aktif cihaz güvenliği eğitimi - mehmetbertankilic.com · • port güvenliği • olay...
TRANSCRIPT
![Page 2: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/2.jpg)
Bilgi Güvenliği Hakkında Genel Kavramlar
![Page 3: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/3.jpg)
Bilgi Güvenliği
3
![Page 4: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/4.jpg)
Bilgi Güvenliği
4
![Page 5: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/5.jpg)
Bilgi Güvenliği
5
Ne kadar değerli bilgimiz varsa o kadar önlem almalıyız. Veri değerli değilse büyük güvenlik önlemleri almaya da gerek yoktur.
Bilgisayarımızı, ağımızı veya ağımızdaki bir servisimizi korumak için ne kadar güvenlik önlemi almalıyız?
![Page 6: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/6.jpg)
Aktif Cihaz Kavramı ve Ağ Tasarımı
![Page 7: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/7.jpg)
• VLAN
• Kimlik doğrulama
• Port güvenliği
• Olay kayıtları
• Servis güvenliği
• Güvenli yönetim…
Anahtarlama Cihazları
7
• 10/100/1000 Mbps , 1/10 Gbps
• Bakır, fiber
• OSI:2. ve 3. katman
Yerel alan ağlarında temel iletişimi sağlayan cihazlar
İzlenebilirlik, güvenlik, ölçeklenebilirlik ve yedeklilik
Barındırdığı güvenlik mekanizmaları
![Page 8: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/8.jpg)
• Yetkilendirme
• Kayıt tutma
• Güvenli erişim
• Yönlendirme protokollerinin güvenliği
Yönlendirici
8
• Saldırıya uğrama olasılığı en fazla
• IP seviyesi Giriş/Çıkış noktası
Mimarinin en dışında bulunan varlık
Dikkat edilmesi gereken bazı güvenlik noktaları
![Page 9: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/9.jpg)
VPN Cihazları
9
• Gizlilik, bütünlük, kimlik doğrulama ve inkâr edememe
• IPSEC, PPTP, L2TP, SSL
• Yazılım veya donanım tabanlı
Güvensiz ağlar üzerinde güvenli olarak haberleşme
![Page 10: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/10.jpg)
Güvenlik Duvarı
10
• Farklı güvenlik seviyesine sahip ağlar
• IP/Port bazlı kısıtlama
• Kural tablosu
• Servislere ilişkin kayıtlar
Ağ trafiğinin kontrolü
![Page 11: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/11.jpg)
İçerik Kontrolcüsü
11
• Kelime veya konu tespiti
• HTTP, FTP, SMTP ve POP3 filtreleme
• Açık kaynak kod: Squid
Verilerin içerisindeki zararlı içeriklerin tespiti
![Page 12: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/12.jpg)
Saldırı Tespit/Engelleme Sistemleri
12
• İmza tabanlı
• Açık kaynak kod: Snort, Suricata
Saldırı tespiti ve engellemesi
![Page 13: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/13.jpg)
Tek Yönlendiriciden Oluşan Mimari
13
![Page 14: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/14.jpg)
Tek Güvenlik Duvarından Oluşan Mimari
14
![Page 15: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/15.jpg)
Tek Güvenlik Duvarı ve Tek DMZ’den Oluşan Mimari
15
![Page 16: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/16.jpg)
Tek Güvenlik Duvarı ve Çok DMZ’den Oluşan Mimari
16
![Page 17: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/17.jpg)
Çift Güvenlik Duvarı ve Çok DMZ’den Oluşan Mimari
17
![Page 18: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/18.jpg)
STS’nin İletişim Altyapısı Güvenliğindeki Yeri
18
![Page 19: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/19.jpg)
SES’nin İletişim Altyapısı Güvenliğindeki Yeri
19
![Page 20: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/20.jpg)
İçerik Kontrolcüsü Konumlandırılması
20
![Page 21: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/21.jpg)
VPN Cihazının Konumlandırılması
21
![Page 22: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/22.jpg)
Yedekli Güvenlik Duvarları ve Çok DMZ’den Oluşan Dağıtık Yapıda Mimari
22
![Page 23: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/23.jpg)
DDoS: Korunmaya Yönelik Mimari
23
![Page 24: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/24.jpg)
Temel Ağ Teknolojileri
![Page 25: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/25.jpg)
HUB
25
• Elektriksel çoklama
• Bandgenişliği paylaşımı
• Aynı çarpışma (collision) ortamı
OSI 1.katman
![Page 26: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/26.jpg)
Anahtarlama Kavramı
26
• MAC adresine göre yönlendirme
• Çarpışma (collision) ortamı bölünür
• Aynı yayın (broadcast) ortamı
OSI 2.katman
![Page 27: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/27.jpg)
Anahtarlama Kavramı
27
• MAC adresine göre yönlendirme
• Çarpışma (collision) ortamı bölünür
• Aynı yayın (broadcast) ortamı
OSI 2.katman
![Page 28: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/28.jpg)
Anahtarlama Teknikleri
28
Gelen çerçevenin hedefini anlar anlamaz çerçevenin tamamını alıp hata kontrolü yapmadan çerçeveyi hedefe yönlendirir.
Cut-through
Gelen çerçevenin tamamını alır, hata kontrolünü yapar ve hata yoksa hedefe gönderir.
Store-and-forward
İlk önce Store-and-forward olarak başlamakta eğer ağda hata yoksa Cut-through olarak devam etmektedir.
Fragment-free
![Page 29: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/29.jpg)
STP Protokolü
29
• IEEE 802.1d
• BPDU paketleri
• Bridge ID
• Root bridge seçimi
• Blocking, Listening, Learning, Forwarding ve Disabled modları
Çevrim içermeyen bir yapı oluşturarak paketlerin ağda sonsuz dolaşmasını engeller
![Page 30: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/30.jpg)
VLAN Kavramı
30
• Güvenlik
• Performans
Aynı fiziksel yapı üzerinde mantıksal alt ağlar oluşturma
Farklı VLAN’larda bulunan kullanıcıların birbirleriyle haberleşmesi için L3 yönlendirme gereklidir.
