Forum
Arkadaslar Merhaba,
Biliyorsunuz gunumuzde sirketlere yonelik disaridan yapilan sardirilar en sik yasadigimiz sorunlar arasinda.
Disaridan yapilan bu saldirilara karsi sistemlerimizi korumak adina kirilmasi zor olan sifreler atiyoruz.
Bu kirilmasi zor sifreler yaninda konfigurasyon icine ne gibi guvenlik komutlari yazabiliriz? (cisco sistemler icin)
mesela benim routerlarim icinde;
login block-for 600 attempts 5 within 60 komutu var. Bu yeterli olurmu? veya buna ek olarak ne yapabilirim.
Komutu ve ne gorev yaptigini yazarsaniz cok memnun olurum.
Tesekkurler.
network cihazları için telnet erişimi yerine ssh kullanmak güvenliği artıracaktır.
artı oalrak erişimi sadece belirli ip adreslerinden ayda networklerden yapılabilecek sekilde ayarlamak da guvenliği artıracaktır
Bilgi icin tesekkurler Vasvi Bey.
Konuyla ilgili olarak geç de olsa cevap yazmak istiyorum.
cihazlara sadece ssh erişimi ve ACL yazın sadece belli ip adreslerinden ssh portundan erişiminiz olsun.
ama bu kadarı da maalesef yetmiyor,
dhcp snooping yapın,
password yerine secret kullanın yani "username xxx password yyy" yerine "username xxx secret yyy" şeklinde kullanıcı adı şifreler yapın böylece decrypt edilemez şekilde şifrenecektir.
yani password yazdığınızda "password 7" ile crypt edilir, maalesef güvenliği düşüktür bu crypt şifreyi decrypt etmek mümkün, bu nedenle şifrelerinizin decrypt edilmemesi için "secret 5" ile şifre oluşturun böylece MD5 olarak crypt edilecektir..
service komutlarını çalıştırın,
vtp kullanıyorsanız transparen modda kullanın ve şifre oluşturun.
cihazlarda STP ayarlarınıza dikkat edin, hatalı config başınıza ciddi işler açabilir.
arp spoof ve dns spoof configler yapın.
smurf attack için config yapın,
ICMP eunreachable ve redirect message disable olsun.
Vlanlarınız arasında ACL oluşturun, özellikle denetim yapamadığınız bilgisayarları izole Vlan'lara alın, bu Vlan'ların server Vlan'ınıza erişimine de ACL oluşturun.
network trafiğinizi monitor etmenizde fayda var, böylece network üzerindeki tüm anomalileri izleyebilirsiniz.
Bir tane şifre yönetim cihazı alınmalı. Switchler'e şifre yönetim cihazı üzerinden switch'in yönetim vlan'ıyla erişilmeli sadece. Firewall üzerinden switchlere ssh izni sadece şifre yönetim cihazına verilmeli. Ayrıca tüm trafik backbone'dan sonra firewall'da sonlandırılmalı. Backbone layer 2 çalışmalı, ip ler arasında kesinlikle route olmamalı. Belirli ip lerin route yapması gerekiyorsa da sadece ilgili ip lere firewall'dan izin verilmeli. En azından biz kurumumuzda böyle yaptık. Şifre yönetim cihazı olarak CyberArk, firewall olarakta Checkpoint 41K, ayrıca bunlara ilaveten network'ü yönetmek için ForeScout NAC cihazı kullanıyoruz.