent for connections from remote hosts.

Impact: An attacker could attempt a DoS by exhausting the number of possible connections.

Ease: Tools are available on the Internet that can open large numbers of TCP connections without correctly terminating them.

Recommendation: Nipper recommends that TCP keep alive messages be sent to detect and drop orphaned connections from remote systems. TCP keep alive messages can be enabled for connections from remote systems using the following command:

service tcp-keepalives-in 

Connection Timeout

Observation: Connection timeouts can be configured for a number of the device services. If a timeout were configured on an administrative service, an administrator that did not correctly terminate the connection would have it automatically closed after the timeout expires. However, if a timeout is not configured, or is configured to be a long timeout, an unauthorised user may be able to gain access using the administrator’s previously logged-in connection.

Nipper identified three connection settings that were not configured to timeout within ten minutes, these are listed in Table 3.

 

 Connection 
  Timeout 
 Console line 0   No Timeout
 VTY lines 0 to 4   No Timeout
 VTY lines 5 to 15   No Timeout
 
 

Table 3: Connections with inadequate timeout periods

Impact: An attacker who was able to gain access to a connection that had not expired, would be able to continue using that connection. A connection could be a console port on the device that was not correctly terminated or a remote administrative connection.

Ease: The attacker would have to gain physical access to the device to use the console port, or gain remote access to an administration machine that is attached to the port. To gain access to remote connections, an attacker would have to be able to intercept network traffic between the client and Cisco-2950. The attacker would then have to take over the connection, which could be very difficult with some services. Tools are available on the Internet that would facilitate the monitoring of network connections.

Recommendation: Nipper recommends that a timeout period of ten minutes be configured for connections to the device Cisco-2950.

Simple Network Management Protocol

Observation: Simple Network Management Protocol (SNMP) is widely used to anne network administrators in monitoring and managing a variety of network devices. There are three main versions of SNMP in use. Versions 1 and 2 of SNMP are secured with a community string, both authenticate and transmit network packets with no encryption. SNMP version 3 provides three authentication methods. SNMP version 3 No-Auth access requires a username to authenticate and provides no encryption. SNMP version 3 Auth access requires a username and the auth keyword, authentication is encrypted but SNMP network packets are transmitted with no encryption. SNMP version 3 Auth and Priv access requires a username, auth and priv keywords. SNMP version 3 Auth and Priv access provides complete encryption of authentication and SNMP network packets.

Nipper determined that SNMP protocol version 1 was configured on Cisco-2950.

Impact: An attacker who was able to monitor network traffic could capture device configuration settings, possibly including authentication details.

Ease: Network packet monitoring and capture tools are widely available on the Internet.

Recommendation: Nipper recommends that, if possible, SNMP version 1 be disabled. Furthermore, Nipper recommends that, if SNMP is required, protocol version 3 be configured with Auth and Priv authentication. SNMP protocol version 1 can be disabled with the following command for each community string:

no snmp-server community <Community String> <RO | RW>

SNMP version 3 Auth and Priv access can be configured with the following commands:

snmp-server group <Group Name> v3 priv
snmp-server user <Username> <Group Name> v3 auth md5 <Auth Keyword> priv <3des | aes 128 | aes 192> <Priv Keyword>

ICMP Redirects

Observation: Internet Control Message Protocol (ICMP) redirect messages allow systems to change the route that network traffic takes. ICMP redirects are usually enabled by default on Cisco devices.

Nipper determined that the device Cisco-2950 had support for ICMP redirects enabled on the network interface Vlan6.

Impact: An attacker could use ICMP redirect messages to route network traffic through their own router, possibly allowing them to monitor network traffic.

Ease: Tools are widely available that can send ICMP redirect messages.

Recommendation: Nipper recommends that, if not required, ICMP redirects be disabled on all network interfaces. ICMP redirects can be disabled on each individual network interface using the following command:
 

no ip redirects

 

Access Control Lists

Observation: Access Control List (ACL) are sequential lists of allow and deny Access Control Entries (ACE) that specify whether network traffic should be allowed or dropped. ACLs are used to restrict access to services and network devices, preventing access to services and devices that should not be accessible.

Nipper identified one insecure ACE. The ACL 15 does not end with a deny all and log

Impact: If ACEs are not sufficiently restrictive, an attacker may be able to access to network devices that should not be accessible. Furthermore, an attacker who had compromised a device could install a backdoor which could listen on a network port that was not filtered.

