Bu makalemde sizlere HP E Serisi switchler üzerindeki temel güvenlik ayarlarından bahsedeceğim ve ardından gerekli konfigürasyonları gerçekleştireceğiz.
Varsayılan olarak switch’I ilk satın aldığınızda ve console (Seri iletişim) ile bağlandığınızda, cihaz konfigürasyonu Resim 1’de olduğu gibidir.
Resim -1-
Bu ekran görüntüsünün ardından sizlerle cihazın temel konfigürasyonlarını paylaşacağım.
Aşama cihazımızın üzerindeki tüm portları Vlan 2 ismi ile Vlan oluşturup “uplink” portları haricindeki tüm portları VLAN2’ye taşıyoruz.
Resim -2
Aşama cihazımıza ip tabanlı erişebilmek için, vlan 1 ve vlan 2 ip adreslerini tanımlıyoruz.
Resim -3-
Management VLAN oluşturuyoruz. Kullanıcıların erişeceği vlan dışında İzole edilmesini istediğiniz sunucu grupları veya benzeri Bilgisayar grupları için kullanabilirsiniz. Bu vlan’a dahil edecekleriniz diğer VLAN’lardan erişimi kabul etmeyeceklerdir.
Varsayılan olarak kullanıcı adı ve şifre barındırmayan cihazlarımıza ip tabanlı erişimde sorması için kullanıcı adı ve şifre oluşturuyoruz. (Resim -4- 3 ve 4 no’lu adımları içermektedir.)
Resim -4-
Cihazlar üzerinde varsayılan olarak gelmeyen telnet ve ssh erişimi için gerekli temel komutları tanımlıyoruz. Opsiyonel olarak telnet servisi güvenlik amacı ile devre dışı bırakılabilir. Bırakılması tavsiye edilir.
HP-3500-24(config)# telnet-server ( Telnet servisini başlatmak için)
HP-3500-24(config)# ip ssh (SSH aktif etmek için)
HP-3500-24(config)# crypto key generate ssh rsa bits 1024
(SSH güvenlik mertebesini belirlemek için)
HP-3500-24(config)# ip ssh filetransfer
(Varsayılan olarak çalışan “TFTP” protolünü ssh aktif ettikten sonar dosya veya konfig aktarımlarının daha güvenli yapılabilmesi için “SFTP “aktif etmek için.)
Yukarıdaki ayarları geri almak veya devre dışı bırakmak için ilgili komutun başına “no” formunu kullanarak konfigürasyonu geri alabilirsiniz. No telnet-server gibi.
SNMP server varsayılan olarak ”community“ ismi ”public” ve “unrestricted” gelir. Bu değerin değiştirilmesi ve kendi network’ümüze özel bir isim verilerek. SNMP üzerinden bilgi toplayabilen bir çok cihaza varsayılan olarak temel erişim ve güvenlik
bilgilerine sahip olmayan sahte SNMP server’lara bilgi göndermemesi sağlanmalıdır.
HP-3500-24(config)# no snmp-server community public
(Öncelikle varsayılan olarak gelen snmp server bilgilerini siliyoruz.)
HP-3500-24(config)# snmp-server host 192.168.1.100 community hp-network-test trap-level all
(Kullanmak istediğimiz snmp server sunucusunun ip adresi ve ortak kullanılacak ismi ve ardından, yollanacak bilgilerin detaylarını, mesaj bilgilerini tanımlıyoruz.)
Cihaz’a varsayılan olarak vlan ip adresi verildikten sonra “HTTP” protokolü üzerinden erişim aktif hale gelir. Bunu “HTTPS” erişimini aktif hale getirerek güvenli erişimin gerçekleştirilmesinin sağlanması gerekmektedir. Opsiyonel olarak HTTP erişimini kapatmak ’da mümkündür. HTTP erişimini kapatmanız tavsiye edilir.
HP-3500-24(config)# crypto key generate cert rsa bits 2048
( HTTPS protokolü için sertifika çekmek için kullanılır.)
HP-3500-24(config)# web-management ssl
(HTTPS aktif hale getirmek için kullanılır)
Yukarıdaki 7 Aşamayı tamamladıktan sonra cihaza erişim ile alakalı olarak bazı adımları deneyelim.
SSH ile cihaza bağlanmak için ben Secure CRT yazılımını kullandım, Putty, Hyper Terminal gibi birçok yazılımı kullanabilirsiniz.
