13 Basit Adımda Temel Yönlendirici Güvenliği

Yönlendiriciler özellikle dış dünya veya farklı lokasyonlarda bulunan ağlarla irtibatlı olan bilgisayar ağlarında altyapının iskelet öğlerinden biridir. Çoğu zaman sorun yaşandığında başına  oturulan bu cihazlar genellikle diğer Bilgi Sistemi varlıkları kadar önemsenmemekte güvenliğinin sağlanması konusu gözardı edilmektedir. Diğer taraftan basit bazı önlemler alarak yönlendiricileri pek çok  saldırıdan korumak mümkündür. Aşağıda, yönlendiricinizin güvenliğini artırmak için gerekli olan bazı basit adımlardan bahsedilecektir.

1. Yönlendiricileriniz için bir güvenlik politikası yazın. Bu politikayı onaylatın ve varsa kurumunuzun/firmanızın intranetinde yayınlayın. (http://www.sans.org/resources/policies/Router_Security_Policy.pdf )
2. Yönlendiricinizin işletim sisteminin güncel olup olmadığını kontrol edin. Saldırganlar, saldırılarının önemli bir kısmını işletim sistemlerinin açıklıklarından faydalanarak gerçekleştirmektedirler. Dolayısıyla yönlendiricinizin işletim sisteminin güncel olması oldukça önemlidir.
3. Düzenli olarak yönlendiricinizin konfigürasyonunun yedeğini alın ve konfigürasyon dosyalarını herkesin erişemeyeceği ama sizin, gerektiğinde kolaylıkla erişebileceğiniz güvenli bir yerde saklayın. Yönlendiricinizin konfigürasyonunda meydana gelebilecek bir problem durumunda bir önceki çalışan konfigürasyona hızlı bir şekilde dönebilmek için yönlendiricinizin konfigürasyonun yedeğinin doğru bir şekilde alınmış olması ve sadece yetkili kişilerin kolayca erişebileceği güvenli bir yerde tutulması gereklidir.
4. Yönlendiricininizin konfigürasyonunu satır satır dökümante edin. Kurumunuza/firmanıza has bazı özel satırlar varsa bunları da hazırlayacağınız dökümana ekleyin. Kurumdan/firmadan ayrıldığınız zaman sizden sonra yönlendiriciyi yönetecek kişinin ya da kişilerin zorluk çekmeden konfigürasyonu anlayabilmesi dolayısıyla sistemi daha kolay yönetebilmeleri için bu çok gerekli fakat maalesef genellikle de ihmal edilen bir konudur.
5. Yönlendiricinize erişme yetkisi olan her bir kişi için farklı kullanıcı isim ve şifreleri tanımlayın. Ortak kullanıcı isim ve şifreleri kullanmayın. Böylece herhangi bir güvenlik ihlali olayı zamanında sorumluluk insanlar arasında paylaştırılmamış olur. Yönlendiricinize erişecek her bir kişi için farklı kullanıcı isim ve şifreleri tanımlayın ve bunların erişim kayıtlarını tutun. Yönlendiriciniz üzerinde sizin bilmediğiniz veya öntanımlı kullanıcı isimleri varsa bunları kesinlikle silin. Sadece erişim yetkisi olan kişilerin yönlendiricinize girebileceklerinden emin olun. İşten ayrılan kullanıcıların, kullanıcı isim ve şifrelerini silmeyi unutmayın. Düzenli olarak kullanıcı isim ve şifrelerini gözden geçirin.
6. Yönlendiriciye erişirken kullanılan kullanıcı şifrelerinin zor tahmin edilir olmasına dikkat edin. Günümüzde insanların şifre kullandıkları çok fazla alan olduğu için şifreler genellikle kolay tahmin edilebilir ve bundan dolayı da kısa olmaktadır. Ayrıca bu şifreler çok nadiren değiştirilmektedir. (Birçoğu da hiç değiştirilmemektedir.) Yönlendiriciye yapacağınız erişim şifrenizin kolay tahmin edilebilir olmamasına dikkat edin. Kendi kişisel hayatınızı, çalıştığınız kurumu/firmayı, çalıştığınız birimi, vb. çağrıştıracak kelime kombinasyonlarını kullanmaktan kaçının. Şifrenizin en az on karakterden oluşmasına ve büyük-küçük harf kombinasyonlarıyla, özel karakterler ( ! + $ % & gibi) içermesine dikkat edin. Yönlendiricininizin güvenliği için şifrenizi biraz uzun tutmak suretiyle yönlendiricinize iki-üç saniye daha geç girmeyi göze alın. Bunu bir zaman kaybı olarak görmeyin. Yönlendirici şifreleri genellikle değiştirilmemektedir. İlk gün girildiği gibi kalmaktadır. Belirli periyotlarla yönlendirici şifrenizi değiştirin.
7. Yönlendiriciye yapacağınız erişimler için RADIUS veya TACACS sunucular kullanın. Hatta kimlik doğrulaması için aktif dizininizdeki kullanıcı veri tabanını bile kullanabilirsiniz. Yönlendiricinizin lokalinde yer alan kullanıcı isim ve şifrelerini kullanmamaya çalışın.
8. Yönlendiricinize yapılacak olan konsol ve telnet/SSH erişimlerini sınırlandırın. Sadece yetkisi olan kişilere konsol ve telnet/ssh erişim yetkisi verin. Mümkünse telnet protokolünü kullanmayın, SSH kullanın. Yönlendiriciniz; giriş-çıkışların kontrollü olduğu, sadece belirli kişilerin girebildiği kilitli bir ortamda bulunuyor olsa bile yönlendiricinize konsol şifresi tanımlayın. Konsol şifresi tanımlamak oldukça kolay bir iştir. Bundan kaçınmayın. Yönlendiricinizin üzerinde AUX portu varsa ve kullanılmıyorsa bu porta yapılacak olan erişimleri de iptal edin.
9. Yönlendiricinizin üzerinde çalışan gereksiz servisleri kapatın. Bu servislerin birçoğu ön tanımlı olarak kapalı gelmektedir ama yine de bu servislerin kapalı olduğuna emin olun. Bu servislerden bazılarının açık olmasının çok fazla bir güvenlik riski olmasa da konfigürasyon dosyanıza bir satır eklemekten kaçınmayın ve bu servisleri kapatın.
   

