Cisco Router ve Switch Temel Komutları

Gereksinim: Console password’ü düzenlemek Router(config)#line con 0 Router(config-line)#login Router(config-line)#password cisco Gereksinim: Bir telnet password’ü düzenlemek Router(config)#line vty 0 4 Router(config-line)#login Router(config-line)#password cisco Gereksinim: Password kullanmak. Router(config)#enable password cisco Gereksinim: secret password intelnet. Router(config)#enable secret intelnet Gereksinim: Bir interface’i enable etmek Router(config-if)#no shutdown Gereksinim: Bir interface’i disable etmek Router(config-if)#shutdown Gereksinim: router için clock rate düzenlemek (64K) Router(config-if)clock rate 64000 Gereksinim: Serial interface’e bir logical bandwidth ataması (64K) Router(config-if)bandwidth 64 Gereksinim: Bir interface’e IP adresi atamak Router(config-if)#ip addr 10.1.1.1 255.255.255.0 Gereksinim: 172.14.0.0’li bütün interface’lerde RIP’i enable etmek: Router(config)#router rip Router(config-router)#network 172.14.0.0 Gereksinim: RIP’i disable etmek Router(config)#no router rip Gereksinim: Bütün interface’lerde IGRP’yi enable etmek Router(config)#router igrp 200 Router(config-router)#network 172.16.0.0 Gereksinim: IGRP’yi disable etmek. Router(config)#no router igrp 200 Gereksinim: statik route eklemek. Router(config)#ip route 172.14.1.0 255.255.255.0 172.14.2.1 5 Gereksinim: CDP’yi disable etmek Router(config)#no cdp run Gereksinim: Bütün router için CDP’yi enable etmek Router(config)#cdp run Gereksinim: Bir interface üzerinde CDP’yi disable etmek Router(config-if)#no cdp enable Show Komutları Gereksinim: Version bilgisini görmek show version Gereksinim: Mevcut konfigürasyonu görmek (DRAM) show running-config Gereksinim: startup konfigürasyonu görmek (NVRAM) show startup-config Gereksinim: IOS dosyasını ve flash alanını görmek show flash Gereksinim: Bellekteki bütün logları görmek show log Gereksinim: interface e0’ın durumunu görmek show interface e0 Gereksinim: Router’ın bütün interface’lerini görmek show ip interfaces brief Gereksinim: s0 üzerindeki serial kablo türünü görmek show controllers s 0 Gereksinim: Bağlı cdp aygıtlarını görmek show cdp neighbor Gereksinim: Bütün aygıtlar hakkında ayrıntılı bilgi almak show cdp entry * Gereksinim: Mevcut routing protokollerini görmek show ip protocols Gereksinim: IP routing tablosunu görüntülemek show ip route Gereksinim: Access-list’leri görmek show access-lists Gereksinim: ISDN switch’i gören router’ı görmek show isdn status Gereksinim: Frame Relay PVC bağlantılarını kontrol etmek show frame-relay pvc Gereksinim: lmi trafik durumunu görmek show frame-relay lmi Copy Komutları Gereksinim: Mevcut (current) konfigürasyonu DRAM’dan NVRAM’a kopyalamak copy running-config startup-config Gereksinim: NVRAM konfigürasyonunu DRAM’a merge etmek (kopyalamak) copy startup-config running-config Gereksinim: DRAM konfigürasyonunu bir TFTP server’a kopyalamak copy runing-config tftp Gereksinim: TFTP konfügasyonunu DRAM’da duran mevcut konfigürasyona merge etmek copy tftp runing-config Gereksinim: IOS’u bir TFTP server’a yedeklemek copy flash tftp Gereksinim: Router IOS’u bir TFTP server’dan upgrade etmek copy tftp flash

Kablosuz Ağ Güvenliği

EAP(Extensible Authentication Protocol)

EAP(Extensible Authentication Protocol), birçok kablosuz ağ güvenliği metodunun temelini oluşturan protokoldür. EAP protokolü üzerinden geliştirilen PEAP, LEAP, EAP-TLS, EAP-FAST metotları bunlara örnek olarak gösterilebilir. Bunlardan her biri EAP’i temel alır, fakat kimlik denetimi için farklı referanslar kullanırlar. Bazılarında ek güvenlik özellikleri mevcuttur.

LEAP(Lightweight EAP)

Cisco tarafından geliştirilmiş bir protokol olan LEAP’te AP’ler kullanıcıların kimlik denetimlerini bir RADIUS(Remote Authentication In User Server/Service) üzerinden gerçekleştirirler. Kimlik denetimi için kullanıcı adı ve şifre kullanılır.

LEAP ayrıca WEP’i kullanarak veri güvenliğini de sağlar. Her kablozuz ağ kullanıcısı için dinamik olarak RADIUS sunucu tarafından bir WPA anahtarı üretilir. Böylece kullanıcı bazlı veri güvenliği sağlanmış olur.

EAP-TLS

EAP-TLS metodu, güvenli kimlik denetimi için TLS( Transport Layer Security) protokolünü kullanır. TLS’in temeli güvenli web oturumları sağlamak için kullanılan SSL(Security Socket Layer) protokolüne dayanır. EAP-TLS kimlik denetimi için dijital sertifikaları kullanır. Bu yüzden her AP’nin ve her kullanıcının sertifika otoritesi tarafından üretilmiş bir sertifikaya ihtiyacı vardır.