Resim-5-
Resim-6-
Adım Accept & Save butonuna tıkladıktan sonra daha evvel oluşturduğumuz yetkili kullanıcı adı ve şifreyi doğru yazdıktan sonra, aşağıdaki ekranda olduğu gibi cihaza SSH ile bağlanabildiğini görüntüleyebileceksiniz.
Resim-7-
HTTP bağlantısı üzerinden ekran görüntüsü Resim 8’de görüldüğü gibidir.
Resim-8-
Temel erişim ve güvenlik ayarlarının tamamlandı.
ACL Nedir ?
Network üzerinde cihazlar arası IP tabanlı erişimleri kısıtlamak veya control altına almak üzere kullanılan protokole “ACL” Access Control Listeleri adı verilir.
ACL Türleri;
Standart ACL, Extended ACL ve Named ACL’dir.
ACL tanımları numaralarına göre tanımlanır.
Standart ACL numarası 1-99
Extended ACL 100-199
MAC base ACL 700-799
1300-1999 Standart ACL yetmediği takdirde kullanılabilecek ek aralıktır.
2000-2699 Extended ACL yetmediği takdirde kullanılabilecek ek aralıktır.
2700-2999 Voice base ACL kullanımı içindir.
ACL numarasına bakarak cihazın işletim sistemi ACL yeteneğini ve detayını anlar.
Standart ACL: Örneğin” ip access-list 1” olduğunda erişimin sadece ilgili Host veya Network için kontrol altına alınacağını anlar ve ACL yazılırken daha fazla detay belirtmenize izin vermez.
Extended ACL: Cihazlar arasındaki erişimi host’dan host’a veya network’den network’e ve protocol tabanlı olarak daha fazla detay vererek kontrol altına almak istiyorsanız. Extended ACL kullanmalısınız. “Ip access-list 101” gibi.
Named ACL: Extended veya Standart named ACL yazılabilir. “ip access-list standard test_abc “ bu format’da yazıldığında ACL tipinin named standart olduğu anlaşılır.
Yukarıdaki türlerin dışında bir çok üretici işletim systemi özelinde time based veya reflexive based ACL tanımlamaları yapılabilir.
ACL yazarken IP Subneting ve VLSM kavramlarını biliyor olduğunuzu kabul ediyorum.
ACL tanımlamaları yaparken IP Subneting ile beraber ACL yazmanız gerekmektedir. ACL ve OSPF gibi bazı protokoller network tanımları yapılırken veya network üzerinde IP Network’ünün anonsunun yapılmasını istediği network’leri “Wild Card Bits” kullanarak gerçekleştirirler.
Dolayısıyla temel anlamda da olsa Wild card bit nasıl elde edildiğinin bilinmesi gerekmektedir.
Wild Card Bits Nedir?
Cihazlar üzerinde normal şartlarda IP Subneting yaparken subnet mask kullanıyoruz.
Örneğin; 192.168.1.100 /24 Ip adresinin Network ID’si 192.168.1.0 Ip adresidir. Host ID’si ise 1.100’dür.
192.168.1.100
255.255.255.0 şeklinde gösterilir.
Bu Ip adresinin Subnet Mask’I 255.255.255.0 iken Wild Card Bit’i 0.0.0.255 olarak ifade edilir.
Sözel tanımı ile Subnet Mask bilgisinden Wild Card Bit’e çevrim yapılırken “0” “255” e tamamlanarak çevrilir. “255” rakamıda “0” a tamamlanarak çevrim yapılır.
192.168.1.100 IP Adresinin direkt olarak kendisini tarif etmek için şu Resimde yazarız.
192.168.1.100
255.255.255.255
Wild Card Bit ile ifade ederken, 192.168.1.100 Subnet Mask yerine 0.0.0.0 Wild Card Bit yazılır.
Aşağıda alıntı yapılmış başka bir örnek yer almaktadır.
Resim-9-
Bu tanımlamaların ardından HP Switch üzerinde ACL konfigürasyonu gerçekleştirelim. ACL’ler IP tabanlı operasyonlar olduklarından normal şartlarda Router’lar üzerinde kullanılırlar.
Fakat HP switchler üzerinde desteği olduğu ve bir çok HP Switch’in Lite Layer 3 yeteneği olduğundan dolayı ACL konfigürasyonu çalıştırmaya izin vermektedir.
