CCNA - Console, Enable, Telnet Güvenliği

Console – Enable – Telnet Şifreleri  :  Bellek türlerini ikiye gruplandırırsak; 

1- Volatile -> Geçici  :  Örnek olarak cisco cihazlarda ram hafızadır.

2- Non-Volatile -> Kalıcı  :  Cisco cihazındaki Flash, ROM, NV-RAM gibi hafıza türleri örnek verilebilir.

En son switch flash’ından  switch’in imajını (.bin) silmiştik ve işletim sistemi çöp olmuştu. Karşımıza “switch : “ şeklinde prompt geliyordu.  Yani bu “rommon mode” anlamına gelir. Sınırlı IOS işletim sisteminden açılır bu mod. Burada IOS’u kurtarmakla uğraşmayalım. Yeni tasarıma başlıyoruz.

Console Hattı Güvenli Hale Getirme  :  Switch kontrol console’una şifre koyma işlemi gerçekleştireceğiz. Bunun için “configuration terminal > line console 0 >  “line console 0” daki  sıfır(0)’ın özel bir anlamı vardır. Yazılımcılar daha iyi bilir. Sıfır’dan index’leme “zero base” denilen bir kavram vardır. Cihazda konsol girişi 1 tane olduğu için ikinci bir konsol girişi yok. Aynı anda 1 kişi fiziksel olarak bağlanan serial’dan yapılandırır. Bu 1 kavramının yazılımsal olarak index’lenmiş hali sıfır’dır. O yüzden console 0 olarak gireriz. Bunun anlamı şu line console 0 aynı anda bir kişi yapılandıracak demektir. Cihazda tek bir console girişi var çünkü.  Devam edersek, “configuration terminal > line console 0 > password 123” yazdığımızda logout olduktan sonra tekrar terminale girmeye çalıştığımızda girebiliriz. Çünkü hala altın dokunuşu yapmadık. Çünkü default olarak switch “parola sorma” yani no login , şeklinde yapılandırılır line hatları, consol ekranına girişte. Ozaman benim ne yapmam lazım parola sor demem lazım. Devam edersek; “configuration terminal > line console 0 > password 123 > login” şeklinde komut verdiğimizde, belirlediğimiz parolayı konsol girişinde sormuş olacaktır.  Aynı şekilde line consol’da iken “no login” dediğimizde user mode şifresini ortadan kaldırmış oluruz.

Cihaza konsoldan bağlanmayıpta uzaktan bağlandığımda user moddan (Switch>) açılır. Uzaktan bağlandığımda eğer user moddan açılıyorsa bu privileges moda girerken de keşke bir parola sorsaydı.  User moddan privileges moda geçerken. Buda bir zayıflıktır.  Adı üstünde privileges mod (ayrıcalıklı mod) user moddan daha tehlikeli.  User moddan, privileges moda geçerken bir şifre istesin. Bunu yapmak için. “Switch(config)#  enable password qwert”

Global conf. modu tehlikelidir. Cihazda yapılandırma, konfigürasyon yapma haricinde herşeyi yapabilir. Kopyalama, görüntüleme, listeleme… o yüzden, yetkili kişiler burada girsin diye authentication(kimlik doğrulama) parola ekranı ayarladık. Parolayı bilmeden privileges moda giremez.  Default konfigürasyonlarla switch’te güvenlik politikası yoktur. Burada yavaş yavaş bir güvenlik politikası, güvenlik katmanı oluşturmaya çalışıyoruz.

“Switch(config)#  no enable password” dediğimizde parola sormaz. (User moddan, privileges moda geçerken parola sormaz.)  Farklı bir parola girmek için parola girişini devredışı bırakmamıza gerek yok. Global conf. modunda, parola var iken bile enable password 321 yazdığımızda eski parolayı override ederek yeni parolayı üzerine yazar.

“Switch(config)#  enable screet 123  :  Privileges mod’u md5 şekilde hash’leyerek şifrelemek için kullanılan bir komuttur.   enabled password 123 şeklinde parola verildiğinde, config dosyasında parola açık bir şekilde görünür.  Screet parolası , password üzerine yazılmaz. İkiside kullanılabilir. Fakat geçerli olan secret parolası olur.