   Gereksiz servisler:
   service tcp-small-servers
   service udp-small-servers
   service finger
   ip source-route
   service pad
   service config
   ip identd
   ip bootp server
   cdp run
   service config
   Arayüzlerdeki gereksiz servisler:
   ip proxy-arp
   ip directed-broadcast
   ip unreachables
   ip mask-reply
   ip redirects
   ip mroute-cache

10. Kullanmadığınız arayüzleri kesinlikle kapatın. Açık arayüzler saldırı olasılığının olduğu açık kapılar gibidir. Saldırı olasılığını azaltın. Kapalı bir arayüzden saldırı yapılma olasılığı oldukça düşüktür.
11. Aşağıda verilmiş olan; özel kullanım için ayrılmış ve uygun olmayan IP bloklarından gelebilecek paketlerin yönlendiricinize girmesini erişim kontrol listeleriyle engelleyin.
    

    0.0.0.0/8               (RFC 1700)
    192.168.0.0 / 16    (RFC 1918)
    172.16.0.0/12        (RFC 1918)
    10.0.0.0/8             (RFC 1918)
    127.0.0.0/8           (RFC 3330)
    128.0.0.0/16          (RFC 3330)
    169.254.0.0/16      (RFC 3927)
    191.255.0.0/16      (RFC 3330)
    192.0.0.0/24          (RFC 3330)
    192.0.2.0/24          (RFC 3330)
    192.88.99.0/24      (RFC 3068)
    223.255.255.0/24   (RFC 3330)
    224.0.0.0/4            (RFC 3171)
    240.0.0.0/4            (RFC 1700)

12. Yönlendiricinizin kayıt tutma özelliğini aktif hale getirin. Yönlendiricinizin tuttuğu kayıtları uzak bir sunucuya göndermesini sağlayın. Kayıtların bu sunucuda güvenli bir şekilde tutulduğuna emin olun. Tutulan bu kayıtların tarih ve saat bilgisi çok önemlidir. Yönlendiricinizin tarih ve saat bilgisinin doğru olduğuna emin olun. Gerekli güvenlik önlemlerini almak şartıyla yönlendiricinizin zaman bilgisini bir NTP sunucusundan almasını sağlayın. Aksi takdirde yönlendiricinizin kayıt tutmasının bir anlamı olmayacaktır. Zaman bilgisi yanlışsa yönlendiricinizi ve kendinizi boş yere kayıtları tutmakla yormayın.
13. SNMP’yi kullanmıyorsanız KESİNLİKLE iptal edin. SNMP kullanıyorsanız da “snmp community” okuma (read-only) ve okuma-yazma (read-write) değerlerine, öntanımlı olarak gelen “public” ve “private” değerlerinden farklı değerler verin. Bu değerlerin kurumunuz/firmanız hakkında bilgi içermemesine dikkat edin. Yönlendiricinizi ilk elinize aldığınızda yapacağınız işlemlerden birisi SNMP’yi iptal etmek veya “snmp community” değerlerini değiştirmek olsun.

Selçuk Şahin, TÜBİTAK-UEKAE