![Page 31: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/31.jpg)
VLAN Üyelik Modları
31
![Page 32: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/32.jpg)
Trunk Kavramı
32
• Hangi VLAN’lar taşınmalı?
• Dinamik trunking özelliği
• VTP ve benzeri protokollerin güvenliği
Farklı VLAN’ların aynı hat üzerinden taşınması
![Page 33: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/33.jpg)
Subnetting
33
32 bit, 8 bayt, oktet
IP
![Page 34: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/34.jpg)
3.Katman Anahtarlama Cihazları
34
VLAN sonlandırma ve paket yönlendirme kapasitesi
Omurga anahtarları
![Page 35: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/35.jpg)
Fiziksel Güvenlik
![Page 36: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/36.jpg)
Fiziksel Güvenlik
36
• Cihaz, fiziksel çarpma veya düşme gibi olaylara maruz kalmaması için kabinet içerisinde muhafaza edilmelidir.
• Sistem odasına sadece yetkili kişilerin girmesine izin verecek kilit, manyetik kart, parmak izi gibi kimlik doğrulama mekanizması konulmalıdır.
• Olumsuz yönde etkileyecek elektromanyetik işaretlerin bulunduğu bir ortamda tutulmamalıdır.
• Cihazın bulunduğu ortamda nem ya da yüksek ısı olmamalı ve bunlar klima gibi cihazlarla sürekli belli değerlerde tutulmaya çalışılmalıdır.
Fiziksel erişimle cihazın çalışmasını engelleme, yapılandırmasını değiştirme veya dinleme imkânına da sahip olunabilir
![Page 37: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/37.jpg)
Aktif Cihaz Sıkılaştırması
![Page 38: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/38.jpg)
Parola Güvenliği
38
• Anlamlı olmalıdır (hatırlanmalı!)
• Yazılı olarak saklanmamalıdır.
Tahmin edilmesi zor ve karmaşık parolalar kullanılmalıdır.
Parolalar sistemi korur, kullanıcılar da parola korumalıdır.
Parolalarını şifreleme özelliği etkin hale getirilmelidir.
Varsayılan kullanıcı adı/parolalar değiştirilmelidir.
![Page 39: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/39.jpg)
Parola Sıfırlamanın Etkisizleştirilmesi
39
(config)# no service password-recovery
ROMMON modunda NVRAM üzerinden parola sıfırlama yönteminin engellenmesi mümkündür
![Page 40: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/40.jpg)
İşletim Sistemi Güvenliği ve Açıklık Kontrolü
40
# show version
Güncellenmemiş işletim sistemleri saldırılara karşı savunmasızdır ve işletim sistemi “bug”larından doğrudan etkilenmektedir.
Güncellemelerin nasıl ve ne zaman yapılacağına dair bir politika dokümanı oluşturulmalıdır.
Yapılandırmalarının yedekleri düzenli bir şekilde alınmalı ve şifreli bir alanda tutulmalıdır.
![Page 41: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/41.jpg)
İşletim Sistemi Güvenliği ve Açıklık Kontrolü
41
![Page 42: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/42.jpg)
İşletim Sistemi Güvenliği ve Açıklık Kontrolü
42
# show version
Güncellenmemiş işletim sistemleri saldırılara karşı savunmasızdır ve işletim sistemi “bug”larından doğrudan etkilenmektedir.
Güncellemelerin nasıl ve ne zaman yapılacağına dair bir politika dokümanı oluşturulmalıdır.
Yapılandırmalarının yedekleri düzenli bir şekilde alınmalı ve şifreli bir alanda tutulmalıdır.
![Page 43: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/43.jpg)
Bağlantı Şekilleri ve Kimlik Doğrulama
43
Konsol, Telnet, HTTP, SSH, SSL
Farklı bağlantı şekilleri
Varsayılan olarak açık gelen servisler kullanılmıyorsa kapatılmalı
Mümkünse SSH, HTTPS gibi daha güvenli protokoller kullanılmalı
Bütün bağlantı şekilleri için kimlik doğrulama etkinleştirilmelidir.
![Page 44: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/44.jpg)
Bağlantı Şekilleri ve Kimlik Doğrulama
44
Radius, TACACS+ (cisco spesifik)
Merkezi kimlik doğrulama ve yetkilendirme
![Page 45: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/45.jpg)
RADIUS ve TACACS+
45
AAA: Doğrulama, Yetkilendirme ve Aktivite izlenmesi
Kolay yönetim ve denetim
![Page 46: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/46.jpg)
RADIUS: Yapılandırma
46
(config)# ip domain-name sirket.com.tr
(config)# radius-server host 10.0.0.1
(config)# radius-server key xxxxxxxxxxxxxxxxx
(config)# aaa group server radius NPSSERVER
(config-sg-radius)# server 10.0.0.1
(config-sg-radius)# exit
(config)# aaa authentication login default group NPSSERVER local
(config)# aaa authorization exec default group NPSSERVER local
(config)# exit
Yapılandırma
![Page 47: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/47.jpg)
TACACS+: Yapılandırma
47
(config)# username user61 password GUESSINGinTHErain
(config)# access-list 61 permit 192.168.61.0 0.0.0.255
(config)# access-list 61 permit 172.17.0.0 0.0.255.255
(config)# access-list 61 deny any log
(config)# aaa new-model
(config)# tacacs-server host 192.168.61.61
(config)# tacacs-server host 172.17.61.61
(config)# tacacs-server key DONTevenTRYtoGUESS
(config)# aaa authentication login TELNET_CON group tacacs+ local
(config)# line vty 0 4
(config)# access-class 61 in
(config)# login authentication TELNET_CON
Yapılandırma
![Page 48: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/48.jpg)
Karşılama Mesajı
48
• İlgili aktif cihaza sadece yetkili kişilerin erişme yetkisinin olduğunun,
• Adli soruşturma ya da mahkemede delil olması için aktif cihazlara yapılan yetkisiz erişimlerin kayıtlarının tutulduğunun,
• Aktif cihaza yapılan yetkisiz erişimlerin kanun dışı olduğu ve bunun hukuken ceza almaya sebep olduğunun belirtilmesi önerilmektedir.