EAP-TLS; sunucu, kullanıcıyı her yeniden kimlik denetiminden geçmeye zorladığında otomatik olarak WEP anahtarı üreterek veri güvenliğini de sağlar. Kimlik denetiminden geçen her kullanıcı için TLS oturum anahtarı, WEP anahtarını üretmek için kullanılır ve veri güvenliği sağlanır.

PEAP(Protected EAP)

PEAP’te de EAP-TLS’te olduğu gibi kimlik denetimi için TLS oturumu temel alınır. Fakat PEAP’te dijital seritifikaya sadece kimlik denetimi sunucusunda gerek duyulur. Kullanıcılar kimlik denetiminden geçmek için MSCHAPv2’yi(Microsoft Challenge Handshake Authentication Protocol version 2) kullaırlar.

EAP-FAST(EAP Flexible Authentication via Secure Tunneling)

EAP-FAST Cisco tarafından geliştirilmiş bir protokoldür. Yönetimsel karışıklıkları azalttığı için esnek bir protokoldür. Kullanıcıların dijital sertifikalar kullanmasına ve güçlü şifre kurallarına gerek yoktur.

EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tüneli oluşturmak için PAC(Protected Access Crediental) adında bir referansa ihtiyaç duyular. PAC bir PAC sunucusu vasıtasıyla veya EAP-FAST fazlarında dinamik olarak oluşturulabilir. Tünel bir kez kurulduğunda, kullanıcılar kullanıcı adı ve şifreleriyle kimlik denetiminden geçerler.

Ayrıca PEAP’te WEP sayesinde veri güvenliği de garanti altına alınabilir.

IPSec (Internet Protocol Security) Güvenlik Protokolleri

IPSec (Internet Protocol Security) protokolü, IP paketlerini kimlik doğrulamasına(authentication) ve şifrelemeye(encryption) tabi tutarak IP iletişimini güvenli hale getiren bir protokol takımıdır. IPSec, network katmanında çalışır ve routerlar,VPN istemcileri, PIX Firewall'lar ve IPSec uyumlu cihazlar arasında iletişimi güvenli kılar. IPSec açık bir standart olduğundan ötürü birçok kimlik doğrulama(authentication) ve şifreleme(encryption) algoritmasını içinde barındırır.

IPSec şu güvenlik fonksiyonlarını yerine getirir:

Veri Mahremiyeti (Data Confidentiality): IPSec veri mahremiyetini şifreleme ile güvence altına alır. Veri şifrelemesi üçüncü parti kişilerin verileri okumasını engeller. DES, 3DES ve AES IPSec'in kullandığı veri şifreleme algoritmalarıdır.

Veri Bütünlüğü (Data Integrity): IPSec gönderilen verinin varacağı noktaya değiştirilmeden ve manipüle edilmeden gönderilmesini sağlar. Bu fonksiyon hash algoritmaları vasıtasıyla yerine getirilir. Gönderilen mesaj üzerinde hash algoritması çalıştırılarak bir aonuç elde edilir. Alınan mesaj üzerinde de aynı hash algoritması çalıştırılarak elde edilen sonuç başlangıçta elde edilen sonuç ile karşılaştırılır ve iki sonucun birbiriyle aynı çıkması mesajın manipüle edilmeden gönderildiği anlamına gelir. MD5 (Message Digest 5) ve SHA-1 (Secure Hash Algorithm) veri bütünlüğü için IPSec tarafından kullanılan algoritmalardır.

Veri Kaynağı Kimlik Doğrulaması (Message Origin Authentication): IPSec alıcıları veri kaynağı için kimlik doğrulama işlemi gerçekleştirebilirler. Bu fonksiyon veri güvenliğinin doğru kaynakla yapıldığını güvence altına alır.

IPSec protokol sutinde; IKE (Internet Key Exchange), ESP (Encapsulating Security Payload) ve AH (Authentication Header) protokolleri bulunur. IPSec, bu protokoller sayesinde iki çift arasında güvenli bir tünel oluşturur. Gönderici taraf ilk olarak ne tür paket trafiğinin korunacağını ve bu tünel vasıtasıyla gönderileceğini belirler. Ardından tünelin karakteristiğini ortaya koyan parametreler belirlenir. IPSec çiftlerinden biri önceden belirlenen trafiklerden birini göndereceği zaman böylece özellikleri önceden belirlenmiş tüneli kurarak uzaktaki alıcıya paketleri bu tünel vasıtasıyla gönderir.

Tünelde hangi algoritmaların ve protokollerin kullanılacağı SA (Security Associations) tarafından ortaya konulur. IPSec, güvenliği sağlamak için üç ana protokol kullanır:

IKE (Internet Key Exchange): Güvenlik parametrelerinin ve anahtarların paylaşımından sorumludur. IPSec, veri şifrelemesi için simetrik şifreleme algoritmalarını kullanır. Bu algoritmalar güvenli bir anahtar paylaşımını gerektirir. IKE protokolleri güvenli bir biçimde anahtar paylaşımını olanaklı kılar.

AH (Authentication Header): AH, veri bütünlüğü (integrity) ve veri kaynağı kimlik denetimi sağlar. AH, korunması istenen datanın içine gömülür. ESP protokolünden itibaren AH protokolü önemini yitirmiştir.

ESP (Encapsulating Security Payload): ESP; verinin şifrelenmesi, kimlik denetiminden geçirilmesi ve güvenli hale getirilmesini sağlar. Birçok IPSec uygulamaları ESP'i kullanır.