Ease: N/A

Recommendation: Nipper recommends that all ACLs be configured to only allow access to hosts and services from those hosts that require access. However, in certain circumstances, such as a public web server, a more relaxed configuration may be required to allow any host to access specific hosts and services. Additionally, Nipper recommends that all blocked network traffic be logged.

Switch Port Trunking

Observation: Cisco Switch devices are able to transfer Virtual Local Area Network (VLAN) packets to different network devices, extending a VLAN across different physical devices. In order to extend a VLAN to a different physical device, a trunk has to be created between the devices. Cisco Switch devices default to allowing a trunk to be negotiated on a particular switch port if the connected device will also allow the trunk and supports a common trunking protocol.

Nipper determined that two switch ports allowed a trunk to be negotiated, these are listed in Table 4.

 

 Interface Description
 GigabitEthernet0/1  -
 
 

Table 4: Switch ports that allow trunking

Impact: An attacker who was able to create a trunk would gain direct access to all the VLANs extended over the trunk. This would allow an attacker to bypass any network filtering between the VLANs.

Ease: The attacker would require knowledge of network trunking. However, tools are available on the Internet that can exploit trunking vulnerabilities.

Recommendation: Nipper recommends that, where possible, all switch ports be configured to provide no trunking. If trunking is required on a specific switch port, Nipper recommends that the switch port be configured to trunk only the required VLANs. Switch ports can be configured to provide no trunking on each interface with the following commands:

switchport mode access
switchport nonegotiate

Switch Port Security

Observation: Switch port security enables a Cisco Switch to help prevent unauthorised access to the network by limiting the Media Access Control (MAC) addresses allowed on specific ports. MAC addresses can either be specified for a particular switch accesses can be learned by the Cisco Switch. When port security is configured a variety of actions can be taken when a violation occurs, such as automatically disabling the port.

Nipper identified 6 switch ports that had no port security configured, these are listed in Table 5.

 

  Interface 
  Description
  Port-channel1    –
  Port-channel2    -
  FastEthernet0/1    TEST1
  FastEthernet0/2    TEST2
  GigabitEthernet0/1     -
  GigabitEthernet0/2     -
 
 

Table 5: Switch ports with no port security

Impact: A switch port with no configured port security could allow an attacker to attach an unauthorised device and scan other network attached devices. Depending on the security of the network attached devices, this issue could allow an attacker to perform information gathering, or potentially, gain access to vulnerable devices.

Ease: An attacker would have to gain access to a switch port with no security configured. If the switch port is not directly patched to a wall socket, the attacker would have to gain physical access to the Cisco Switch.

Recommendation: Nipper recommends that, where possible, port security be enabled on all switch ports. Furthermore, Nipper recommends that all switch ports that are not used be shutdown. Switch port security with MAC address learning and port shutdown on a violation can be configured on each interface with the following commands:

switchport port-security

switchport port-security violation shutdown

switchport port-security mac-address sticky

Unused interfaces can be disabled with the following interface command:

shutdown 

Cisco Discovery Protocol

Observation: Cisco Discovery Protocol (CDP) is a proprietary protocol that is primarily used by Cisco, but has been used by others. CDP allows some network management applications and CDP aware devices to identify each other on a Local Area Network (LAN) segment. Cisco devices, including switches, bridges and routers are configured to broadcast CDP packets by default. The devices can be configured to disable the CDP service or disable CDP on individual network interfaces.

Nipper determined that the CDP service had not been disabled, and additionally, had not been disabled on all the active network interfaces.

Impact: CDP packets contain information about the sender, such as hardware model information, operating system version and IP address details. This information would allow an attacker to gain information about the configuration of the network infrastructure.

Ease: CDP packets are broadcast to an entire network segment. An attacker could use one of the many publicly available tools to capture network traffic and view the leaked information.

Recommendation: Nipper recommends that, if not required, the CDP service be disabled on the Cisco device Cisco-2950. If CDP is required, Nipper recommends that CDP be disabled on all interfaces except those that are explicitly required.

