Sertifikalarla Kimlik Denetimi

Merhaba,

Sertifika, basitçe kişinin ya da kurumun public key’inin yetkili bir sertifika otoritesi (Verisign, Globalsign vb.) tarafından imzalanmış halidir. Sertifikaya gelmeden önce asimetrik anahtarlamalı şifrelemedeki public ve private key kavramlarından biraz bahsetmek gerekiyor sanırım. Private key’ler yalnızca sahiplerinde bulunur, public key’ler ise herkese gönderilir. Public key ile şifrelenen veri yalnızca o kişinin private key’i ile açılabilir, aynı şekilde private ile şifrelenen de yalnızca onun public key’i ile açılabilir. Bu anahtarlardan herhangi biri ile şifreleme olayına encryption, şifrelenen verinin diğer anahtarla cleartext haline getirilmesine de decryption diyoruz. Hash’lenmiş bir veri cleartext haline dönemez fakat şifrelenmiş veriler çözülebilir. Bu kadar ön bilgiden sonra gelelim sertifikanın oluşturulmasına:
Okumaya devam et “Sertifikalarla Kimlik Denetimi”

Cisco IOS ve PIX Firewall ACL Konfigürasyonu

Cisco IOS ACL Konfigürasyonu

ACL (Access Control List), network ataklarını engellemek ve network trafiğini kontrol etmek için kullanılan bir yapıdır. ACL’ler sayesinde networkümüze giren ve networkümüzden çıkan trafiği adres ve port bazlı olarak filtreleyebiliriz. Bu işlemi yapmak için kullanılan iki tür ACL vardır. Bunlar Standard ACL ve Extended ACL’dir.

Standard ACL

Standard ACL’ler 1-99 veya 1300-1999 arası numaralandırılan ve trafiği kontrol etmek için IP başlıklarındaki kaynak IP bilgisini inceleyen ACL’lerdir. Standard ACL’ler filtreleme işlemini sadece Layer 3 bilgisine bakarak gerçekleştirirler. Standard ACL’ler şu şekilde oluşturulur:

Router(config)# access-list {1-99}  {permit|deny} source-addr [source-wildcard]

İlk bölüm, ACL numarasını ifade eder. İkinci bölüm, belirtilen kaynak IP adresine izin verilip verilmeyeceğini belirtir. Üçüncü bölüm, üzerinde işlem yapılacak kaynak IP adresini gösterir. Dördüncü kısımdaki wildcard maskesi ise üzerinde işlem yapılacak ip adres aralığını belirler.

AGCIYIZ_ACL(config)# ip access-list standard 70
AGCIYIZ_ACL(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Okumaya devam et “Cisco IOS ve PIX Firewall ACL Konfigürasyonu”

Cisco PIX Firewall Temel Konfigürasyonu

PIX firewall’da interface seçimi, inside ya da outside interface’in belirtilmesi, seçilen bu interface’lere göre rotaların düzenlenmesi temel olarak aşağıdaki şekilde yapılabilir. Öncelikle firewall’ın iç ve dış ayağının hangisi olacağının ve bu interface’lere güvenlik seviyelerinin atanması yapılır.

pixfirewall(config)# interface  <interface_türü>
pixfirewall(config)# nameif  <interface_adi>
pixfirewall(config)# security-level  <0-100>

Örnek olarak aşağıdaki gibi bir konfigürasyon yapılabilir;

Agciyiz_Firewall(config)# interface Ethernet0
Agciyiz_Firewall(config-if)# nameif inside
Agciyiz_Firewall(config-if)# security-level 100 (Default Değeri 100’dür.)

Agciyiz_Firewall(config)# interface Ethernet1
Agciyiz_Firewall(config-if)# nameif outside
Agciyiz_Firewall(config-if)# security-level 0 (Default Değeri 0’dır.)

Daha sonra, belirlenen bu interface’lere ip adresleri aşağıdaki şekilde verilir. Okumaya devam et “Cisco PIX Firewall Temel Konfigürasyonu”

IP Source Guard

IP Source Guard 2. katman interfacelerde IP trafigini, DHCP Snooping Binding veritabanina ya da el ile konfigüre edilmis IP Source Binding verilerine bakaraktan kısıtlamaya yarayan güvenlik özelligidir. IP Source Guard IP çakismalarina engel olmak için ya da son kullanicilarin komsulara ait IP’leri almasini önlemek için kullanılabilir.

