CİSCO E-KİTAP İçindekiler.1. Cisco Konfigürasyon Tamamlanmasi

1.1 Arayüz Tanimlamalari1.2 Arayüz Konfigürasyonunun Tanimlanmasi1.3 Karsilama Mesajlari1.4 Günlük Mesajlarin Konfigürasyonu1.5 Host Isim Çözümlemesi1.6 Host Tablolarinin Konfigürasyonu1.7 Yedekleme ve Dokümantasyon Konfigürasyonu1.8 Kopyala , Yapistir, Düzenle Konfigürasyonu

2. Cisco FortiGate PIX VPN’in Çalısması2.1 FortiGate Firewall Adreslerini Konfigüre Etme2.2 FortiGate Firewall Policy Konfigüre Etme2.4 Cisco Cihazını Konfigüre Etme

3. Sanal Terminal Erisimlerinin Kisitlanmasi4. Cisco Router Konfigürasyonu

4.1 Roter Sifrelerinin Konfigürasyonu4.2 show Komutlarinin Incelenmesi4.3 Seri Arayüz Konfigürasyonu4.4. Seri Arayüz Konfigürasyonu4.5 Seri Arayüz Konfigürasyonu 1 4.6 Eklemelerin Tasimalarin Degistirmelerin Yapilmasi4.7 Ethernet Arayüzünün Konfigürasyonu

5. Ripv1 ve Ripv2 Haberlesmesi6. Cisco Statik Yönlendirme Konfigürasyonu

6.1 Statik Yönlendirme Konfigürasyonu6.2 Varsayilan Yönlendirme Iletiminin Konfigürasyonu6.3 Statik Yönlendirme Konfigürasyonunun Dogrulanmasi6.4 Statik Yönlendirme Konfigürasyonundaki Sorunlarin Giderilmesi

7 . IDS(Saldırı Algılama) Sunucusu8. Cisco RIP

8.1 RIP Konfigürasyonu8.2 ip classless Komutunun Kullanilmasi

9. Cisco Circuit Switching10 . Cisco ile HDLC 11. Cisco Uzaklik Vektörü Yönlendirmesi

11.1 Yönlendirmenin Mantiksal Hesabi12. Cisco IGRP Özellikleri

12.1 IGRP Metrikleri12.2 IGRP Yollari12.3 IGRP Dayaniklilik Özellikleri12.4 IGRP Konfigürasyonu12.5 IGRP Sorunlarinin Giderilmesi

13. Cisco Router Üzerinde (ACL) Control List 13.1 Erişim Denetim Listeleri

14. Cisco İos ile Router Güvenliği 14.1 Yönlendirici Cihazının Güvenliği 14.2 Şifrenin Ağda Düz Metin Olarak İletilmesini Engellemek: 14.3 Ağı Yönlendiricilerle Korumak 14.4 Sistemi Takip Etmek 14.5 Sistemde Güvenlik testleri Uygulamak

1. Cisco Konfigürasyon TamamlanmasiKonfigürasyonu Standartlarinin Önemi

Organizasyon içerisinde konfigürasyon dosyalari için standartlari yükseltmek önemlidir.Bunun için konfigürasyonun numaralarla kontrol edilmesi gerekir. Dosyalar nasil kayit edilecek? Nerede kayitlar tutulacak. Bu gibi sorularin halledilmesi gerekir.

Standart, kurallarin yada prosedürlerin gerçeklestirilmesidir. Her ikisi de genis landa kullanilir. yada en basinda belirlenir. Organizasyonda standartlar olmazsa olmazlardandir. Standartlarin bulunmadigi serviste agda karsiligin olmasi kaçinilmazdir.

Ag yönetim düzenlemesi yapilirken standart destekli olmalidir. Konfigürasyon , güvenlik ,performans ve ag için uygun adreslemeler yapilmalidir. Aglarda olusabilecek karisikliklara en uygun sekilde yardim edebilmesi için standartlar olusturulmustur. Planlanmamis kesilmelerinmiktari ve ag performansinin çakismalara maruz kalmasi gibi sorunlarin giderilmesinde standartlara basvurulmustur.

1.1 Arayüz Tanimlamalari

Özel ag parçasi , devre numarasi yada uzaktaki router a ait önemli bilgi kimlikleri bira arayüz tanimlamasinda kullanilir. Arayüzdeki tanimlamalar , agdaki kullanicilarin arayüz hakkinda özel bilgileri hatirlamala rinda yardimci olabilir. Ne tip bir arayüz servisi kullanildigi hakkinda bilgiye sahip olunmus olur

Tanimlama arayüz hakkinda yorumlarin yapildigi yerdir. Router hafizasinda bulunan konfigürasyon dosyasinda bulunur. Tanimlama , routerin operasyonuna etki yapmaz. Her arayüze standart olarak eklenirler. Devre kimlikleri , arayüzlere olan baglantilar yada diger araçlarin yerleri hakkindaki bilgilerin tutulmasi amaçlanmistir. Problemlerin çözümünün daha hizli olmasi için ve arayüz problemlerinin anlatilmasinda personelin daha iyi anlamasi için tanimlamalar kullanilir.

1.2 Arayüz Konfigürasyonunun Tanimlanmasi

Arayüz tanimlamasinin konfigürasyonu global moda girilerek yapilir. Global konfigürasyon moddayken arayüz konfigürasyon moda girilir. Tanimlamalar için asagidaki adimlar gerçeklestirilir.

Prosedür adimlari:1. Global konfigürasyon moda girilir ve configure terminal komutu girilir.2. Özel arayüz moduna girilir. (Örnegin : interface ethernet 0 )3. Tanimlama bilgileri girilir. (Örnegin: storix 13)4. Ctrl+Z komutu kullanilarak yönetici moda geri dönülür.5. copy running-config startup-config komutu kullanilarak NVRAM e konfigürasyon degisiklikleri kayit edilir.

Asagida bir arayüzün nasil tanimlanmasi gerektigine dair örnek görülmektedir

interface Ethernet 0description LAN Muhendislik, Bilg.2interface serial 0

description Storix network 1, Circuit 1

1.3 Karsilama Mesajlari

Tüm ag kullanicilarinin mesajlari görebilmeleri için giris mesaj bölümü görüntülenir.Giris mesajlari herhangi birisi tarafindan görülebilir. Buyüzden giris mesajlari dikkatli seçilir.Kisiye özel mesajlar degildirler. Routera herhangi birisi için karsilama olarak “ hos geldiniz ” mesaji girilmesi muhtemelen uygun degildir.

Açilis mesaji , yetkisi olmayan kisilerin sisteme girmeye çalismamali için uyari nitelikli mesaj olmalidir. “ Bu güvenli bir sistemdir sadece yetkililer girebilir “ gibi bir mesaj istenmeyen ziyaretçilere yada geçersiz kullanicilara sunulabilir.

1.4 Günlük Mesajlarin Konfigürasyonu

Tüm terminal baglantilarinda günün mesaji görüntülenebilir

Günün mesajini ayarlamak için global ayarlar moduna girilmelidir. Burada “ banner motd “komutu kullanilir. Daha sonra # isareti basta ve sonda olmak üzere araya mesaj yazilir.

Asagidaki adimlarda günün mesajinin nasil görüntülenecegi ve nasil yapilacagi gösterilmektedir.

1. Global ayar moduna , configure terminal komutu kullanilarak girilir.2. banner motd # Günün mesaji yazilir # komutu ile günün mesaji girilmis olur.3. Degisiklikleri kaydetmek için copy running-config startup-config komutu girilir

1.5 Host Isim Çözümlemesi

Bir bilgisayar sisteminde sunucu ismi ile ip adresleri verilirken sunucu isim çözümlemesi gerçeklestirilir.

Diger IP ve ag araçlari ile baglantilarda sunucu isimleri kullanilir. Router lar ip adresleri ile sunucu isimlerini iliskilendirebilmelidirler. Sunucu isimlerini listelerler ve onlari ip adresleri ile iliskilendirerek sunucu tablosuna kayit ederler.

Asagidaki örnekte ip adresleri ve bunlarla iliskilendirilen host isimlerinin nasil yapilacagi gösterilmektedir.

İngilizce // The Following is an example of the configuration of a host table on a router:

Turkce // Ardından bir yönlendiriciyi bir host tablosunun yapılandırmanın bir örneği

Router(config)#ip host Kocaeli 123.45.67.8Router(config)#ip host İstanbul 234.567.8.9Router(config)#ip host bursa 345.678.9.10

Router(config)#ip host izmir 45.678.9.10

Ag organizasyonlarinda tüm araçlara sunucu tablosu yerlestirilebilir. Her bir tekil ip adresi kullanici ismi ile iliskilendirilir. Cisco IOS programinda komutlarda kullanabilmek için sunucu isimlerini ve adreslerini haritalarini önbellekte korur. Isimleri adreslere çevirirken bu önbellekte hizlica yapar.

Sunucu isimleri , DNS isimlerinden farkli olarak sadece konfigürasyon edilmis routerlarda belirtilirler. Sunucu tablosu ag yöneticilerine izin verilmistir. Sunucuya uzaktan baglanirken yada Telnet e sunucunun ismi yada ip adresinden birisi yazilarak ag yöneticisinin ag tablosuna erismesine izin verilmistir

1.6 Host Tablolarinin Konfigürasyonu

Adreslere isim atarken ilk olarak global konfigürasyon moduna girilir. ip host komutu ile hedeflenen isim ve bu isimlerin ip adresleri girilir. Bu haritalarda arayüz ip adreslerin her birinin isimleri bulunur. Sunucuya ulasirken telnet yada ping konutlari router in ismi yada ip adresi kullanilarak girilir.

Asagida bir sunucu tablosunun hazirlanma adimlari görülmektedir.

1. Routerda global konfigürasyon moduna girilir.2. ip host “router ismi yada ip adresi” her bir routerda arayüz ile girilir.3. agdaki routerlarin hepsi girilerek devam edilir.4. NVRAM e konfigürasyon kayit edilir.

1.7 Yedekleme ve Dokümantasyon Konfigürasyonu

Agin nasil davranacagi, network araçlarinda konfigürasyonda belirlenir. Araç konfigürasyonunda gerçeklestirilen yönetim asagidaki özellikleri kapsamaktadir.

* Çalisan araçlarda konfigürasyon dosyalarinin listelenmesi ve karsilastirilmasi* Ag sunucularindaki konfigürasyon dosyalarinin kayit edilmesi* Program yüklemelerinin ayarlanmasi ve güncellenmesi

Konfigürasyon dosyalari problem gerçeklestigi zaman yedek dosyalardan yüklenebilir olmalidirlar. Ag sunucularinda , TFTP sunucuda yada güvenli disk ortaminda saklanabilirler. Dokümantasyon

1.8 Kopyala , Yapistir, Düzenle Konfigürasyonu

Konfigürasyonun güncel kopyasi TFTP sunucuda saklanabilir. copy running-config tftp komutu kullanilarak kayit islemi gerçeklestirilir. Asagidaki adimlarda TFTP sunucuya nasil kayit yapilacagi gösterilmektedir.

Adim 1 copy running-config tftp komutu girilir.Adim 2 Hosta konfigürasyon dosyasinin kayit edilecegi yerin ip adresi girilir.Adim 3 Konfigürasyon dosyasina bir isim verilir.Adim 4 Her seferinde seçileri evet ile onayla

Bir ag sunucusuna ruoter in o anki kullandigi ayarlar kayit edilebilir. Bunu yapmak için asagidaki adimlar gerçeklestirilir

1. Konfigürasyon moddayken copy tftp running-config komutu girilir.2. Sistem konsolunda ag konfigürasyon dosyasi yada host seçilir. Dosya , agdaki terminal sunuculara ve tüm routerlara komutlarla eklenir. Sistem konsolunda dosyanin yüklenecegi yerin ip adresi girilir. Örnek verecek olursak 123.456.7.890 adresindeki TFTP sunucudan router ayarlanir 3. sistem konsolunda dosyaya ya bir isim girilir yada varsayilan isim uygulanir.Varsayilan dosya ismi genelde ag konfigürasyonu için host ismi-config veya network-config tir. DOS ortaminda , dosya isimleri sekiz karakter isim ve üç karakter dosya uzantisi ile sinirlidirlar. Örnegin router.cfg. dosya ve TFTP sunucu adresleri sitem kaynaklarinda mevcuttur.

Router ayarlari routerda yazilar kopyalanarak diske kayit edilebilir. Daha sonra bir harddiske yada cd ye kayit yapilabilir. Eger dosyanin routera geri kopyalanmasi ihtiyaç hissedilirse terminal emülatör programinin edit kismina kopyala yapistir yöntemi ile roture yüklenir.

2. Cisco FortiGate PIX VPN’in Çalısması

BileşenlerFortiOS v3.0 firmware tabanlı FortiGate birimi, MR5 Patch 2 veya daha ilerisi IOS versiyon 6.3(1) veya 6.3(3) tabanlı Cisco PIX Ağ Diyagramı

ÖnkoşullarFortiGate birimi NAT modunda olmalıdır.

VPN Phase 1’i Konfigüre EtmeWeb-tabanlı yönetici ile konfigüre etmek için:VPN > IPSec > Auto-Key’e gidin ve Phase 1’i seçin. Aşağıdakileri girin:

Name :VPN adı.Örneğin , Storix FG-PIX Remote Gateway :Static IP AddressIP Address : Cisco Cihazının genel IP adresi.Örnek.203.200.216.194Local Interface : uzak VPN’e Bağlanan arabirim: WAN1Mode : Main (default)Authentication Method: Preshared KeyPre-Shared Key : Cisco Cihazında konfigüre edilen preshared key.

Advanced’i seçin ve aşağıdakileri girin: Enable IPSec Interface Mode : Disable P1 Proposal : 1- Encryption 3DES, Authentication SHA1 Defult proposal 2’yi Silin.Dh Group : 2Keylife : 86400 Defult Nat- traversal : Disable Dead Peer Detection : Dİsable

Ok’i Seç. CLI Kullanarak konfigüre Etmek için .Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.

config vpn ipsec phase1 edit "Storix FG-PIX"

set interface wan1

set dpd disable set dhgrp 2 set proposal 3des-sha1 set keylife 86400 set remote-gw 203.200.216.194 set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

end

VPN Phase 2’yi Konfigüre EtmeIPSec VPN phase 2’yi konfigüre ettiğinizde source selector’u FortiGate biriminin arkasındaki özel ağa ve destination selector’u Cisco cihazının ardındaki özel ağa kurarsınız.

1. VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.Name : VPN Phase 2 konfigürasyonu için bir İşim Örneğin ,Tunnel Storix FG-PIXPhase 1 : Phase 1 Konfigürasyon Adı: Storix FG-PIX

Advanced’i seçin ve aşağıdakileri girin: P2 Proposal :1-Encryption 3DES,Authentication SHA1 Deleted Proposal 2.Enable replay detection :Disable Enable perfect forward secrecy :Disable DH Group :5Keylife :86400 secondsAutokey Keep Alive :EnableSource Addreess :10.1.4.0/24Destination Address :192.192.192.0/24

CLI İle :

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.config vpn ipsec phase2 edit Tunnel Storix FG-PIX set dhgrp 5 set keepalive enable set phase1name GW-FG-PIX set proposal 3des-sha1 set pfs disable set replay disable set keylife-type seconds set keylifeseconds 86400 set src-addr-type subnet set src-subnet 10.1.4.0 255.255.255.0 set dst-addr-type subnet set dst-subnet 192.192.192.0 255.255.255.0 end

2.1 FortiGate Firewall Adreslerini Konfigüre EtmeVPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun. Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Address’e gidin ve Create New’u seçin.Aşağıdakileri girin: Address Name :Adres için bir isim Örneğin:FortiGate biriminin ardındaki aü için "LocalLAN" Cisco cihazının ardındaki ağ içn "Site2_Net"Type : Subnet / İP Range Subnet / IP Range : Ağ Adresi ve subnet mask.Örneğin,LocalLAN İçin "10.1.4.0 255.255.255.0" girin.Site2_net için "192.192.192.0 255.255.255.0 girin

CLI ile:Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.config firewall address edit "LocalLAN" set subnet 10.1.4.0 255.255.255.0 next edit "Site2_net" set subnet 192.192.192.0 255.255.255.0 end

2.2 FortiGate Firewall Policy Konfigüre EtmeIPSec firewall policy, FortiGate birimi ardındaki ağdaki hostlar ve Cisco cihazı ardındaki hostlar arasında her iki yönde iletişime izin verir.

Web tabanlı yönetici kullanarak konfigüre etmek içinFirewall > Policy’ e gidin ve Create New’u seçin

Source Interface/Zone :Yerel ağa bağlı arabiirm: internal. Source Address :Yerel ağın firewall adresi: LocalLAN. Destination Interface/Zone :Uzak ağa bağlayan arabirim: WAN1. Destination Address :Uzak ağın firewall adresi: Site2_net. Schedule :always Service :ANY Action :IPSEC VPN Tunnel :Storix FG-PIX Allow inbound :Enable Allow outbound :Enable Inbound NAT :Disable Outbound NAT :Disable

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.config firewall policy edit 1 set srcintf internal set dstintf wan1 set srcaddr LocalLAN set dstaddr Site2_net set action ipsec set inbound enable set outbound enable

set natinbound disable set natoutbound disable set schedule always set service ANY set vpntunnel Storix FG-PIX end

2.4 Cisco Cihazını Konfigüre EtmeBu Cisco PIX cihazı kendi CLI’si kullanılarak konfigüre.

Cisco PIX Phase 1’i konfigüre etmek için aşağıdaki komutları girin:

isakmp enable outsideisakmp key ******* address xx.xx.205.173 netmask 255.255.255.255

isakmp policy 1 authentication pre-shareisakmp policy 1 encryption 3desisakmp policy 1 hash shaisakmp policy 1 group 2isakmp policy 1 lifetime 86400Cisco PIX Phase 2’i konfigüre etmek için aşağıdaki komutları girin:

crypto ipsec transform-set fortinet esp-3des esp-sha-hmac

crypto map test 10 ipsec-isakmpcrypto map test 10 match address BGLRcrypto map test 10 set peer xx.xx.205.173crypto map test 10 set transform-set fortinetcryto map test interface outsidecrypto map test 10 set security-association lifetime seconds 86400

Ek Cisco PIX KurallarıErişim kontrol listesini (access control list - ACL) istenen VPN trafiğine ayarlayın ve NAT’a geçin:

access-list BGLR permit ip 192.192.192.0 255.255.255.0 10.1.4.0 255.255.255.0

nat (inside) 0 access-list BGLRsysopt connection permit-ipsec

VPN’i test etme:VPN’i uzak ağdan adresleri ping’leyerek test edebilirsiniz. Ayrıca VPN çalışmasını onaylamak için aşağıdaki komutları kullanabilirsiniz:

diag vpn tunnel list On the FortiGate unit, lists operating VPN tunnels show crypto isakmp sa On the Cisco PIX appliance, shows the Phase 1 security associations show crypto ipsec sa On the Cisco PIX appliance, shows the Phase 2 security associations

Sorun GidermeFortiGate debug komutları

diag debug enablediag debug appli ike 2Phase 1 ve phase 2 görüşmelerini görüntüleyin

Cisco PIX debug komutlarıdebug crypto isakmp IKE olayları hakkındaki mesajları görüntüler. debug crypto ipsec IPSec olayları hakkındaki bilgiyi görüntülenir.

3. Sanal Terminal Erisimlerinin Kisitlanmasi

Standart ve uzatilmis erisim listeleri router da yol alan paketlere uygulanir. Onlar routerdangelen paketleri bloklamak için tasarlanmamistir. Uzatilmis bir telnet çikis erisim listesi, telnet oturumunu baslatmis bir router i default olarak engellemez..

Router üzerinde Fa0/0 ve S0/0 gibi fiziksel portlar ya da arabirimler oldugu gibi sanal portlar da vardir. Bu sanal portlar vty hatlari olarak adlandirilir. Sekil 1’ de gösterildigi gibi, 0 dan 4’e kadar numaralandirilan bes tür vty hatti vardir. Güvenlik önerisi olarak, kullanicilarin router a yönelik sanal terminal erisimlerine izin verilebilir ya da reddedilebilir, fakat routerdan alici adresine erisim reddedilmistir.

Vty erisiminin yasaklanmasi düsüncesi ag güvenligini artirir. Vty’ ye erisim, router a fiziksel olmayan bir baglanti yapmak için telnet protokolünü kullanarak tamamlanir. Sonuç olarak, sadece bir vty erisim listesi tipi vardir. Kullanicinin hangi hattan baglandigini kontrol etmek mümkün olmadigindan tüm vty hatlarina tanimsal yasaklar yerlestirilmelidir.

Vty erisim listesi olusturma islemi bir arabirim için tarif edilenle aynidir. Bununla birlikte,EKL’ yi bir terminal hattina baglamak access-group komutu yerine access-class komutunu gerektirir.

Creating the stansard list:

Rt1(config)# access-list 2 permit 192.16.1.0.0.0.0.255Rt1(config)#access-list 2 permit 192.16.2.0.0.0.0.255Rt1(config)#access-list 2 deny any

Applying the access list

Rt1 (config)#line vty 0 4Rt1 (config)#loginRt1 (config)#password secretRt1 (config)#access-class 2 in

Vty hatlarinda erisim listelerini konfigüre ederken asagidakiler göz önünde bulundurulmalidir:· Bir arabirime erisim kontrolünde isim ya da numara kullanilmis olmali.· Sadece numaralandirilmis erisim listeleri sanal hatlara uygulanabilir.· Sanal terminal hatlarina tanimsal yasaklar yerlestirilmeli, çünkü bir kullanici onlardan herhangi birine baglanmaya tesebbüs edebilir.

4. Cisco Router Konfigürasyonu

Router KonfigürasyonuRouter Isminin Konfigürasyonu

Konfigürasyon yapilirken ilk olarak routera bir isim girilmelidir. Bunu yapmak için globalmoddayken asagidaki komut girilmelidir.

Router(config)#hostname StorixFirat(config)#

Enter tusuna bakildiktan sonra varsayilan sunucu isminde degisiklik olur. Girilen isimsunucunun ismi olur. Örnek olarak biz routerin ismini storix yaptik.

4.1 Roter Sifrelerinin Konfigürasyonu

Sifreler routerlara olan erisimi sinirlandirirlar. Sifreler, konsol hat ve sanal terminaller için konfigürasyonda daima olmalidirlar. Yönetici moda erisimlerde kullanilirlar. Konfigürasyon dosyasina yapilacak degisiklileri sadece sifreyi bilen kullanicilar müdahale edebilirler.

Asagidaki örnekteki komutlar kullanilarak ayarlama yapilabilir fakat konsol hattinda sifrelendirme yapilmasi önemli tavsiye edilir.

Router(config)#line console 0Router(config- line)#password <sifre>Router(config- line)#login

Uzaktan erisim lerde yönlendirme telnet ile yapilir. Tipik Cisco routerlar , numaralandirilmis bes tane sanal terminal baglantisina izin verirler. Diger donanim platformlari , VTY baglantilarinda diger numaralara bakarlar. Tüm baglanti hatlari için sik sik ayni sifre kullanilirlar. Fakat bazen bir hat , eger diger dört hat baglantilari kullaniliyorsa geri düsebilir.VTY hatlarda asagidaki komutlar kullanilarak sifre ayarlanmis olur.

Router(config)#line vty 0 4Router(config- line)#password <sifre>Router(config- line)#login

Açik sifre ve açik gizlilik kullanilarak yönetici moda erisimleri sinirlandirir. Açilmis sifre sadece gizlilik açilmadigi zaman kullanilir. Açik gizliligin daima ayarlanmasi ve kullanilmasitavsiye edilir. Asagida sifreyi açmak ile ilgili örnekler görülmektedir.

Router(config)#enable password <sifre>Router(config)#enable secret <sifre>

Bazen sifreler için istenmeyebilir. show running-config yada show startup-config komutlarindan çikis görülebilir. Bu komut konfigürasyon çikisinda sifrelerin özel olarak paketlenmesinde kullanilir.

Router(config)#service password-encryption“service password-encryption” komutu sifrelerin geri cözümlenmesinde çözümlemeyi etkisiz kilar. “enable secret <password> “ komutu çözümleme için güçlü MD% algoritmasini kullanir.

4.2 show Komutlarinin Incelenmesi

Show komutlari aksakliklari gidermek için ve routerda dosyalari gözden geçirmek için kullanilir. Yönetici ve kullanici modlarda “show ?” komutu girildiginde show komutlari listelenir. Kullanici moda göre yönetici moda daha fazla show komutu listelenir.

· show interfaces – Routerda tüm arayüzler için tüm istatistikleri görüntüler. “show interface” komutu girildigi zaman arayüzleri ve port numaralari izlenir. Örnegin:;

Router#show interfaces serial 0/1· show controllers serial – Arayüz donaniminin özel bilgilerini görüntüler· show clock – Routerin zaman ayarlarini gösterir· show hosts – Sunucu isinlerinin ve adreslerinin kayitlarini listeler· show users – Router a hangi kullanicilarin baglandigini listeler· show history – Girilen komutlarin geçmisini görüntüler

· show flash– Flash hafiza hakkindaki bilgileri vehangi ISO dosyasinin kayitli oldugunu gösterir· show version – Router hakkindaki bilgileri ve RAM de çalisan ISO hakkindaki bilgileri görüntüler· show ARP– Router daki ARP tablosunu görüntüler· show protocol – Üçüncü katman konfigürasyonunun arayüzünü görüntüler· show startup-configuration – NVRAM deki konfigürasyonun nerede kayitli oldugunu gösterir· show running-configuration – RAM deki geçerli ayarlari görüntüler.

4.3 Seri Arayüz Konfigürasyonu

Seri arayüz , sanal terminal hat araciligi ile yada konsoldan ayarlanabilir. Ayarlarin yapilabilmesi için asagidaki adimlarin uygulanmasi gerekir

1. Global moda girilir2. Arayüz moda girilir3. Subnet makesi ve arayüz adresi girilir4. Eger DCE kablo ile baglanti yapildiysa saat hizi (clock rate ) ayarlanir. Eger DTE kablo ile yapildiysa bu adim atlanir.5. Arayüze dönülür

Her seri arayüz baglantisinda IP adres ve subnet makesi olmalidir. Ancak bu sayede arayüz IP paketlerini yönlendirebilir. Asagidaki komut kullanilarak IP adresi konfigüre edilir.

Router(config)#interface serial 0/0Router(config- if)#ip address <ip adres> <netmaskesi>

Seri arayüz , baglantilarda zamanlama kontroünü saat sinyali ile yapar. En çok DCE araci CSU gibi saat sinyali sunacaktir. Normalde Cisco routerlar DTE araçlaridir.Fakat onlar ayarlanabilir DCE araçlaridir.

Seri linkte diret olarak yapilan baglantidir. Laboratuar ortaminda DCE nin yanimizda oldugunu farz edelim DCE saat sinyali sunmaktadir. Saatin açilmasi ve hizi “clock rate”komutu ile yapilir. Mevcut saat hizi saniyedeki bit sayisidir. Saat hizi oranlari standart olarak sunlardir:1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000,800000, 1000000, 1300000, 2000000, yada 4000000. Bazi bit hizlari seri arayüzlerde mevcut olmayabilir.

Normalde arayüzler kapalidirlar. Arayüzleri açmak için “no shutdown” komutu girilmelidir.Arayüz bakim nedeniyle yönetimsel olarak kapanabilir yada shutdown komutu ile arayüz önceden kapatilmis olabilir. Laboratuar ortaminda saat hizi 5600 bit/sn olarak ayarlanip kullanilacaktir. Saat hizinin ayarlanmasi ve seri arayüzün açilmasi ile ilgili komut asagidaki örnekte gösterilmistir.Router(config)#interface serial 0/0Router(config- if)#clock rate 56000Router(config- if)#no shutdownIn the following commands the Type argument includes serial ethernet fastethernet token ring and others:Router (config) # interface type port

Router (config) # interface type slot/port The following command is used to administratively turn off the interface:Router (config-if) # shutdownThe following command is used to turn on an interface that has been shut down:Router (config-if) # no shutdownThe following command is used to quit the current interface configuration mode:Router (config-if) # exit

4.4. Seri Arayüz KonfigürasyonuSeri arayüz , sanal terminal hat araciligi ile yada konsoldan ayarlanabilir. Ayarlarin yapilabilmesi için asagidaki adimlarin uygulanmasi gerekir1. Global moda girilir2. Arayüz moda girilir3. Subnet makesi ve arayüz adresi girilir4. Eger DCE kablo ile baglanti yapildiysa saat hizi (clock rate ) ayarlanir. Eger DTE kablo ile yapildiysa bu adim atlanir.5. Arayüze dönülür Her seri arayüz baglantisinda IP adres ve subnet makesi olmalidir. Ancak bu sayede arayüz IP paketlerini yönlendirebilir. Asagidaki komut kullanilarak IP adresi konfigüre edilir.