The CDP service can be disabled by issuing the following Cisco IOS command:

no cdp run

CDP can be disabled on individual interfaces using the following command:

no cdp enable

In some configurations with IP phones, deployed using either Auto Discovery or Dynamic Host Configuration Protocol (DHCP), the CDP service may need to be enabled. In this situation CDP should be disabled on all network interfaces for which it is not required.

BOOTP

Observation: BOOTstrap Protocol (BOOTP) is a datagram protocol that allows compatible hosts to load their operating system over the network from a BOOTP server. Cisco routers are capable of acting as BOOTP servers for other Cisco devices and the service is enabled by default. However, BOOTP is rarely used and may represent a security risk.

Nipper determined that BOOTP was not disabled. However, it is worth noting that not all Cisco devices support BOOTP.

Impact: An attacker could use the BOOTP service to download a copy of the router’s IOS software.

Ease: Tools are available on the Internet to access BOOTP servers.

Recommendation: Nipper recommends that, if not required, the BOOTP service be disabled. The following command can be used to disable BOOTP:

no ip bootp server

IP Unreachables

Observation: ICMP IP unreachable messages can be generated by a Cisco device when a host attempts to connect to a non-existent host, network, or use an unsupported protocol. ICMP IP unreachable messages will let the connecting host know that the host, network or protocol is not supported or cannot be contacted. Therefore, the host does not have to wait for a connection time-out. ICMP IP unreachable messages are normally enabled by default on Cisco devices and must be explicitly disabled.

Nipper determined that the Cisco device Cisco-2950 had ICMP IP unreachable messages enabled on the interface Vlan6.

Impact: An attacker who was performing network scans to determine what services were available would be able scan a device more quickly.

Ease: Tools are available on the Internet that can perform a wide variety of scan types.

Recommendation: Nipper recommends that, if not required, IP unreachables be disabled on all network interfaces. However, whilst disabling IP unreachables will not stop scans, it does make it more difficult for an attacker. The IP unreachables option is disabled or enabled individually for each network interface. It can be disabled with the following command:

no ip unreachables

Enable Secret

Observation: Cisco IOS-based device enable passwords can be stored using an iterated MD5 hash, which is far stronger than the easily reversible Cisco type-7 encryption.

Nipper identified one enable password that was not stored using the MD5 hash.

Impact: An attacker could use an enable password from a Cisco device to access the device and possibly modify its configuration.

Ease: An attacker who had accessed to the Cisco configuration file would easily be able to retrieve passwords that are stored in clear-text or using the Cisco type-7 encryption. However, an attacker who had accessed to a Cisco configuration file could brute-force any stronger MD5 passwords.

Recommendation: Nipper recommends that all enable passwords be stored using the MD5 hash. Enable passwords can be stored using the MD5 hash with the following Cisco IOS command:

enable secret

Login Banner

Observation: A banner message can be shown to users who connect to one of the remote management services, such as Telnet. Typically banner messages will include information on the law with regard to unauthorised Banner to the device, warning users who do not have the authority to Banner the device about the consequences.

Nipper determined that no login banner was configured.

Impact: Attackers who have gained Banner to a device could avoid legal action if no banner is configured to warn against unauthorised Banner.

Ease: N/A

Recommendation: Nipper recommends that a banner be configured that warns against unauthorised Banner. Banners are configured on Cisco devices using a delimiter character. A delimiter character is specified in the banner command and is used again to mark the end of the banner. The Cisco command to add a login banner, that is presented to users prior to authentication, is:

banner login <delimiter>The banner text<delimiter>

Sonuç

Raporda da görüldüğü gibi Nipper yazılımı, yapılandırma dosyası hakkında ayrıntılı bir güvenlik analizi yapmaktadır. Cihaz yazılımında tespit edilen açıklıklara ait bilgiler vermekte, şifre testi yapmakta ve servislere ilişkin tavsiyelerde bulunmaktadır. Yaptığı bu analiz neticesinde elde ettiği bulguları ve bu bulgulara ilişkin tavsiyeleri sonuç raporuna yansıtmaktadır. Nipper tarafından desteklenen cihazlara ait yapılandırma dosyasının incelenerek, verilen tavsiyelerle sıkılaştırma yapılması sistem güvenliği adına bir katkıda bulunacaktır. 