Uyarıcı ve caydırıcı olmalı
(config)# banner motd
![Page 49: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/49.jpg)
Konsol ve Aux Port Bağlantısı
49
Kullanılmıyorsa kapatılmalı
(config)# line aux 0
(config-line)# transport input none
(config-line)# login local
(config-line)# exec-timeout 0 1
(config-line)# no exec
(config-line)# exit
Zamanaşımı süresi tanımlanmalı
![Page 50: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/50.jpg)
disable, enable, exit, help ve logout komutlarını kapsar.
Kullanıcılar için Yetki Seviyesi
50
Ayrıcalık seviyesi arttıkça sahip olunan haklar da artar.
enable parolası olmadan cihazı üzerinde yapılandırma değişikliği gerçekleştirilemez. Şifrelenmiş parola kullanımını gerektirir.
Varsayılan olarak tanımlanmış 3 ayrıcalık seviyesi bulunur.
Seviye 0
Seviye 1 (user exec)
(config)# username <kullanici> privilege 1 password <parola>
enable secret komutu varsayılanda kullanıcının 15. seviyeye geçmesi için kullanılacak şifreyi belirlemede kullanılır.
Seviye 15 (privileged exec)
(config)# enable secret level 5 <level5-parola>
![Page 51: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/51.jpg)
# show privilege
(config)# privilege exec level 15 telnet
(config)# privilege exec level 15 show ip access-lists
(config)# privilege exec level 15 show access-lists
(config)# privilege exec level 15 show logging
Kullanıcılar için Yetki Seviyesi
51
Mevcut kullanıcının ayrıcalık seviyesi:
Ayrıcalık seviyesine göre istenen komutu çalıştırma hakkı
![Page 52: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/52.jpg)
Bilgiler açık metin olarak taşınmaktadır.
Değilse erişim kontrol listesi sıkı bir şekilde uygulanmalıdır.
Telnet
52
Birçok aktif cihazda açık olarak gelmektedir.
Mümkünse SSH tercih edilmelidir.
![Page 53: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/53.jpg)
(config)# access-list 90 permit host 192.168.1.26
(config)# access-list 90 deny any log
(config)# line vty 0 4
(config-line)# access-class 90 in
(config-line)# transport input none
(config-line)# login local
(config-line)# exec-timeout 0 1
(config-line)# no exec
(config-line)# end
Telnet: Erişim Kontrol Listesi
53
Sadece 192.168.1.26 için izin veren kontrol listesi
![Page 54: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/54.jpg)
(config)# no telnet
(config)# ssh version 2
(config)# hostname <host name>
(config)# ip domain name sirket.com.tr
(config)# crypto key generate rsa general-keys modulus 1024
(config)# ip ssh time-out 60
(config)# ip ssh authentication-retries 2
(config)# line vty 0 15
(config-line)# transport input ssh
(config-line)# login local
SSH
54
Hassas veriler şifreli olarak iletilir (tcp/22)
![Page 55: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/55.jpg)
Telnet gibi kullanıcı parolalarını şifresiz olarak ileten bir protokoldür.
Değilse erişim kontrol listesi sıkı bir şekilde uygulanmalıdır.
HTTP
55
Birçok aktif cihazda açık olarak gelmektedir.
Mümkünse HTTPS tercih edilmelidir.
![Page 56: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/56.jpg)
(config)# access-list 50 permit host 192.168.1.26
(config)# ip http server
(config)# ip http auth local
(config)# ip http access-class 50
HTTP: Erişim Kontrol Listesi
56
Sadece 192.168.1.26 için izin veren kontrol listesi
(config)# no ip http server
Servisi kapatmak için
![Page 57: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/57.jpg)
(config)#ip http secure-server
(config)#no ip http server
(config)#ip http secure-port 8888
HTTPS
57
SSL ile hassas veriler şifreli olarak iletilir (tcp/443)
Varsayılan port değiştirilerek servis çalıştırılmaşdır.
![Page 58: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/58.jpg)
(config)# login block-for 600 attempts 5 within 120
Oturum Açma Kısıtlamaları
58
Her türlü yetkisiz oturum açma girişimi kısıtlanmalıdır.
(config)# show login failure
Username Source IPAddr lPort Count TimeStamp
Admin 10.0.0.1 23 1 12:33:44 UTC Mon Jun 30 2012
root 192.168.1.1 23 1 10:31:42 UTC Sun Jun 29 2012
Başarısız girişimler takip edilmelidir.
![Page 59: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/59.jpg)
Cihazların yönetimini ele geçirme, cihazları servis dışı bırakma, ağıdinleme, ağdaki iletişimi kesme…
Port Güvenliği
59
2.Katmana yönelik saldırılar
(config)# interface range fastethernet 0/2-10
(config-if-range)# shutdown
Kullanılmayan portlar yönetim ara yüzünden kapatılmalıdır.
![Page 60: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/60.jpg)
Portlar MAC adreslerini kendisi öğrenebilir veya dışarıdan girilebilir.
Port Güvenliği: MAC Koruması
60
Her bir port belirli sayıda MAC adresi ile kısıtlanabilir.
