Cisco Switchlərdə təhlükəsizlik
Şəbəkəmizin tam və qüsursuz işləməsi üçün təhlükəsizlik ən birinci şərtlərdən biridir. Bu məqaləmdə sizlərə Cisco switchlərində təhlükəsizlik konfiqurasiyalarını izah edəcəm. İlk növbədə şəbəkəmizin topologiyasına baxaq.
Gördüyünüz kimi şəbəkəmizdə Cisco Switch 2960 avadanlığı, 12 host və 1 consol portu üçün host vardır. İlk növbədə switchə consol portundan bağlanmalıyıq.Bunun üçün Laptop-19 cihazına Terminal proqramı vasitəsi ilə bağlanırıq.
Consol portundan terminal proqramının köməyi ilə bağlandıqdan sonra qarşımızda Cisco cihazlarının CLİ menyusu açılacaqdır:
Enter düyməsini basıb USER moda keçirik. Sonra enable yazıb Privileged moduna keçirik.Gördüyünüz kimi bu keçidlərdə default olaraq bizdən parol soruşulmur. Privileged modundan dəyişiklik etmək üçün Global Configuration moduna keçməliyik.Bunun üçün configure terminal yazmalıyıq.
İndi ilk növbədə biz switchimizin consol portuna parol qoymalıyıq.Bu parolu 2 cür edə bilərik:
1. Autentifikasiya ilə – user : xxx pass : xxx
2. Pass ilə – pass : xxx
1-ci tip parol qoymaq üçün config modunda bu əməliyyatları etməliyik:
Burada exit yazıb yenidən bağlansaq consol portundan bağlanmaq üçün username və parol istəyəcək :
2-ci tip parol qoymaq üçün aşağıdakı əməliyyatları etməliyik :
Və nəticə :
2.Enable parol:
User moddan Privileged moduna keçmək üçün enable hissəsinə parol qoymalıyıq :
Bunun üçün 2 komandadan istifadə edə bilərik. enable secret və enable password:
enable secret – yazdığımız şifrəni MD5 ilə şifrələyir və təhlükəsizlik baxımından daha güclüdür.
MD5 ilə şifrələnmiş görüntü:
MD5 şifrələmə olmayan görüntü:
3.Telnetə parol :
Telnet ilə bağlanmaq üçün ilk növbədə switchimizin vlan1 interfeysində,sonra isə hostlarda ip address olmalıdır.
Bunun üçün ilk növbədə switchimizdə aşağıdakı əməliyyatları aparmalıyıq:
vlan1 interfeysinə daxil oluruq,vlan1 interfeysi default olaraq shutdown vəziyyətində olduğu üçün ip address əlavə etdikdən sonra no shutdown əmrini yazmağımız vacibdir:
Bu əmrlərdən sonra hostlarda static olaraq ip verməliyik.Static ip verdikdən sonra yenidən swtichə daxil oluruq və telnet bağlantısını aktiv edirik:
Telnet bağlantısını aktiv etdikdən sonra hostumuza girib CMD vasitəsi ilə telnet ip-address
yazırıq. Parolu qoyduqdan sonra telnet bağlantımız işləyəcəkdir.
Telnet bağlantısından əlavə SSH bağlantısıda vardırki,bu bağlantı telnet ilə eyni vəzifəni daşıyıb lakin informasiyanı ötürərkən şifrələnmiş şəkildə ötürmüş olur.
4.Port-security :
port-security əmrinin köməyi ilə şəbəkəmizdə olan switchin hər bir portuna bağlı olan hostların mac-adressləri avtomatik olaraq götürülür.Şəbəkə işlək vəziyyətində olarkən 5-ci portda olan istifadəçi 5-ci portdan başqa kompüter qoşarsa switch o portu bloklayacaqdır.Switchimizə bu portdakı hostun mac-adresini götürməsi üçün 2 cür əmr verə bilərik.İlk növbədə portların interfeyslərinə daxil olmalıyıq. range əmrindən istifadə edərək biz tək-tək yox, qeyd etdiyimiz portların interfeyslərinə ayrı-ayrı yox, multicast olaraq hamısına aid olacaqdır:
indi isə port-security üçün lazım olan əmrləri yazmalıyıq:
1) switchport mode access – bu əmr vasitəsi ilə biz bu porta bağlı olan hostların end-device olduğunu switchimizə çatdırırıq.Yəni bu port sırf istifadəçi portudur.
2)swtichport port-security – bu əmrdən sonra gələn əmrləri aktivləşdirmək üçün (port-security ilə bağlı olan əmrləri ) istifadə olunur.Əgər biz bu əmrdən başqa digər əmrləri yazsaq,bu əmri yazmasaq port-security aktiv olmayacaq.
3) swtichport port-security maximum 1 – bu əmr hostumuzda olan mac-addresslərin maksimum nə qədər olacağını bildirmək üçündür.Əgər hostumuzun 3 mac-addresi varsa , blok olunacaqdır.Əsasən 1 və ya 2 götürülür.
4) swtichport port-security max-adress sticky- port-security qurulmasında ən lazımlı hissələrdən biridə bu əmrdir.Bu əmr vasitəsi ilə porta qoşulu olan istifadəçinin mac-adressini kopyalayır.Bu kopyalama 2 cür həyata keçirilir:
1-ci əmr sticky :
sticky əmri,avtomatik olaraq ilk porta qoşulan istifadəçisinin mac-addresini kopyalayır.
2-ci əmr static :
static əmri ilə biz həmin porta qoşulacaq olan istifadəçinin mac-addresini statik olaraq yazmalıyıq.
Portlara qoşulan istifadəçinin mac-addressi dedikdə, Kompüterin NİC mac-addressi nəzərdə tutulur.
Artıq şəbəkəmizi təhlükəsizlik baxımından müəyyən qədər güclü hesab etmək olar.
Əgər şəbəkəmizdə yalnız 12 istifadəsi olacaqsa digər portları bağlamağımız məqsədə uyğundur:
5) switchport port-security violation –
port-security əmrini yerinə yetirərkən hostu necə bloklamağa xidmət edən bir əmrdir.3 növü vardır:
1) protect– mac-adress uyğun gəlmədikdə sadəcə bloklayır.Heç bir yerə xəbər göndərmir,portu söndürmür.Uyğun mac-address gələnə qədər gözləyir.
2) restrict – mac-adress uyğun gəlmədikdə bloklamaqla yanaşı, SNMP serverə , buferə log atırki filan dəfə, filan müddətdə bu porta uyğun mac-address gəlmədi.
3) shutdown – mac-adress uyğun gəlmədikdə buferə log atır və portu söndürür.Bu port yalnız switchin interfeysinə daxil olub no shutdown yazdıqdan sonra açılır.
Bütün yazdığımız şifrələri MD7 ilə şifrələmək üçün service password-encryption əmrindən istifadə etməyimiz lazımdır.Bu əmr əsasən show running-config və ya show startup-config əmrlərini yazıb,swtichdə yazılı olan bütün əməliyyatları göstərərkən, parollarımızı MD7 ilə şifrələnmiş şəkildə göstərir:
Təhlükəsizlik üçün tam o qədərdə vacib olmayan ama switchlər üçün müəyyən qədər vacib olan 2 əməliyyat daha var.Onlardan biridə hostname –dir:
2-ci əməliyyat isə banner-motd:
Bu əməliyyatdan sonra switchə yenidən bağlananda artıq yazdığımız banner gələcəkdir :
Şərhlər ( 1 )
Təşəkkürlər məqalə üçün