Yazar: ceyhun çamlı Cisco, Security | Etiketler: , , , , , , ,

ROUTER IOS Kurtarma (IOS Recovery)

07 Oca
2010
Yorum
Yap
Merhaba şu sıralar oldukça yoğunum ve makale yazmaya çok fazla zaman ayıramıyorum. Ama iki hafta önce danışmanlık yaptığım firmalardan birisinin bilgi işlem departmanında çalışan ve işe yeni başlamış meraklı bir arkadaşın Router'ın IOS'unu yanlışlıkla silmesi gibi bir durumla karşılaştım (gerçi bu da bir başarı ama :) ) ve bunu üzerine bu konuyla ilgili kısa bir makale yazmaya karar verdim. Öncelikle IOS'un ne olduğunu bilmeyen arkadaşlar için küçük bir tanımlama ve Router'ın basit bir biçimde boot etme sürecini anlatıp asıl konumuza geçeceğim. IOs'la başlayalım.
 
IOS (Internetworking Operating System)
 
Cisco router’lar tıpkı bilgisayarlar gibi bir işletim sistemine ihtiyaç duyarlar. İşte cisco router’ların işletim sistemi IOS’dır. Cisco IOS, Cisco router’ların konfigure edilmesi, bakımının yapılması vb işlemler için komutları içerir.
 
Router’lar PC’ler gibi hesaplama ağırlıklı işlemler yapan aygıtlardır. Cisco router’lar özellikle karmaşık formüller ve kriterleri işleyerek en uygun yolu hesaplarlar. Onun dışında router’ın interface’lerinin yönetimi gibi temel işlemleri yerine getirir.
 
Cisco IOS komut setinin yanı sıra dosya kaydetmek için bir dizi araca sahiptir.
 
IOS bize CLI adı verilen text görünümünde bir arayüz sunar. Bu arayüze üç farklı şekilde ulaşabiliriz.
 
  • Consol Port
  • Auxilary Port
  • Telnet
Rouer’ın Açılması
 
Router açıldığında bir dizi işlemi yerine getirir. Buna “boot sequence” denir. Boot işlemi sırasında donanım test edilir ve IOS yüklenir.
 
Boot sequence aşağıdaki adımları içerir:
 
  1. Router POST işlemini yerine getirir. POST işlmei sırasında donanım test edilir ve bütün bileşenleri kontrol edilir. POST prosedürleri ROM’da saklıdır ve ROM’dan çalıştırılır.
  2. Bootstrap işlemi Cisco IOS yazılımını arar ve yükler. Bootstrap, ROM’da duran bir işletilebilir programdır. Varsayım olarak IOS yazılımı flash bellekten yüklenir.
  3. IOS yazılımı geçerli bir konfigürasyon dosyası için NVRAM’a bakar. Bu dosya startup-config dosyasıdır.
  4. NVRAM içinde startup-config dosyası varsa, router onu RAM2a yükler ve çalıştırır. Bu aşamada router çalışabilir durumdadır. NVRAM’de startup-config dosyası yoksa router setup moduna geçer.
 
NOT: RAM’deki konfigürasyon dosyası NVRAM’a kaydedilmezse, Router’ın kapatılması durumunda çalışan konfigürasyon bilgileri kaybolur.
 
Boot İşleminin Ayrıntıları:
 
Router açıldığında POST işlemiyle donanımın temel bileşenleri kontrol edilir. Ardından ROM’daki mini IOS başlatılır. Mini IOS, Router’ın flash belleğindeki asıl IOS’u RAM’e yükler.
 
Bu süreç yapılan müdahalelerle değiştirilebilir. Bu değişikliklerden birisi ROM Monitor’ü kullanmaktır. Router açılışta Ctrl+Break tuşu ile kesilir ve ROM Monitor moduna geçilir. ROM Monitor, diğer bir özel IOS’dur. Router’ın boot sırasının değiştirilmesini ve password recovery olarak bilinen işlemin yapılmasını sağlar. Password Recovery işlemini başka bir makalede anlatacağım için bu konunun detaylarına şimdilik girmiyorum.
 
Kısaca IOS’dan ve Boot sürecinden bahsettikten sonra IOS Recovery (kurtarma) işleminin nasıl yapılacağına geçmek istiyorum.
 
Öncelikle bir TFTP Server’a sahip olmanız gerekiyor. Benim önerim 3CDaemon'un TFTP Server’ını kullanmanız yönünde olacaktır.
 
