Switch Güvenliği Nasıl Sağlanır?
Network altyapılarının neredeyse tüm iskeletini oluşturan Switch’ler, temel görevi kapsamında kullanılmış ve çoğu zaman güvenlik bakımından ele alınmamıştır. Bunun nedeni Switch’ler üzerinde uygulanabilecek güvenlik yöntemlerinin bilinmemesi ve Vlan veya Subnet’ler arası trafiğin rooting işlemler ile ayrıştırıldığına ve çeşitli siber güvenlik çözümü ürünlerine güvenilmesidir. Bir paketin yolculuğunu göz önüne alırsak güvenlik temellerini layer 2 üzerinde atmalıyız.
Konuyu biraz yönetimsel bileşenlerle inceleyelim.
- Yetkili Kullanıcı Girişleri
Default olarak atanmış admin hesaplarında çok güçlü parolalar kullanılmalı ve ilgili Switch cihazına network üzerinden bağlanılırken direkt erişimden ziyade araya 2fa/mfa konulmalıdır.
- STP Protokolü
STP nedir sorusunun cevabı yüzeysel olarak bir loop engelleme protokolüdür. Bu protokolün çalışması için Switch’lerin birbirleri ile iletişim halinde olması gerekmektedir. Kendini bir Switch gibi gösterip bu bilgilere erişmek isteyen kötü niyetliden korunmak içinde BPDU Guard aktif edilmelidir. Bu fonksiyon günümüzdeki birçok Switch’de bulunmaktadır.
- HTTPS Kullanımı
Switch’inizi web arayüzünden konfügüre etmek istiyorsanız HTTPS protokolünün kullanıldığına emil olun. Standart HTTP akışında ciddi zayıflıklar vardır çünkü trafiğin hiç biri şifrelenmemiştir. HTTPS arayüzünü ip http secure server komutuyla etkinleştirin ve ip http server komutunu atlayın.
- Telnet Yerine SSH Kullanımı
İletişim şifrelemesi olmadığı için Telnet güvenli değildir, Bir telnet oturumunda yazdığınız her karakter açık metin olarak Switch’e gönderilir ve çözümlenir. Bunun yerine SSH kullanılmalıdır. SSH (Secure Shell), oturum iletişimini güvenli hale getirmek için güçlü şifreleme kullanır. Bir diğer husus ise Switch üzerinde bulunan en yüksek SSH sürümünü kullanmak. Mümkünse SSHv2 kullanın.
Yönetimsel anlamda bu önlemler alınabilir, gelelim port bazlı önlemlere.
- Static Port Security
Bir Switch'in herhangi bir Port'una bağlanmasını izin verdiğiniz bilgisayar sayısını, MAC adresi temelinde, bilgilerini Port üzerinde belirtebilir, belirlediğiniz bilgisayarların dışında hiçbir bilgisayarın Switch Port'una bağlanmamasını sağlayabilirsiniz.
Güvenliğe değinmişken optimizasyona değinmemek olmaz. Switch’lerde optimizasyonu bant genişliği ile yapabiliriz. Switch’e bağlanan cihaz x bir sebepten ötürü ciddi bir broadcast trafiği oluşturup ağı kilitleyebilir ya da basit bir şekilde DDoS’a maruz kaldığınızda da bunu yaşayabilirsiniz. Port-Vlan bazlı broadcast sınırlamaları yaparak bunun önüne geçebilirsiniz.