Cisco Cihazlarda VLAN veya Fiziksel Interface Bazında Alınabilecek Güvenlik Önlemleri

Jan 27th, 2008
Leave a comment | Trackback

Interface bazında bazı önlemler alarak çeşitli saldırılar engellenebileceği gibi, cihazın üzerinde gereksiz oluşabilecek yükte azaltılabilir. Bu amaçla kullanılacak komutlar genel olarak kullanılması tavsiye edilmektedir, ancak kullanmadan önce uygulanacak ağın ihtiyaçları da göz önüne alınmalıdır. Ayrıca uyguladıktan sonra sonuçlarını gözlemlemeniz tavsiye ederim. Sonra kaş yapalım derken 

Uygulanabilecek Komutlar:

ip verify unicast source reachable-via rx allow-default : VLAN altında belirtilmiş olan IP blokları dışında başka kaynak IP adresi ile o VLAN’dan trafik çıkmasını engeller. Bu bilerek veya Malware’ler ile istem dışı yapılacak IP Spoofing ataklarını engellenmiş olur. Aynı işlemi ACL ile yaparsanız ve VLAN’de DHCP hizmeti veriyorsanız, DHCP portlarına izin vermeyi unutmayın :)
no ip redirects : ICMP redirect desteği kapatılmaktadır. ICMP redirect’in hakkında geniş bilgi almak için http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094702.shtml adresini incelemenizi tavsiye ederim.

no ip unreachables: ICMP unreachable paketlerinin geri yollanması engellenir. Bu özellik raslansal hedef IPler seçerek DoS atağı yapmaya çalışan bir bilgisayara ulaşılamadı mesajı geri gönderilmeyerek hem yönlendirici üzerindeki yükü azaltılır. Hem de atak yapan bilgisayarın time-out süresine kadar beklemesine sebep olur. Kurumunuzun sunuclarının bulunduğu interface’lerde kapatmayarak time-out süresini beklemelerini engelleyebilirsiniz.

no ip proxy-arp: Ağ geçidi (gateway) tanımlamamış veya yanlış tanımlamış bir istemcinin yönlendirici tarafından tespit edilerek o istemcilere ağ geçidi hizmetinin otomatik verilmesi özelliğini kapatır.

no ip source-route: Bu komut global konf. modunda bütün yönlendirici için uygulanır. Kaynak bilgisayar isterse yolladığı paketin gideceği ve paketin döneceği rotayı belirleyebilir. Kötü amaçlı olarak kullanılmaya çok müsait bir özelliktir. Daha geniş bilgi almak için “http://www.faqs.org/faqs/cisco-networking-faq/section-23.html” adresini incelemenizi tavsiye ederim.

Örnek Konfigürasyon:
int Vlan <Vlan_Numarası>

(config-if)#ip verify unicast source reachable-via rx allow-default
(config-if)#no ip redirects
(config-if)#no ip unreachables
(config-if)#no ip proxy-arp
(config-if)#exit
(config)#no ip source-route

Not : VLAN1’i kullanmıyorsunuz dimi, sakın haa :)
Herkese kolay gelsin.

Gökhan AKIN

Tags:
  1. hdemir
    Jan 28th, 2008 at 09:29
    Reply | Quote | #1

    Bunlarin bir kısmını doğrudan “configure terminal” kısmından da girilebilmekteydi.

    Aynı zamanda “no cdp” de Cisco cihazları için önemlidir diye düşünüüyorum.

    hdemir.

  2. Ozgur Karatas
    Feb 6th, 2008 at 15:15
    Reply | Quote | #2

    no cdp dediginiz zaman bu defa siz de networkunuzun bir haritasini cikaramazsiniz ya da ciscoworks kullaniyor iseniz switch ve routerleri tek tek elle eklemek zorunda kalirsiniz.

    switchport protected ve private vlan icin de guzel bir belge bekliyoruz :)