Ozgur's Blog

Random ramblings of personal nature

Cisco Router/Switch Temel Erişim Güvenliği İşlemleri


Topoloji

Network

Erişimleri Şifrelemek

Telnet, Aux ve Console erişimlerini şifrelemek

Herhangi bir switch veya router'a bağlandığımızda işlem yapabilmek için en azından şifre sorsun istiyorsak:

enable  # superuser moda geçiş
configure terminal 
line vty 0 15  # telnet hattı için
password <şifre>  # şifreyi tanımla
login  # aktive et
exit  # çık

line console 0  # console portu için
password <şifre>
login
exit

line aux 0  # aux'tan bağlantılar için
password <şifre>
login
exit

SSH Erişiminin Ayarlanması

Routerımıza Telnet, Aux ve Konsoldan erişimleri şifreledik. Peki SSH ile bağlanmak için ne yapmamız gerekiyor?

enable
conf t
hostname <Hostname>  # SSH için bu gerekli
ip domain-name example.com  # Crypto anahtarını üretmek için kullanılıyor
crypto key generate rsa  # Rsa anahtarını üretiyor
ip ssh version 2  # SSH v2.0'ı kullan diyoruz
username <kullanıcı adı> secret <şifre> # <kullanıcı adı> ve <şifre> yerine kendi istediğimiz şeyleri yazıyoruz
line vty 0 15  # line vtyleri ayarlama moduna geç

login local  # SSH için girdiğimiz ayarları kullan, yerel veritabanındaki kimlikleri kullan 
end

wr  # Write config

Superuser (enable) Şifresi

Bu zamana kadar enable yazdığımız anda bizi superuser moda attı. Bunu da belli bir şifre kontrolüne tabi tutmak isteyebiliriz. Bunun için:

enable
conf t
enable secret <şifre> # enable modu için <şifre>'yi ata
login block-for 120 attempts 5 within 60

Son yazdığımız satır brute force saldırılara karşı alınabilecek bir önlem. Bu satır şu anlama gelmekte.

Eğer 60 saniye içinde 5 defa yanlış şifre girilirse login denemelerini 120 saniye engelle

Bu komutlar girildikten sonra router'da normal kullanıcı (> modu) modunda enable yazdığımızda bizden şifre ister.

Girilen şifreleri şifrelemek

Her nedense bu noktaya kadar yazdığımız, enable secret hariç her şifreyi iOS hafızada ve konfigürasyonda düz metin (plaintext) olarak tutmakta. Bunları şifreletmek için:

enable
show run  # space ile sayfayı kaydırabilir ve şifrelerimizi düz metin olarak okuyabiliriz
conf t
service password-encryption  # herşeyi şifrele
exit
sh run   # şifrelemiş mi kontrol edelim