Router(config)#interface serial 0/0Router(config- if)#ip address <ip adres> <netmaskesi>

Seri arayüz , baglantilarda zamanlama kontroünü saat sinyali ile yapar. En çok DCE araci CSU gibi saat sinyali sunacaktir. Normalde Cisco routerlar DTE araçlaridir. Fakat onlar ayarlanabilir DCE araçlaridir.

Seri linkte diret olarak yapilan baglantidir. Laboratuar ortaminda DCE nin yanimizda oldugunu farz edelim DCE saat sinyali sunmaktadir. Saatin açilmasi ve hizi “clock rate”komutu ile yapilir. Mevcut saat hizi saniyedeki bit sayisidir. Saat hizi oranlari standart olaraksunlardir:1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000,800000, 1000000, 1300000, 2000000, yada 4000000. Bazi bit hizlari seri arayüzlerde mevcut olmayabilir.

4.5 Seri Arayüz Konfigürasyonu 1

Normalde arayüzler kapalidirlar. Arayüzleri açmak için “no shutdown” komutu girilmelidir.Arayüz bakim nedeniyle yönetimsel olarak kapanabilir yada shutdown komutu ile arayüz önceden kapatilmis olabilir. Laboratuar ortaminda saat hizi 5600 bit/sn olarak ayarlanip kullanilacaktir. Saat hizinin ayarlanmasi ve seri arayüzün açilmasi ile ilgili komut asagidaki örnekte gösterilmistir.

Router(config)#interface serial 0/0Router(config- if)#clock rate 56000Router(config- if)#no shutdown

In the following commands, the type argument includes serial, ethernet fastethernet,token ring,anf others(Aşağıdaki komutlarda, yazın argüman diğer seri, ethernet FastEthernet, token ring, tafta içerir)

Router (Config) # interface type portRouter (Config) # interface type slot/port

The following command is used to administratively turn off the interface(Aşağıdaki komutu idari arayüzü kapatmak için kullanılır)

Router (config-if) # shutdown

The following command is used to turn on an interface that has been shut down(Aşağıdaki komut kapatıldı bir arayüz açmak için kullanılır)

Router (config-if) # no shutdown

The following commans is used to quit the current interface configuraiton mode(Aşağıdaki commans mevcut arayüzü configuraiton modu çıkmak için kullanılır)

Router (config-if) #exit

4.6 Eklemelerin Tasimalarin Degistirmelerin Yapilmasi

Eger konfigürasyon tekrar bir ayarlama istiyorsa uygun moda gidilir dogru komutlar girilir.Örnek verecek olursak, eger arayüz açilmak isteniyorsa global moda girilir. Oradan arayüz moda (interface mode) girilir. Burada ise no shutdown komutu girilir.

Degisiklikleri dogrulamak için show running-config komutu kullanilir. Bu komut geçerli olan konfigürasyonu gösterecektir. Eger istedigimiz degisiklik görüntülenmiyorsa asagidaki adimlar izlenir:

· Konfigürasyon komutu tarafindan yayinlanmamis olabilir.· NVRAM den orijinal konfigürasyon dosyasini sistemden tekrar çagrilir· TFTP servisinden konfigürasyon dosyasi arsive kopyalanir.· erase startup-config komutu ile konfigürasyon dosyasi baslangiçtan kaldirilir. Router tekrar baslatilir. Ayar (setup) moda girilir.

NVRAM den baslangiç konfigürasyon dosyasina geçerli ayarlar kaydedilir. Yönetici moda girilip asagidaki komut çalistirilir.Router#copy running-config startup-config

4.7 Ethernet Arayüzünün Konfigürasyonu

Ethernet arayüzü , konsoldan yada sanal terminalden ayarlanabilir.Her Ethernet arayüzü bir ip adresine ve subnet maskesine sahip olmalidir. Böylece ip paketlerinin yönlendirilmesi saglanabilir

Ethernet Arayüzünün konfigürasyonu için su adimlar izlenmelidir:

1. Global moda girilir (global configuration mode)2. Arayüz konfigürasyon moduna girilir (interface configuration mode)3. Ip adres i ve subnet maskesi girilir4. Arayüz aktif hale getirilir.

Normalde arayüzler kapalidirlar yada pasif haldedirler. no shutdown komutu ile geri açilirlar yada aktif hale getirilirler. Eger arayüz yönetimsel olarak kapatilmak isteniyorsa shutdown komutu kullanilarak arayüz kapatilmis olur

5. Ripv1 ve Ripv2 HaberlesmesiRipv1 ve Ripv2 konfgirasyonlar sistem de bulnan routerlar arasında sadece Ripv1, Ripv2 paketlerini alıp göndermek yada her ikisinide alıp göndermek üzere konfigure edilebilir.

Burada istenirse farklı uygulamalar yapılabilir.Örneğin;ip rip receive version 1komut satırı ile Söz konusu Routerin sadece Version 1 updatelerini almasi sağlanabilir.

Storix İnterface fastethernet0/0İp address 192.168.50.129 255.255.255.192ip rip sen version 1ip rip receive version 1

İnterface fastethernet0/1İp address 172.25.150.193 255.255.255.240ip rip sen version 1 2ip rip receive version 1 0

interface fastethernet0/2ip address 172.25.150.225 255.255.255.240

router ripversion 2network 172.25.0.0network 192.168.50.0

CNAP Slaytlarından alınan bu sekilde durum daha iyi anlasılacaktır. Burada Storix Router i Ripv2 ile konfigure edilmis. Ve interfacelerine sırasıyla su sekilde konfigure edilmis diğer routerlar bağlı;Fa0/0: Ripv1Fa0/2:Ripv2Fa0/1:Ripv1 ve Ripv2Bu durumda Fa0/0 interface ine hem Storix 1 Routerindan aldığı v1 updatelerini göndermeli hemde ondan v1 updatelerini almalıdır.Fa0/1 interface inde ise konfigurasyona bakıldığında hem v1 hem de v2 updatelerini göndermek üzere hem de almak üzere konfigure edildiği

anlasılmıstır. Çünkü bu interface’ e hem Ripv1 ile hem de Ripv2 ile konfigure edilmis Routerlar bağlanmıstır.(Multiaccess)Fa0/2 için zaten özel bir konfigurasyona gerek yoktur.

6. Cisco Statik Yönlendirme Konfigürasyonutatik yönlendirme islemi üç kisima bölünebilir:

· Ag yöneticisi yollari ayarlarlar· Routerlar , yönlendirme tablosuna yolu yüklerler· Paketler statik yönlendirmede kullanilan yollardir.

Statik yönlendirme el ile konfigüre edilmek istendigi zaman , yönetici ip route komutunu routerda kullanarak statik yönlendirmeyi ayarlarlar. ip route komutunun kullanimi için dogru dizim asagidaki sekilde gösterilmistir

BG (config)# ip route 172.16.1.0 255.255.255.0 s0 command destination sub mask outgoing network

Asagidaki sekilde ise , ag yöneticisi BG routerinin diger routerlarla haberlesmesi için statik yönlendirme yaparak 172.16.1.0/24 ve 172.16.5.0/24 iplerini girmistir. Yönetici bu ögeleri tamamlamak için iki komut olarakta girebilir. Asagidaki sekilde bitisik routerin ip adresi tanimlanmistir. Hoboken routerinin yönlendirme tablosuna yönlendirme komutlari ile statik yönlendirme yapilmistir. Tek fark yönlendirme tablosunda routerdan routera uzaklik tanimlari yönetimsel olarak iki tanedir.

BG (config)# ip route 172.16.1.0 255.255.255.0 s1 command destination sub mask gateway networkBG (config)# ip route 172.16.5.0 255.255.255.0 s0 command destination sub mask gateway network

BG (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 command destination sub mask gateway networkBG (config)# ip route 172.16.5.0 255.255.255.0 172.16.4.2 command destination sub mask gateway network

Yönetimsel uzaklik routerin güve nebilirliginin ölçüsünü veren opsiyonel parametrelerdir. Yönetimsel uzaklik için kisa degerler güvenilir bir yönlendirme sayilir. Böylece kisa yönetimsel uzaklik , özdes daha uzun uzaklik ile yönlendirilmeden önce yüklenebilir.Varsayilan uzaklik kullanildigi zaman gelecek adres 1 ile ifade edilir. Giden bir arayüzkullanildigi zaman 0 kullanilir. Eger uzaklik , varsayilan adrese yönlenmis ise 0-255 arasindabir deger alir.

BA(config)#ip route 172.16.3.0 255.255.255.0 172.16.4.1 130

Eger router , yönlendirmede kullanilan arayüze ulasamiyorsa , tablodaki yönlendirme yüklemesi yanlis olacaktir. Bu arayüzün düsmesi demektir. Yönlendirme tablosuna yerlesemicektir.Bazen statik yönlendirme yedekleme amaci için kullanilir. Statik yönlendirme routerde ayarlanabilir. Sadece bu kullanildigi zaman dinamik yön ögrenme basarisiz olacaktir. Statik yönlendirmenin usulü dinamik yönlendirme protokolü kullaniminda çok uzun hatlarin basitçe ayarlanmasinda kullanilir.

6.1 Statik Yönlendirme Konfigürasyonu

Bu bölümde statik yönlendirme konfigürasyonu için gerekli adimlar listelenecek ve basit örnekler verilecektir.Statik yönlendirmede su adimlar kullanilacaktir:

1. Istenen tüm hedef aglarin , alt ag maskelerinin , alt ag geçitlerinin tanimlanmasi yapilacaktir. Alt ag geçidi , diger arayüzler yada bir sonraki tanimlanmis adres olabilir.2. Global konfigürasyon moduna girilir.3. ip route komutu ile alt ag geçidine iliskin hedef adres ve alt ag maskesi izlenir. Istege bagli olarak yönetimsel uzaklik eklenir.4. Üçüncü adim diger hedef aglarin tanimlanmasi için tekrarlanir.5. Global konfigürasyon modundan çikilir.6. copy running-config startup-config komutu kullanilarak NVRAM e aktif konfigürasyon kayit edilir.Örnegin: Agimiz üç adet routerin basit konfigürasyonundan olussun. Hoboken routeri konfigürasyon sonucunda 172.16.1.0 ve 172.16.5.0 agina ulasabilsin. Bu aglarin alt ag maskeleri 255.255.255.0 olsun.

Paketler hedef ag olarak 172.16.1.0 a yönlendirilsin ve paketler 172.16.5.0 in hedef adresiolsun. Statik yönlendirme ile bu islem gerçeklestirilir.

Statik yönlendirmede ilk olarak yerel arayüzlerin diger aglara olan alt ag geçidininkonfigürasyonu gerçeklestirilir. Yönetimsel uzakliklar belirtilmemistir.. Yönlendirme tablosu yüklendigi zaman 0 oldugu varsayilir. Yönetimsel uzaklik direkt ag

baglantilarinda 0 olur.Iki statik yönlendirmede gelecek adreslere onlarin alt ag geçidi kullanilarak konfigürasyonyapilir.

Ilk yönlendirme olan 172.16.1.0 agina 172.16.2.1 nin alt ag geçid adresi girilir. Ikinci yönlendirmede ise 172.16.5.0 agina 172.16.4.2 nin alt ag geçidir. Uzaklik tanimlanmamissa 1 oldugu varsayilir.

6.2 Varsayilan Yönlendirme Iletiminin Konfigürasyonu

Varsayilan yönlendirmede hedef ile yönlendirme paketleri kullanilirken yönlendirme tablosundaki diger yönlendirmeler eslestirilemez. Internette tüm aglara yapilan yönlendirmeler çogu zaman lüzumsuz ve elverissizdir.internet trafigi için routerlar tipik olara konfigüre edilirler.

Statik yönlendirmede varsayilan yönlendirme formati asagidaki gibidir

ip route 0.0.0.0 0.0.0.0 [bir sonraki adres | giden arayüz]

0.0.0.0 maskesi yönlendirilen paketlerin hedef ip adreslerini lojik “ve” islemine tabi tutar. Eger paket yönlendirme tablosundaki yönlendirmelerle eslesmiyorsa 0.0.0.0 agina yönlenecektir.

Varsayilan yönlendirme konfigürasyonunda asagidaki adimlar izlenir:

1. Global konfigürasyon moduna girilir.2. ip route komutu yazilarak hedef ag için 0.0.0.0 ve alt ag için 0.0.0.0 adresleri girilir.Bir sonraki routerin ip adresi yada dis aga olan baglantilara yerel routerdan varsayilan bir yönlendirme yapmak için alt ag geçidi girilir.3. Global konfigürasyon modundan çikilir.4. copy running-config startup-config komutu kullanilarak NVRAM e aktifmkonfigürasyon kayit edilir.

Statik yönlendirme bölümünde , BG routerindan Cyber-Warrior teki 172.16.1.0 agina ,Cyber-warrior routerindan BA daki 172.16.5.0 agina erisimin konfigürasyonu yapilmisti. BG dan diger aglara paketlerin yönlendirilmesi mümkündür. Yinede hiç biri Sterling nede BA direkt olmayan ag baglantilarina paketlerin nasil geri önecegini bilmeyecektir. Statikyönlendirmede direkt olmayan hedef agin her biri için Cyber-Warrior ve BG konfigürasyon yapilmalidir. Büyük aglarda ölçeklendirilebilir bir çözüm yoktur.

Cyber-Warrior baglatilari seri-0 arayüzü ile direkt olmayan baglantilara baglanir. BG direkt olmayan tüm aglara sadece bir baglanti ile baglanacaktir. Bunu seri-1 arayüzü ile gerçeklestirir. Cyber-Warrior ve BG da varsayilan yönlendirme direkt olmayan baglantilar için yönlendirme saglayacaktir

6.3 Statik Yönlendirme Konfigürasyonunun Dogrulanmasi

Statik yönlendirme konfigüre edildikten sonra yönlendirme tablosunda bulunanlarin dogrulanmasi önemlidir. Bunun için show running-config komutu kullanilir. RAM deki statik yönlendirmenin dogru girildigini dogrulamak için aktif konfigürasyon gözden geçirilir.show ip route komutu kullanilarak yönlendirme tablosunun içindeki statik yönlendirmenin yapildigindan emin olunur.

Statik yönlendirme konfigürasyonu için asagidaki adimlar izlenir:

· Yönetici moddayken aktif konfigürasyon show running-config komutu ile incelenir.· Statik yönlendirmenin dogru girildigi dogrulanir. Eger dogru degilse global konfigürasyon moduna geri dönülür yanlis yönlendirme geri düzeltilir.· show ip route komutu girilir· yönlendirme tablosundaki yönlendirme konfigürasyonu dogrulanir.

6.4 Statik Yönlendirme Konfigürasyonundaki Sorunlarin Giderilmesi

Statik yönlendirme konfiügrasyonunda , BG routerindan Cyber-Warrior teki 172.16.1.0 agina ve BG daki 172.16.5.0 agina statik yönlendirme konfigürasyonu ile erisilebilir. Bu konfigürasyonu kullanirken dügüm Cyber-Warrior 172.16.1.0 agindan 172.16.5.0 a ulasamayabilir.172.16.5.0 agindayken ping atilirsa basarisiz olur. a traceroute komutu ile Cyber-Warrior ayni adreslere ping atilir. Traceroute nerede kaybolmustur. ICMP paketleri BG den geri dönmüs. Fakat BG dan dönmemis. Routerlarin birinde problem vardir. BG roterina telnet yapilir. Tekrar 172.16.5.0 agina baglanir BA a ping atilir. Bunun basarilmis olmasi gerekir. Çünkü BA direkt olarak BG a baglidir.

7 . IDS(Saldırı Algılama) Sunucusu

Snort - Prelude - Cisco - Check Point

IDS Nedir ?

Firewall’lar paketlerin geçmesini kısıtlayabildikleri halde, bir saldırı gerçekleştirilmesi durumunda otomatik olarak kendilerini yeniden programlama yeteneğine sahip değildirler. Ayrıca kendilerininalgıladığı saldırı sayısı da oldukça azdır. Intrusion Detection Sistem (IDS) teknolojisi sayesinde, hem saldırılara karşı korumak istediğiniz sisteme saldırı gerçekleştirildiğini anlayabilir, hem de bu saldırıyı yapan kaynagın bir daha sisteminize erişmesini engelleyebilirsiniz. IDS aynı zamanda saldırı yapıldığında, firewall veya router gibi iletişim ağı cihazlarını yeniden konfigüre ederek tekrar aynı yolla saldırı yapılmasını engeller. IDS’in sensör ve yönetim konsolu olmak üzere iki temel bileşeni vardır.

Nasıl Çalışır?Network Sensör : Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbitettiği an bu paketleri bloklar. Genelde sadece bu işlemi yapmak için kurulan bir pc üzerinde çalışır.

Server Sensör : Ana makinalarımıza yüklenen sensörlerdir. Server sensörler sadece yüklü oldukları makina üzerindeki trafiği dinlerler. Üzerinde çalıştıkları makinaların işletim sisteminden aldıkları bilgileri incelerler (sistem loglarını) bu sayede makinaya erişim bilgilerini (yetkili/yetkisiz), kaynak kullanımı, dosya silinmesi vs. gibi tüm işlemler hakkında bilgi sahibi olurlar. Network sensörlerle aynı veri tabanını kullanırlar ve veri tabanında atak olarak tanımlanmış işlemleri tesbit ettikleri an bu istekleri bloklarlar.

Donanım Teknoloji tarafından sunulan Intrusion Detection çözümlerinden bazıları Snort, Prelude, Check Point, Cisco, Symantec... Donanım Teknoloji tüm altyapısında ve Kurumsal Hosting çözümlerinde Prelude, Snort, Cisco ve Check Point kullanmaktadır.

Donanım Teknoloji tüm büyük yada orta ölçekli işletme müşterilerine sağladığı IDS çözümlerinde donanımsal yada yazılımsal desteği ile tüm sunucuların ve network güvenliğinin %100 garantisini vermektedir.

8. Cisco RIP

RIP Yönlendirme Islemi

Bazen IP RIP olarak da gösterilen GPP’ nin bu açik standardi biçimsel olarak iki farkli dokümanda ayrintilandirilmistir. Ilki RFC 1058 olarak, digeri de STD 56 olarak bilinir.

Yönlendirme bilgi protokolü (RIP) yillardir, RIPv1’ den RIPv2’ ye kadar sürekli gelistirilmistir. RIP v2’ nin artilar sunlardir:· Ilave yönlendirme paketi bilgisi tasiyabilme· Tablo güncellemelerinin güvenligi için yetkilendirme mekanizmasi· Degisik uzunlukta alt maskeleme destegiRIP , kaynaktan alici adresine giden yolda izin verilen atlama sayilarindaki sinirin dolmasiyla sürekli devam eden gönderim döngüsünü engeller. Bir yolda maksimum atlama sayisi 15 tir.Bir router, yeni veya degismis bir giris içeren gönderim güncellemesi aldiginda metrik deger,yol üzerinde bir atlama olarak kendi hesabina 1 artirilir. Eger bu, metrigin 15 üzerinde artirilmasina yol açiyorsa bu durumda sonsuzluk gibi düsünülür ve ag adresi ulasilamaz olarak kabul edilir. RIP, diger gönderim protokollerinde de ortak olan özellikleri içerir.

Örnegin RIP gönderilen yanlis gönderim bilgisini önlemek için kesisim noktasi ve süre sinirlayicisini kullanir.

8.1 RIP Konfigürasyonu

Router rip komutu RIP i bir gönderim protokolü gibi yetkin kilar. Ardindan, routera RIP’nin hangi arabirim üzerinde çalisacagini söyleyen network komutu kullanilir. Gönderim islemi daha sonra özel arabirimleri bir araya toplar ve bu arabirimler üzerinden RIPgüncellemelerini göndermeye ve almaya baslar.

RIP, yönlendirme-güncellemesi mesajlarini düzenli araliklarla yollar. Bir router, bir giris degisikligi içeren yönlendirme güncellemesi aldiginda yönlendirme tablosunu yeni bir yolayönlendirmek üzere günceller. Yol için alinan metrik deger 1 artirilir ve güncelleme arabirim kaynagi yönlendirme tablosundaki bir sonraki atlama gibi belirtilir. RIP routerlari, bir aliciadresi için en zahmetli fakat en iyi yolu saglarlar.

RIP çalistiran bir router, ag topolojisi degistiginde ip rip triggered komutunu kullanarak baslatilmis güncelleme göndermek için konfigüre edilebilir. Bu komut, routerda ( config- if)# iletisiyle sadece seri arabirim üzerinden girilebilir. Konfigürasyon degisikligine bagli olarak yönlendirme tablosunun kendisini güncellemesinden sonra router hemen yönlendirme güncellemelerini diger aglara bildirmek için baslatir.GBP routerin dagittigi baslatilmis güncelleler adi verilen bu güncellemeler düzenli olarak gönderilir. Örnegin, BHM routerini konfigüre etmek için gerekli komut tanimlari asagida verilmistir:

· BHM(config)#router-rip – yönlendirme protokolü olarak RIP i seçer· BHM(config-router)#network 10.0.0.0 Dogrudan bagli bir agi belirtir· BHM(config-router)#network 192.168.13.0 Dogrudan bagli bir agi belirtir

192.168.13.0 ve 10.0.0.0 aglarina bagli Cisco router arabirimleri GBP güncellemelerini gönderir ve alir. Bu gönderin güncellemeleri, routera komsu ag routerlarinin topolojilerini tanima ve ayni zamanda GBP’ yi çalistirma olanagi verir.

· Metriklerin gönderimi için offsetler kullanmak· Süre sayaci ayarlamak· Bir RIP versiyonu belirtmek· RIP yetkilendirmesini aktiflestirmek· Arabirim üzerinde yol özeti konfigüre etmek· IP yol özetini dogrulamak· Otomatik yol özetini pasiflestirmek· IGRP ve RIP i basarili sekilde çalistirmak· IP adreslerinin kaynaklarinin geçerliligini pasiflestirmek· Kesisme noktasini aktif ya da pasif yapmak· RIP’ i WAN’ a baglamak

GBP’ yi aktiflestirmek için asagidaki komutlari global konfigürasyon modunda baslayarak kullanin

BHM(config) #router ripBHM(config-router) #network 10.0.0.0BHM(config-router) #network 192.168.13.0

GAD(config) #router ripGAD(config-router) #network 192.168.14.0GAD(config-router) # network 192.168.13.0

BOAZ(config) #router ripBOAZ(config-router) #network 192.168.14.0Boaz(config-router) # network 172.31.0.0

· Roter(config)#router rip – RIP yönlendirme islemini aktiflestirir.· Roter(config-router)#network ag numarasi – Bir agi RIP yönlendirme islemiyle birlestirir

8.2 ip classless Komutunun Kullanilmasi

Bazen router dogrudan alt ag bagli bir agin bilinmeyen alt agina gönderilmek üzere paketler alir. Cisco nun IOS yazilimi için bu paketleri mümkün olan en uygun supernet yola yönlendirmek için ip classles global konfigürasyon komutunu kullanin. Supernet yolu, çokgenis bir alt ag dizgesini tek bir girisle kaplayan bir yoldur. Örnegin, bir isletme tümden 10.10.0.0/16 alt agini kullanir ve bu durumda 10.10.10.0/24 için supernet yolu 10.10.0.0/16 olabilir. ip classless komutu CISCO’nun IOS yaziliminin 11.3 ve daha sonrakiversiyonlarinda default olarak aktiftir.Bu özelligi pasiflestirmek için bu komutun no biçimini kullanin.

Bu özellik pasiflestirildiginde,router alt aga göndermek üzere almis oldugu paketleri yok ayar.

IP classles, sadece IOS da gönderme sürecine etki eder. Ip siniflari yerlesik yönlendirme tablosunun yolunu etkilemez. Bu siniflandirilmamis gönderimin temelidir. Eger ana ag biliniyor. Fakat bu ana ag içinde paketlerin gönderildigi alt ag bilinmiyorsa paket gönderimden düser.

Bu kuralin en kafa karistiran yani, yönlendirme tablosunda eger ana agin varis adresi yoksa routerin sadece varsayilan yolu kullanmasidir. Yönlendirme tablosunda , dogrudan bagli agintüm alt aglari tarafindan varsayilan olarak kabul edilen router yönlendirme tablosunda yer almalidir. Aga dogrudan bagli olan belirsiz bir alt agdan adresi belli olmayan bir paketalindiginda router o alt agin olmadigi sonucunu çikaracaktir. Dolayisiyla router varsayilan bir yol olsa bile paketi düsürecektir. Router üzerinde ip classles in konfigüre edilmesibusorunu , yönlendirme tablosu içerisinde agin siniflandirilmamis sinirlari yok saymasina izin vererek ve basitçe varsayilan yola yönelerek bu sorunu çözecektir.

http://www.pdfonline.com/easypdf/?gad=CLjUiqcCEgjbNejkqKEugRjG27j-AyCw_-AP

9. Cisco Circuit Switching

Cisco Circuit Switchingler

Yerel alan bağlantılarında olduğu gibi, iki bilgisayar arasında iletişim sağlamak istendiğinde araya bir kablo döşemek bilgisayarlar kilometrelerce uzak noktalarda yer alıyorsa hemen hemen imkansız gibidir. Bu durumda en kolay çözüm, hali hazırda döşenmiş olan kablolardan yararlanmaktır. Bunlar ise hemen her yerden geçen telefon şirketlerinin ağlarıdır. Bu ağlar, genel olarak üçe ayrılabilir: tahsis edilmiş hatlar (decicated circuit), devre-anahtarlama (circuit switching) ve paket-anahtarlama (packet-switching).

Günümüzde geniş alan bağlantısı hemen hemen dünya çapında en yaygın ağ olan Internet bağlantısıyla eş anlamlı hale gelmiştir. İnsanlar Internet’e erişebilmek için geniş alan bağlantı yolları araştırmışlardır. Bu sebeplerden dolayı geniş alan bağlantıları açıklanırken Internet öncelikle göz önüne alınacaktır.

Devre anahtarlama olarak bilinen yöntem normal telefon konuşmaları için kurulan ağlardaki yöntemdir. Burada haberleşmeyi yapan iki nokta arasında fiziksel bir bağlantı vardır. Haberleşme analog sinyallerle yapılır. Haberleşmeye başlamadan önce bağlantının kurulması gerekir. Bağlantı kurulma aşamasında iki nokta arasına bir hat tahsis edilir. Bu hat kullanılarak iletişim yapılır, haberleşme bittikten sonra bağlantı koparılır. Bu nokta bir telefon konuşması göz önüne alındığında çok daha iyi anlaşılacaktır. Bu yüzden düşük hızlı bağlantılarda (genellikle saniyede 28800 bit hızında veya daha küçük) tercih edilir. Buradaki problem bilgisayarlardan gelen digital sinyallerin analog sinyallere çevrilmesidir. Bu çevirme modem adı verilen cihazlarla yapılır. Her iki noktada telefon telleri önce modemlere bağlanır daha sonra modenlerden çıkan bir başka kablo ile bilgisayar bağlantısı gerçekleştirilir. Böylece bir bilgisayarın gönderdiği veriler telefon tellerinden iletilebilmesi için modemler arayıcılığı ile analog sinyallere çevrilir. Karşı noktadaki modem de telefon tellerinden gelen analog sinyalleri digital sinyallere çevirerek bilgisayara iletir. Devre anahtarlamada hat tamamen tahsis edildiğinden arada veri iletimi olmadığı zamanlarda hat boş olduğu için genel olarak ağ üzerindeki verim düşer. Ücret açısından mesafe ve veri iletiminin yapıldığı süre önemlidir. Mesafe ve bağlantı süresi arttıkça ücretler de artar. Dial-up bağlantı olarakta bilinen bu yöntem özellikle şehir içi bağlantılarda tercih edilebilir.

Tahsis edilmiş hatlar da genelde telefon şirketlerinin ağlarıdır. Bu bağlantıda hat telefon şirketinden belli bir ücret karşılığı kiralanır. Bu yüzden kiralık hat bağlantısı olarak bilinir. Bu hatlar değişik hız kapasitesine göre kiralanır. Ücreti de hattın kullanılacağı mesafeye ve veri iletim hızına göre değişir. Fakat bu yöntemi diğerlerinden ayıran özelliği bir kere hat kirası tespit edildikten sonra iletilen veri miktarı ücreti etkilemez. Bu tür bağlantı trafiği az olan kurumlar için pahalı bir çözümdür. Fakat yoğun trafiği olan yerler için en uygun çözümdür. Yine modem kullanımı gerektirir fakat bu sefer senkron bir iletim gerçekleşir.

Paket anahtarlama yönteminde ise iki nokta arasında bir hat tahsis edilmesi gerekmez. Bir bilgisayardan diğerine bir mesaj gönderilmek istendiğinde, önce bu mesaj paketlere bölünür. Daha sonra bu paketler ağ üzerinde bir noktadan diğerine iletilerek en son noktaya ulaşır. Paketlerin ağ üzerinde izleyeceği yolu tespit etmek için iki farklı yöntem vardır: datagram ve sanal devre (virtual circuit) yöntemleri, datagram yönteminde her bir paket bağımsız olarak ele alınır. Bu yüzden hedef noktaya hepsi farklı zamanlarda ve farklı yollar izleyerek iletilebilir. Bunların uygun sıraya dizilmesi ve birleştirilmesi karşı noktada yapılır. Sanal devre yönteminde ise, paket göndermeden önce paketlerin izleyeceği bir yol tespit edilir. Fakat bu yol fiziksel olarak tahsis edilmez sadece hayali olarak oluşturulur. Yolun tespitinden sonra paketler gönderilir, bütün paketler aynı yolu izlerler ve sırayla iletilirler. Paket anahtarlamalı ağlarda erişim için bazı standartlar vardır. X.25 bunların en eskisi ve en yaygın kullanılanıdır. Paket anahtarlama yönteminde önemli husus, mesafe veya veri iletim süresi değil iletilen verinin miktarıdır. Bu açıdan trafiği az olan geniş kapasiteli bağlantılara ihtiyaç duyanlar tercih edebilir. Fakat yukarıda da anlatıldığı üzere trafiği yoğun olan yerler kiralık hatları tercih etmelidir. Türkiyedeki ağları incelemeden önce X.25’in çalışmasını anlayalım.

3.2.1 X.25X.25 bilgisayarları paket-anahtarlamalı ağa bağlamak için uluslararası kabul edilmiş bir standarttır. Paket anahtarlamalı ağlarda sanal-devre (virtual circuit) söz konusu olduğu zaman ilk önce X.25 akla gelir. X.25, DTE (Data Terminal Equipment-Genellikle Bilgisayar) ile yerel PSE (Packet-Switching Exchange-Genellikle Yönlendirici) arasındaki iletimin nasıl olacağını tanımlar. Bazı kaynaklarda X.25 anlatılırken PSE yerine DCE kullanılır. Fakat bu dökümanda DCE (Data Circuit Terminating Equipment-Genellikle bir modem) DTE ile PSE arasında yer alan bir başka cihaz (modem gibi) olarak kullanılmaktadır. X.25 OSI referans modelinin ilk üç katmanında çalışır.

10 . Cisco ile HDLCHDLC (High-Level Data-Link Control)ISO tarafından geliştirilmiş Data Link katmanı protokolüdür ve connection-oriented bir iletişim sağlar. Şifreleme ve kimlik doğrulama desteği yoktur. Cisco tarafından tanımlanan versiyonunda HDLC enkapsülasyonunda Network Layer protokolünde tanımlanmasına imkan sağlanmıştır. Böylece aynı bağlantı üzerinden birden fazla protokole ait paketler iletilebilecektir.

HDLC, Cisco router’larda senkron seri hatlar için varsayılan enkapsülasyon türüdür. Router’daki seri interface’lerde kullanılan enkapsülasyon türünü görmek için “show interface” komutunu kullanabilirsiniz. Bazı durumlarda varsayılan enkapsülasyon tipini değiştirmek gerekebilir. Mesela Cisco tarafından üretilen bir router ile farklı bir firmanın ürettiği ve Cisco’nun HDLC tanımlamasına uymayan bir cihaz’ın haberleşmesi gerektiği durumlarda enkapsülasyon türünü değiştirmeniz gerekebilir. Bunun için “encapsulation [encapsulation tipi]” komutunu kullanmalısınız

11. Cisco Uzaklik Vektörü Yönlendirmesi

Uzaklik Vektörü Yönlendirmesi GüncellemeleriYönlendirme tablosu güncellemeleri, periyodik olarak ya da mesafe yönü ag protokolündeki topoloji degismelerinde gerçeklesir. Bir yönlendirme protokolünün yönlendirme tablosunun güncellenmesinde etkin olmasi önemlidir. Ag konusundaki yeni buluslar, topolojidegismeleri , routerdan router a sistematik olarak güncellemeyi gerektirir.

Mesafe yönü algoritmalari, her routeri kendi içindeki gönderim tablosunu yakinindakilerden herbirine göndermeye yönlendirir. Yönlendirme tablolari, metrik olarak tanimlanan toplam yol tutari ve tabloda yer alan her ag için yoldaki ilk router in mantiksal adresini içerir

11.2 Yönlendirmenin Mantiksal Hesabi

Mantiksal yol hesabi , degisik mesafe yönü protokollerince büyük ölçekli gönderim döngülerini giderebilmek ve ag ya da alt agin islem yapamaz oldugu durumlarda kesin bilgi verebilmek amaciyla kullanilir. Bu genellikle atlamanin makimumdan bir fazla ayarlanmasiyla yapilir

Çeliskili güncellemelerden kaçinmanin bir yolu mantiksal yol hesabidir. Ag 5 devre disi kalirken Router E 16 da oldugu gibi Ag 5 içinbir tablo girisi yaparak mantiksal yol hesabini baslatir. Ag 5’ in bu yol hesabindan dolayi, router C Ag hakkindaki yanlis güncellemelere duyarli degildir. Router C, router E’ den bir yol hesabi aldiginda tekrar router E’ ye geri hesaplama adi verilen bir güncelleme yollar. Bu , segment üzerindeki tüm yollarin hesaplanmis yol bilgisini almis oldugunu kesinlestirir

Mantiksal yol hesabi, baslatilmis güncellemelerle kullanildiginda , komsu routerlar hesaplamanin bildirilmesinden önce 30 saniye beklemek zorunda olmadiklari için zamansal yakinlasma hizina ulasacaktir.

Mantiksal yol hesabi, hatali bir yol için gönderim protokolünün sonsuz-metrik yollar bildirmesine yol açar. Mantiksal yol hesabi, kesisim noktasi kurallarina ters düsmez.tersine hesaplamali kesisim noktasi aslinda mantiksal yol hesaplamasidir fakat akis için gönderim bilgisine normal olarak izin vermeyen kesisim noktalarindaki linklere özellikle yerlestirilmislerdir. Diger türlü, bu hatali yollar sonsuz metrik olarak iletilecektir

12. Cisco IGRP ÖzellikleriIGRP’ nin Özellikleri

IGRP bir iç ag geçidi mesafe yönü protokolüdür. Mesafe yönü protokolleri matematiksel olarak mesafeleri ölçmek suretiyle yolu hesaplar. Bu ölçüm mesafe yönü olarak bilinir.Mesafe yönü protokolü kullanan routerlar komsu routerlarin her birine düzenli araliklarla bir yönlendirme mesaji içinde kendi yönlendirme tablolarinin tamamini ya da bir kismini göndermek zorundadirlar. Ag içinde yayilan yönlendirme bilgisi olarak routerlar su asagidaki islemleri gerçeklestirirler:

· Yeni alici adresleri tanimlamak· Hatalari ögrenmek

IGRP Cisco tarafindan gelistirilmis bir mesafe yönü yönlendirme protokolüdür. IGRP , aglari bilgilendirerek 90 saniye araliklarla belli özerk bir sistem için yönlendirme güncellemeleri yollar. IGRP’ nin tasarimindaki karakteristik noktalar sunlardir:

· Tanimsiz ve karmasik topolojileri yönetmek için çok yönlülük· Farkli bant genisligi ve gecikme özellikleri için gereken esneklik· Çok genis bir ag üzerinde çalisma ölçegi

Varsayilan olarak IGRP yönlendirme protiokolleri metrik olarak bant genisligi ve gecikmeyi kullanirlar. Ilave olarak, IGRP bilesik metrikleri saptamak için degiskenler bileskesinin kullaniminda konfigüre edilebilir. Bu degiskenler sunlardir:

· Bant genisligi· Gecikme· Yük· Güvenilirlik

12.1 IGRP Metrikleri

Show ip protocol komutu ,router üzerinde kullanimda olan yönlendirme protokollerine iliskin ag bilgisi, filtreler ve parametreleri görüntüler. IGRP için metrik gönderimi hesaplamadakullanilan algoritma grafikte gösterilmistir. Bu, K1-K5 metrik degerlerini tanimlar ve maksimum atlama miktarina yönelik bilgi saglar. K1 metrigi bant genisligini ve K3 metrigi gecikmeyi temsil eder. Varsayilan olarak K2, K4 ve K5’ in metrik degerleri 0 olarakayarlanmisken K1 ve K3 1 olarak ayarlanmistir. Bu tümlesik metrik RIP’in bir alici adresi yolu seçimi esnasinda kulland igi metrik atlamadan daha bir kesin dogruluktadir. En küçük metrik degere sahip olan yol en iyi yoldur. IGRP nin kullandigi metrikler sunlardir:

· Bandwith – yoldaki en düsük bant genisligi· Delay – yol boyunca olan toplam arabirim gecikmesi· Reliability – alici adreslerine yönelik linklerdeki güvenilirlik· Load – Alici adresine yönelik saniyede gönderilen bit sayisi tabanli yük· MTU - yolun maksimum aktarim birim degeri

IGRP tümlesik metrik kullanir. Bu metrik, band genisligi, gecikme, yük ve güvenirligin birfonksiyonu olarak hesaplanir. Varsayilan olarak, sadece bant genislligi ve gecikme gözönünde bulundurulur. Diger parametrelerin sadece konfigürasyon dogrultusunda aktiflestirilecegi ya da aktiflestirilmeyecegi dügsünülür.

Gecikme ve bant genisligi degerlerle ölçülmez, fakat gecikme ve bant genisligi arabirim komutlarina yerlestirilmislerdir. Yüksek bant genisligine sahip bir link daha düsük bir metrige sahip olacak daha düsük toplam gecikme de daha küçük bir metrige sahip olacaktir.

12.2 IGRP Yollari

IGRP üç tip yol bildirir:· Iç· Sistem· Dis

IçIç yollar, bir router arabirimine bagli olan agin ile o agin alt agi arasindaki yollardir. Eger bir routera bagli ag alt ag yapilmamis ise IGRP iç yollara bildirimde bulunmaz.

SistemSistem yollari, özerk sistemin içinde kalan ag yollaridir. Cisco IOS yazilimi sistem yolarini dogrudan bagli olan arabiriminden alir ve sistem yol bilgisi diger bir IGRP rafaindan saglanir.Sistem yollari alt ag bilgilerini içermez.

DisDis yollar, özerk sistemin disinda kalan ag yollaridir. ve son nokta ag geçidi tanimlamasi yapilirken göz önüne alinir. Cisco IOS yazilimi, IGRP’ nin saglamis oldugu dis yollar listesinden bir son nokta ag geçidi seçer. Yazilim, eger daha iyi bir yol bulunmaz ise varis adresi bagli degilse son nokta ag geçidini kullanir. Eger özerk sistemler dis aga birden fazla baglantiya sahipse farkli routerlar son nokta ag geçidi olarak farkli routerlari seçebilirler

12.3 IGRP Dayaniklilik Özellikleri

IGRP dayanikliligini sürdürmek için pekçok özellige sahiptir. Bunlar:· Tutucular· Kesisme noktalari· Mantiksal çikarim güncellemeri

1.2 TutucularTutucular, uygun olmayan yollardan gelen düzenli günceleme mesajlarini engellemek için kullanilirlar. Bir router devre disi kaldiginda komsu routerlar bunu düzenli gelen güncelleme mesajlarinin olmayisi ile tespit ederler.

1.3 Kesisme noktalariKesisme noktalari, bir bilginin geldigi yönde geri routera gönderilmesini belirtmeninyararli olmadigi düsüncesinden kaynaklanir. Kesisme noktasi, gönderim döngüsünü engeller

1.4 Mantiksal çikarim güncellemeriKesisme noktalari, komsu routerlarla olabilecek gönderim döngülerini engellerler fakat mantiksal çikarim güncellemeleri büyük ölçekli gönderim döngülerini bertaraf etmek için gereklidir. Genel ifadesiyle gönderim metriklerindeki artis gönderim döngüsünü gösterir.Mantiksal çikarim güncellemeleri daha sonra silinmek üzere yola gönderilir ve tutuculara yerlestirilir. IGRP ile mantiksal çikarim güncellemeleri sadece metrik yolda 1.1 ya da dahafazla bir artis var ise gönderilir.

IGRP ayni zamanda pekçok süre tutucu ve zaman araligi içeren degiskenler saglar. Bunlar:zamanlayici güncellemesi, geçersizlik zamanlayicisi, zaman tutucu ve bosaltma zamanlayicidir.

Zamanlayici güncellemesi, gönderim güncelleme mesajlarinin hangi siklikta gö nderildigini belirler. Bu degisken için IGRP’’in default degeri 90 saniyedir.

Geçersizlik zamanlayicisi, bir routerin daha önceden geçersizligi belirtilmemis özel bir yolda gönderim günceleme mesajlarinin olmadigi durumda ne kadar bekleyecegini belirtir. Bu degisken için IGRP nin default degeri üç defa güncelleme periyodudur.

Zaman tutucular, zayifligindan dolayi yok sayilan yollarla ilgili toplam zaman bilgisini tutarlar. Bu degisken için IGRP nin default degeri 10 saniyenin üzeri için üç defa dir.

Son olarak, bosaltma zamanlayicilari , bir yolun gönderim tablosundan çikarilmasindan önce ne kadar zamanin geçmesi gerektigini belirler. Varsayilan degeri yedi defadir.

Günümüzde IGRP artik yaslanmis durumdadir. Alt ag maskelemesi ve degisken uzunlugu konusunda eksikleri vardir. Cisco, bu sorunu gidermek için IGRP’ nin 2. Versiyonunu çikarmak yerine IGPR’ nin basaryla gelistirilmis seklini yapti

12.4 IGRP Konfigürasyonu

IGRP gönderim islemini konfigüre etmek için, router igrp komutunu kullanin. IGRP gönderim islemini sona erdirmek için bu komutun no biçimini kullanin

RouterA(config)# router igpr sayiRouterA(config)# no router igpr sayi

IGRP islemini tanimlayan özerk sistem numarasi birdir. Ayni zamanda gönderim bilgisini etiketlemekte de kullanilir

IGRP gönderim isleminde ag listesini belirtmek için network router konfigürasyon komutunu kullanin. Bir girisi silmek için komutun no biçimini kullanin.

12.5 IGRP Sorunlarinin Giderilmesi

Çogu IGRP konfigürasyon hatasi yanlis yazilmis ag bildirimlerini , bitisik olmayan alt aglari, ya da yanlis özerk sistem numaralarini içerir.

Asagidaki komutlar IGRP sorunlarini gidermekte yararlidir:· Show ip protocols· Show ip routes· Debug ip igrp events· Debug ip igrp transaction· Ping· Traceroute

13. Cisco Router Üzerinde (ACL) Control List

Network’ü kontrol altına almak ve ağ güvenliği konusunda yeni çözüm arayışlarına götürecektir. İdeal network ortamında gereksiz ve tehlike teşkil eden paketlerin dolaşmaması gerekir. Bu noktada durumu kontrol altına almak için firewall çözümlerine ihtiyaç duyarız. Firewall gerek iç network’lerimizin kendileri arasında gerek dış dünya ile haberleşmesinde kullanılan protokolleri yönetebilmemizi sağlayacaktır.

ccess Control List Nedir?

Farklı networkler arasında iletişim kurmamızı sağlayan Router (yönlendirici) üzerine gelen ya da giden iletişim trafiğini kaynak ip bazında ya da port bazında filtreleme yapabilmemizi sağlayan kontrol mekanizmasıdır. ACL’ler kaynak ip’ye göre filtreleme yapabilmekle beraber gelişmiş listeleri kullanarak hedef ip, port numarası protokol bazında filtreleme işlemleri yapabilmekteyiz. Access Control List’ler çeşitlerine göre L3 Network katmanındaki sadece source ip bazında ya da kaynak ip ve hedef ip ile birlikte iletişim protokolleri ve bu protokollerin port numaraları bazında kontrol yapılmasını sağlar. Yazımızın ilerleyen bölümlerinde Standart Access ve Extended Access List’ten detaylı olarak bahsedeceğim.

Not: Access Control List uygulaması için Cisco Router’ların kullandığı IOS (Interconnectting Operating System) sürüm 12.3 ve üzeri olmalıdır. IOS 12.3 öncesi versiyonlarda Access List’ler notepad vb. bir text editör üzerinde hazırlandıktan sonra konfigürasyon yapılabilir.

Access List Çeşitleri

Standart Access ListExtended Access List

Cisco Router’lar üzerinde yapılandırabileceğimiz ACL’ler Standart ve Extended olarak ikiye ayrılır.

Standart Access List Nedir?Router üzerine gelen paketlerin kaynak ip adresine bakılarak engelleme işleminin yapılmasıdır. İzin verme ya da yasaklama aksiyonu tüm protokol kümesini kapsar. Örneğin 192.168.100.0 /24 networkünden gelen paketlerin source ipsine bakılarak aksiyon “Permit” ise tam erişim sağlanır “Deny” ise paket drop edilir.

Standart Access List çalışma yapısı

Standart Access Listlerin çalışma yapısını inceleyecek olursak gelen ya da giden paketin IP Header’ına bakarak filtreleme yaptığını görmekte. Bu çalışma yapısından dolayı access control listemizi source ip’yi kullanarak filtreleme yapabilmekte.

Extended Access List Nedir?Router üzerine gelen ip paketlerinin hem kaynak hemde hedef ip adresleri kontrol edilir. Örneğin Access List içerinde yazan kaynak ip adresinden hedefe giden Http 80, telnet 23, FTP 20 veya 21 gibi protokollerin yasaklanıp geriye kalan protokoller ile erişimin devam etmesi sağlanabilir. Yani tüm ip trafiğinin değil de belirlenen protokollerin yasaklanması sağlanır.

Extended Access List çalışma yapısı

Şekilde Extended Access List’lerin daha gelişmiş bir şekilde filtreleme yaptığı görülmektedir. Extended Access Listlerin çalışma yapısı filtreleme işleminin Layer3 Network Katmanında yer alan Hedef ip adresi ile Kaynak ip adresi beraberinde Layer4 Transport Katmanında yer alan protokol ve port numaralarına göre yapılabilmesini mümkün kılmıştır. Extended Access List’leri numaralandırma ve isimlendirme metotları ile iki farklı şekilde oluşturabiliriz.

Access List’ler konfigüre edildikten sonra Router üzerindeki interface’lerin giriş yönüne veya çıkış yönüne uygulanabilir. Bilinmesi gereken her interface’in giriş veya çıkış yönüne sadece ve sadece bir tane access list uygulanır.

13.1 Erişim Denetim Listeleri

(ACL - Access Control Lists) 4.xx sürümünden itibaren Exim, SMTP sırasındaki filtrelemeler için Erişim Denetim Listeleri (ACL’ler) adı verilen oldukça karmaşık ve esnek bir mekanizma kullanmaktadır.

Bir ACL, SMTP aktarımı sırasında gelen iletinin red mi yoksa kabul mü edileceğine karar verebilmek için, uzak konak ilk bağlantıyı kurduğunda veya HELO/EHLO, MAIL FROM:, RCPT TO: gibi aktarımın çeşitli aşamalarından birinde değerlendirmeler yapabilmek amacıyla kullanılabilir. Örneğin, karşıdan gelen her RCPT TO: komutunda değerlendirmeler yapmak için acl_rcpt_to isimli ACL’yi kullanabilirsiniz. Bir ACL, deyimlerden (veya kurallardan) oluşur. Her deyim eylem belirten accept (kabul et), warn (uyar), require (gerekir), defer (ertele) veya deny (reddet) gibi bir emir ile başlar ve bunu koşullar, seçenekler ve diğer ayarlamalardan oluşan bir liste izler. Her deyim, tanımlayıcı bir eyleme rastlanıncaya kadar (warn hariç) sırayla değerlendirilir. Her ACL’nin sonunda örtük bir deny vardır.

acl_rcpt_to ACL’sinden örnek bir deyim: deny message = relay not permitted !hosts = +relay_from_hosts !domains = +local_domains : +relay_to_domains delay = 1m

Bu deyim, RCPT TO: komutu +relay_from_hosts (röleleme yapmasına izin verilen konaklar) listesindeki konaklardan birinden alınmamışsa ve alıcı konak “+local_domains” (yerel alanlar) veya “+relay_to_domains” (röleleme yapılacak alanlar) listelerindeki konaklardan biri değilse, postayı reddedecektir. Bu arada, “550” yanıtını vererek reddetmeden önce karşı sunucuyu bir dakika bekletecektir.

SMTP aktarımının belli bir aşamasında bir ACL’nin değerlendirmeye alınabilmesi için Exim’in kural denetimlerinde bu ACL’yi belirtmek gerekir. Örneğin, önceki örnekteki acl_rcpt_to ACL’sinin RCPT TO: komutunda değerlendirmeye alınabilmesi için Exim yapılandırma dosyasının ana bölümüne (begin ile başlayan ilk satırdan önceki bölüm) şöyle bir satır eklemek gerekir:

acl_smtp_rcpt = acl_rcpt_to

14. Cisco İos ile Router Güvenliği

Günümüzde bilgisayar ağları denince iki veya daha fazla bilgisayarın bilgi ve kaynak paylaşımı için belirli protokollere uygun olarak, kablolu veya kablosuz, birbiriyle haberleşmesi akla gelmektedir. İki bilgisayar aralarında veri transfer ederken bazı temel protokollere göre bu transferi gerçekleştirmek zorundadırlar.OSI modeline göre veri, Uygulama seviyesinden Fiziksel seviye kadar inip daha sonra elektriksel sinyal olarak yoluna devam etmektedir. Fakat bu yolculuk sırasında sinyaller direkt olarak kaynak (source) bilgisayardan hedef (destination) bilgisayara doğru değildir. Arada bu sinyalleri gidecekleri yerlere yönlendiren cihazlar vardır. Bu cihazlar yerel ağlarda switch,hub gibi cihazlarken; geniş alan ağlarında (WAN) yönlendirici (router) cihazları kullanılmaktadır.Yönlendiricilerin görevi, yerel ağdan gelen paketleri filtrelemek ve paketlerin nereye gideceğine karar vermektir. Böylece yerel ağları birbirine bağladığı gibi kurumun WAN’a bağlantı noktasını da oluşturmakta ve internet erişimini de sağlamaktadır. Yönlendiricinin temel parçaları aşağıdaki gibidir:• İşlemci: Yönlendiricinin ana beynidir. RISC işlemci(ler)den oluşur.• Anakart: Anakart, yönlendirici elemanlarını birbirine bağlayan ana birimdir. Üzerindeuygulamaya özgü geliştirilmiş özel devreler (ASIC) bulunmaktadır.• Bellek: Kullanılan bellekler işlevlerine göre farklı birimler olarak bulunmaktadır. Bunlaraşağıdaki gibidir:o Flash: Kalıcı hafıza birimidir. Her yönlendirici belirli bir İşletim Sistemine(Operating System) ihtiyaç duyar. İşletim sistemi imgeleri (image) ise Flash bölgesinde tutulur. İstenildiği taktirde ve donanım elverdiği sürece daha yeni versiyonu ile değiştirilebilir.o NVRAM: Kalıcı hafıza birimidir. Burada başlangıç (startup) ve yedek(backup)konfigürasyon dosyaları tutulur. Elektrik kesilse bile bu bilgiler bu bölgede kalmaktadır.o (Boot)ROM: Fiziksel olarak sinyal yollayıp donanımları test eden ve cihazı başlatmaya yarayan program olan Bootstrap’ı içerir. Eğer ki bu program değiştirilmek istenirse, rom çipi yenisiyle değiştirilmek zorundadır.o DRAM/SRAM (Memory): Cihazın aktif bilgilerinin tutulduğu geçici hafıza birimidir. Cihaz açılırken bootstrap flash’tan işletim sistemi imgelerini ve nvram’den başlangıç konfigürasyonunu ram bölgesine yükler. Çalışankonfigürasyon (running config) bu bölgede tutulur. Ayrıca bu bölgede routing tablolarını ve gelen henüz iletilmemiş verileri de tutmaktadır (buffering).• I/0 Interface (Arayüz): Her yönlendiricinin kendisine gelen bilgileri alması, göndermesi ve konfigürasyonunun yapılması için kullanılan bağlantı noktalarına arayüz (interface) denir(Örneğin ethernet 0, consol). Arayüz her zaman fiziksel bir olgu değildir. Bir fiziksel arayüz, birden fazla sanal alt arayüz olarak da kullanılabilir.Yönlendiricinin görevleri aşağıdaki gibi sınıflandırılabilir:• Yol Seçmek(Routing): Yönlendirici, kendine bağlı olan bilgisayarların network adreslerini tuttuğu gibi, kendisine bağlı veya kullanılan protokole göre bağımsız yönlendiricilerin network adreslerini de routing tablolarında tutmaktadır. Yönlendirici kendisine gelen paketlerin nereye gideceğini öğrendikten sonra bu adresi routing tablolarıylakarşılaştırarak hangi port’undan yollayacağına karar vermektedir.• Paket Filtreleme: Paket filtreleme, network adresi(IP), servisi ve protokolüne göre bilgi transferini kontrol etmektir. Yönlendirici bu kontrolleri ACL’ler (Access-Control List –Erişim Listesi) yardımı ile sağlar. ACL’ler kendisine gelen verinin kaynak, hedef ip adreslerine, bilginin gideceği port adresine veya kullanılmak istenen protokole görekısıtlamalar yapabilmektedir. Bu kısıtlamalar yapılırken iki şekilde yapılabilir. Birincisi sadece izin verilen servisler ve protokoller yazılarak servise açılmakta ve geri kalanı

kapatılmaktadır. İkincisinde ise sadece kapatılan servisler yazılmakta ve diğerleri açılmaktadır. ACL yazarken komutların yukarıdan aşağıya doğru işleneceği ve gelen paketin yazdığımız herhangi bir kuralla takıldığı anda işlemin bitirilip alttaki kurallara bakılmayacağıda akıldan çıkartılmamalıdır [1] [2] [3]. Aşağıdaki ACL’de bütünbilgisayarlara 80. port (http) erişimi serbest bırakılmış ve diğer bütün servislerkısıtlanmıştır.

access-list 101 permit ip any any eq 80access-list 101 deny any any

Erişim listeleri, yönlendiricinin belirli bir arayüze uygulanmadan aktif olmazlar. Erişim listeleri uygulandıkları yön açısından iki türlü olmaktadır. Arayüzün içten gelen trafiğine (“in” - inbound) ya da dıştan gelen trafiğine (“out” - outbound) uygulanabilir. Örneğin aşağıdaki örnekte 101 numaralı erişim listesi, “ethernet 0” arayüzünün inbound’una uygulanmıştır.

Interface ethernet 0access-group 101 in

Dökümanda örneklerin üzerinde uygulanacağı kurum ağının bir C sınıfı IP adres alanına (200.100.17.0\\\\24) sahip olduğu varsayılacak ve örnekler buna göre verilecektir. Şekil 1’de de görüldüğü üzere, kurum ağı “ethernet 0” arayüzü ile kurumun yerel ağına, “serial 0” arayüzü ile de genel ağa (WAN) bağlıdır.

Şekil 1: Kurum Ağ Şeması

Yönlendirici güvenliği dört ana başlıkta işlenecektir:1. Yönlendirici Cihazının Güvenliği2. Yönlendirici Cihazla Ağ Güvenliği3. Sistemi Takip Etmek4. Sistemde Güvenlik Testleri UygulamakTürkiye’de özellikle kurumsal bağlantılarda Cisco marka yönlendiriciler kullanıldığı için uygulamalar Cisco marka cihazlar üzerinde gösterilmiştir. Diğer firmaların ürünlerinde de benzer prensipler geçerlidir, sadece bazı komutlarda yazım farklılıkları bulunmaktadır.

14.1 YÖNLENDİRİCİ CİHAZININ GÜVENLİĞİYönlendiricinin, ağa bağlı bir cihaz olarak kendisinin güvenliğinin sağlanması gerekmektedir.Yönlendirici cihazının güvenliği şu alt başlıklarda işlenebilir:1. Fiziksel Güvenlik2.Yönlendiriciye Erişim Hakları3.Şifrelerin Güvenliği,4.Erişim Protokolleri Güvenliği5.Gereksiz Servisleri Kapatmak6.İşletim Sistemi Güvenliği

1.Fiziksel GüvenlikFiziksel güvenliği saglamanın birkac yolu vardır. Bunlardan biri yönlendiricilerin bulunduğu odaların kapılarını kilitli tutarak yetkisiz kişilerin girişilerine izin vermemektir. Ayrıca bu odalarda cok fazla elektrik ve manyetik alan olmamasına; sıcaklık ve nemin de kontrol altında tutulmasına özen gösterilmelidir. Yönlendiriciler için ayrı bir oda ayırılamıyorsa en azından kilitli dolaplar (kabinet) içine koyulmalıdır. İkincisi bu odaya gelen elektriğin hiç kesilmemesidir . Bu UPS (Uninterupted power supply) kullanarak sağlabilmektedir. Bir üçüncüsü; yönlendirici yakınlarına şifre veya ip bilgileri gibi bilgileri yazmaktan kaçınmaktır. 2.Yönlendiriciye Erişim HaklarıYönlendiriciye kimlerin erişeceğinin bir politikayla belirlenmesi ve erişimlerin loglanması gerekmektedir. Bu politikada; kimin konfigürasyon yedeklerini alacağının, kimin yeni bir parça alımında yönlendiriciye yerleştireceğinin, kimin logları düzenli takip edileceğinin açık bir şekilde belirtilmesi gerekmektedir.Temelde yönlendiricilere, kullanıcı (user) ve yönetici (enable) olarak iki çeşit erişim hakkı vardır. Kullanıcı modunda sadece kontroller yapılabilirken, yönetici modda ek olarak cihaz konfigürasyonu da yapılabilmektedir. Bu iki erişim hakkı, 15 seviyeli erişim mekanizmasıyladesteklenmiştir ve varsayılan (default) olarak üç adet erişim seviyesi vardır. Seviye 0’da sadece disable, enable ,help ,logout komutlarını; seviye 1’de kullanıcı modundaki komutları (router>); seviye 15’de exec modu (router#) diye tabir ettiğimiz yönetici komutlarını kullanma hakkına sahiptirler Bu erişim seviyeleri, kişiler ve komutlar bazında yöneticininisteğine göre ayarlanabilir. Mesela yönetici kullanıcının ping komutunu kullanmasını fakat snmp-server community komutunu kullanmamasını isterse buna göre ayarlama yapabilmektedir. Bu seviyeler yönlendiricide komut bazında veya TACACS+, RADIUS doğrulama(authentication) sunucuları bazında ayarlanabilmektedir.

3.Şifrelerin GüvenliğiGünümüzde büyük oranda kırma(hacking) işlemi “password quessing” (parola tahmin etme) yöntemiyle yapılmaktadır bu sebepten şifre seçimine gerektiği önem verilmelidir. Cisco yönlendiricilerde kullanıcı adı ve parolasının konfigürasyon dosyasında gözükmemesi için

“service password-encription” komutu kullanılmalı. Zayıf şifreleme algoritması kullanan “enable password” kaldırılmalı, MD5-tabanlı algoritmayla şifreyi koruyan “enable secret” komutu kullanılmalıdır. “no enable password” komutu kullanılarak enable password’ler silinmeli yerine “enable secret yeni_şifreniz” ile yeniden şifreler girilmelidir

4.Erişim Protokollerinin GüvenliğiYönlendiricilere fiziksel erişim konsol portundan yapılmaktadır. Bunun için fiziksel güvenliğin sağlanması gerekmektedir. Diğer erişim yöntemleri olan HTTP, Telnet, SSH, TFTP, ve FTP kullanıldığında TCP/IP protokolünün zayıflıklarına karşı önlem alınması gerekmektedir. Alınması gereken önlemler aşağıdaki gibidir.

Belirli IP’lerin Cihaza Erişimine İzin Vermek:Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir. Bu da erişim listesi (access-list) yazılarak sağlanır. Örneğin Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin erişimine izin verilmesi ve diğer ip’lerin engellenmesi ve bu erişimlerin kaydınıntutulması aşağıdaki erişim listesi ile sağlanmaktadır

access-list 7 permit 200.100.17.2access-list 7 permit 200.100.17.3access-list 7 deny any log

Örnekte verilen 7 numaralı erişim listesinin devreye girmesi için erişimin geleceği arayüzlerde etkin hale getirilmesi gerekmektedir. Telnet (veya ssh) için uygulanması da aşağıdaki gibi olmaktadır

line vty 0 4access-class 7 in

Http erişimi için kısıtlanması da aşağıdaki gibi olmaktadır:ip http access-class 7SNMP erişimine belirtilen IP’lerin izin verilmesi ise aşağıdaki gibi olmaktadır:snmp-server host 200.100.17.2 snmp_şifresisnmp-server host 200.100.17.3 snmp_şifresi

HTTP Erişimi:HTTP protokolü ile web arayüzünden erişim, cihaza interaktif bağlantı demektir. Yönetilebilir cihazlarının birçoğunun üzerinde web sunucusu çalışır. Bu da 80 nolu portta bir web sunucunun kurulu beklediğini gösterir. Daha önceden de belirtildiği gibi HTTP servisi verilecekse bu ağ yönetimini sağlayan belirli IP’lere kısıtlı olarak verilmelidir. Cihaz güvenliği nedeniyle mümkün olduğunca bu tür web üzerinden yönetimin kullanılmamasıgerektiği önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bileceği başka bir port üzerinden, örneğin “ip http server port 500” komutuyla 500 nolu portta çalıştırılabilecek şekilde ayarlanmalıdır.

14.2 Şifrenin Ağda Düz Metin Olarak İletilmesini Engellemek:HTTP, Telnet, SNMP protokolleri ile cihaza erişimde, doğrulama mekanizması ağda şifrenin düz metin (clear text) şeklinde gönderimi ile sağlandığı için güvenlik açığı oluşmaktadır. Özellikle hub bulunan ortamlarda saldırganın ağ üzerinden dinleme (sniff) yoluyla iletilenbilgiyi elde etmesi mümkün olabilmektedir. Bunu engellemek için aşağıdaki önlemler alınabilir :- Konsol Kablosunu Yönetim Bilgisayarına Çekmek: Eğer cihaz tek bir makinadan yönetiliyorsa, o makinanın com portundaki arabirime çekilen bir utp kablo ile konsol erişimi sağlanabilir. Böylece erişim tek bir kablo üzerinden sağlanacaktır.- Telnet yerine Secure Shell (SSH) Erişimi Vermek: İletilen veriyi şifreleyen SSH protokolü mümkün olduğunca kullanılmalıdır. SSH’i desteklemek için cihazın işletim sisteminin güncellenmesi gerekebilmektedir. SSH, şu anda bütün cihazlar ve cihaz işletimsistemleri tarafından desteklenmemektedir. Bu konuda üretici firmanın cihaz dökümantasyonu incelenmelidir.- Güncel SNMP Versiyonlarını Kullanmak: SNMP Versiyon 1, düz metin doğrulama dizileri (string) kullandığından bu doğrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan öz (digest) doğrulama şeması kullanan ve çeşitli yönetim verilerine kısıtlı erişim sağlayan SNMP Versiyon 2 veya 3’ün kullanılması gerekmektedir. Mümkünse her cihaz için ayrı bir MD5 gizli (secret) değeri kullanılmalıdır.- Hub olan ortamlardan cihaza erişim yapmamak: Hub olan ortamlardan yönlendiriciye erişim yapılmamalıdır. Böyle erişimin zorunlu olduğu durumlarda, daha güvenli bir ortamda bulunan ve ssh’i destekleyen bir linux/unix sunucu varsa, o sunucuya bağlanarak onun üzerinden yönlendiriciye telnet erişimi yapılmalıdır.- Doğrulama Mekanizmaları Sağlamak : HTTP protokolünde doğrulama mekanizması ağda şifrenin düz metin şeklinde gönderimi ile sağlandığı için efektif değildir ama farklı üreticilerin değişik çözümleri bulunmaktadır. Doğrulama mekanizması, onay sunucuları (Tacacs+, Radius …vb) kullanılarak yapılabilir. Cisco IOS’de doğrulama mekanizması“ip http authentication” komutuyla sağlanmaktadır.

Acil Durum Erişimini Ayarlamak:Yönlendiricilere erişimin sağlanamadığı acil durumlarda telefon hatları üzerinden modem kullanılarak erişmek için “Auxiliary port” bulunmaktadır. Bu tür bir erişim için PPP (Point to Point Protocol) üzerinde PAP (Password Authentication Protocol) yerine CHAP (Challenge Handshake Authentication Protocol) doğrulama methodu kullanılmalıdır. CHAP, dial-up ve uçtan uca (point to point) bağlantılarda uç noktayı engelleyerek izinsiz erişimleri engellemektedir.Bütün bu önlemlere karşı saldırganlar yönlendiriciyi ele geçirebilmektedir. Bu sebeble en azından yönlendirici açılışına yasal haklarla erişebilinecek bir cihaza erişildiğini izinsizerişimlere kanuni işlem yapılacağını belirten yazı yazılmalıdır. Cihaza erişim yapıldığında bir uyarı gözükmesi için, “banner motd” komutu kullanılmaktadır. Örneğin aşağıdaki şekilde biruyarı cihaza eklenebilir:

banner motd ^C------------------------------------------------------------------------Bu cihaza yetkisiz erisim yasaktir. Erisim bilgileriniz kayitlanmistir.Unauthorized access to this device is prohibited. All access has beenlogged.------------------------------------------------------------------------^C

5.Gereksiz Servisleri Kapatmak

Yönlendiricide kullanılmayan servisler kapatılmalıdır. Örneğin kullanılmayan ve güvenlik açığı oluşturabilecek TCP/UDP services echo, chargen ve discard kapatılmalıdır:no service tcp-small-serversno service udp-small-serversBu cihaza bağlı kişiler hakkında saldırgana bilgiler sağlayabilecek “finger” servisi de kapatılmalıdır:no service fingerDaha önceden de belirtildiği üzere yönlendiricide web sunucusu da çalıştırılmamalıdır:no ip http server

6.İşletim SistemiYönlendirici için işletim sistemi (Operating System) seçilirken ağın ihtiyaclarına uygun ve aynı zamanda donanımın desteklediği bir versiyon olmasına dikkat edilmelidir. Her ne kadar işletim sistemleri güvenlik testlerine tabi tutulup daha sonra piyasaya sürülüyorsa da dahasonradan güvenlik açıkları bulunabilmektedir. Bu nedenden dolayı çıkan yamaları takip edip upgrade yapmak gerekebilmektedir. Şuda unutulmamalıdır ki; işletim sisteminin en son versiyonu her zaman en iyi versiyon olmayabilmektedir. Bu nedenlerden dolayı, düzgüncalıştıgı denenmiş en son versiyon tercih edilmeli ve kesinlikle eski versiyon yedeklenmelidir. Cisco yönlendirici cihazlarının IOS larının güvenliği için yararlanabilirsiniz. Eğer başka marka yönlendirici kullanıyorsanız en son işletim versiyonlarını üretici sitelerinden bulabilirsiniz.

14.3 AĞI YÖNLENDİRİCİLERLE KORUMAKYönlendirici, bazı ağlarda yönlendirici görevinin yanı sıra güvenlik duvarı gibi çalışacak şekilde de ayarlanabilmektedir. Bu güvenlik duvarı işlevi, basit bir paket filtreleme fonksiyonundan oluşmaktadır ve günümüzdeki güvenlik duvarlarına oranla oldukça ilkel kalmaktadır. Yönlendiricinin temel görevinin yönlendirme (routing) olduğu unutulmamalı, bu tür bir güvenlik duvarı işlevinin cihazın performansını düşüreceği dikkate alınmalıdır.Cihazda alınacak bu tür önlemler mümkün olduğunca en az oranda tutulmalı, bu tür güvenlik önlemleri için ayrı güvenlik duvarı (firewall) sistemleri kurulmalıdır. Yönlendiriciyi aynı zamanda detaylı paket filtreleme özellikleri ile kullanmak, sadece küçük ağlarda veya güçlü omurga cihazlarının bulunduğu kampüs ağlarındaki iç yönlendiricilerde tercih edilmelidir.Bu bölümde yönlendirici ile ağdaki bilgisayarlara gelebilecek saldırıların engellenmesi için bazı ipuçları verilecektir.1. Riskli portları kapatmak:İnternet üzerindeki servisler, kullanıcılara hizmet götürebilmek için bazı sanal port numaralarıkullanırlar (örn: http için 80 numaralı port kullanılmaktadır). Saldırganlar veya kötü yazılımlar servislerin açıklarını kullanarak hizmet verilen port numarası üzerinden bilgisayarağına sızabilirler. Bunu önlemenin bir yolu riskli portları yönlendirici ile kısıtlamaktır. Riskli portların listesi nolu referansının 38 ve 39 sayfalarında listelenmiştir. Bu liste, ağ yöneticisi tarafından çeşitli güvenlik sitelerini takip ederek sürekli olarak güncellenmelidir.Aşağıdaki örnekte 445 nolu UDP portu ile finger servisi bloklanmaktadır:access-list 101 deny udp any any eq 445access-list 101 deny tcp any any eq fingeraccess-list 101 permit ip any anyYönlendiriciye fazla yük getirmediği sürece bu erişim listesini genişletmek mümkündür.Tanımlı mail ve web sunucularını belirlemek ve bu sunucular dışında bu tür protokolleri engellemek de mümkündür. Erişim listesi ne kadar kapsamlı olursa o kadar fazla işlemci gücü

