network kontrol altında!
MSTP (Multiple Spanning Tree Protocol) teknolojisi STP ve RSTP teknolojilerinin geliştirilmesi ile ortaya çıkmıştır. MSTP teknolojisi ile önceden tanımlanan VLAN gurupları belirli bir algoritma dahilinde yönlendirilerek omurgaya giden tüm linklerin aktif olarak kullanılmasını sağlar.
MSTP teknoloji ile, sadece tek bir aktif bağlantı kalması için de bazı portlar bloklanır. Okumaya devam et “MSTP (Multiple Spanning Tree Protocol) Konfigürasyonu”
GVRP network cihazları arasında VLAN bilgilerinin paylaşılmasını sağlayan IEEE tarafından 802.1Q standardı üzerinde geliştirilmiş bir uygulamadır. VTP (VLAN Trunking Protocol) ile işlevi aynıdır. Fakat VTP Cisco cihazlara özgü bir protokol olduğundan dolayı sadece Cisco cihazlar arasında çalışabilir durumdadır. Bu noktada GVRP, Cisco harici cihazlarda VLAN bilgisi paylaşımında görev alır. GVRP, VLAN bilgisi eklemek veya VLAN’leri yönetmek maksadıyla dinamik olarak konfigüre edilebilir.
GVRP, VLAN bilgilerinin paylaşımı için GARP’ı(Generic Attribute Registration Protocol) kullanır. GARP protokolü birtakım özellikleri(attribute) GARP PDU’ları içinde duyurulması temelli bir uygulamadır. GARP protokolü başka protokoller tarafından kullanılarak yapılması istenilen işlevler gerçekleştirilebilir. GVRP’de GARP PDU’ları içinde taşınan özellik(attribute) VLAN bilgileridir. Bunun sayesinde VLAN bilgileri paylaşılır.
Okumaya devam et “GVRP(GARP VLAN Registration Protocol-Generic VLAN Registration Protocol)”
Quality of Service(QoS) – Servis Kalitesi networklerin data trafiğinin haricinde ses ve video iletimi amacıyla kullanılmaya başlamasından sonra önem kazanmış bir uygulamadır. QoS uygulamalarında asıl amaç var olan bantgenişliğini(bandwidth) en verimli şekilde kullanılabilmesine imkan sağlamaktır.
QoS uygulamalarından önce bir yönlendiriciye gelen paketler Best Effort(BE) dediğimiz yöntemle diğer uca aktarılıyordu. Bu yöntemle gelen paketler üzerinde hiçbir işlem(önceliklendirme anlamında) uygulanmadan direk karşı tarafa aktarılıyordu. Best effort paketlerin karşı tarafa ulaşıp ulaşmadığını kesinlikle garanti edemez. Best effort kullanılan networklerde bütün kullanıcılar network üzerindeki trafiğe göre değişen; daha önceden belirlenemeyen iletim hızı ve iletim sürelerinde iletişim sağlarlar. Okumaya devam et “QoS Nedir?”
Microflow Policing
Microflow Policy tekniği ile bir arayüzden erişim sağlayan bütün IP adresleri için ayrı ayrı bant genişliği yönetimi yapılabilir. Örneğin her kullanıcının için saniyede maksimum 1024Kbit erişim yapabileceği şekilde bir sınırlama konabilir. Bu sayede tek bir kullanıcının bütün bantgenişliğini kullanması engellenmiş olur. Ayrıca aynı arayüzde farklı kullanıcı profillerine göre tanımlanmış class-map ile farklı bant genişliği değerlerinin belirlenmesi de mümkün olmaktadır.
