IP SLA ile cisco router üzerinde linklerin izlenmesi ve yol seçimi

Koray ÖNDER tarafından 01 Aralık 2011 tarihinde gönderildi

Bu yazımızda ip sla yapılandırması ile çok ISP’li çalışılan şirketlerde gereklilik olan reachability durumuna çözüm getireceğiz.Aşağıdaki örneğimizde default olarak kullanılan TTNET bağlantımız gittiğinde mantık olarak DORUKNET bağlantısının kullanılmasını sağlayacağız.İlk bakıldığında akla hemen ttnet bağlantısı down olduğunda zaten ilgili route kaydı routing table’dan düşeceği için best path olarak DORUKNET seçilecektir durumu gelebilir.Fakat bağlantıların direkt olarak backbone router üzerinden sonlandırılmadığı veya hizmetimizin kesilmemesine rağmen internet çıkışı alamadığımıza backbone router durumun farkına varamayacak ve yolu route table’dan düşürmeyecektir.IP SLA ile default olarak kullanılan TTNET bağlantımızın üzerinden erişebildiğimiz ve uptime süresi gerçekten %100’e yakın olan bir kaynağa periyodik paketler yollayacağız ve eğer sonuç başarısız ise bu yolda bir problem olduğunu anlamasını sağlayacağız.Biz bu senaryoda googla ping atacağız.Bu işlem sonunda ise bu yolu izleyen route kaydının yol down olmasa bile reachable olmadığından dolayı routing table’dan düşürülmesini sağlayacağız.

Öncelikli olarak ip sla 11 adında bir sla oluşturuyoruz ve içerisinde icmp mesajlarını kullanarak google sunucularını serial0/0 bacağımızdan ping’leyeceğiz.10 saniyede bir ping atacağız ve attığımız pakete 1 saniye boyunca pakete echo-reply paketi alamazsak o paket zaman aşımına uğramış sayılacaktır.3 defa ard arda atmış olduğumuz echo isteklerimize cevap alamazsak yolun down olduğunu anlayacağız.
R1>en
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip sla 11
R1(config-ip-sla)# icmp-echo 4.2.2.1 source-interface Serial0/0
R1(config-ip-sla-echo)# timeout 1000
R1(config-ip-sla-echo)# threshold 3
R1(config-ip-sla-echo)# frequency 10

Bu işlemi başlatabilmek için bir schedule plan oluşturuyoruz başlangıç zamanının şimdi olduğunu belirterek sonsuza kadar devam edeceğini belirtiyoruz.
R1(config-ip-sla-echo)#ip sla schedule 11 life forever start-time now
R1(config)#

Mevcut yapılandırma içerisindeki static route kayıtlarımıza bakıyoruz ve bizi TTNET tarafına yönlendiren kaydı kaldırarak yeniden ekliyoruz ve bu sefer track edilecek şekilde eklenmesini sağlıyoruz.
R1(config)#do show run | i ip route
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip route 0.0.0.0 0.0.0.0 200.200.200.1 2
R1(config)#no ip route 0.0.0.0 0.0.0.0 100.100.100.1
R1(config)#ip route 0.0.0.0 0.0.0.0 100.100.100.1 track 1
R1(config)#

Son olarak eklemiş olduğumuz static default route kaydının izlenmesini sağlayarak yolun down olduğunu anlayıp yeni best path olacak ikinci default route kaydının seçilmesini sağlıyoruz.
R1(config)#track 1 rtr 11 reachability
R1(config-track)#exit
R1(config)#

Bu işlemler sonucunda ilk yolumuz 30 saniye boyunda unreachable olduğunda otomatik olarak 2. yol default yol olarak seçilecektir.

Share
Cisco kategorisine gönderildi | , ile etiketlendi | 3 Yorum

Cisco switch üzerinde Private-Vlan yapılandırması

Koray ÖNDER tarafından 30 Kasım 2011 tarihinde gönderildi

Aynı network subnetinde bulunan hostlarımızı vlan içerisinde iletişimlerini gruplamak ve aralarında izolasyon sağlamak için en kolay yöntem private-vlan yapılandırma yöntemidir.Aşağıdaki topoloji üzeride private-vlan yapılandırması adım adım yapılacaktır.


Öncelikli olarak vtp modumuzu transparent’a çekmemiz gerekmektedir.
BB_SW(config)#vtp mode transparent
BB_SW(config)#vlan 10

Daha sonra vlan’larımızı oluşturarak tiplerini belirliyoruz.Daha sonra ise primary vlan’ımızı belirliyoruz ve secondary vlan’larımızı tanıtıyoruz.
BB_SW(config)#vlan 10
BB_SW(config-vlan)#private-vlan isolated
BB_SW(config-vlan)#exit
BB_SW(config)#vlan 20
BB_SW(config)#private-vlan community
BB_SW(config-vlan)#exit
BB_SW(config)#vlan 100
BB_SW(config-vlan)#private-vlan primary
BB_SW(config-vlan)#private-vlan association 10,20
BB_SW(config-vlan)#exit

Fiziksel portlarımız üzerine host olduklarını, private vlan atamalarını ve promiscuous port tanımlamasını ayarlıyoruz.
BB_SW(config)#interface FastEthernet0/1
BB_SW(config-if)# switchport private-vlan host-association 100 10
BB_SW(config-if)# switchport mode private-vlan host
BB_SW(config-if)# exit
BB_SW(config)# interface FastEthernet0/2
BB_SW(config-if)# switchport private-vlan host-association 100 20
BB_SW(config-if)# switchport mode private-vlan host
BB_SW(config-if)# exit
BB_SW(config)# interface FastEthernet0/3
BB_SW(config-if)# switchport private-vlan host-association 100 20
BB_SW(config-if)# switchport mode private-vlan host
BB_SW(config-if)# exit

ASA’nın bulunduğu portu promiscous port yaparak üye vlan’ları mapping işlemine tabi tutuyoruz.
BB_SW(config-if)# interface FastEthernet0/10
BB_SW(config-if)# switchport private-vlan mapping 100 10,20
BB_SW(config-if)# switchport mode private-vlan promiscuous
BB_SW(config-if)# exit

Son olarak trunk port üzerinden diğer switch üzerindeki aynı community vlan id’ye sahip vlan’larla görüşebilmesi için trunk yapılandırmamızı yapıyoruz.
BB_SW(config)# interface FastEthernet0/12
BB_SW(config-if)# switchport trunk encapsulation dot1q
BB_SW(config-if)# switchport mode trunk
BB_SW(config-if)# end
BB_SW#

İşlemimiz tamamlanmıştır, bu işlem sonunda isolated ve community vlanlar birbirleri arasında görüşemeyecekler fakat promiscuous port üzerindeki ASA ile sorunsuz iletişim kurabileceklerdir.

Share
Cisco Security kategorisine gönderildi | , , ile etiketlendi | Yorum yapın

Cisco Router üzerinde Cisco Discovery Protocol (CDP) kapatılması ve Timers

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

CDP protokolü default olarak cisco cihazlar üzerinde enable halde gelmektedir.Show cdp neighbor komutu ile cdp üzeriden komşuluk kurmuş direct connect cihazların listesi görülebilmektedir.Komutun sonuna detail argumanı eklenerek komşu routerların ios bilgilerine kadar ulaşılabilmektedir.Bu sebeple bi nevi güvenlik açığınıda beraberinde getirmektedir.

Interface bazında kapatmak için:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#cdp run
Router(config)#interface FastEthernet0/0
Router(config-if)#no cdp enable
Router(config-if)#end
Router#

Cihaz üzerinde global olarak kapatmak için:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no cdp run
Router(config)#end
Router#

Show CDP komutu ile default timer’lar görülebilmektedir.Eğer isterseniz default advertise zamanını ve komşudan cdp paketi alınamadığında ne zaman flush edeceğini değiştirebilirsiniz.