(config)# interface range GigabitEthernet 3/2 – 48
(config-range)# switchport mode access
(config-range)# switchport port-security
(config-range)# switchport port-security maximum 3
(config-range)# switchport port-security violation restrict
(config-range)#switchport port-security mac-address sticky
Atak durumunda port kapatılabilir (shutdown), belirlenen kriterin dışında kalan MAC adresleri ihmal edilebilir (protect), paketler hem ihmal edilir hemde loglanabilir (restrict).
![Page 61: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/61.jpg)
Doğrulama durumunda ağa dahil olma
802.1x ve NAC
61
Aktif dizin ya da başka bir LDAP sunucusu ile kimlik kontrolü
• Kimlik Doğrulama
• Yetkilendirme
• Güvenlik Taraması
• İyileştirme
Network Access Control ile politika kontrolü
![Page 62: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/62.jpg)
802.1x ve NAC
62
![Page 63: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/63.jpg)
Port Kısıtlamaları
63
Gerekmedikçe trunk port bırakılmamalıdır.(config)# int range FastEthernet0/1-48
(config-range)# switchport access vlan 8
(config-range)# switchport mode access
VLAN 1 kullanılmaması
Kara delik VLAN’ı kullanımı
(config-if)# description
Porta ait tanım girilmesi
![Page 64: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/64.jpg)
Gerçek DHCP sunucularının hangi port üzerinde olduğunun belirtimi
DHCP Snooping
64
trusted ve untrusted port tanımları
(config)# ip dhcp snooping vlan <vlan-id>
Hangi VLAN'lerde etkinleştirileceğinin belirtimi için:
(config)# ip dhcp snooping
(config)# interface type mod/num
(config-if)# ip dhcp snooping trust
Varsayılan olarak bütün portlar untrusted moddadır.
![Page 65: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/65.jpg)
0.0.0.0 ya da 255.255.255.255 kaynaklılar engellenir.
Dinamik ARP Keşfi
65
Güvenilir/güvenilmez olarak sınıflandırılan portlardan gelen ARP paketleri incelenerek IP-MAC eşleşmesi kontrol edilir
DHCP Snooping özelliğinin üretiiği veriyi kullanır.
(config)# ip arp inspection vlan <vlan-range>
Yapılandırma:
(config-if)# ip arp inspection limit rate 100
DAI Rate Limiting
![Page 66: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/66.jpg)
Dinamik ARP Keşfi
66
(config)# ip source binding aaaa.aaaa.aaaa vlan 26 10.1.1.10 int fa 0/5
Statik girdi için:
![Page 67: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/67.jpg)
0.0.0.0 ya da 255.255.255.255 kaynaklılar engellenir.
Erişim Kontrol Listeleri
67
Ağa giren/ağdan çıkan paketlerin denetlenmesi
Standart ve Gelişmiş erişim kontrol listeleri
![Page 68: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/68.jpg)
(config)# access-list 29 permit host 14.2.6.18
(config)# access-list 29 permit 14.2.9.0 0.0.0.255
(config)# access-list 29 deny any
Satır satır yazılır ve uygulanır.
Implicit Deny kavramı
Erişim Kontrol Listeleri
68
(config)# ip http access-class 29
(config)# ip http server
Uygulandığı ara yüzde geçerli olurlar.
Araya bir satır ilave etmek ya da çıkarmak mümkün değildir
Bir ara yüze giriş (IN) ya da çıkış (OUT) yönünde uygulanmaları gerekir.
Yalnız başlarına bir şey ifade etmezler.
![Page 69: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/69.jpg)
(config)# access-list <sayı> <işlem> <kaynak> [aralık] | herhangi
1-99 arasında bir sayı ile tanımlanır.
Genel olarak şu biçimdedir:
Standart Erişim Kontrol Listeleri
69
Sayı 1-99 arasında olmak zorunda
İşlem Permit veya Deny olmak zorunda
Kaynak Karşılaştırılacak kaynak adresi
Aralık Belli bir aralık verilebilir
Herhangi any değeri olursa herhangi bir adres olabilir anlamına gelir
Aralık Belli bir aralık verilebilir
Herhangi any değeri olursa herhangi bir adres olabilir anlamına gelir
(config)# access-list 2 permit host 192.168.1.1 log
![Page 70: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/70.jpg)
(config)# no access-list 10
(config)# access-list 10 permit 47.100.15.128 0.0.0.255
(config)# access-list 10 permit 47.100.15.128 0.0.0.7
(config)# access-list 10 permit host 192.168.1.1 log
(config)# interface vlan 6
(config-if)# description ADMIN-VLAN
(config-if)# ip address 10.1.6.121 255.255.255.0
(config-if)# ip access-group 10 in
(config-if)# no shutdown
VLAN 6 arayüzü için uygulanan bir örnek
Standart Erişim Kontrol Listeleri
70
![Page 71: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/71.jpg)
any any deny
Gelişmiş erişim kontrol listeleri ise kaynak IP, hedef IP, protokol …
(config)# access-list <sayı> <işlem> <protocol> <kaynak> [aralık] [kaynakport] hedef [aralık] [hedef port] [diğer-seçenekler]
Standart erişim kontrol listesi sadece kaynak adresine bakar.
100-199 arasında bir sayı ile belirlenir ve şu biçimdedir:
Gelişmiş Erişim Kontrol Listeleri
71
En son varsayılan satırı
Trafiği kayıt altına almak için log seçeneği
![Page 72: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/72.jpg)
Aynı şekilde komşulara da bilgi verir.
Servis Güvenliği: CDP
72
Komşu cihazları tanımak ve onlardan bilgi almak için kullanılır
# sh cdp neighbor detail
İkinci katmanda çalışır ve Cisco’ya özgü
(config)# no cdp run
Bilgi toplama ve servis dışı bırakma saldırıları nedeniyle kapatmalı
![Page 73: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/73.jpg)
(config)# connect 14.2.9.250 daytime
Trying 14.2.9.250, 13 ... Open
Monday, April 3, 2010 11:48:39-EDT
[Connection to 14.2.9.250 closed by foreign host]
Servis Güvenliği: TCP&UDP Small Servers
73
echo, daytime, discard, chargen gibi servisleri kapsar.