Microflow policy’de akış (flow) tanımlanması aşamasında sadece kaynak IP adresi(src-only), sadece hedef IP adresi(dest-only) ya da kaynak ve hedef IP ile birlikte kaynak ve hedef port numaraları(full-flow) seçilebilir. Eğer kullanıcı bazlı bir bant genişliği sınırlandırılması isteniyorsa src-only ya da dest-only seçeneği kullanılmalıdır. Full-flow seçilmesi durumunda bir kullanıcının kurduğu her bağlantı ayrı bir flow olarak tanımlanacağından herhangi bir kullanıcının kullanabileceği bant genişliği üst sınırını tanımlama imkanı olmaz. Bu şekilde sadece tek bir session(oturum) için sınırlandırma konulmuş olur.
Bunların yanı sıra istenirse aggregate ve microflow policy aynı anda kullanılabilir. Örnek olarak misafirlere kullanıcı bazında 512 Kb’lik sınırlandırma yapılmasının yanı sıra bütün misafirlerin toplamda da 50Mb’lik bant genişliğini aşmaları engellenebilir. Okumaya devam et “Cisco 6500 Switchler ve 7600 Routerlar ile Kullanıcı Bazlı Bant Genişliği Yönetimi: Microflow Policing”
Cisco 6500 serisi anahtarlar iki çeşit aggregate policer (toplam sınırlandırıcı) destekler. Bunlar per-interface (arayüz bazlı) ve named(isimlendirilmiş) aggregate policer’lardır. Per-interface aggregate policer uygulandığı her arayüz için giriş yönünde ayrı ayrı sınırlandırma yapar. Per-interface sınırlandırıcı policy-map yapılandırması ile tanımlanır. İsimlendirilmiş aggregate policer ise uygulandığı tüm arayüzlerdeki trafiğin toplamına sınırlandırma getirir. İsimlendirilmiş aggregate policer Cisco yönlendiriciler tarafından desteklenmemektedir. Okumaya devam et “6500 Serisi Switchlerde Aggregate Policing”
Cisco IOS ACL Konfigürasyonu
ACL (Access Control List), network ataklarını engellemek ve network trafiğini kontrol etmek için kullanılan bir yapıdır. ACL’ler sayesinde networkümüze giren ve networkümüzden çıkan trafiği adres ve port bazlı olarak filtreleyebiliriz. Bu işlemi yapmak için kullanılan iki tür ACL vardır. Bunlar Standard ACL ve Extended ACL’dir.
Standard ACL
Standard ACL’ler 1-99 veya 1300-1999 arası numaralandırılan ve trafiği kontrol etmek için IP başlıklarındaki kaynak IP bilgisini inceleyen ACL’lerdir. Standard ACL’ler filtreleme işlemini sadece Layer 3 bilgisine bakarak gerçekleştirirler. Standard ACL’ler şu şekilde oluşturulur:
Router(config)# access-list {1-99} {permit|deny} source-addr [source-wildcard]
İlk bölüm, ACL numarasını ifade eder. İkinci bölüm, belirtilen kaynak IP adresine izin verilip verilmeyeceğini belirtir. Üçüncü bölüm, üzerinde işlem yapılacak kaynak IP adresini gösterir. Dördüncü kısımdaki wildcard maskesi ise üzerinde işlem yapılacak ip adres aralığını belirler.
AGCIYIZ_ACL(config)# ip access-list standard 70
AGCIYIZ_ACL(config-std-nacl)# permit 192.168.1.0 0.0.0.255Okumaya devam et “Cisco IOS ve PIX Firewall ACL Konfigürasyonu”
PIX firewall’da interface seçimi, inside ya da outside interface’in belirtilmesi, seçilen bu interface’lere göre rotaların düzenlenmesi temel olarak aşağıdaki şekilde yapılabilir. Öncelikle firewall’ın iç ve dış ayağının hangisi olacağının ve bu interface’lere güvenlik seviyelerinin atanması yapılır.
pixfirewall(config)# interface <interface_türü>
pixfirewall(config)# nameif <interface_adi>
pixfirewall(config)# security-level <0-100>
Örnek olarak aşağıdaki gibi bir konfigürasyon yapılabilir;
Agciyiz_Firewall(config)# interface Ethernet0
Agciyiz_Firewall(config-if)# nameif inside
Agciyiz_Firewall(config-if)# security-level 100 (Default Değeri 100’dür.)
