Port Based Web Authentication

802.1x authentication’un un olmadığı sistemlerde port bazlı kimlik doğrulama yöntemi ile güvenliği sağlamak için “web authentication” kullanılabilmektedir. Bu IOS bazlı firewall’ı etkin olarak kullanabilmek için yerel bir kullanıcı veritabanı yaratılabileceği gibi harici bir RADIUS veya TACAS+ sunucusu da kullanılabilmektedir. Aşağıdaki uygulamada Cisco Secure ACS üzerine çalışan bir RADIUS sunucusu kullanmıştır.

Adım 1: aaa new-model
Switch’in 802.1x kimlik doğrulamayı sağlaması için AAA’ nın enable edilmesi gerekmektedir. AAA global configuration modunda “aaa new-model” komutu ile enable edilebilir.
Not: “aaa new model” komutunu girdikten sonra yapılması gerek tüm güvenlik yapılandırmaları tamamen bitirilmelidir. Yoksa bir sonraki sefer cihaza console yapılamayabilir.
Okumaya devam et “Port Based Web Authentication”

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Network Admission Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir Cisco çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. NAC ile ağ güvenliği 4 aşamada sağlanır:

  • Kimlik Doğrulama
  • Yetkilendirme
  • Güvenlik Taraması
  • İyileştirme

Cisco NAC ürünleri iki kategoriye ayrılır.

1 -) NAC Framework

Cisco ve 75 in üzerinde Cisco partnerlerinin bir platformda birbiriyle uyumlu ve koordineli olarak çalışmasına imkan sağlayan bir frameworktür. Ağdaki Cisco cihazlar ve 3. Parti ürünler ile Cisco NAC Policy Controller vasıtasıyla tüm ağın güvenliğine bir çözüm getirmiş olurlar.

2-) NAC Appliance

Cisco NAC Appliance (eski adıyla Cisco Clean Access) networklerde kurumlara kendi belirlerdikleri kurallar çerçevesinde uç nokta bağlantısı, iyileştime servisi ve kural yönetimi sağlayan bir cihazdır. NAC Appliance ın bir özelliği de Cisco olmayan ağlarda da kullanılabilmesidir.

Okumaya devam et “Cisco Network Admission Control (Ağ Erişim Kontrolü)”

Zone-Based Policy Firewall – Part 4

Örnek Konfigurasyon:

Aşağıdaki class-map’ler ile belirtilen protokollerden herhangi biri ile eşleşen trafik IC_policy’de tanımlanmış politikalara göre ele alınır. Class-map’ler tanımlanırken dikkat edilmesi gereken önemli bir nokta match-any ve match-all parametreleridir. Match-any ile tanımlanmış bir class-map’teki satırlardan herhangi birinin sağlanması durumunda policy’de o class için tanımlanmış davranış sergilenir. Match-all ile tanımlanmış bir class-map’te ise class-map’te belirtilen tüm satırların sağlanması gerekir. Buna göre 10.0.0.0/24 network’ünden yapılacak http, dns, telnet, https ve icmp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Diğer yandan 10.0.0.0/24 network’ünden yapılacak ftp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Bunun yanında ftp trafiği için 1 Mbps’lik bantgenişliği sınırlaması da uygulanacaktır.

Okumaya devam et “Zone-Based Policy Firewall – Part 4”

Zone-Based Policy Firewall – Part 3

CLI kullanarak Zone-Based Firewall Yapılandırması

1- zone security komutu ile firewall için gerekli zone’lar yaratılır.

2- class-map type inspect komutu ile trafik sınıfları tanımlanır.

3- policy-map type inspect komutu ile firewall policyleri belirlenir.

4- zone-pair security komutu ile kaynak ve hedef zone çiftlerine belirlenen policyler uygulanır.

5- zone-member security komutu ile router interfaceleri zone’lara atanır.

CLI ile ZPF yapılandırırken dikkat edilmesi gerekenler: Okumaya devam et “Zone-Based Policy Firewall – Part 3”

Zone-Based Policy Firewall – Part 2

Zone-Based Policy Firewall Çalışma Yapısı

Cisco IOS zone-based policy firewall Cisco SDM kullanılarak yapılandırıldığı zaman 3 farklı davranış sergiler:

Inspect: Cisco IOS stateful packet inspection’ı yapılandırır. Bu davranış CBAC ip inspect komutuna karşılık gelir. Dönüş trafiğine ve olası ICMP mesajlarına otomatik olarak izin verir. FTP ya da H.323 gibi birden çok paralel veri ve sinyalizasyon oturumuna ihtiyaç duyan protokoller için gerekli oturum kurulumu işlemlerini yapar.

Drop: ACL’deki deny ifadesi ile benzer işleve sahiptir. İstenmesi halinde reddedilen paketlerin loglanmasını sağlayan log seçeneği vardır.

Pass: ACL’deki permit ifadesi ile benzer işleve sahiptir. Pass davranışı trafiğin içerdiği bağlantı ya da oturumun durumunu incelemez. Sadece tek bir yönde bağlantıya izin verir. Dönüş trafiğine izin verilmesi için diğer yönde de ilgili kural uygulanmalıdır.

