Ziyaretçilerimizin Dikkatine!...

Sitemizde Yayınlanan Tüm Bilgi, Belge Ve Yazılar Alıntıdır. İlgili Bilgi, Belge Ya Da Yazılara Resmi Sitelerden de Ulaşılabilmektedir...

25 Şubat 2008 Pazartesi

Cisco Cihazlarda VLAN veya Fiziksel Interface Bazında Alınabilecek Güvenlik Önlemleri

Interface bazında bazı önlemler alarak çeşitli saldırılar engellenebileceği gibi, cihazın üzerinde gereksiz oluşabilecek yükte azaltılabilir. Bu amaçla kullanılacak komutlar genel olarak kullanılması tavsiye edilmektedir, ancak kullanmadan önce uygulanacak ağın ihtiyaçları da göz önüne alınmalıdır. Ayrıca uyguladıktan sonra sonuçlarını gözlemlemeniz tavsiye ederim. Sonra kaş yapalım derken J

Uygulanabilecek Komutlar:

ip verify unicast source reachable-via rx allow-default : VLAN altında belirtilmiş olan IP blokları dışında başka kaynak IP adresi ile o VLAN'dan trafik çıkmasını engeller. Bu bilerek veya Malware'ler ile istem dışı yapılacak IP Spoofing ataklarını engellenmiş olur. Aynı işlemi ACL ile yaparsanız ve VLAN'de DHCP hizmeti veriyorsanız, DHCP portlarına izin vermeyi unutmayın

no ip redirects : ICMP redirect desteği kapatılmaktadır. ICMP redirect'in hakkında geniş bilgi almak için http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094702.shtml adresini incelemenizi tavsiye ederim.

no ip unreachables: ICMP unreachable paketlerinin geri yollanması engellenir. Bu özellik raslansal hedef IPler seçerek DoS atağı yapmaya çalışan bir bilgisayara ulaşılamadı mesajı geri gönderilmeyerek hem yönlendirici üzerindeki yükü azaltılır. Hem de atak yapan bilgisayarın time-out süresine kadar beklemesine sebep olur. Kurumunuzun sunuclarının bulunduğu interface'lerde kapatmayarak time-out süresini beklemelerini engelleyebilirsiniz.

no ip proxy-arp: Ağ geçidi (gateway) tanımlamamış veya yanlış tanımlamış bir istemcinin yönlendirici tarafından tespit edilerek o istemcilere ağ geçidi hizmetinin otomatik verilmesi özelliğini kapatır.

no ip source-route: Bu komut global konf. modunda bütün yönlendirici için uygulanır. Kaynak bilgisayar isterse yolladığı paketin gideceği ve paketin döneceği rotayı belirleyebilir. Kötü amaçlı olarak kullanılmaya çok müsait bir özelliktir. Daha geniş bilgi almak için "http://www.faqs.org/faqs/cisco-networking-faq/section-23.html" adresini incelemenizi tavsiye ederim.

Örnek Konfigürasyon:
int Vlan <Vlan_Numarası>

(config-if)#ip verify unicast source reachable-via rx allow-default
(config-if)#no ip redirects
(config-if)#no ip unreachables
(config-if)#no ip proxy-arp
(config-if)#exit
(config)#no ip source-route

Not : VLAN1'i kullanmıyorsunuz dimi, sakın haa

Devamı...

Gönderen zaman:

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)