Yanlışlıkla ya da sadece öğrenme amacıyla  IOS’unu sildiğiniz Router’ı başlatın. IOS olmadığı için Router, kısıtlı IOS’u yükleyecek ve Rommon moda düşecektir.
Bu moda aşağıdaki bilgileri giriyoruz.
 
Rommon1> IP_ADDRESS=192.168.1.2.    (Routerın IP adresi)
Rommon2> IP_SUBNET_MASK=255.255.255.0
Rommon3> DEFAULT_GATEWAY=192.168.1.1
Rommon4> TFTP_SERVER=192.168.1.1   (Bilgisayarın IP adresi)
Rommon5> TFTP_FILE=xyz .bin        (Bilgisayarındaki IOS'un dosya ismi)
 
IOS kopyalama işlemini başlatmak için aşağıdaki komutu yazıyoruz ve enter diyoruz.
 
Rommon6> tftpdnld
 
NOT: Yüklenecek IOS dosyasının büyüklüğü Router’ın RAM’ından büyük olması durumunda kopyalama işlemi başarısız olacaktır…
 
IOS yüklemesi tamamlandıktan sonra reset komutuyla routerımızı yeniden başlatıyoruz ve işlemimiz tamamlanmış oluyor.
 
Umarım yararlı olmuştur. Herkese iyi çalışmalar.
Yazar: ceyhun çamlı Cisco | Etiketler: , , , , , , , ,

Cisco Router Configuration (Konfigürasyon) Komutları

02 Tem
2009
Yorum
Yap

Merhaba arkadaşlar bu yazımda Cisco Router konfigürasyon komutlarını nasıl kullanacağımızı Gereksinim ve bu gereksinimin karşılanması için yazmamız gereken komutları kullanarak anlatmayı düşünüyorum.

Gereksinim : Console Password’ü düzenlemek

Router (config)#line con 0

Router (config-line)#login

Router (config-line)#password cisco

 

Gereksinim : Bir telnet password’ü düzenlemek

Router (config)#line vty 0 4

Router (config-line)#login

Router (config-line)#password cisco

 

Gereksinim : Password kullanmak

Router (config)#enable password cisco

Gereksinim : Secret password to ceyhun

Router (config)#enable secret ceyhun

Gereksinim : Bir interface’i enable etmek

Router (config-if)#no shutdown

Gereksinim : Bir interface’i disable etmek

Router (config-if)#shutdown

Gereksinim : Router  için clock rate düzenlemek (64K)

Router (config-if)clock rate 64000

Gereksinim : Serial Interface’e bir logical bandwidth ataması

Router (config-if)bandwidth 64

Gereksinim : Bir Interface’e IP adresi atamak

Router (config-if)#ip addr 172.64.0.0 255.255.0.0

Gereksinim : 172.64.0.0 bütün interface’lerde RIP’i enable etmek

Router (config)#router rip

Router (config-router)#network 172.64.0.0

 

Gereksinim : RIP’i  disable etmek

Router (config)#no router rip

Gereksinim : Bütün interface’lerde IGRP’yi enable etmek

Router (config)#router igrp 200

Router(config-router)#network 172.16.0.0

Gereksinim : IGRP’yi disable etmek

Router (config)#no router igrp 200

 

Gereksinim : Statik route eklemek

Router (config)#iproute 172.1.1.0 255.255.0.0 172.1.2.0

 

Gereksinim : CDP’yi disable etmek

Router (config)#no cdp run

 

Gereksinim : Bütün router için CDP’yi disable etmek

Router (config)#cdp run

 

Gereksinim : Bir interface üzerinde CDP’yi disable etmek

Router (config)#no cdp enable

 

SHOW Komutları

 

Gereksinim : Version bilgisini görüntülemek

show version

 

Gereksinim : Mevcut konfigürasyonu görmek (DRAM)

show running-config

 

Gereksinim : IOS dosyasını ve flash alanını görmek

show flash

 

Gereksinim : Bellekteki tüm logları görmek

show log

 

Gereksinim : interface e0′ın durumunu görmek

show interface e0

 

Gereksinim : Router’ın bütün interface’lerini görmek

show ip interfaces brief

 

Gereksinim : s0 üzerindeki serial kablo türünü görmek

show controllers s0

 