(config)# no service tcp-small-servers
(config)# no service udp-small-servers
Bilgi vermesi nedeniyle kapatılmalı
![Page 74: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/74.jpg)
# connect 14.2.9.250 finger
Trying 14.2.9.250, 79 ... Open
This is the Switch; access restricted.
Line User Host(s) Idle Location
130 vty 0 14.2.9.6 00:00:00 goldfish
*131 vty 1 idle 00:00:00 Switch
[Connection to 14.2.9.250 closed by foreign host]
Servis Güvenliği: Finger
74
Uzaktaki anahtar üzerindeki bağlı kullanıcıları göstermeye yarar.
(config)# no ip finger
(config)# no service finger
Bilgi vermesi nedeniyle kapatılmalı
![Page 75: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/75.jpg)
(config)# no service pad
Servis Güvenliği: PAD
75
X.25 kullanan sistemler arasındaki bağlantılar için gerekli
![Page 76: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/76.jpg)
İşletim sisteminin kopyalamasına olanak verir
Servis Güvenliği: BOOTP
76
Anahtarın işletim sistemi üzerinden başka cihazların bootetmesini sağlar
(config)# no ip bootp server
Kapatmak için
(config)# no boot network
(config)# no service config
Anahtarın başka cihazlardan boot etmesini önlemek için
![Page 77: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/77.jpg)
Proxy ARP ile LAN’ların erişimleri genişletilebilir.
Proxy ARP
77
ARP iletimleri LAN ile sınırlıdır.
(config)# interface vlan2
(config-if)# no ip proxy-arp
Kapatmak için
![Page 78: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/78.jpg)
Yedekli yapılarda çalışan ağ cihazlarının failover durumunda çalışmayadevam etmeleri bu yöntemle sağlanabilmektedir
Gratuitous ARP
78
Cihaz, bağlı olduğu ortama broadcast olarak (FF:FF:FF:FF:FF:FF) Gratuitous ARP paketleri göndererek artık X.X.X.X IP adresinin MAC adresi olarak kendi MAC adresini anons edebilir.
(config)# no ip gratuitous-arps
Kapatmak için
![Page 79: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/79.jpg)
• Ağın haritasını çıkarabilirler,
• İşletim sistemini belirlenebilir,
• Durumu hakkında bilgi alınabilir.
IP Unreachables, Redirects, Mask Reply
79
Anahtara gönderilen ICMP paketlerinin cevaplarına göre (Host unreachable, Redirect, Mask reply)
(config)# interface vlan1
(config-if)# no ip unreachables
(config-if)# no ip redirects
(config-if)# no ip mask-reply
(config-if)# no ip directed-broadcast
Kapatmak için
![Page 80: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/80.jpg)
(config)# interface eth 0/5
(config-if)# ntp disable
NTP
80
Cihaz saatinin merkezle senkronizasyon içinde olmasını sağlar.
(config)# ntp authenticate
(config)# ntp authentication-key 42 md5 aGr8key!
(config)# ntp trusted-key 42
(config)# ntp server 10.1.200.94 key 42 prefer
Kullanılacaksa:
Kullanılmıyorsa kapatın.
![Page 81: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/81.jpg)
SNMP (Simple Network Management Protocol)
81
Cihazları uzaktan izlemek ve yönetmek için kullanılır.
(config)# no snmp-server community
(config)# no snmp-server enable traps
(config)# no snmp-server system-shutdown
(config)# no snmp-server
Kullanılmıyorsa kapatın.
Halihazırda üç sürümü vardır: SNMPv1, SNMPv2c ve SNMPv3
Private,Public, KurumAdıRW, KurumAdıRO
Varsayılan topluluk adları değiştirilmesi, tahmini zor olmalı
![Page 82: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/82.jpg)
(config)# access-list 12 permit 10.1.6.1
(config)# access-list 12 permit 10.1.6.2
(config)# snmp-server community g00d-5tr1n9 ro 12
Kimlik doğrulama ve diğer güvenlik özelliklerinden dolayı v2 veya v3 tercih edilmeli ve erişim kontrol listesi ile kontrol sağlanmalıdır.
SNMP (Simple Network Management Protocol)
82
Kullanılacaksa;
Örnek yapılandırma:
![Page 83: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/83.jpg)
(config)# access-list 161 deny IP 169.254.0.0 0.0.255.255 any
(config)# access-list 161 deny ip 127.0.0.0 0.255.255.255 any
Sahte IP Adresleri ve DoS Engelleme
83
“loopback” adresinden gelebilecek paketleri engellemek için:
“Link Local Networks” diye bilinen IP bloğunun engellenmesi için:
(config)# access-list 161 deny ip 192.168.0.0 0.0.0.255 any
(config)# access-list 161 deny ip 172.16.0.0 0.0.255.255 any
(config)# access-list 161 deny ip 10.0.0.0 0.255.255.255 any
Rezerv adreslerden gelebilecek paketlerin engellenmesi için:
(config)# access-list 161 deny ip host 0.0.0.0 any
IP adresi olmayan paketleri engellenmesi için:
(config)# access-list 161 deny ip 224.0.0.0 15.255.255.255 any
“multicast” paketlerin engellenmesi için:
![Page 84: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/84.jpg)
(config)# interface Serial0/0
(config-if)# access-group 161 in
(config)# access-list 161 deny icmp any any echo log
(config)# access-list 161 deny icmp any any redirect log
(config)# access-list 161 deny icmp any any mask-request log
(config)# access-list 161 deny icmp any any redirect
Sahte IP Adresleri ve DoS Engelleme
84
ICMP paketlerinin engellenmesi için:
Erişim kontrol listesini Serial 0/0’a giriş yönünde uygulamak için:
![Page 85: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/85.jpg)
(config)# ip tcp synwait-time
(config)# service nagle
Sahte IP Adresleri ve DoS Engelleme
85
Nagle: Küçük paketleri için kullanılan tıkanıklık kontrol algoritması
Yarım açık TCP bağlantıları için na kadar süre ACK beklenmeli
(config)# rate-limit output access-group 161 16000 8000 8000 conform-action continue exceed-action drop
Erişim listesi üzerinden Rate Limiting
![Page 86: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/86.jpg)
(config)# no ipforward-protocol port 69
(config)# no ipforward-protocol port 53
(config)# no ipforward-protocol port 137
(config)# no ipforward-protocol port 138
(config)# no ipforward-protocol port 68
(config)# no ip helper-address
Sahte IP Adresleri ve DoS Engelleme
86
Yönlendirici üzerinde broadcast paketlerinin engellenmesi
![Page 87: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/87.jpg)
• Cihazın düzgün olarak çalışıp çalışmadığının anlaşılması,
• Cihaza veya güvenli ağa bir saldırı varsa bunun fark edilmesi,
• Herhangi bir nedenden dolayı cihaz devre dışı kalmış ise bununnedeninin anlaşılması.