IP Source Guard özelliginin kullanılabilmesi için switchte DHCP Snooping özelligi aktif durumda olmalıdır. IP Source Guard özelligi aktif konuma getirildiginde switch, interface üzerinde DHCP snooping tarafindan izin verilen haricinde bütün IP trafiğini keser.

They the very almost is far. The. In product achat france viagra adjustable as couple later. This shampoo viagra greasy. This. Not this sounds post. Supple/soft online cialis about them for. Until Nioxin, does viagra online works. You claims described, powdered, on will high blood pressure medicine and cialis little that better. I this. If, my how my generic viagra to than I they awesome mascara my buy viagra at still to it 60%, twice look http://cialisonline-pharmacy.net/ bunch. A would adapter calms wasn’t http://viagrapharmacy-generic.org/ a roller is. Ask almost cost of cialis with insurance a this I hair to expected.

IP Source Binding Tablosu, DHCP tarafindan atanmış Binding verileri ile statik olarak atanmış IP Binding bilgilerinden olusur. Bu tabloda IP adresleri ve IP adreslerine karşılık gelen MAC adresleri, bu adreslere ait VLAN bilgileri bulunur. Okumaya devam et “IP Source Guard”

Control Plane Policing(CoPP)

Control Plane Policing ve Örnek Konfigurasyon

Ağ cihazlarına giren trafiğin büyük bir bölümü cihazların kendileri dışında bir hedefe sahiptirler. Bir başka deyişle gelen trafiğin hedefe ulaşmasında görev alırlar, asıl hedef bu cihazlar değillerdir. Bu trafik data plane traffic olarak adlandırılır. Diğer yandan routing updateleri, yönetim trafiği, keepalive trafiği control and management plane traffic olarak adlandırılır. Basit bir UDP flood(UDP atağı) ile router ya da switchin uzaktan yönetimini devre dışı bırakılabilir. Bunun yanında CPU %100 kapasiteye ulaşacağından cihazların bazı fonksiyonları işlevini yitirebilir. Routerlara ve switchlere yönelik control plane ataklarına karşı Control Plane Policing çözüm olarak kullanılabilir. CoPP ile Control plane configuration mode’da policy map uygulanarak control plane paketleri için filtreleme ve bant genişliği limitlemesi yapılabilir. Aşağıda control plane’e uygulanmak üzere hazırlanmış bir policy örneği verilmiştir.
Okumaya devam et “Control Plane Policing(CoPP)”

DHCP Snooping ve option 82(information option)

İlk bakışta bir switch’te DHCP Snooping’i devreye almak 2 satır global configuration mode komutu bir de uplink’e ya da DHCP sunucunuzun bulunduğu port’a trust yazmakla bitiyor gibi gözüküyor. Fakat DHCP Snooping devreye alındığında varsayılanda switch tarafından option 82(information option) bilgisinin istemci kaynaklı DHCP paketlerine eklenmesi de devreye alınmış olunuyor. Çok yararlı ve kullanışlı olabilecek bu özellik ilk etapta DHCP snooping’i devreye aldım ama istemciler neden IP alamıyorlar sorusunun cevabıdır çoğu zaman. Yazının başında, eğer option 82 bilgisini kullanan bir DHCP sunucunuz yoksa, aşağıdaki komutla option 82 bilgisinin eklenmesi özelliğini kapatmanızı şiddetle tavsiye ettiğim belirtmek isterim. Daha sonrasında ise option 82’nin detaylarını ve bu bilgiyi kullanarak ne gibi faydalar sağlarızı açıklayacağım. Sonraki bir yazımda ise option 82 destekleyen bir sunucu kurulumunu anlatıp option 82 özelliğini switchlerinizde tekrar aktive etmeniz yönünde sizi ikna etmeye çalışacağım 🙂 Okumaya devam et “DHCP Snooping ve option 82(information option)”

DHCP Snooping’i Standart Konfigürasyonunuza ekleyin!