Gereksinim : Bağlı cdp aygıtlarını görmek

show cdp neighbor

 

Gereksinim : Bütün aygıtlar hakkında bilgi almak

show cdp entry *

 

Gereksinim : IP Routing tablosunu görüntülemek

show ip route

 

Gereksinim : Access-listleri görmek

show access-lists

 

Gereksinim : ISDN switch’i gören router’ı görmek

show isdn status

 

Gereksinim : Frame Relay PVC bağlantılarını kontrol etmek

show frame-relay pvc

Gereksinim : lmi trafik durumunu görmek

show frame-relay lmi

 

Temel İşlemler

 

Gereksinim : Priveleged Moda geçmek

enable

 

Gereksinim : Priveleged moddan user moda dönmek

disable

 

Gereksinim : Router’dan çıkmak

Logout

Exit

Quit

 

Gereksinim : Son komuta geri dönmek

Yukarı ok ya da <Ctrl+P>

 

Gereksinim : Bir sonraki komuta gitmek

Aşağı ok ya da <Ctrl-N>

 

Gereksinim : Bekletmek ya da çıkmak

<Shift>+<Ctrl>+6 then x

 

Gereksinim : Çıktı ekranını tazelemek

<Ctrl-R>

 

Gereksinim : Komutu tamamlamak

Tab

 

COPY Komutları

 

Gereksinim : Mevcut konfigürasyonu DRAM’dan NVRAM’a kopyalamak

Copy running-config startup config

 

Gereksinim : NVRAM konfigürasyonunu DRAM’a merge etmek (kopyalamak)

Copy startup-config running config

 

Gereksinim : DRAM konfigürasyonunu bir TFTP server’a kopyalamak

Copy running-config tftp

 

Gereksinim : TFTP konfigürasyonunu DRAM’da duran mevcut konfigürasyona merge etmek

Copy tftp running-config

 

Gereksinim : IOS’u bir TFTP server’a yedeklemek

Copy flash tftp

 

Gereksinim : Router IOS’u bir TFTP server’dan uıpgrade etmek

Copy tftp flash

DEBUG Komutları

 

Gereksinim : RIP için debug’ı enable etmek

Debug ip rip

 

Gereksinim : Bütün debugging işlemlerini kapatmak

 No debug all ya da undebug all

Ve yazımızın sonuna geldik. Umarım faydalı olmuştur.

Yazar: ceyhun çamlı Cisco | Etiketler:

Cisco Sertifikaları

31 Mar
2009
Yorum
Yap

Network alanında ilerlemek isteyen BT profesyonelleri Cisco’nun sertifikasyon programı ile bilgi ve tecrübe sahibi olurlar. Cisco sertifikalı BT profesyonelleri, network planlamasında, ağ yönetiminde, danışmanlıkta, network kuruluş ve destek aşamalarında bilgi sahibi olurlar.

Cisco sertifikasyonları, kişilere iş hayatında anında kullanabilecekleri ve hayata geçirebilecekleri bilgi ve becerileri kazandırır. Laboratuvar çalışmaları ve gerçek hayata dayalı proje örnekleri yapıldığı için bireyler is hayatina çok hizli bir sekilde adapte olabilirler.

CCNA:

Cisco Certified Network Associate (CCNA) sertifikasi, kisinin Cisco network araçlarini yönetebilecegini ve en verimli sekilde çalistirabilecegini gösterir.

Cisco Certified uzmanlar, network altyapilarini en verimli sekilde dizayn etmek, kurmak, iletisimi sürekli kilmak, performansi arttirmak ve altyapidan kaynaklanan problemleri -olusmadan- çözerek toplam network maliyetini düsürmek için gerekli uzmanliga sahip olduklarini ispatlamis network profesyonelleridir.

CCNA sertifikasyonu için ICND(Interconnecting Cisco Network Devices) egitimi alinmalidir. Bu egitim sonunda 640-607 kodlu CCNA sinavi verilmelidir.

CCNP:

CCNP sertifikasyonu için, ICND, BSCN(Building Scalable Cisco Networks), BCMSN(Building Cisco Multilayer Switching Networks), BCRAN(Building Cisco Remote Access Networks), CIT(Cisco Internetwork Troubleshooting) egitimleri alinmalidir.