“Switch(config)#  service password-encryption” : Konfigürasyon dosyasındaki tüm düz metin, tüm clear text parolalarını kriptolar. Şu ana kadar “enable password ve consol giriş parolalarımız” kriptosuz saklanıyordu. Bu komut ile beraber bütün şifreler kriptolanır.

“no sevice password-encryption”  gibi bi komut, kriptolanan şifreyi eski haline clear text haline dönüştürmez.  En fazla tekrar bir “enable password 12345” gibi bir komut ile yine bir şifre override edebiliriz.

“S1#  show running-config  |  begin line”  :  Bu komut çalışan konfigürasyonun içinde “line” kelimesi ile başlayan satırları arar, filtreleme işlevi gibidir.

Cisco parolaları 3 değişik şekilde saklar;

type 0 : Clear text, yani herhangi bir kriptolama herhangi bir hashing yapmaz.

type 5 : MD5 çeklinde şifreyi saklar.

type 7 : Cisco kripto yöntemidir.  Bütün clear text passwordleri kriptolar.

Telnet Oturumu  :   Telnet oturumları için parola sorma işlemi yapacağız. Cisco cihazlarda default olarak telnet server açıktır. Biz ekstra bir çaba harcamayız. Sadece yetki parolaları sorma işlemi belirleriz.  İşleme geçecek olursak;

“ line vty 0 ? “  yazdığımızda   “ <1-15>  Last Line number <cr> “ şeklinde çıktı gelir. Bunun anlamı şudur;  aynı anda 16 tane, çünkü 0’dan 15’e aynı anda 16 kişi oturum yapacak demektir.  Bu sınırlanabilir. Yani “0  2” diyebiliriz.  Yani 3 kişi aynı anda konfigürasyon yaparken bu parolayı sor deriz.  O parolayı bilen 3 tane BT elemanı bu cihaza konfigürasyon yapabilir.  Bu 3 kişi aynı anda telnet oturumu açabilir.  4. arkadaş bu ekranı geçemeyecektir.  Biz ise tüm terminal hatlarını kriptolamak için, güvenli hale getirmek için  0  15  diyelim.  Bu 15 sayısına da çok fazla takılmayalım, packet tracer ortamında sayılar gerçek cihazlardaki sayılar ile bazen örtüşmüyor.  “line  vty  0  15” dedikten sonra line console’da “password  123 > login” dediğimiz zaman şifremizi koymuş oluruz.  Telnet’i burada noktalayalım, packet tracer ortamında telneti deneme imkanımız yok. Telnet konusuna ilerde daha detaylı giriş yapılacaktır.

Bu konuyu toparlayacak olursak;

S1(config)# line console 0 : Konsol hattını güvenli hale getirmek için bu komutu kullandık. Neden 0? çünkü tek konsol oturumu vardı, tek konsol girişi vardı.

S1(config-line)# password 123 : line konsola girip parolamızı belirledik.

S1(config-line)# login : parola sor.

S1(config-line)# no login : parola sorma.

S1(config)# enable password 321 : user moddan, privileges moda geçerken, bu şekilde parola sordurmuştuk.  Bu parola clear text olarak açık bir şekilde saklanırdı.

S1(config)# enable secret furkan123 : Parolanın clear text olarak görünmesini engeller md5 şekilde hashler.

S1# sh run | begin line : Tüm konfigürasyonu görmektense pipe kullanarak bir filtre oluşturarak sadece “line” kelimesi geçen satırları görebiliriz.

cisco parolaları 3 değişik şekilde saklar;

type0 – type5 – type7

S1(config)# service password-encryption : Bütün clear text şifreleri type7’ye göre kriptolar.

S1(config)# line vty 0 15 :  Terminal hatlarında, telnet oturumlarında parola sordurmak için, ki 0’dan 15’e kadar toplamda 16 adet session açabilirdi. Packet tracer’in desteklediği maksimum session sayısıdır.  Bu komut ile line konsoluna girip şifremizi belirleyebiliriz.

S1(config-line)# password  321 : Telnet şifresini bu şekilde belirtmiş olduk.

S1(config-line)# login : Telnet parolası sor dedik.