CCNA - Console, Enable, Telnet Güvenliği
Console – Enable – Telnet Şifreleri
: Bellek türlerini
ikiye gruplandırırsak;
1-
Volatile -> Geçici : Örnek olarak cisco cihazlarda ram hafızadır.
2-
Non-Volatile -> Kalıcı : Cisco cihazındaki Flash, ROM, NV-RAM gibi
hafıza türleri örnek verilebilir.
En son
switch flash’ından switch’in imajını
(.bin) silmiştik ve işletim sistemi çöp olmuştu. Karşımıza “switch : “ şeklinde
prompt geliyordu. Yani bu “rommon mode”
anlamına gelir. Sınırlı IOS işletim sisteminden açılır bu mod. Burada IOS’u
kurtarmakla uğraşmayalım. Yeni tasarıma başlıyoruz.
Console Hattı Güvenli Hale Getirme
: Switch kontrol
console’una şifre koyma işlemi gerçekleştireceğiz. Bunun için “configuration
terminal > line console 0 > “line
console 0” daki sıfır(0)’ın özel bir
anlamı vardır. Yazılımcılar daha iyi bilir. Sıfır’dan index’leme “zero base”
denilen bir kavram vardır. Cihazda konsol girişi 1 tane olduğu için ikinci bir
konsol girişi yok. Aynı anda 1 kişi fiziksel olarak bağlanan serial’dan
yapılandırır. Bu 1 kavramının yazılımsal olarak index’lenmiş hali sıfır’dır. O
yüzden console 0 olarak gireriz. Bunun anlamı şu line console 0 aynı anda bir
kişi yapılandıracak demektir. Cihazda tek bir console girişi var çünkü. Devam edersek, “configuration terminal >
line console 0 > password 123” yazdığımızda logout olduktan sonra tekrar
terminale girmeye çalıştığımızda girebiliriz. Çünkü hala altın dokunuşu
yapmadık. Çünkü default olarak switch “parola sorma” yani no login , şeklinde
yapılandırılır line hatları, consol ekranına girişte. Ozaman benim ne yapmam
lazım parola sor demem lazım. Devam edersek; “configuration terminal > line console 0 > password 123 >
login” şeklinde komut verdiğimizde, belirlediğimiz parolayı konsol
girişinde sormuş olacaktır. Aynı şekilde
line consol’da iken “no login”
dediğimizde user mode şifresini ortadan kaldırmış oluruz.
Cihaza
konsoldan bağlanmayıpta uzaktan bağlandığımda user moddan (Switch>) açılır.
Uzaktan bağlandığımda eğer user moddan açılıyorsa bu privileges moda girerken
de keşke bir parola sorsaydı. User
moddan privileges moda geçerken. Buda bir zayıflıktır. Adı üstünde privileges mod (ayrıcalıklı mod)
user moddan daha tehlikeli. User moddan,
privileges moda geçerken bir şifre istesin. Bunu yapmak için. “Switch(config)# enable password qwert”
Global conf.
modu tehlikelidir. Cihazda yapılandırma, konfigürasyon yapma haricinde herşeyi
yapabilir. Kopyalama, görüntüleme, listeleme… o yüzden, yetkili kişiler burada
girsin diye authentication(kimlik doğrulama) parola ekranı ayarladık. Parolayı
bilmeden privileges moda giremez.
Default konfigürasyonlarla switch’te güvenlik politikası yoktur. Burada
yavaş yavaş bir güvenlik politikası, güvenlik katmanı oluşturmaya çalışıyoruz.
“Switch(config)# no enable password” dediğimizde parola
sormaz. (User moddan, privileges moda geçerken parola sormaz.) Farklı bir parola girmek için parola girişini
devredışı bırakmamıza gerek yok. Global conf. modunda, parola var iken bile
enable password 321 yazdığımızda eski parolayı override ederek yeni parolayı
üzerine yazar.
“Switch(config)# enable screet 123 : Privileges
mod’u md5 şekilde hash’leyerek şifrelemek için kullanılan bir komuttur. enabled password 123 şeklinde parola
verildiğinde, config dosyasında parola açık bir şekilde görünür. Screet parolası , password üzerine yazılmaz.
İkiside kullanılabilir. Fakat geçerli olan secret parolası olur.