CCIE:

Dünya’da son derece az sayida olan CCIE’ler network konusunda dünyaca taninmis otoritelerdir. CCIE sertifikasyonu için verilmesi gereken zorlu sinavi asabilmek için, CCNP serifikasyonunun ardindan en az 2 yillik yogun tecrübe gerekmektedir.

Cisco Sertifikalarinin tam listesi
CCDA (Cisco Certified Design Associate)

CCNA (Cisco Certified Network Associate) Professional

CCDP (Cisco Certified Design Professional)

CCIP (Cisco Certified Internetwork Professional)

CCNP (Cisco Certified Network Professional)

CCSP (Cisco Certified Security Professional)

CCIE (CCIE Communications and Services)

CCIE Routing and Switching

CCIE Security

CCIE Voice Specialist

Cisco Cable Communications Specialist 1

Cisco Content Networking Specialist

Cisco Firewall Specialist

Cisco IDS Specialist

Cisco IP Telephony Design Specialist

Cisco IP Telephony Operations Specialist

Cisco IP Telephony Support Specialist

Cisco Multiservice Switching Specialist

Cisco MxU Specialist

Cisco Optical Specialist 1

Cisco VPN Specialist

Cisco Wireless LAN Design Specialist

Cisco Wireless LAN Support Specialist

Cisco kariyer sertifikasyonlarina sahip olmak neden önemli?

Internet’in %85′inin Cisco networking çözümleri üzerinde çalistigi günümüzde, kurumsal firmalarin tamamina yakini network altyapilari için Cisco çözümlerini kullanmaktadir.
En küçügünden milyonlarca USD’lik network altyapilarina sahip en büyük firmalara kadar her kurum için network çözümleri yasamsal öneme sahiptir. Bu yüzden kurumlar network altyapilarini tecrübelerine güvenebilecekleri profesyonellere teslim etmek istemektedirler. Dolayisiyla networking alaninda ilerlemek isteyenlerin Cisco sertifikalarina sahip olmalari beklenmektedir.

Cisco sertifikasyonlari, tüm dünyada networking profesyonellerine olan yüksek talebi karsilayabilmek için hazirlanmis ve çesitli seviyelerde network uzmanlari yetistirmek için planlanmistir.

Cisco Certified uzmanlar, network altyapilarini en verimli sekilde dizayn etmek, kurmak, iletisimi sürekli kilmak, performansi arttirmak ve altyapidan kaynaklanan problemleri -olusmadan- çözerek toplam network maliyetini düsürmek için gerekli uzmanliga sahip olduklarini ispatlamis network profesyonelleridir.

Bu yüzden Cisco sertifikalari, IT endüstrisinde yöneticiler tarafindan kalite göstergesi olarak kabul edilen ve en fazla itibar gören networking uzmanlik sertifikalaridir.
Cisco sertifikalarina sahip olmanin kurumunuza ve size katkilari nelerdir?

Cisco sertifikali IT profesyonelleri, network planlamasinda, ag yönetiminde, danismanlikta, network kurulus ve destek asamalarinda en üst düzeydeki bilgileriyle mükemmel projelerin mimari olurlar. Böylece çok daha kisa sürede, çok daha az maliyetle, daha saglikli ve verimli sonuçlar alinmasini saglarlar.

Cisco sertifikali IT profesyonelleriyle çalisan kurumlar, rekabet güçlerini yükseltebilmek için, çagin gerektirdigi bilisim altyapisini en iyi sekilde olusturabilirler.
Cisco sertifikali IT profesyonelleriyle çalisan kurumlar, sürekli gelisen teknolojiyi yakindan izlemek, yeni teknolojilerin is ihtiyaçlarina katkisini analiz etmek ve uygulanabilirligi olan çözümleri en kisa sürede kuruma entegre etmek için gereken vizyona sahip olurlar.

Kurumlar, sertifikali profesyonellerle çalistiklari sürece bilisim altyapisinda olusan problemlerden kaynaklanabilecek her türlü is ve para kaybini engellemek için gerekli kaynaklara sahiptirler.

Sertifikali profesyonellerle çalisan kurumlar, ihtiyaçlarina karsi düsen çözümleri çok daha iyi planlayarak birlikte çalistiklari çözüm ortaklarindan en yüksek verimi elde edebilirler.