Belirli bir class’ın trafiğine rate limit(bandwitdh

sınırlaması) uygulanmak istenirse inspect ya da pass komutunun yanında police komutu da kullanılmalıdır. Okumaya devam et “Zone-Based Policy Firewall – Part 2”

Context-Based Access Control(CBAC)

CBAC’in Özellikleri

Cisco IOS Firewall’un mümkün kıldığı bir özellik olarak CBAC, uygulama katmanı bilgisini temel alarak TCP ve UDP paketlerini filtreleme işlemi gerçekleştirir. Uygulamaya özel protokollerde, multimedya uygulamalarında ve birden fazla kanala ihtiyaç duyan uygulamalarda CBAC, application katmanı filrelemesi sağlar.

CBAC’in trafik filtreleme,trafik denetleme,ihlal tespiti,denetim kaydı ve uyarı verme gibi dört ana işlevi vardır.

Trafik Filtreleme:

CBAC, güvenlik duvarı vasıtasıyla ağ içerisinde başlatılmış bağlantılara izin verecek şekilde konfigüre edilebilir. Bunu ACL içerisinde geçici açılımlar oluşturarak yerine getirir. CBAC filtreleme işlemini yalnızca network ve transport katmanı bilgisine göre değil aynı zamanda application katmanı bilgisine göre filtreleme yapar.

Trafik Denetleme:
Okumaya devam et “Context-Based Access Control(CBAC)”

Dijital İmza ve Dijital Sertifika

Dijital İmza

Dijital imzalar aşağıdaki durumlarda kullanılır;

  • Bilginin, doğru kaynak tarafından oluşturulduğunu kanıtlamak için,
  • Private key ve signature kullanarak kullanıcıya kimlik denetimi uygulamak için,
  • PKI sertifakalarının güvenilirliğini ve bütünlüğünü ispatlamak için,
  • Güvenilir bir zaman kaynağından güvenli bir zaman damgası sağlamak için.

Dijital imzalar 3 tip güvenlik hizmeti sunarlar;

  1. İmzalanan datanın güvenilir olması
  2. İmzalanan datanın bütünlüğünün korunması
  3. İmza kopyalanmasından koruma

Dijital imzaların yukarıda bahsedilen hizmetleri sunabilmesi için gerekli bazı özellikleri şöyledir:

  • İmza güvenli ve taklit edilemezdir. Dökümanın imzasının imzalayana (başka birine değil) ait olduğunu ispatlar.
  • İmza her bir döküman için ayrı ayrı üretilir ve bir daha kullanılamaz.
  • Döküman imzalandıktan sonra bir daha değiştirilemez.
  • İmza inkar edilemezdir. İmzalayanlar daha sonra aksini iddia edemezler.

Dijital imzalar; gerekli koşulları sağladığında bazı ülkelerde normal imza ile eşit tutulur. Bu koşulların başında da certificate authority nin güvenliği gelmektedir. Cisco da cihazlarının bir kısmında dijital imza kullanır.

Dijital imza işlemi hash fonksiyonu ve public keyleri temel alır ve bu işlem 6 aşamada gerçekleşir.

  1. Kaynak (signer) dökümanın hash ini oluşturur.
  2. Elde edilen hash i private key ile şifreler.
  3. Şifrelenmiş hash (imza) dökümana eklenip hedefe gönderilir.
  4. Hedef; gelen imzalı dökümanı alır ve buna ek olarak kaynağın public key ini elde eder.
  5. Public key i kullanarak, şifrelenmiş dökümanı deşifre eder. Böylece kaynağın hash li dökümanı elde edilmiş olur.
  6. Daha sonra hedef orjinal dökümanın hash ini kendisi oluşturur ve kaynaktan gelen hash değeri ile karşılaştırır. Eğer hash değeri eşleşirse dökümanın güvenilir ve yol boyunca aynı kaldığı, kaynağın da doğru olduğu anlaşılmış olur.

Dijital imzalar sağladığı güven ve bütünlüğün yanında aynı zamanda bir güvence sağlamaktadır. Özellikle kodlarda ve sıkıştırılmış dosyalarda bu güvenceler önem kazanmaktadır.
Okumaya devam et “Dijital İmza ve Dijital Sertifika”

NAP

Ağ Erişim Koruması (Network Access Protection)

NAP (Network Access Protection), Windows Server 2008 ve Windows Vista ile birlikte gelen olan bir ağ güvenliği uygulamasıdır. Aslında NAP bir güvenlik teknolojisinden çok bir kontrol mekanizmasıdır. Yaptığı kontrollerin sonucunda da dolaylı yoldan güvenlik konusunda yardım sağlamaktadır. Sistem ağa bağlanan bilgisayarların durumlarına göre erişim izni verip vermemeye karar vermektedir. İzin belirlenen kurallar çerçevesinde kararlaştırılmaktadır, kurallara uygun olmayan istemcilere ise yardımcı olup çözümler üretmektedir.
NAP ağa dahil olacak bilgisayarları kontrol ederken kullandığı bazı kriterler şunlardır: