Cisco Router İnternet Erişimi, Cisco Router Güvenlik

Bu dökümanda Cisco router’larda internet erişimi için gerekli olan temel konfigürasyondan ve router’a istenmeyen erişimlere ve ataklara karşı en temel güvenlik önlemi olan şifrelerin ayarlanmasından basitçe bahsedilecektir.
Şimdi Cisco router’ların konfigürasyonunu adım adım inceleyelim;

1. İlk olarak router’ın elektriksel ve fiziksel bağlantılarını yaptıktan sonra konfigürasyonu yapabilmemiz için konsol kablosu yardımıyla router’ı bilgisayara bağlamamız gerekir. Konsol kablosunun DB-9 olan tarafını bilgisayarın COM portlarından birine, RJ-45 olan ucunu ise router’ın arkasındaki console portuna takılması gerekmektedir. Bu işlem yapıldıktan sonra ise konfigürasyon yapabilmemiz için bilgisayarda hyperterminal programını çalıştırmamız gerekmektedir. BaşlatàProgramlaràDonatılarà İletişimàHyperterminal seçerek programı çalıştırdıktan sonra bağlantı noktası olarak konsol kablosunu bağladığımız COM portunu seçilir. Bağlantı ayarları olarakta varsayılan ayarlar yüklenir (varsayılan ayarlar aşağıdaki şekilde gösterilmiştir).

2. Hyperterminal ile router’a bağlandıktan sonra eğer Cisco router’ın üzerinde herhangi bir konfigürasyon yüklü değilse aşağıdaki ekranda görüldüğü gibi “Would you like to enter the initial configuration dialog?[yes]” yazısı karşınıza çıkacaktır, “n” yazıp “Enter” tuşuna bastıktan sonra ise “Would you like to terminate autoinstall? [yes]” sorusuna da “y” ile cevap verip “Enter” basılmalıdır.

3. Bu işlemlerden sonra bir kez daha “Enter” tuşuna bastığımızda router’ın komut satırına düşeriz ve artık konfigürasyona artık başlayabiliriz.

4. Konfigürasyona başlayabilmek için öncelikle privileged modundan exec moduna geçmemiz gerekir. Bunu geröekleştirmek için ise henüz bir şifre koruması olmadığı için “en” yazıp “Enter”a basmak yeterli olacaktır.

Router>en
Router#

5. Daha sonra router’ın üzerinde hangi interface’lerin düzgün çalışır şekilde takılı olduğunu ve bu interface’lerin numaralarının ne olduğuna konfigürasyon aşamasında bize kolaylık sağlaması için bakmamız gerekmektedir. Gerekli olan komut ise “sh run” komutudur. Aşağıda örnek bir router’da bu komutun çıktısı verilmiştir, interface’ler kolay farkedilebilmesi için işaretlenmiştir.

Router#sh run
Building configuration…

Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
ip classless
!
line con 0
line aux 0
line vty 0 4
login
!
end

Router#

6. Artık konfigürasyon aşamasına geçebiliriz, bunun için de önce konfigürasyon moduna geçmemiz gereklidir. Bunun içinse “conf t” komutu kullanılır.

Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#

7. Ve Cisco router’ımızı konfigüre etmeye başlıyoruz. İlk işlem ise router’ımıza bir isim vermek, “hostname [Routerİsmi]” komutuyla router’ımıza isim verebiliriz.

Router(config)#hostname Sirius
Sirius(config)#

8. Şimdi de “enable secret [şifre]” komutu yardımıyla exec moda geçişleri korumak için router’ımıza bir şifre verelim.

Sirius(config)#enable secret bnet

9. Daha sonraki adım ise Cisco router’ımıza hem uzaktan telnet ile erişilmesini sağlayan hemde bu bağlantıları daha güvenli olmasını sağlayan telnet şifresini ayarlamak. Bunun için önce router’a gelen telnet isteklerine cevap veren router’ın line vty interface’inin konfigürasyonuna girmeliyiz. Gerekli komut ise “line vty 0 4” dir.

Sirius (config)#line vty 0 4
Sirius(config-line)#

10. Router’ımıza uzaktan telnet ile erişilmesini sağlamak için “login” komutunu girmemiz yeterlidir. Telnet erişimlerinin bir şifre ile denetlenmesi için için ise “password [şifre]” komutu ile belirlediğimiz şifrenin ayarlanması gerekmektedir.

Sirius(config-line)#login
Sirius(config-line)#password telnet

11. Geri kalan konfigürasyonu yapmamız için router’ın line vty interface’inden çıkmamız gerekir, bunun için ise “exit” yazmamız yeterli olacaktır.

Sirius(config-line)#exit
Sirius(config)#

12. Sonraki adımda router’ın Serial interface’ini konfigüre etmemiz gerekli bunun içinde komut satırında “int ser [interface no]” komutuyla konfigüre etmek istediğimiz interface’in altına girmeliyiz.

Sirius(config)#int ser 0
Sirius(config-if)#

13. Cisco router’larda ilk açılışta tüm interface’ler kapalı(shutdown) olarak bulunmaktadır, dolayısıyla ilk önce interface’i “no shut” komutuyla açmamız gerekir.

Sirius(config-if)#no shut

14. Şimdi de sıra IP adresi vermeye geldi, bu işlemi de “ip address [IP adresi] [subnet mask]” komutuyla yapabiliriz.

Sirius(config-if)#ip address 10.0.0.1 255.255.255.0

15. Serial interface altında yapacağımız konfigürasyonu tamamladık, artık tekrar “exit” komutuyla konfigürasyon moduna dönmemiz gerekir. (Not: Bu konfigürasyonda encapsulation olarak Cisco router’larda varsayılan HDLC kullandık, eğer PPP veya frame-relay gibi daha farklı bir encapsulation kullanmamız gerekseydi, interface altına daha farklı komutlarda girmemiz gerekecekti, bu komutlar ileride anlatılacak.

Sirius(config-if)#exit
Sirius(config)#

16. Paketlerin gidecekleri yere nereden gideceklerini de belirtmemiz gerekir, bunun için de bir yönlendirme(routing) komutu yazmalıyız. Yönlendirmeyi “ip route 0.0.0.0 0.0.0.0 serial [interface no]” komutuyla yapabiliriz.

Sirius(config)#ip route 0.0.0.0 0.0.0.0 serial 0

17. Artık Cisco router internet üzerinden ulaşılabilecek hale gelmiş oldu, dolayısıyla daha ilerideki bölümlerde anlatılacak olan ayrıntılı konfigürasyon bu aşamadan sonra uzaktan erişilerek(telnet) yapılabilir. Artık konfigürasyon modundan “end” komutuyla çıkabiliriz.

Sirius(config)#end
Sirius#

18. Konfigürasyonu tamamlamış bulunuyoruz, fakat henüz bunu router’a kaydetmediğimiz için router herhangi bir sebeple kapanıp açıldığı zaman yaptığımız konfigürasyon silinecektir, bu sebeple konfigürasyonu router’ın belleğine kaydetmemiz gerekir. Fakat bunu yapmadan önce bir eksik olup olmadığını konfigürasyonu “sh run” komutuyla bir kere daha kontrol etmekte fayda vardır.

Sirius#sh run
Building configuration…

Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Sirius
!
enable secret 5 $1$9Ls4$LWi2LI8g5aAaFN3KAmRed/
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 10.0.0.1 255.255.255.0
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
!
line con 0
line aux 0
line vty 0 4
password telnet
login
!
end

19. Router konfigürasyonunu da kontrol edip eksik olmadığından emin olduktan sonra konfigürasyonu “wr mem” komutuyla router’ın belleğine kaydedebiliriz.

Sirius#wr mem
Building configuration…
[OK]
Sirius#

20. Eğer router daha önceden kullanılan ve dolayısıyla üzerinde bir konfigürasyon kayıtlı olan bir router ise 2. maddede anlatılanlar yerine aşağıdaki gibi bir ekranla karşılaşılır, bu durumda “Enter” tuşuna basmak komut satırına geçmek için yeterlidir.

21. privileged moda geçmek için “Enter” tuşuna bastığımızda yüksek ihtimalle bir şifre ayarlandığı için bize şifre soracaktır. Şifreyi girdikten sonra ancak privileged moda geçebiliriz.

Sirius>en
Password:
Sirius#

22. Konfigürasyon tamamlandıktan ve kaydedildikten sonra, başka birisinin router’a konsoldan bağlandığı zaman privileged moda geçmek için tekrar şifre girmesi için “exit” komutuyla router’ın komut satırından çıkmamız gerekmektedir. Bu komut girildikten sonra göreceğimiz ekran aşağıdakii gibi olacaktır.

Frame Relay Konfigürasyonu
23. Eğer Cisco Router’ımıza bağlayacağımız data devre bir frame-relay ise konfigürasyonun ilk kısmı aynı kalmakla beraber 12. adımdan itibaren anlatılan serial interface konfigürasyonunda bazı değişiklikler yapmalıyız. “int ser 0” yazarak interface satırına geçtikten sonra “no shut” ile interface’i açıp devre frame-relay olduğu için “encapsulation frame-relay ietf” komutunu giememiz gerekiyor.

Sirius(config)#int ser 0
Sirius(config-if)#no shut
Sirius(config-if)#encapsulation frame-relay ietf

24. Daha sonra ise frame-relay lmi-type’ını (ansi, q933a, cisco) belirlememiz lazım, genellikle (TTNet devrelerinde kesinlikle) ansi olarak ayarlanır. Bu işlem “frame-relay lmi-type ansi” komutuyla gerçekleştirilir.

Sirius(config-if)#frame-relay lmi-type ansi

25. Frame-relay bağlantısını sonlandırabilmemiz için ise serial interface’in altına “int ser 0.1(interfaceNo.1) point” komutuyla bir tane sub-interface açmamız gerekir.

Sirius(config)#int ser 0.1 point
Sirius(config-subif)#

26. Frame-relay konfigürasyonunda IP adresini de sub-interface’in altına girmemiz gerekir, “ip address [IP adresi] [subnet mask]” komutuyla IP adresini girebiliriz.

Sirius(config-subif)#ip address 10.0.0.1 255.255.255.0

27. Bu aşamada telekom’dan bize verilen dlci numarasının router’a girilmesi gerekmektedir. Bunu “frame-relay interface-dlci [dlciNo]” komutuyla gireriz.

Sirius(config-subif)#frame-relay interface-dlci 16
Sirius(config-fr-dlci)#

28. Yukarıda da görüldüğü gibi dlci numarası girildikten sonra komut satırı dlci konfigürasyonu moduna geçer, bu sebeple “exit” komutuyla normal konfigürasyon moduna geçmemiz gerekir.

Sirius(config-fr-dlci)#exit
Sirius(config)#

29. Devreyi sub-interface’de sonlandırmamızdan dolayı 16. maddede anlatıllan yönlendirmeyi de “ip route 0.0.0.0 0.0.0.0 serial [sub-interface no]” komutuyla sub-interface’e doğru yönlendirmeliyiz.

Sirius(config)#ip route 0.0.0.0 0.0.0.0 serial 0.1

30. Böylece Cisco router’ın frame-relay konfigürasyonunu da yapmış bundan sonra 17, 18, ve 19. maddelerinde anlatılanları uyguladığımızda router’ın frame-relay konfigürasyonunu tamamlamış oluruz.

Bir Yanıt

  1. […] Cisco Router İnternet Erişimi, Cisco Router Güvenlik […]

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s