Banner Top
Cisco Switch ve Router’lara Güvenli Şifreleme Nasıl Yapılır?

Bu makalemizde Cisco switch ve routerlara güvenli şifreleme nasıl yapılır,sizin için adım adım uyguladık.

Bunun için  bilgisayarımızda bir ortam oluşturduk.

Kullanılan materyaller:

windows 10 işletim sistemi

cisco packet tracer 6.2, Güncel versiyonu dilerseniz cisco network academy’e üye olarak, programa dahil olup ücretsiz indirebilirsiniz.

Mho0ac.png

Evde packet tracerla daha önceden oluşturduğum 1 adet desktop pc,1 adet 2960 switch ve 1841 routerdan oluşan topolojim yukarıdaki gibidir

Console kablomu pcmizin rs232 girişine yoksa(laptop kullanıyorsak bir dönüştürücü ile bağlantısını yaptıktan sonra ,geldik erişim sağlamaya.

frx8tG.jpg

Normal şartlarda bu putty vb programcıklar aracılığı ile bağlantı serial port üzerinden yapılır,burada biz program üzerinden yapacağız.
Not:default speed 9600’dür.Cihaza  os ,firmware  aktarırken 115200 gibi hızlar tercih edilir.
Terminal bölümüne tıkladıktan sonra

OK dedikten sonra switche direkt olarak erişmiş olacağız ve 1 kez enter’a basıyoruz.

5qCgS9.jpg

switch>enable                                   komutu ile privalage moda geçiyoruz
switch#conf t
switch(config)#hostname test             olarak switchime isim verdim
exit
Önce bir switchimizin durumuna bakalım

test#show run                                    komutunu veriyoruz

Aşağıda görüldüğü gibi console bağlantısı için ve virtual terminal diye adlandırılan vty line ‘a da bir şifre atanmamış

ucZyPn.jpg

test#configure terminal                 komutu ile global konfigrasyon moduna geçiyoruz

test(config)#line con 0                  komutu ile linea giriyorum

test(config-line)#password kerem

test(config-line)#login

Şimdi şifremizi atadık sıra geldi testimize;

csOSp0.jpg

Görüldüğü gibi şifremiz girilmeye hazır.Fiziksel olarak switchin yanına yani kabinete erişebilen bir kişi biizm bilgimiz dışında artık bir configrasyon değişimi yapamayacak.
Consoledan dahi test#show run diyemeyeceği için şifreye hiçbir şekilde erişim sağlayamayacak
Peki telnet üzerinden de switch ve routerlar erişilebilirdi ve ben artık cihaz yanında kalmak istemiyorum,pc üzerinden telnet ile gitmek istiyorum ve biliyorumki bunun için cihazlar  line vty’yi kullanır

4TQYo6.jpg
Ethernet kablomu pc ye bağladım ve pc’ime 192.168.1.10 ipsini atadım.GW ‘e erişimi kontrol ettim ve başarılı

Switch’e telnet attığımda
NOT:Önceden SW VLAN1 IP:192.168.1.200 vermiştim
PC>telnet 192.168.1.200

Trying 192.168.1.200 …Open

[Connection to 192.168.1.200 closed by foreign host]   uyarısı geldi,yani switch bize vty line için bir şifre atanmadığı için bağlantı yapamadığını söylüyor

Console bağlantısı üzerinden
test(config)#line vty 0 4

test(config-line)#password deneme
test(config-line)#login

lceaJF.jpg

Görüldüğü gibi artık cihaz telnete açık ve şifre ekranı geliyor.

Switchde telnet için passwordu girdikten sonra privalage moda geçişte bir şifre daha oluşturmamız rekli.
test(config)#enable password bilisimgrubu

prd5z2.jpg

Evet artık consol kablomuz olmadan telnetten erişir hale geldik.
Kablomu çıkartıyorum ve şimdi sıra geldi şifremizi MD5 olarak şifrelemeye,eğer bunu yapmassak dışarıdan erişim sağlayabilen bir saldırgan sh run komutu ile bizim şifrelerimizi ele geçirebilir.
Resimde görüldüğü gibi şifre açık ve net şekilde gözüküyor.
wdWtyF.jpg

test(config)#enable secret bg2017               komutunu vererek durumu kontrol edelim

Evet artık bu şifre geçerli olacak   test(config)#enable password bilisimgrubu   ekarte edilmiştir.
test#show run                           dediğimizde tablo
enable secret 5 $1$mERr$P2hgVpUBbVCgDpScoe39Q1 şeklinde şifrelenmiş olacaktır.

NOT: switch(config)#service password-encryption komutunu asla kullanmıyoruz.
MD7 (Level 7 ) internette crackleri mevcuttur,hacklenirsiniz aman dikkat ?

Ben bir de telnet bağlantılarımda  timeouta düşmesini istemiyorum
test(config-line)#exec-timeout 0 0
Bilgisayar başında 5 dakikadan fazla durmam derseniz
test(config-line)#exec-timeout 5           yaparsınız ve 5 dakika sonra  bağlantı düşer.
test(config-line)#do write memory        ile işlemlerimizi kaydetmeyi unutmayalım,en önemli komuttur. Heart
test#wr mem                                      olarak kısaca yapılabilir ,privalage modda başına do koymaya gerek kalmaz.

Peki o kadar işlem yaptık güvenli sandığımız switchimiz hala güvenlimi haayırrrr!
wireshark programı ile şifrem capture edilebilir.
En son olarak ssh devreye sokacağım artık ve bunun için

test(config)# test(config)#ip domain-name kerem.local

test(config)#crypto key generate rsa                                komutlarını  verdikten sonra

The name for the keys will be: test.kerem.local
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 512
% Generating 512 bit RSA keys, keys will be non-exportable…[OK]

test(config)#ip ssh version 2                               Ben ssh2 versiyonunu seçtim komutunu verdiğimde hemen bir uyarı alıyorum

Please create RSA keys (of at least 768 bits size) to enable SSH v2.(512 vermiştim ütfen 768 olarak minimum bir değer atarmısın diyor,peki kardeşim diyip
test(config)#crypto key zeroize rsa                       ile rsa keyi siliyorum.
test(config)#crypto key generate rsa                    ile değeri bu sefer 1024 olarak veriyorum
test(config)#ip ssh version 2                                dediğimizde bu sefer
Mar 1 1:58:9.751: %SSH-5-ENABLED: SSH 1.99 has been enabled                   işlem başarılı oldu.

test#sh ip ssh   ile kontrol ediyorum               SSH Enabled – version 2.0
Authentication timeout: 120 secs; Authentication retries: 3                      değerlerini gördük
3 başarısız girişte bağlantı isteği düşecek anlamına geliyor

Ssh bağlantısı için putty vb programlarla artık güvenli şekilde switchimize erişebiliriz.

İyi çalışmalar dilerim.

IT Manager-Point Hotel CISCO :CSCO12981613 Bilişim Grubu-Bilişimciler:Başkan Yardımcısı #Bilisimciler #BilisimGrubu #Gelecek50 #Future50