Cisco Yönelticilerde Küçük Ama Güvenlik Bakımından Önemli Ayrıntılar
(Enis Aksoy öğrencimdir. Benden MCSE kursları aldıktan sonra bununla yetinmeyip bir de Cisco kursu aldı. Almakla kalmayıp Türkiye’deki yönelticilerin güvenlik bakımından kötü bir durumda olduğunu saptadı. İş bu yazı bu saptamanın öyküsüdür. Murat Yıldırımoğlu)
Yönelticiler (Router) farklı ağlar arasında iletişimi sağlayan aygıtlardır. Kendilerine gelen paketleri gidecekleri yerlere aktarırlar, yani, yönlendirirler. Yönlendirmenin dışında da işlevleri vardır ama asıl amaçları budur.
Şu an İnternet omurgasını yönelticiler oluşturuyor diyebiliriz. Bu yönelticilerin %85 ‘i de yazımızın konusu olan Cisco marka yönelticilerdir.
Yönelticiler kendilerine ait IP adresleri bulunan, üzerlerinde kendilerine özgü bir işletim sisteminin çalıştığı aygıtlardır. Kendilerine ait IP adreslerinin ve de işletim sistemlerinin olması yönelticilere uzaktan rahatlıkla müdahale edilip yapılandırılabilmelerini sağlıyor. Bu aygıtlara uzaktan telnet yardımıyla rahatlıkla ulaşabilirsiniz ama bir koşulla; parolalarını bilmek kaydıyla. Yönelticiler Hacker’ların iştahını hep kabartmıştır. Bir yönelticiyi ele geçirmek bir hacker için önemlidir. Çünkü ;
-İzini kaybettirmek isteyen yani, nereden saldırı yapıldığının bilinmesini istemeyen bir hacker bu makineleri çok rahatlıkla proxy server olarak kullanabilir. Hatta birden çok proxy kullanarak tamamen izini kaybettirebilir.
-Yönelticilerin İnternet’e çıkış hızları yüksektir. Ortalama olarak bu hız 2 Mbps ile 512Kbps arasında değişir. Fiyatlarından dolayı bir ev kullanıcısı bu türlü hızlara sahip olamaz. Bir yönelticinin ipbuffer’ını uçurarak sinir olduğunuz birinin İnternet’e çıkmasını günlerce engelleyebilirsiniz. Hatta birkaç yönelticiyi kullanarak ve büyüklüğünü arttırdığınız ICMP ECHO paketlerini kullanarak bir kurumun sitesini rahatlıkla çökertebilirsiniz.
Burada yönelticileri ele geçirmenin zor olduğunu düşünebilirsiniz. Ama bu çok da zor bir iş değil. Size geçenlerde yaptığımız ve de başarılı olduğumuz bir denemeyi anlatmak istiyorum;
İlk önce İnternet’ten belli bir IP aralığına telnet çekip bağlanabildiğimiz ve bizden username + password değil sadece password isteyen yönelticilerin listesini çıkarttık.
Cisco yönelticilere bağlanırken sizden username değil sadece password istenir, bu şekilde elimizdeki adreslerin sadece cisco yönelticilere ait olduklarından emin olduk. Bu arada Cisco makineler hakkında birkaç bilgi daha vermek istiyorum. Yönelticilerde user mode ve privileged mode şeklinde iki çalışma modu vardır. Bunlardan user mode sıradan kullanıcıların girebildiği fakat makinenin ayarlarını değiştiremedikleri, sınırlı haklara sahip olduğu moddur. Privileged mode ise işletim sistemlerinden bildiğimiz admin hesabı gibi makine üzerinde tüm haklara sahip olduğumuz moddur. Makineye giriş yapmak istediğinizde usermode için ayrı privileged mode için ayrı parolalar istenecektir sizden. Murat Alimoğlu hocamın işletim sistemleri üzerine yazısında belirttiği gibi Windows NT veya Win2k makinelerde admin hesabı “administrator” şeklindedir ve çoğunlukla boş parolaya sahiptir. Buna benzer şekilde Cisco yönelticilerde user ve privileged mode şifresi varsayılan olarak “cisco” şeklinde atanıyor. Biz de bu varsayımdan yola çıkarak Cisco yöneltici olduğundan emin olduğumuz tüm makinelere usermode ve privileged mode parolasını Cisco olarak girdik. Elimizdeki IP adreslerinden 4 tanesinde bu girişim başarılı oldu. Bu da istediğimiz gibi kullanabileceğimiz 4 tane yöneltici demekti. Taradığımız IP aralığını değiştirsek bu şekilde daha fazla makine ele geçirebileceğimize eminim ama biz bu işi öylesine fantezi olsun diye yaptığımız için abartmadık.
Yönelticiler görevleri açısından bir kurum ağı için çok önemli aygıtlardır ve bu nedenle güvenlikleri ve de kararlı şekilde çalışmaları kurum için çok önemlidir. Yönelticileri yapılandırırken şu hususlara dikkat etmenizi öneririm:
1-Eğer ağınız büyükse ve de çok özel bilgileriniz varsa mutlaka yönelticinizin arkasına bir Firewall kurun. Yönelticileri de kısmen bir firewall gibi kullanabilirsiniz fakat makineyi çok fazla meşgul edeceğinden bu pek önerilmez.
2-User mode için değilse de privileged mode için muhakkak tahmin edilmesi zor bir parola girin. Girdiğiniz bu parolalar ağ ortamında açık metin şeklinde gittiği için rahatlıkla bir sniffer programıyla (örneğin NT’de ve Win2K’de bulunan Network Monitor gibi bir programla) saptanabilir. Bu yüzden yönelticide “enable secret password” komutunu verin. Bu komut parolalarınızın kriptolu olarak taşınmasını sağlayacaktır.
3- Telnet –Dns-Http için basit bir erişim listesi (access-list) tanımlayın. Bu sayede telnet–dns-http’nin kullandıkları portlar kapatılacaktır. Bu protokollerle bağlanmak isteyenlere izin verilmeyecektir. Daha mantıklı olarak sadece belli IP adreslerinin bu portlardan giriş yapmasına izin verebilirsiniz. Bunu telnet için yapmak üzere ilgili arayüze (interface) gidip şu komutu verin:
IP access-list 101 deny tcp 10.1.1.1 anyhost eg telnet
(10.1.1.1 adresinden gelen telnet isteklerine yanıt verme).
4-Sisteminizin yapılandırma bilgisini bir yedek sunucuda, yani Tftp sunucuda tutun.
Çünkü sisteme giren kişi tüm sistem ayarlarınızı bozabilir veya en kötüsü parolalarınızı değiştirebilirler. Bunun çözümü sisteme format atmak gibi bir şey; yani, her şeyi sil, yeni baştan bilgileri gir.
5-Son olarak sisteminize girenler için muhakkak bir ileti (message banner) hazırlayın. Sisteminize giren kişi bir uyarıyla karşılaşmazsa Amerika yasalarına göre suç işlemiş olmuyor.. Bu yüzden makineye bağlanan kişileri bir şeklide uyaran bir ileti hazırlayın, makineye bağlandıklara anda bu mesajı alsınlar. Mesajı aşağıdaki gibi bir komutla girebilirsiniz:
banner motd “sakın ha yetkili değilseniz kurcalamayın !!!”