Forum
Gereksiz Hizmetleri Durdurun : Yönlendiricinin temel işlevselliği için gerekmeyen ve pek az yapılandırmada kullanmanızın anlamlı olabileceği tüm hizmetleri durdurun:
- no cdp run
- no service udp-small-servers
- no service tcp-small-servers
- no ip finger ya da no service finger
- no ntp server
- no ip bootp server
- no snmp-server
- no ip http server
- no ip identd
Parola Kullanımı : Ön tanımlı olarak, telnet erişimleri parola denetimsiz gerçekleşir. Parola denetimini gerçekleştirmek üzere aşağıdaki biçimde parola ataması yapabilirsiniz:
- line vty 4 0
- login
- password PAROLAM
- access-class 2 in
Kaynaktan Yönlendirmeyi Durdurun: Kaynaktan yönlendirme modern bir ağ üzerinde hiçbir zaman kullanmayacağınız bir özelliktir. Kaynağından yönlendirilmiş paketlerin ağınıza girmesine müsaade etmeniz pek çok tehlikeyi de beraberinde getirecektir. Bunu engellemek üzere aşağıdaki komut ile kaynaktan yönlendirmeyi durdurabilirsiniz:
- no ip source-route
Smurf Saldırılarına Alet Olmayın :Çok popüler bir hizmet kesintisi saldırısı olan Smurf, yönlendiricilerin eksik yapılandırmalarından faydalanır. Yönlendirilmiş yayınların ağınıza girmesini engellemeniz, bir Smurf saldırısına alet olmanızı engelleyecektir. Her bir ağ arayüzünüz için aşağıdaki gibi bir komut setini işletmeniz gerekmektedir.
- interface eth 0/3
- no ip directed-broadcast
Günlük Kayıtlarınızı Izleyin: Yönlendiricinin günlük kaydını aktif hale getiriniz ve kurum içerisindeki bir UNIX syslog sunucusuna kayıt yapacak biçimde ayarlayınız:
- logging buffered
- service timestamps log date msec local show-timezone
- logging trap info
- logging facility daemon
- logging 10.0.0.1
- numaralı satırda, kurum bünyesinde kayıt tutacak olan UNIX sunucusunun IP adresi verilmelidir. UNIX sunucusu üzerindeki syslog yazılımının ayarları yapılarak yönlendiriciden gelen syslog kayıtlarını almasına izin verilmelidir. Günlük kayıtları UNIX sunucuya aktarılmaya başlandıktan sonra düzenli olarak izlenmeli ve tespit edilen problemlere hızla müdahale edilmelidir. Yönlendiricinizin syslog kayıtlarını izlemek için logsurfer, swatch ya da logwatch gibi popüler özgür yazılımlardan faydalanabilirsiniz.
Parolalarınızı MD5 ile Koruyun : Parolalarınızı daha güvenilir bir şifreleme algoritması olan md5 ile şifrelenmiş biçimde depoladığınızdan emin olun; bu amaçla enable password komutunu değil, enable secret komutunu kullanmalısınız. Yönlendirici yapılandırmanızın bir kopyasının bir saldırganın eline geçmesi durumunda md5 ile şifrelenerek güncel Cisco IOS sürümleri yönlendirilmiş yayınları ön-tanımlı olarak geçirmeyecek biçimde ayarlıdır. Güncel bir IOS sürümü kullanıyorsanız bu maddede anlatılanları yapmanıza gerek yoktur. saklanan parolanızın deneme-yanılma ile bulunması çok daha uzun süre gerektirecektir:
- enable secret benim-parolam
Adres Şaşırtmacasına Geçit Vermeyin : IP erişim denetim listelerini kullanarak, yönlendiricinizin adres şaşırtmacası saldırılarına karşı korunmasını sağlayınız. Bu sayede, örneğin, yönlendiricinizin İnternet.te bakan arayüzünden iç ağınızdaki bir bilgisayarın IP adresi ile paketlerin ağınıza girmesini engelleyebilirsiniz. İç ağınızın 10.0.0.0/24 C sınıfı adres aralığında ve ethernet 0 arayüzüne bağlı olduğu, yönlendiricinizin yalnızca İnternet ile iç ağınız arasında konumlandırıldığı ve internet bağlantısının ethernet 1 arayüzü ile gerçekleştirildiği durum için örnek yapılandırma satırları aşağıdaki gibidir
- no access-list 110
- access-list 110 permit ip 10.0.0.0 0.0.0.255 any
- access-list 110 deny udp any range 1 65535 any log
- access-list 110 deny tcp any range 1 65535 any log
- access-list 110 deny ip any any log
- interface ethernet 0
- ip access-group 110 in
- exit
- interface ethernet 1
- ip access-group 110 out
- exit
Ayrılmış Adres Bloklarından Agınıza Girişi Engelleyin : IANA tarafından özel amaçlar ve kurum içi kullanımlar için rezerve edilmiş IP adres bloklarından ağınıza paketlerin gelmesine engel olunuz; internet üzerinde kullanılması beklenmeyen IP adreslerinden ağınıza doğru paketlerin gelmesinin
makul bir açıklaması olamaz. IP erişim denetim listeleri ile bu engellemeyi gerçekleştirebilirsiniz. İnternet bağlantısının ethernet 0 arayüzü ile sağlandığı bir
durum için örnek yapılandırma aşağıda verilmiştir:
- no access-list 111
- access-list 111 deny ip 10.0.0.0 0.255.255.255 any log
- access-list 111 deny ip 127.0.0.0 0.255.255.255 any log
- access-list 111 deny 169.254.0.0 0.0.255.255 any log
- access-list 111 deny 172.16.0.0 0.0.255.255 any log
- access-list 111 deny 192.168.0.0 0.0.255.255 any log
- access-list 111 deny 224.0.0.0 0.255.255.255 any log
- access-list 111 deny ip host 0.0.0.0 any log
- interface ethernet 0
- ip access-group 111 in
- exit
Gereksiz ICMP Paketleri Filtreleyin : Yalnızca çok gerekli ICMP paketlerinin ağınıza girmesine müsaade ederek dağıtık hizmet kesintisi saldırılarının (DDoS) bir kısmından kurtulabilirsiniz:
- no ip access-list 112
- access-list 112 deny icmp any any fragments
- access-list 112 permit icmp any any echo
- access-list 112 permit icmp any any echo-reply
- access-list 112 permit icmp any any packet-too-big
- access-list 112 permit icmp any any source-quench
- access-list 112 permit icmp any any time-exceeded
- access-list 112 deny icmp any any
- access-list 112 permit ip any any
- interface ethernet 0
- ip access-group 112 in
- exit
Bilgi için Teşekkürler.