Router#show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
Router#

Router(config) #cdp timer 45 (CDP advertisement paketleri 45 sn’de bir gitsin)
Router(config) #cdp holdtime 240 (komşudan cdp paketi alınamadığında flush etmek için ne kadar beklesin)

Share
Cisco kategorisine gönderildi | ile etiketlendi | Yorum yapın

ASA üzerinde Syslog yapılandırması

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

logging enable
Komutu ile logging özelliğini aktif hale getiriyoruz.

logging host inside 10.0.1.10
Toplanan logların inside interface üzerindeki 1.10 ip’li syslog servera gönderilmesini sağlar.

logging message 302013 level warnings
warning level’inde sadece debug level’inde gözüken tcp teardown mesajlarının gözükmesini sağlar ve herhangi bir yüksek level hata kodunun düşük levellerde gösterilmesi sağlanabilir.Örneğin 106100 nolu mesaj debugging yani Level 7’de herhangi bir ACL ile match olan trafik için çıkan uyarı mesajıdır ve daha düşük level üzerinde gösterilmesi sağlanabilir.

no logging message 402128
402128 hata kodlu mesajın logunun alınmamasını sağlar.GNS üzerinde gereksiz kalabalık yapan ipsec error mesajının hata kodudur.

logging timestamp
Sunucuya gönderilen syslog mesajlarının içerisinde ASA’nın saatini baz alınarak zaman bilgisinin eklenmesini sağlar.

logging trap debugging
Alınacak loglamayı debuging (Level 7) seviyesinde açar.

logging console
Console port bağlantı ekranına logları basar.Telnetten görebilmek için terminal monitor komutunun koşturulması gerekir.

show logging
Loglamayla ilgili istatistikleri ve ayarlamaları gösterir.

Share
Cisco Security kategorisine gönderildi | , , , , ile etiketlendi | Yorum yapın

ASA 55X0 üzerinde VLAN ve Intervlan-Routing yapılandırması

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

İlk önce interface’imizi sub-interface’lere ayırıyoruz ve içerisinde vlan bilgilerini tanımlıyoruz.Vlan bilgisi tanımlanmamış interfaceler status’larında down olarak gözükürler.

interface Ethernet0/3.100
vlan 100
nameif sirket_a
security-level 50
ip address 172.16.1.1 255.255.255.128

interface Ethernet0/3.200
vlan 200
nameif sirket_b
security-level 50
ip address 172.16.1.129 255.255.255.128

daha sonra sub-interface’lerin aktif hale gelmesi için fiziksel interface’i “no shutdown” komutu ile açıyoruz.Eğer istersek aynı anda fiziksel interface’inde farklı bir network ile görüşmesi sağlanabilir.

interface Ethernet0/3
no shutdown
nameif physical
security-level 50
ip address 172.17.1.1 255.255.255.0

Sadece dot1q olarak çalışır ve tagged trafiği destekler.Fiziksel interface tagged geçirdiği için asa’ya trafigi tagged olarak yollamak en dogrusudur.

Asa’lar üzerinde aynı güvenlik seviyesine sahip interface’ler birbirleriyle görüşememektedir.Bu duruma izin vermek için same-security-traffic permit inter-interface komutu configuration mod içerisinde koşturulur.

Son olarak gelen isteklerin outside interface üzerinden gönderilmesi için default gateway satırı static route ile tanımlanmalıdır ve isteğe bağlı olarak administrative distance değeri verilebilir (default 1’dir).
route (outside) 0.0.0.0 0.0.0.0 192.168.1.1 #distance#

Share
Cisco Security kategorisine gönderildi | , , , , , ile etiketlendi | Yorum yapın

ASA üzerinde URL filtering yapılandırması

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

url-server (dmz) vendor websense host 172.16.1.3 timeout 30 protocol TCP version 4 connections 5(websense sunucunun ip adresini ve tcp üzerinden çalışacağını belirtiyoruz ve 30 saniye cevap alamazsak eğer sunucunun erişilemez olduğunu söylüyoruz.)

filter https 443 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
filter ftp 21 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow proxy-block
Webwense servera https,ftp ve url adresleri herhangi bir kaynaktan herhangi bir hedefe giden trafiğin gönderilmesini sağlar.”allow” parametresi ile eğer websense ayakta değilse ilgili protokoller için trafiğin permit edileceğini söylüyoruz, eğer demeseydik websense down olduğunda trafik deny olurdu.Proxy-block komutu ise user’lerin proxy sunucularına bağlanmalarını engeller.