Kayıt Tutma
87
Neden?
0 emergencies Sistem kullanılamaz mesajları
1 alerts Acil önlem alınması gerekir
2 critical Kritik durum
3 errors Hata mesajı
4 warnings Uyarı mesajı
5 notifications Normal fakat önemli durum
6 informational Bilgilendirme mesajı
7 debugging Hata ayıklama esajları
![Page 88: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/88.jpg)
(config)# logging on
(config)# logging 10.1.6.89
Kayıt Tutma
88
Yapılandırma:
(config)# logging buffered 4096 debugging
Debugging ve yukarı seviye kayıtların yerelde tutulması için:
![Page 89: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/89.jpg)
• CDP, PAgP ve VTP gibi bir çok L2 protokol burada çalışır.
• Trunk portlarda varsayılan VLAN’dır.
VLAN 1 Kullanımı
89
L2 cihazların yönetimde dâhil olmak üzere portlarını atayabileceği varsayılan VLAN
• Yönetim trafiği için başka ve dedike bir VLAN kullanılarak kullanıcı ve diğer protokol trafiklerinde ayrımı gerçekleştirilmelidir.
• Silinemez fakat bütün trunk portları üzerinden ve ihtiyacı olmayan erişim portlarında VLAN 1 budanmalıdır.
Alınması gereken önlemler:
(config)# interface GigabitEthernet0/1
(config)# switchport mode trunk
(config)# Switchport trunk encapsulation dot1q
(config)# switchport trunk allowed vlan remove <prunable vlans>
![Page 90: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/90.jpg)
Her VLAN için ayrı bir subnet gereğini ortadan kaldırmaktadır
Private VLAN
90
Aynı VLAN’a üye istemciler arasında Layer 2 yalıtım
İki ayrı VLAN’a üye portlar: Primary ve Secondary
VLAN içinde VLAN
![Page 91: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/91.jpg)
Private VLAN
91
Secondary VLAN içerisinde üç farklı port türü vardır.
Bütün portlar ile haberleşirler. Ör: Ağ geçitleri
Promiscuous
Sadece Promiscuos portlar ile haberleşirler.
Isolated
Aynı Secondary VLAN’daki ve Promiscuous portlar ile haberleşirler.
Community
![Page 92: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/92.jpg)
!! Primary VLAN oluşturulması
(config)# vlan 100
(config-vlan)# private-vlan primary
!! Isolated VLAN: Ağ geçidine bağlanacak uçlar
(config)# vlan 101
(config-vlan)# private-vlan isolated
!! Community VLAN: Primary VLAN içindeki altVLAN’lar
(config)# vlan 102
(config-vlan)# private-vlan community
!! Eşleştirme!
(config)# vlan 100
(config-vlan)# private-vlan assoc 101,102
!! Isolated portlar
(config)# interface FastEthernet 1/1
(config-if)# switchport mode private-vlan host
(config-if)# switchport private-vlan host-association 100 101
Private VLAN: Yapılandırma
92
![Page 93: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/93.jpg)
!! Community portlar
(config)# interface range FastEthernet 1/3-24
(config-if)# switchport mode private-vlan host
(config-if)# switchport private-vlan host-association 100 102
Private VLAN: Yapılandırma
93
(config)# interface FastEthernet 1/1
(config-if)# switchport mode private-vlan promisc
(config-if)# switchport private-vlan mapping 100 add 101,102
Yönlendirici üzerinde:
![Page 94: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/94.jpg)
Etki alanı ile parola belirlenmesi ve budama işlemini etkinleştirilmesi
VTP Güvenliği
94
Ortak VLAN veritabanı ve merkezi yönetim
(config)# vtp domain <VTP Etki Alanı Adı>
(config)# vtp password <VTP Parolası>
(config)# vtp pruning
![Page 95: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/95.jpg)
Internetin Altyapısı: Interior ve Exterior Protokoller
Yönlendirici üzerinde koşan ve yön tablosunun güncellenmesini sağlayan kurallar bütünüdür.
Yönlendirme Protokolleri Güvenliği
95
Protokol Kimlik Doğrulama Açık Metin MD5 Özet
RIPv1 Hayır
IGRP Hayır
RIPv2 Evet Evet Evet
EIGRP Evet Evet
OSPFv2 Evet Evet Evet
IS-IS Evet Evet
BGPv4 Evet Evet
APPLETALK EIGRP Hayır
IPX RIP Hayır
![Page 96: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/96.jpg)
Route Manipulation saldırısı engellenmesi
Sadece yetkili eşler ile oturum kurulması
MD5 ile Komşu Yetkilendirmesi
96
router bgp 65000
no synchronization
bgp log-neighbor-changes
network 192.168.200.0
neighbor 192.0.2.2
remote-as 65100
neighbor 192.0.2.2 password PaR0!a
no auto-summary
!
