Yönlendirici, bazı ağlarda yönlendirici görevinin yanı sıra güvenlik duvarı gibi çalışacak şekilde de ayarlanabilmektedir. Bu güvenlik duvarı işlevi, basit bir paket filtreleme fonksiyonundan oluşmaktadır ve günümüzdeki güvenlik duvarlarına oranla oldukça ilkel kalmaktadır. Yönlendiricinin temel görevinin yönlendirme (routing) olduğu unutulmamalı, bu tür bir güvenlik duvarı işlevinin cihazın performansını düşüreceği dikkate alınmalıdır. Cihazda alınacak bu tür önlemler mümkün olduğunca en az oranda tutulmalı, bu tür güvenlik önlemleri için ayrı güvenlik duvarı (firewall) sistemleri kurulmalıdır. Yönlendiriciyi aynı zamanda detaylı paket filtreleme özellikleri ile kullanmak, sadece küçük ağlarda veya güçlü omurga cihazlarının bulunduğu kampüs ağlarındaki iç yönlendiricilerde tercih edilmelidir.

Bu bölümde yönlendirici ile ağdaki bilgisayarlara gelebilecek saldırıların engellenmesi için bazı ipuçları verilecektir.

Riskli portları kapatmak:

İnternet üzerindeki servisler, kullanıcılara hizmet götürebilmek için bazı sanal port numaraları kullanırlar (örn: http için 80 numaralı port kullanılmaktadır). Saldırganlar veya kötü yazılımlar servislerin açıklarını kullanarak hizmet verilen port numarası üzerinden bilgisayar ağına sızabilirler. Bunu önlemenin bir yolu riskli portları yönlendirici ile kısıtlamaktır.  Aşağıdaki örnekte 445 nolu UDP portu ile finger servisi bloklanmaktadır:

access-list 101 deny udp any any eq 445
access-list 101 deny tcp any any eq finger
access-list 101 permit ip any any

Yönlendiriciye fazla yük getirmediği sürece bu erişim listesini genişletmek mümkündür. Tanımlı mail ve web sunucularını belirlemek ve bu sunucular dışında bu tür protokoller engellemek de mümkündür. Erişim listesi ne kadar kapsamlı olursa o kadar fazla işlemci gücü  gerektirecek ve performans azalacaktır. O yüzden sık gelen paket türlerini erişim listesinde daha önde tutmak performansı arttıracaktır.

Bazı saldırı tekniklerine karşı önlemler

IP spoofing : IP kandırmacası anlamına gelmektedir. Kötü niyeli kişi hattı dinler giden paketlerin kaynak ve hedef adresini alır. Hedef adresini kendi ip’si yaparak kaynak adrese cevap verir. Böylece erişim listesine takılmadan bilgisayar ağına sızmış olur. Bunu önlemenin yolu, yönlendiricinin kaynak adresi hedef makinaya varmadan kimseye göstermemesidir. Cisco cihazlarda “no ip source-route” komutuyla yapılabilmektedir .

Routing Protokole olan saldırılar: Bilindiği üzere yönlendiriciler kendi aralarında interior veya exterior routing protokollere göre haberleşmektedirler . Saldırgan yönlendiricinin routing protokolünü bozmadan yollanan paketlerin bir kopyasının kendine de yollanmasını
sağlayabilir(kredi kart numaraları gibi verileri almak için) veya protokolleri kaldırarak yönlendiricinin diğer yönlendiricilerle haberleşmesini kesebilir. Haberleşmenin yok olması, yönlendiricinin aldığı paketleri nereye göndereceğini bilmemesi ve servis dışı kalması(DoS) anlamını taşımaktadır. Bunu önlemenin yolu ise gönderilen ve alınan routing protokolu  de filtrelemektir. Örneğin IGRP routing protokolünü filtrelemek için yazılmışACL aşağıda verilmiştir.

router eigrp  network 200.100.17.0
distribute list 20 out ethernet 0
distance 255
distance 90 200.100.17.0 0.0.0.255
access-list 20 permit 200.100.17.0 0.0.0.255