“Switch(config)# service password-encryption” : Konfigürasyon
dosyasındaki tüm düz metin, tüm clear text parolalarını kriptolar. Şu ana kadar
“enable password ve consol giriş parolalarımız” kriptosuz saklanıyordu. Bu
komut ile beraber bütün şifreler kriptolanır.
“no sevice
password-encryption” gibi bi komut,
kriptolanan şifreyi eski haline clear text haline dönüştürmez. En fazla tekrar bir “enable password 12345”
gibi bir komut ile yine bir şifre override edebiliriz.
“S1#
show running-config | begin line” : Bu
komut çalışan konfigürasyonun içinde “line” kelimesi ile başlayan satırları
arar, filtreleme işlevi gibidir.
Cisco
parolaları 3 değişik şekilde saklar;
type 0 :
Clear text, yani herhangi bir kriptolama herhangi bir hashing yapmaz.
type 5 : MD5
çeklinde şifreyi saklar.
type 7 :
Cisco kripto yöntemidir. Bütün clear
text passwordleri kriptolar.
Telnet Oturumu :
Telnet oturumları için parola sorma işlemi yapacağız. Cisco cihazlarda
default olarak telnet server açıktır. Biz ekstra bir çaba harcamayız. Sadece
yetki parolaları sorma işlemi belirleriz.
İşleme geçecek olursak;
“ line vty 0
? “ yazdığımızda “ <1-15> Last Line number <cr> “ şeklinde çıktı
gelir. Bunun anlamı şudur; aynı anda 16
tane, çünkü 0’dan 15’e aynı anda 16 kişi oturum yapacak demektir. Bu sınırlanabilir. Yani “0 2” diyebiliriz. Yani 3 kişi aynı anda konfigürasyon yaparken
bu parolayı sor deriz. O parolayı bilen
3 tane BT elemanı bu cihaza konfigürasyon yapabilir. Bu 3 kişi aynı anda telnet oturumu
açabilir. 4. arkadaş bu ekranı
geçemeyecektir. Biz ise tüm terminal
hatlarını kriptolamak için, güvenli hale getirmek için 0
15 diyelim. Bu 15 sayısına da çok fazla takılmayalım,
packet tracer ortamında sayılar gerçek cihazlardaki sayılar ile bazen
örtüşmüyor. “line vty 0 15”
dedikten sonra line console’da “password 123 > login” dediğimiz zaman şifremizi
koymuş oluruz. Telnet’i burada
noktalayalım, packet tracer ortamında telneti deneme imkanımız yok. Telnet
konusuna ilerde daha detaylı giriş yapılacaktır.
Bu konuyu
toparlayacak olursak;
S1(config)# line console 0 : Konsol
hattını güvenli hale getirmek için bu komutu kullandık. Neden 0? çünkü tek
konsol oturumu vardı, tek konsol girişi vardı.
S1(config-line)# password 123 : line
konsola girip parolamızı belirledik.
S1(config-line)# login : parola sor.
S1(config-line)# no login : parola
sorma.
S1(config)# enable password 321 : user
moddan, privileges moda geçerken, bu şekilde parola sordurmuştuk. Bu parola clear text olarak açık bir şekilde
saklanırdı.
S1(config)# enable secret furkan123 : Parolanın
clear text olarak görünmesini engeller md5 şekilde hashler.
S1# sh run | begin line : Tüm
konfigürasyonu görmektense pipe kullanarak bir filtre oluşturarak sadece “line”
kelimesi geçen satırları görebiliriz.
cisco parolaları 3 değişik şekilde saklar;
type0 – type5 – type7
S1(config)# service password-encryption : Bütün
clear text şifreleri type7’ye göre kriptolar.
S1(config)# line vty 0 15 : Terminal hatlarında, telnet oturumlarında
parola sordurmak için, ki 0’dan 15’e kadar toplamda 16 adet session açabilirdi.
Packet tracer’in desteklediği maksimum session sayısıdır. Bu komut ile line konsoluna girip şifremizi
belirleyebiliriz.
S1(config-line)# password 321 : Telnet şifresini bu şekilde
belirtmiş olduk.
S1(config-line)# login : Telnet
parolası sor dedik.
Yorumlar
Yorum Gönder