BGP
![Page 97: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/97.jpg)
interface <interface>
ip ospf message-digest-key <key-id> md5 <password>
!
router ospf <process-id>
network 10.0.0.0 0.255.255.255 area 0
area 0 authentication message-digest
OSPF
MD5 ile Komşu Yetkilendirmesi
97
![Page 98: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/98.jpg)
Bütün oturum paketleri için IP başlığındaki TTL değeri 1 olarak ayarlanır.
DoS ve rota manipülasyonu saldırıları için kullanılabilir.
BGP: TTL Kontrolü
98
router bgp 65000
!
no synchronization bgp
log-neighbor-changes
network 192.168.200.0
neighbor 192.0.2.2
remote-as 65100
neighbor 192.0.2.2 ttl-security hops 1
no auto-summary
![Page 99: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/99.jpg)
neighbor 192.0.2.2 maximum-prefix 5 70 restart 30
Yönlendirme tablosuna aşırı kayıt eklenmesinin engellenmesi
Maksimum Prefiks ve Filtreleme
99
router bgp 65000
no synchronization bgp
log-neighbor-changes network 192.168.200.0 neighbor 192.0.2.2 remote-as 65100
neighbor 192.0.2.2 prefix-list Ingress-Black in
no auto-summary
!
ip prefix-list Ingress-Black seq 5 deny 10.10.10.0/24
ip prefix-list Ingress-Black seq 10 deny 10.20.20.0/24
ip prefix-list Ingress-Black seq 15 permit 0.0.0.0/0 le 32
Prefiks filtreleme ile beyaz/kara liste oluşturulması
![Page 100: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/100.jpg)
HSRP, VRRP, GLBP
İletişimde sürekliliğin sağlanması
Yedeklilik Protokolleri Güvenliği
100
(config)# interface FastEthernet 2
(config-if)# description *** HSRP Authentication ***
(config-if)# standby 1 authentication md5 key-string <hsrp- parola >
(config-if)# standby 1 ip 10.2.2.1
MD5 kimlik doğrulama
![Page 101: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/101.jpg)
BPDU mesajı alındığında topoloji tamamen bozulabilir.
STP Root Bridge seçiminin bozulmasının engellenmesi
BPDUGuard ve RootGuard Kısıtlamaları
101
(config)# interface range fastethernet 7/ 2 - 46
(config-if-range)# spanning-tree rootguard
Sadece kullanıcı bilgisayarlarının bağlı olduğu portlar üzerinde
(config)# interface range fastethernet 7/2-46
(config-if-range)# spanning-tree bpduguard enable
BPDU alımının engellenmesi ile kök anahtarın korunmas
![Page 102: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/102.jpg)
DHCP Snooping özelligi etkin durumda olmalıdır. DHCP snoopingtarafından izin verilen haricinde bütün IP trafiği kesilir.
IP çakışmalarına engel olmak için kullanılabilir.
IP Source Guard
102
(config)# interface gigabitethernet 0/1
(config-if)# ip verify source port-security
(config-if)# exit
(config)# ip source binding 0000.1111.2222 vlan 55 10.0.0.2 int gig 0/1
(config)# ip source binding 3333.4444.5555 vlan 15 10.168.2.5 int gig 0/1
(config)# end
IP ve MAC filtreleme yapılandırması
![Page 103: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/103.jpg)
HP|sFlow, Juniper|J-flow, Huawei/3Com|NetStream, Alcatel|CFlow
IP trafik bilgisini toplamak için kullanılan bir ağ protokolü
NetFlow ile Trafik Gözetleme
103
Ağ analiz ve planlama, DoS, saldırı tespiti, tehdit gözetleme, veri madenciliği alanlarında kullanılabilir.
![Page 104: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/104.jpg)
Flow kayıtları içerisinde çeşitli bilgiler bulunmaktadır.
NetFlow ile Trafik Gözetleme
104
(config)# ip flow-export destination <ip-address> <udp-port>
(config)# ip flow-export version <version>
(config)# interface <interface>
(config-if)# ip flow <ingess|egress>
(config)# show ip cache flow
![Page 105: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/105.jpg)
Ağ kaynakları daha verimli kullanılabilir.
TCP bağlantıların geçerliliğini yitirip yitirmediklerinin sınanması
TCP Oturumları için Keepalive Servisleri
105
(config)# service tcp-keepalive-in
(config)# service tcp-keepalive-out
TCP oturumları süresince keepalive göndermesi sağlanır.
![Page 106: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/106.jpg)
Bellek rezervasyonu kullanılarak erişimin garanti altına alınması
Konsol Erişimi için Bellek Ayrımı
106
(config)# memory reserve console 4096
4MB bellek ayrımı
![Page 107: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/107.jpg)
Yönetmek amacıyla hangi arayüzlerden trafik gelebileceği belirlenebilir.
Management Plane Protection (MPP)
Yönetim Düzlemi Koruması
107
(config)# control-plane host
(config-cp-host)# management-interface Gig 0/1 allow ssh https
![Page 108: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/108.jpg)
(config)# no ip source-route
Kaynak isterse yolladığı paketin gideceği ve paketin döneceği rotayı belirleyebilir.
Kaynaktan Yönlendirmenin Kapatılması
108
![Page 109: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/109.jpg)
Saldırı tespit ve engelleme sistemlerinin aşılması amacıyla kullanılabilir.
(config)# ip access-list extended ACL-TRANSIT-IN
(config-ext-nacl)# deny tcp any any fragments
(config-ext-nacl)# deny udp any any fragments
(config-ext-nacl)# deny icmp any any fragments
(config-ext-nacl)# deny ip any any fragments
(config-ext-nacl)# permit ip any any
Fragmentation bir IP datagramının kendi boyutundan daha düşük kapasitede bir ağa/ağ geçidine geldiğinde parçalanmasıdır.