ACL konfigürasyonu;
HP-3500-24(config)# ip access-list extended 101 (Extended ACL oluşturmak için)
HP-3500-24(config-ext-nacl)# permit udp any any eq 67
HP-3500-24(config-ext-nacl)# permit udp any any eq 68
HP-3500-24(config-ext-nacl)# permit udp any any eq 53
HP-3500-24(config-ext-nacl)# permit tcp any any eq 67
HP-3500-24(config-ext-nacl)# permit tcp any any eq 68
HP-3500-24(config-ext-nacl)# permit tcp any any eq 53
(En üst’de yazılan ACL erişim detaylarında 67,68 ve 53 nolu port’lardan erişimi tüm networklerden tüm networklere izin vermesi için listenin en başında yer alması için yazıldı.)
Genel’den özel ayarlara doğru gitmek gerekmektedir.
HP-3500-24(config-ext-nacl)# permit ip 192.168.20.3 0.0.0.0 any log
( 20.3 Ip adresi tüm network’lere erişsin)
HP-3500-24(config-ext-nacl)# permit ip 192.168.20.5 0.0.0.0 any log
( 20.5 Ip adresi tüm network’lere erişsin)
HP-3500-24(config-ext-nacl)# deny ip 192.168.20.4 0.0.0.0 any log
( 20.4 Ip adresi tüm network’lere erişmesin)
HP-3500-24(config-ext-nacl)# permit ip any any !!!!!
(Bu kuralın yazılmasının amacı yukarıda yazılı olan kuralların dışında kalan ve yukarıdaki acl no veya grubu ile ilişkilendirilecek tüm vlan’ların erişimlerinin kesilmemesi için yazılmaktadır.)
Not: Varsayılan olarak tüm cihazlarda ACL aktif hale getirildiği andan itibaren deny any any (Default implicit deny all) devreye girecektir.
HP-3500-24(vlan-20)# ip access-group 101 in
Not:HP Switchler’de ACL entegrasyonu vlan tabalı yapılır. Cisco’da interface tabanlı olarak ilişkilendirilir.
( Yazılan ACL denetiminin VLAN ile ilişkilendirmeden olumlu-olumsuz hiç bir etkisi olmayacaktır.)
Temel konfigürasyonda cihaz üzerinde ilgili vlanlar ve üyelikler mevcut. Bu durumun üzerine Aşağıda bilgileri bulunan cihaz üzerinde karşı network üzerindeki cihaza test işlemi ile ACL çalışmasını denetleyebiliriz.
Resim-10-
Yazılmış olan ACL içerisinde Resim 10’da yer alan bilgilere sahip pc üzerinden tüm networklere erişimde ve otomatik IP almasında herhangi erişim problem yok.
Resim-11-
Yazılmış olan ACL içerisinde Resim 11’de yer alan bilgilere sahip pc üzerinden tüm networklere erişimi kapatılmış durumda.
Aynı IP adresine sahip kullanıcıya sadece ilgili belli bir network içinde erişimini kısıtlamak mümkündür. Cİhazlar üzerinde bu VLAN’a üye olan kullanıcıların herhangi bir network ile iletişimi kısıtlanırsa bu kısıtlama çift yönlü olarak gerçekleşecektir. Tek yönlü aksiyon durumu yoktur.
Son olarak cihaz üzerinde bu senaryolara ilişkin detaylı bilgilerin yer aldığı çıktı ekranını paylaşarak tek bir cihaz üzerindeki genel konfigürasyon bilgisi ile de cross check yapmanıza imkan tanımak istedim.
Resim-12-
Omurga switch’im üzerindeki genel topoloji görüntüsü Resim-12- de yer almaktadır.
3500 Omurga Switch’in 24 Nolu portu 2620 Switch’imin 24 Nolu portuna bağlı ve karşılıklı olarak üzerlerinde bulunan VLAN bilgileri paylaşılmış şekilde konfigürasyonu yapılmıştır.
2620 switch üzerindeki konfigürasyon oldukça yalın olduğundan konfigürasyonu paylaşmadım.
Sonuç olarak ACL denetimlerini omurga switch olarak tanımlamadığımız switch veya router üzerinde uygulamamız ve denetimi en tepeden kontrol altında tutmamız gerekmektedir.
Hiyerarşi olarak kenar switchler üzerinde ACL konfigürasyonu yapılmaması tavsiye edilmektedir.
Umarım herkese faydalı bir çalışma olmuştur.