Çıkış (Egress) ve Giriş (Ingress) Erişim Listeleri

Bu erişim listeleriyle yönlendiriciye gelen paketlerdeki kaynak IP adresleri kontrol edilmektedir. Dış ağdan iç ağa gelen paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne giriş (ingress) filtreleme denmektedir. Bu kontrolde gelen paketlerdeki ip’lerde internet ortamında kullanılmayan (rezerve edilmiş) adresler bulunduğunda bu paketler kabul edilmeyecektir. Ağ adresimiz 200.100.17.0/24 ise, dış dünyadan böyle bir IP aralığına ait bir paket gelmemesi gerekmektedir. O zaman ingress kısıtlamaları aşagıdaki gibi olacaktır:

access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 200.100.17.0 0.0.0.255 any
access-list 101 permit ip any any

İç ağdan dış ağa giden paketlerde, gelen paketlerdeki kaynak ip’lerin kontrolüne çıkış (egress) filtreleme denmektedir. Kendi ağ ip adresi aralığında olmayıp da internete çıkmak isteyen ip’ler kısıtlanmalıdır . Böylece kurumun ağı kullanılarak başka kurumlara yapılabilecek kaynak IP adresi değiştirme tabanlı saldırılar engellenecektir. Bazı reserve edilmiş IP lerin  kısıtlanması aşağıdaki gibidir:

access-list 102 permit ip 200.100.17.0 0.0.0.255 any
access-list 102 deny ip any any

Örnekte dışardan gelen trafik ingress erişim listesi ile seri arayüzde, içeriden gelen trafik de egress erişim listesi ile ethernet arayüzünde tanımlanmıştır.

interface serial 0
ip access-group 101 in
interface ethernet 0
ip access-group 102 in

“Reverse Path” Kontrolü: Gönderdiğimiz paket “ethernet 0” arayüzünden gönderiliyor fakat cevabı “ethernet 1” arayüzünden geliyorsa bu işte bir yanlışlık var demektir. Bunu önlemek için geliş gidiş istatiğini tutan CEF routing tablolarından yararlanmak gerekmektedir. Bu sağlamak için de seri arayüzde bu komutun uygulanması gerekmektedir.

İp cef disributed !
interface serial 0
ip verify unicast reverse-path

“CAR Rate”i Güvenlik için Kısıtlamak: Bir çeşit QOS(“Quality of Service” – Servis Kalitesi) sağlayarak belli protokoldeki verilerin belli ip adresleri veya mac adresleri için politikaya göre belirlenmiş belli oran ve miktarlarda kurumsal ağa gelmesini veya kurumsal ağdan gitmesi sağlanabilir . Bu da kurum trafiğini boşu boşuna işgal eden ve kurumsal ağın yavaşlamasına yol açan paketlerden kurtulunmasını sağlar. Mesela örnekte xy arayüzündeki TCP SYN paketlerini 8 Kbps’a indirilmesi gösterilmiştir.

interface xy
rate-limit output access-group 102 256000 8000 8000
conform-action transmit exceed-action drop [ikisi bir satırda]!
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply

SYN saldırılarından korunmak: Eğer kötü kullanıcı belli bir sunucuya (server) belli sayıdan daha fazla bağlantı kurma isteğini gönderir fakat nerden bağlanmak istediğini göndermeyerek bağlantıları boşa açarsa buna “SYN flooding attack” denmektedir. Böylece o sunucunun iş görmesini engelliyerek servis dışı bırakmaktadır. Çözümü için  referansı incelenebilir.

Smurf attack: IP adresi kandırmacası ve broadcast (aynı subnetteki herkese yollama) ilkelerine dayanır. Saldırgan, saldırmayı hedeflediği bilgisayarın IP’sinden paket geldiğinin sanılması için, kaynak adresi bu IP olan “broadcast ping” paketleri oluşturur ve gönderir. Gönderilen ping paketlerinin cevabı gerçekte bu IP’ye sahip olan bilgisayara gider ve orada gereksiz trafik yaratarak bilgisayarın ağa ulaşması engellenir. Bu olayı yönlendiriciden önlemenin bir yolu da yönlendiricideki arayüzlere “no ip directed-broadcast” komutunu girmektir.

Gelişmiş Ayarlar