Parçalanmış Paketlerin Filtrelenmesi
109
![Page 110: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/110.jpg)
CEF tablosu içerisinde geriye doğru bakılır (reverse lookup), paket için geri dönüş yolu bulunamazsa paket düşürülür
(config)# ip cef
(config)# interface <interface>
(config-if)# ip verify unicast reverse-path
Yönlendiriciyi geçen değiştirilmiş kaynak IP adresli paketlerden kaynaklanan problemlerin önlenmesi için kullanılır
Unicast RPF
110
![Page 111: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/111.jpg)
Güvenlik Duvarının Sıkılaştırılması
![Page 112: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/112.jpg)
İşletim sisteminin sıkılaştırılması
Genel Adımlar
112
Yönetim konsolunun güvenliğinin sağlanması
Güvenlik duvarının güvenliğinin sağlanması
Prosedürsel güvenliğin sağlanması
![Page 113: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/113.jpg)
İşletim Sisteminin Güncelliği
113
![Page 114: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/114.jpg)
Bilinen Açıklıkların Yamanması
114
![Page 115: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/115.jpg)
Kullanılmayan servisler kapatılmalı
İşletim Sistemi Sıkılaştırması
115
Gereksiz programlar kaldırılmalı
Yetkisiz erişimler engellenmeli
Tahmin edilmesi zor şifreler kullanılmalı
Kayıtların güvenliği sağlanmalı
Yedekleme yapısı kurulmalı
![Page 116: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/116.jpg)
Yönetim konsolu güvenli bir ağda konumlandırılmış olmalı
Yönetim Konsolunun Güvenliği
116
Yönetim konsolu-güvenlik duvarı arasındaki iletişim şifreli olmalı
Tahmin edilmesi zor yönetici/kullanıcı şifreleri seçilmeli
Gereksiz yere tanımlı yöneticiler/kullanıcılar silinmeli
Kullanıcılara sadece ihtiyaç duydukları kadar erişim hakkı
Zaman aşımı süresi belirlenmeli
![Page 117: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/117.jpg)
Gereksiz kuralların silinmesi ve düzenli takibi sağlanmalı
Güvenlik Duvarının Güvenliği
117
İzin verilmeyen bağlantılara yönelik geri cevap döndürülmemeli
Sahte IP adreslerinden gelen paketler düşürülmeli
![Page 118: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/118.jpg)
Kritik erişimlerin kayıtlarının tutulması sağlanmalı
Minimum erişim izni prensibi uygulanmalı
Güvenlik Duvarının Güvenliği
118
![Page 119: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/119.jpg)
Kural tablosunun güncellenmesi, sadeliği ve dokümantasyonu
Güvenlik kayıtlarının düzenli olarak gözden geçirilmesi
Prosedürel Güvenlik
119
Personelin eğitimi
Düzenli iç ve dış denetimler
Yapılandırma ve işletim sistemi yedeklerinin düzenli alınması
Yedeklerin güvenli alanda saklanması
![Page 120: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/120.jpg)
İçerik Kontrolcüsünün Sıkılaştırılması
![Page 121: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/121.jpg)
İşletim sisteminin sıkılaştırılması
Genel Adımlar
121
Yönetim konsolunun güvenliğinin sağlanması
Güvenlik duvarının güvenliğinin sağlanması
Prosedürsel güvenliğin sağlanması
![Page 122: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/122.jpg)
İşletim sisteminin güncelliği sağlanmalı
İşletim Sistemi Sıkılaştırması
122
Gereksiz programlar kaldırılmalı
Yetkisiz erişimler engellenmeli
Tahmin edilmesi zor şifreler kullanılmalı
Kayıtların güvenliği sağlanmalı
Yedekleme yapısı kurulmalı
Kullanılmayan servisler kapatılmalı
![Page 123: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/123.jpg)
Yönetim konsolu güvenli bir ağda konumlandırılmış olmalı
Yönetim Konsolunun Güvenliği
123
Yönetim konsolu-güvenlik duvarı arasındaki iletişim şifreli olmalı
Tahmin edilmesi zor yönetici/kullanıcı şifreleri seçilmeli
Gereksiz yere tanımlı yöneticiler/kullanıcılar silinmeli
Kullanıcılara sadece ihtiyaç duydukları kadar erişim hakkı
Zaman aşımı süresi belirlenmeli
![Page 124: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/124.jpg)
Zararlı olduğu bilinen içerikler bloklanmalı
İçerik Kontrolcüsünün Güvenliği
124
Sıkıştırılmış içeriklerin taranması sağlanmalı
Uzantısı değiştirilmiş dosyaların taranması sağlanmalı
Aktif içerikler (ActiveX/Javascript) bloklanmalı
Şüpheli Macro’lar taranmalı
Tespit edilen Spyware/Adware’ler bloklanmalı
Kara liste uygulanmalı
URL filtreleme gerçekleştirilmesi
SSH gibi şifreli bağlantıların analizi mümkünse gerçekleştirilmeli
![Page 125: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/125.jpg)
Filtre tablosunun güncellenmesi, sadeliği ve dokümantasyonu
Güvenlik kayıtlarının düzenli olarak gözden geçirilmesi
Prosedürel Güvenlik
125
Personelin eğitimi
Düzenli iç ve dış denetimler
Yapılandırma ve işletim sistemi yedeklerinin düzenli alınması
Yedeklerin güvenli alanda saklanması
![Page 126: Aktif Cihaz Güvenliği Eğitimi - mehmetbertankilic.com · • Port güvenliği • Olay kayıtları • Servis güvenliği • Güvenli yönetim… Anahtarlama Cihazları 7 •](https://reader030.vdocuments.site/reader030/viewer/2022041120/5f3482121794f971251c688d/html5/thumbnails/126.jpg)
Teşekkürler