Agciyiz_Firewall(config)# interface Ethernet1
Agciyiz_Firewall(config-if)# nameif outside
Agciyiz_Firewall(config-if)# security-level 0 (Default Değeri 0’dır.)
Daha sonra, belirlenen bu interface’lere ip adresleri aşağıdaki şekilde verilir. Okumaya devam et “Cisco PIX Firewall Temel Konfigürasyonu”
Geçtiğimiz günlerde Enno Rey ve Daniel Mende tarafından Black Hat güvenlik konferansında yayınlanan bir araştırmada, Cisco Wifi ürünlerindeki güvenlik açığından bahsedildi. Konferansta, Cisco’nun Wireless LAN Context Control Protocol (WLCCP) ‘ündeki açıktan dolayı (access pointler arasındaki data paylaşımı) kolaylıkla Denial of Service atak yapılabilip, şifreli trafiğin dinlenebildiği dinleyicilere aktarıldı. Bununla beraber araştırmacılar, Cisco Unified Wireless Network
cihazlarından oluşan bir topolojide cihazların yönetilebilir web interfacelerine yönelik örnek bir atak girişimini de dinleyicilere gerçeklediler.
Saldırıda faydalanılan açıklardan en önemlilerinden biriyse , Unified Wireless Network cihazlarının herkes tarafından bilinen default SNMP şifrelerini kullanmasıydı. Bu da saldırganın kolayca Cross site scripting (XSS) atak yapmasına olanak sağlamaktadır.
Kaynak: ZDNet UK/News and Analysis/Security/Security Threats
Daha önceki yazılarda da bahsedildiği üzere UDP, ICMP ya da bunun gibi ataklarla herhangi bir network cihazında gerek kısa süreli gerekse saldırının büyüklüğüne göre uzun süreli karmaşık sorunlar yaratmak pek de zor gözükmüyor. Fakat bu denli sorun yaşanması muhtemel bir ortamda, saldırıya açık cihazların korunması için CoPP (Control Plane Policing) ile gelen trafik belirlenen kurallara uydurularak istenilen güvenlik sağlanabilir. Önceki yazılarda CoPP’in ne olduğu, kullanım yerleri ve örnek konfigurasyonlar üzerinde durulmuştu, bu yazıda ise yine önceki yazının devamı niteliği taşıyan Control Plane Policing kullanılarak hazırladığımız bir topolojide network cihazımızı güvenli olmayan bir bölgeden gelebilcek ICMP ataklarına karşı koruyacağız.
Okumaya devam et “ICMP Ataklarına CoPP Önlemi”
Dinamik Trunk Protokolü; Cisco tarafından geliştirilmiş bir protokoldür ve iki Cisco switchin birbirine bağlanan portları arasında trunk konfigürasyonunun ve sarmalama metodunun pazarlığa dayalı bir şekilde belirlenmesini sağlar. Dinamik Trunk Protokolü sayesinde portlar arası trunk olma işlemi otomatik olarak yapılabilir. Bu http://propeciageneric-online.com/ protokol OSI referans modeline göre 2. Katmanda çalışır. Dinamik Trunk Protokolü’nün gerçekleştirilmesi için uygulanabilecek 4 çeşit mod vardır. Bunlar; Dynamic Desirable, Dynamic Auto, Trunk ve Access tir.
Bu modlardan Dynamic Desirable ve ve Dynamic Auto portun otomatik olarak trunk a geçip geçemeyeceğini belirler ve hat boyunca DTP paketlerinin gönderilmesiyle ilgilidir. Bu modlar trunk olmaya meyillider. “Show interfaces trunk” komutu kullanılarak bu görülebilir: Okumaya devam et “DTP (Dynamic Trunking Protocol)”