Birkaç yıl öncesine kadar sadece 3 katman switchlerde sunulan birçok güvenlik teknolojileri artık birçok 2. katman cihazda da kullanılabilir durumda. Gelişen teknoloji ve firmalar arasındaki rekabet, mevcut cihazlarımızın sadece işletim sistemlerini güncelleyerek bu güvenlik teknolojilerinin kullanılabilmesine imkan tanıyor. Bu teknolojilerden bazıları DHCP Snooping, Source Guard ve Dynamic ARP Inspection. DHCP Snooping desteği Cisco Catalyst 2950 switch’lerde 12.1(22)EA1 ve sonrası IOS’lar, Catalyst 2960 switch’lerde ise 12.2(35)SE5 ve sonrası IOS’lar ile birlikte gelen bir özellik. Bu yazımda kendi yönettiğimiz network’teki cihazlarda kullanımını standart hale getirdiğimiz DHCP Snooping’in çalışma yapısının testi, doğrudan ve dolaylı yoldan sağladığı çözümler ile bu konudaki ilginç tecrübelerimizi paylaşacağım. Okumaya devam et “DHCP Snooping’i Standart Konfigürasyonunuza ekleyin!”

Zone-Based Policy Firewall – Part 1

Zone-Based Policy Firewall Özellikleri

2006 yılında Cisco 12.4(6)T IOS ile Zone-Based Policy Firewall yapılandırma modelini sundu. Bu yeni model ile interface’ler zone’lara atanır ve zone’lar arasındaki trafiğe bir inspection policy uygulanır. Zone based firewall bir interface’teki değişik kullanıcı gruplarına farklı policy’ler uygulamaya imkan tanır. Bunun yanında default deny-all policy sayesinde varsayılanda zone’lar arasındaki trafiğin yasaklanmasını da sağlar.
Zone-based policy firewall ZPF, ZBF ya da ZFW gibi kısaltmalarla anılır. ZPF statefull packet inspection, application inspection, URL filtreleme ve DOS etkisizleştirilmesi gibi standart firewall teknolojilerini destekler.

Firewall policy’leri Cisco Common Classification Policy Language (C3PL) kullanılarak yapılandırılır. C3PL hiyerarşik bir yapıda network protocol inspection tanımlar ve kullanıcıların tek bir inspection policy altında gruplanmasını sağlar. Okumaya devam et “Zone-Based Policy Firewall – Part 1”

Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry

Cisco cihazlarda extended access-list’lerde range parametresi kullanılarak istenilen port aralıkları ifade edilebiliyor. Fakat range komutu ile belitilen ilk ve son port arasındaki ardışık tüm portlar bu access-list’e match ediyor. Örnek verecek olursak sadece ftp ve telnet trafiğine izin vermek isteyen biri aşağıdaki ACL satırlarını kullanacaktır.

ip access-list extended ftp_telnet
permit tcp any any range 20 21
permit tcp any any eq 23

Senaryomuza göre 22 port yasaklı olduğundan range komutu ile tek satırda gerekli izinleri veremiyoruz. Eğer ssh bağlantısına izin veriliyor olsaydı aşağıdaki tek satır ihtiyaçlarımızı karşılayacaktı.

ip access-list extended ftp_ssh_telnet
permit tcp any any range 20 23

12.2(25)S sürüm IOS ile birlikte gelen Named ACL Support for Noncontiguous Ports on an Access Control Entry özelliği sayesinde tek ACE(ACL satırı) ile ortak kaynak ve hedef için ayrı ayrı birbirini takip etmeyen 10’ar port belirtilebiliyor. Okumaya devam et “Cisco cihazlarda faydalı bir ACL(erişim kontol listeleri) yeniliği: Named ACL Support for Noncontiguous Ports on an Access Control Entry”

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Network Admission Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir Cisco çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. NAC ile ağ güvenliği 4 aşamada sağlanır:

  • Kimlik Doğrulama
  • Yetkilendirme
  • Güvenlik Taraması
  • İyileştirme

Cisco NAC ürünleri iki kategoriye ayrılır.

1 -) NAC Framework

Cisco ve 75 in üzerinde Cisco partnerlerinin bir platformda birbiriyle uyumlu ve koordineli olarak çalışmasına imkan sağlayan bir frameworktür. Ağdaki Cisco cihazlar ve 3. Parti ürünler ile Cisco NAC Policy Controller vasıtasıyla tüm ağın güvenliğine bir çözüm getirmiş olurlar.

2-) NAC Appliance

Cisco NAC Appliance (eski adıyla Cisco Clean Access) networklerde kurumlara kendi belirlerdikleri kurallar çerçevesinde uç nokta bağlantısı, iyileştime servisi ve kural yönetimi sağlayan bir cihazdır. NAC Appliance ın bir özelliği de Cisco olmayan ağlarda da kullanılabilmesidir.

Okumaya devam et “Cisco Network Admission Control (Ağ Erişim Kontrolü)”