gerektirecek ve performans azalacaktır. O yüzden sık gelen paket türlerini erişim listesinde daha önde tutmak performansı arttıracaktır.2.Bazı saldırı tekniklerine karşı önlemlerIP spoofing : IP kandırmacası anlamına gelmektedir. Kötü niyeli kişi hattı dinler giden paketlerin kaynak ve hedef adresini alır. Hedef adresini kendi ip’si yaparak kaynak adrese cevap verir. Böylece erişim listesine takılmadan bilgisayar ağına sızmış olur. Bunu önlemenin yolu, yönlendiricinin kaynak adresi hedef makinaya varmadan kimseye göstermemesidir.Cisco cihazlarda “no ip source-route” komutuyla yapılabilmektedir Routing Protokole olan saldırılar: Bilindiği üzere yönlendiriciler kendi aralarında interior veya exterior routing protokollere göre haberleşmektedirler Saldırgan yönlendiricinin routing protokolünü bozmadan yollanan paketlerin bir kopyasının kendine de yollanmasını sağlayabilir(kredi kart numaraları gibi verileri almak için) veya protokolleri kaldırarakyönlendiricinin diğer yönlendiricilerle haberleşmesini kesebilir. Haberleşmenin yok olması, yönlendiricinin aldığı paketleri nereye göndereceğini bilmemesi ve servis dışı kalması(DoS)anlamını taşımaktadır. Bunu önlemenin yolu ise gönderilen ve alınan routing protokolu ACL aşağıda verilmiştir.router eigrpnetwork 200.100.17.0distribute list 20 out ethernet 0distance 255distance 90 200.100.17.0 0.0.0.255access-list 20 permit 200.100.17.0 0.0.0.255Çıkış (Egress) ve Giriş (Ingress) Erişim ListeleriBu erişim listeleriyle yönlendiriciye gelen paketlerdeki kaynak IP adresleri kontrol edilmektedir.Dış ağdan iç ağa gelen paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne giriş (ingress) filtreleme denmektedir. Bu kontrolde gelen paketlerdeki ip’lerde internet ortamında kullanılmayan (rezerve edilmiş) adresler bulunduğunda bu paketler kabul edilmeyecektir Ağ adresimiz 200.100.17.0/24 ise, dış dünyadan böyle bir IP aralığına ait bir paket gelmemesi gerekmektedir. O zaman ingress kısıtlamaları aşagıdaki gibi olacaktır:access-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 102 deny ip 200.100.17.0 0.0.0.255 anyaccess-list 101 permit ip any anyİç ağdan dış ağa giden paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne çıkış (egress) filtreleme denmektedir. Kendi ağ ip adresi aralığında olmayıp da internete çıkmak isteyen ip’ler kısıtlanmalıdır Böylece kurumun ağı kullanılarak başka kurumlara yapılabilecek kaynak IP adresi değiştirme tabanlı saldırılar engellenecektir. Bazı reserve edilmiş IP lerinkısıtlanması aşağıdaki gibidir:access-list 102 permit ip 200.100.17.0 0.0.0.255 anyaccess-list 102 deny ip any anyÖrnekte dışardan gelen trafik ingress erişim listesi ile seri arayüzde, içeriden gelen trafik de egress erişim listesi ile ethernet arayüzünde tanımlanmıştır.interface serial 0ip access-group 101 ininterface ethernet 0ip access-group 102 in

“Reverse Path” Kontrolü: Gönderdiğimiz paket “ethernet 0” arayüzünden gönderiliyor fakat cevabı “ethernet 1” arayüzünden geliyorsa bu işte bir yanlışlık var demektir. Bunu önlemek için geliş gidiş istatiğini tutan CEF routing tablolarından yararlanmak gerekmektedir. Busağlamak için de seri arayüzde bu komutun uygulanması gerekmektedir

İp cef disributed!interface serial 0ip verify unicast reverse-path

“CAR Rate”i Güvenlik için Kısıtlamak: Bir çeşit QOS(“Quality of Service” – Servis Kalitesi) sağlayarak belli protokoldeki verilerin belli ip adresleri veya mac adresleri için politikaya göre belirlenmiş belli oran ve miktarlarda kurumsal ağa gelmesini veya kurumsal ağdan gitmesi sağlanabilir .Bu da kurum trafiğini boşu boşuna işgal eden ve kurumsalağın yavaşlamasına yol açan paketlerden kurtulunmasını sağlar. Mesela örnekte xy arayüzündeki TCP SYN paketlerini 8 Kbps’a indirilmesi gösterilmiştir.

interface xyrate-limit output access-group 102 256000 8000 8000conform-action transmit exceed-action drop [ikisi bir satırda]!access-list 102 permit icmp any any echoaccess-list 102 permit icmp any any echo-reply

SYN saldırılarından korunmak: Eğer kötü kullanıcı belli bir sunucuya (server) belli sayıdan daha fazla bağlantı kurma isteğini gönderir fakat nerden bağlanmak istediğini göndermeyerek bağlantıları boşa açarsa buna “SYN flooding attack” denmektedir. Böylece o sunucunun işgörmesini engelliyerek servis dışı bırakmaktadır.

Smurf attack: IP adresi kandırmacası ve broadcast (aynı subnetteki herkese yollama)ilkelerine dayanır. Saldırgan, saldırmayı hedeflediği bilgisayarın IP’sinden paket geldiğinin sanılması için, kaynak adresi bu IP olan “broadcast ping” paketleri oluşturur ve gönderir.Gönderilen ping paketlerinin cevabı gerçekte bu IP’ye sahip olan bilgisayara gider ve orada gereksiz trafik yaratarak bilgisayarın ağa ulaşması engellenir. Bu olayı yönlendiriciden önlemenin bir yolu da yönlendiricideki arayüzlere “no ip directed-broadcast” komutunu girmektir

3. Gelişmiş AyarlarIOS’in bazı gelişmiş versiyonlarında ek güvenlik kontrolleri bulunmakta ve çeşitli güvenlik protokolleri desteklenmektedir. Örneğin IOS Firewall Feature Set (güvenlik duvarı özelliği) bunlardan bir tanesidir. Bu tür gelişmiş ayarlarla VPN uygulamaları gerçekleştirmek, gelen http paketleri içinde belirli örüntüleri (pattern) aramak mümkündür. Bu tür özellikleriçalıştırabilmek için yönlendiricide daha güçlü donanım özellikleri bulunması gerekmektedir. Bu fonksiyonlar yönlendiricinin genel performansını eksi olarak etkilemektedir.

14.4 SİSTEMİ TAKİP ETMEKAğ cihazlarını takip etmek için kullanılan bir veya birden fazla bilgisayar olabilir. Bu bilgisayarlara Ağ Yönetim İstasyonu - Merkezi (AYM) denmektedir. AYM, ağdaki cihazlara ait SNMP şifre dizileri gibi doğrulama bilgileri ve saldırı girişimi kayıtlarını bulundurdukları için doğal bir saldırı hedefi durumuna gelmektedir. Bu yüzden bu makinaların fiziksel,yazılımsal ve ağ güvenlikleri sağlanmalıdır. Sistemi takip etme (monitor) aşağıdakiyöntemlerle gerçekleştirilebilir:- Kayıtlama (logging)- SNMPKayıtlama (Logging)Ağ cihazları çeşitli hadiseler (event) hakkında kayıtlama özelliğine sahiptir. Bu kayıtlar, güvenlik hadiselerinin belirlenmesinden ve önlem alınmasında kritik önem taşıyabilmektedir.Arayüzlerin durum değişikliği, sistem konfigürasyon değişikliği, erişim listelerine takılan (match) bağlantılar gibi güvenlik açısından önemli olan bilgilerin kayıtı tutulabilmektedir.Cihazda kayıtlama aşağıdaki şekillerde yapılabilmektedir:• SNMP Trap Logging: Sistem durumunda (status) karakteristik (significant)değişikliklerde Ağ Yönetim İstasyonuna uyarı (notification) göndermektedir. Bu işlemcisco cihazlarda aşagıdaki gibi yapılmaktadır.snmp-server community community_kelimesi ro 10!! SNMP yi göreceklere izin veriliraccess-list 10 permit host snmp_mgmt_ipaccess-list 10 deny any!! “community” adlarıyla “trap”lar gönderilir.snmp-server trap-authentication! Bütün “trap”lar içerdeki arayüzde bulunan yönetim cihazına gönderilir.snmp-server trap-source Ethernet0snmp-server host snmp_mgmt_ip community_kelimesi!interface Ethernet0ip access-group e0-in in!ip access-list extended e0-in! İçerdeki belirli bir makinanın erişimine izin verilirpermit udp host snmp_mgmt_ip host 200.100.17.2 eq snmp• Sistem Kayıtlaması: Sistem konfigürasyonuna bağlı olarak hadiselerin kayıdınıtutmaktadır. Sistem kayıtlaması farklı yerlere yapılabilmektedir [4]:o Sistem konsoluna bağlı ekrana “logging console” komutuyla,o Üzerinde UNIX’in syslog protokolü çalışan ağdaki bir sunucuya“logging ip-address”, “logging trap” komutlarıyla,Ör: logging 200.100.17.2o Telnet veya benzeri protokolle açılan VTY remote oturumlara (session) “loggingmonitor”, “terminal monitor” komutlarıyla,o Yerel buffer olan RAM’ine “logging buffered” komutuyla yapılabilmektedir.Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün çalışıp çalışmadığı kontrol edilmeldir. Farklı cihazlardan Ağ Yönetim İstasyonu’na gönderilen mesajların zamana göresenkronize olması için cihazlarda Network Time Protokol (NTP) çalıştırılmalıdır

SNMPSimple Network Management Protokol (SNMP), cihaz ve yönlendirici için vazgeçilmez birprotokoldür. Trafik istatistiklerinden bellek ve CPU kullanımına kadar bir cihaz hakkında çok detaylı bilgiler edinilebilmektedir.Bir veya daha fazla AYM, üzerlerinde çalışan yazılımlarla belirli aralıklarla ağ cihazları ve sunuculardan (server) bu istatistikleri toparlayacak (poll) şekilde ayarlanmalıdır. Cihazda gözlenen CPU, bellek veya hat kullanımının fazla olması bir saldırı tespiti olabilmektedir. Toplanan verileri grafiksel olarak görüntüleyen Multi Router Traffic Grapher (MRTG) gibiprogramlar bulunmaktadırSNMP kullanılırken dikkat edilmesi gerekenler aşağıdaki gibi özetlenebilir:• SNMP protokolünün, özellikle SNMP Version 1’in birçok uygulamasında zayıflık (vulnerability) olduğu CERT1 ‘in raporlarında belirtilmiştir. Versiyon 2 veya 3’ün kullanılması önerilmektedir. Daha detaylı bilgi için incelenebilir.• Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erişimleri için kullanılan varsayılanSNMP şifre (community) adları değiştirilmeli ve bu iki parametre birbirinden farklı olmalıdır.• SNMP şifrelerine kritik bir UNIX makinasındaki root şifresi gibi davranılmaldır.• SNMP erişimi hakkı sadece belirli güvenilir IP’lere sağlanmalıdır.• AYM tarafından SNMP erişimi yapılırken “Sadece Oku” parametresi kullanılmalıdır.Mümkünse cihazlarda “Oku-Yaz” parametresi iptal edilmelidir.• Ağ Yönetimi için yerel ağda ayrı bir alt ağ (subnet), mümkünse VLAN2 yaratılmalıdır.Erişim listesi ve Ateş Duvarı (firewall) kullanılarak bu ağa dış ağlardan gelen trafik kısıtlanmalıdır.

14.5 SİSTEMDE GÜVENLİK TESTLERİ UYGULAMAKKurumun sisteminin ne kadar güvenli olup olmadığının test edilmesi gereklidir. Bunun için sistemde yapılan güvenlik geliştirmelerinin düzgün çalışıp çalışmadığını kontrol eden ve güvenlik açıklarını size belirten bazı araçlara gereksinim duyulmaktadır. Aşağıda bu araçlarınbazılarından kısaca bahsedilecektir:.• RAT (Router Audit Tool): CIS (the Center for Internet Security) tarafından geliştirilmişve Burdan adresinden ücretsiz olarak temin edilebilenbir kontrol ve karşılaştırma (benchmark) aracıdır. Kullanılan Cisco marka yönlendiricinin işletim sistemi ve üzerindeki konfigürasyonunu çeşitli güvenlik özelliklerine göre karşılaştırmaya, eksik olan yanlarını bir rapor olarak düzeltebilmeye olanak sağlayan bir araçtır .Web sitesindeki dökümanlarda kullanımı hakkında detaylı bilgi bulunmaktadır.• Tarayıcılarla Ağı Denetlemek: Nessus (bu) gibi tarayıcılarla kurum dışından bağlantılar yaparak, örneğin bir ISP’den internet erişiminde kurumun ağına ulaşma ve erişim listelerinin çalışıp çalışmadığını kontrol etme aşamaları yerine getirilmektedir.• Yönlendiricide IOS tabanlı kontrol: Tablo1’deki komutlar kullanılarak sistemin düzgünçalışıp çalışmadığı kontrol edilebilir.

Tablo1: IOS Tabanlı Kontrol Komutları

• Doğruluk – Bütünlük (Integrity) Kontrolleri: Cihazın konfigürasyon dosyası ve işletim sistemi imgesinin değişip değişmediği kontrol edilmelidir. Bu ise sorunsuz çalışan konfigürasyon ve imgenin güvenli bir yerde tutularak belirli aralıklarla çalışan versiyonla karşılaştırılması ile gerçekleştirilir.

Yönlendirici, kurumun dış bağlantılarında kilit bir cihazdır. Cihazın güvenliğini sağlamak ve yapılacak ayarlarla ağın güvenliğini sağlamak çok önemlidir. Bu dökümanda bu işlemler için gerekli temel işlemler örneklerle anlatılmıştır. Örnek ağ için yönlendiriciye en az yük getirecek güvenlikle ilgili konfigurasyon komutları Ek-1’de verilmiştir.

Ek-1 Konfigurasyon Komutları Tablosu Örnek ağ için yönlendiriciye en az yük getirecek güvenlikle ilgili konfigurasyon komutlarıno ip source-routeno ip bootpno service tcp-small-serversno service udp-small-serversno service fingerno service dhcpservice password-encryptionno enable passwordenable secret gizli_sifre! cihaza erişim kontrolüaccess-list 7 permit 200.100.17.2access-list 7 permit 200.100.17.3access-list 7 deny any log! egressaccess-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 permit ip any any! ingressaccess-list 102 deny ip 200.100.17.0 0.0.0.255 anyaccess-list 102 permit ip any any!interface serial 0no ip directed-broadcast

ip access-group 102 in!interface ethernet 0no ip directed-broadcastip access-group 101 in!line vty 0 4access-class 7 in!ip http access-class 7!snmp-server host 200.100.17.2 snmp_şifresisnmp-server host 200.100.17.3 snmp_şifresi!banner motd ^C---------------------------------------------------------------------Bu cihaza yetkisiz erisim yasaktir. Erisim bilgileriniz kayitlanmistir.Unauthorized access to this device is prohibited. All access has been logged.---------------------------------------------------------------------^C

Network Tım // StorixMakale Storix (Oktay OLGUN) Tarafından Derlenmiş