Cisco sertifikalari, IT profesyonellerinin endüstrinin taleplerini karsilayabilecek uzmanlar olduklarini kanitlar.
Cisco sertifikalari, tüm dünyada yöneticiler tarafindan uzmanlik ve kalite göstergesi olarak kabul edilmistir.
Cisco sertifikali profesyoneller çalistiklari kuruma en yüksek katkiyi saglayarak daha üst düzey gelir ve sorumluluk sahibi olurlar.

Cisco sertifikali profesyonelleri, tüm dünyaya yayilmis diger network uzmanlari ile sürekli temas içinde olup diger ülkelerdeki örnek projeleri yakindan izleyebilirler.
Cisco sertifikali profesyoneller, her yil gerçeklesen ve tüm dünyadan konularinda en üst düzeyde uzmanlasmis network mühendislerinin katildigi networkers toplantisina davet edilirler. Bu toplantilara katilarak 300′den fazla ileri teknoloji semineri arasindan seçim yapmak ve ilgilenilen konularda sürekli önde kalmak mümkündür

Yazar: ceyhun çamlı Cisco | Etiketler:

Ağ ve Sanallaştırma Tek Platformda

28 Mar
2009
Yorum
Yap

Cisco, veri merkezlerindeki kaynakları birbirine bağlayarak bilgisayarları, ağı, depolamaya erişimi ve sanallaştırma kaynaklarını tek sistemde toplayan Unified Computing mimarisini duyurdu. Şirketin Data Center 3.0 stratejisi açısından da önemli bir adım olan Unified Computing mimarisi, hem enerjinin etkin kullanımını sağlıyor, hem de veri merkezinin toplam maliyetini düşürerek iş verimliliğini artırıyor.

Unified Computing sistemi, veri merkezi alt yapısına mimari bir yaklaşım getiriyor ve sanallaştırmanın önemli avantajlarının kullanılmasını sağlıyor. Bu sistem ile bilgi işleme, ağ, depolama erişimi ve sanallaştırmayı modüler bir mimari ile bir araya getirerek tek bir noktadan yönetmek mümkün olabiliyor.

Bu duyuru ile veri merkezi portföyünü genişleten Cisco, müşterilerinin Unified Computing mimarisine geçişini hızlandırmak için bu hizmetlerin bir arada sunulacağı bir paketin hazırlığı içerisinde. Cisco ayrıca, Unified Computing mimarisi konusunda endüstri liderleriyle de işbirliği yapıyor.

Cisco’nun Sunucu Erişim ve Sanallaştırma İş Birimi Başkan Yardımcısı Mario Mazzola, “Bu mimari değişimi ile veri merkezinin verimliliğini artırdık ve sanallaştırmayı yeni bir seviyeye taşıyarak dinamik bir model geliştirdik” diyor.

IDC’de Kurumsal Altyapı, Tüketici ve Telekom Araştırmalarından Sorumlu Başkan Yardımcısı Vernon Turner ise şöyle diyor: “Cisco’nun Unified Computing sistemi, veri merkezi sorunlarının çözümünde yeni bir sayfa açıyor. Bu yaklaşım, sanallaştırılmış ortamların ölçeğini ve performansını yükseltirken veri merkezlerinde de verimliliği artırıyor.”

Cisco Unified Computing sisteminin sunduğu avantajlar:
İşletmelerin veri merkezlerine sahip olma maliyetini, yatırım harcamalarında (CAPEX) yüzde 20’ye ve operasyonel giderlerde (OPEX) yüzde 30’a kadar düşürüyor.
BT verimliliği ve iş etkinliğini artırarak uygulama sürelerinin günlerden dakikalara düşmesini sağlıyor. Bilgi İşlem ekiplerinin bakıma harcadığı zamanı da minimuma indiriyor.
Karmaşık yapıların tek merkezden yönetimini sağlayarak hem süreçleri yalınlaştırıyor, hem de ölçeklenirliği artırıyor.
Kullanılan enerjiyi ve iklimlendirme maliyetlerini azaltarak verimlilik sağlıyor.
Endüstri standartlarına dayanan mimari sayesinde uygulamaların bir arada çalışmasına imkan vererek sistem yatırımlarında devamlılığı sağlıyor.

Yazar: ceyhun çamlı Cisco | Etiketler:
« Önceki Yazılar