Share
Cisco Security kategorisine gönderildi | , , , ile etiketlendi | Yorum yapın

ASA üzerinde ssh version 2 yapılandırması

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

crypto key generate rsa modulus 1024
Yukarıdaki komut ile 1024 bit rsa key yaratırız.Eğer istersek “zeroize” syntax’ı ile rsa keyler silinebilir.

ssh version 2
ssh 10.0.1.1 255.255.255.255 inside (inside interface’i üzerindeki 10.0.1.1 ip adresli makinenin ssh erişimi sağlamasına izin verir)
ssh timeout 15 (default timeout 30 dakikadır)
aaa authentication ssh console LOCAL (ssh bağlantılarının local username’ler ile kullanılmasına izin verir)

show ssh sessions #ip# (ssh üzerinden bağlı ip’leri ve username’leri gösterir)
ssh disconnect #session id# (ssh bağlantılarını kesmek için kullanılır)
clear configure ssh (ssh yapılandırılmasının silinmesini sağlar)
debug ssh (debuging işlemini açar)

Share
Cisco Security kategorisine gönderildi | , , , ile etiketlendi | Yorum yapın

ASA ürün ailesi üzerinde dhcp server yapılandırması

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

dhcpd address 172.26.11.200-172.26.11.250 inside
dhcpd dns 195.175.39.39 interface inside
dhcpd domain sirketim.com interface inside
dhcpd enable inside (inside interface’i üzerinde dhcp’yi etkinleştiriyoruz)
dhcpd lease 7200 (default 3600 saniyedir yani 1 saat)
Yukarıdaki komutlar içerisinde kullanılan “inside” syntax’ı iç ağımıza bakan interface’in “ifname” değeridir.

Aşağıdaki show komutları ile binding (ip kiralayanlar), statistics (giden gelen dhcp paketleri) ve state (hangi interface üzerinde dhcp etkin) tablolarının gösterilmesi sağlanabilir.
show dhcpd binding
show dhcpd statistics
show dhcpd state

Share
Cisco Security kategorisine gönderildi | , , ile etiketlendi | Yorum yapın

Cisco ASA üzerindeki trafiğin AIP-SSM modülüne gönderilmesi

Koray ÖNDER tarafından 22 Ekim 2011 tarihinde gönderildi

Asa üzerinde kullanabileceğimiz 2 adet IPS kart çeşidi bulunmaktadır.AIP-SSM-10 ve AIP-SSM-20 modelleridir.Aslında ikisininde yaptığı iş aynıdır.Aralarındaki tek fark cpu ve ram kapasitelerinin farklı olması ve daha iyi performans sağlıyor olmasıdır.Modülün üzerinde sadece 1 adet gigabitethernet bakır kablo (rj45) interface’i bulunmaktadır.Dolayısı ile tüm IPS senaryolarında kullanmak interface sayısı yüzünden mümkün olamamaktadır.Yani external kaynaklardan AIP-SSM modüle trafiği yönlendirmek anlamsız olacaktır.Bu durumda en efektif yapmamız gereken şey ASA üzerinden geçen trafiği IPS kartımıza yönlendirmek olacaktır.AIP-SSM tüm trafiği inspect edebilmektedir, bu sebeple tüm trafiği IPS kartımıza yönlendirerek gerekli kötü kod analizleri ve zararlıları bulabilmesi için gerekli ortamı oluşturuyoruz.

access-list IPS extended permit ip any any
İlk olarak tüm trafiği belli edecek bir erişim listesi oluşturuyoruz.

class-map IPS_ClassMap
match access-list IPS
Layer3-4 bir class map ile trafiğimizin match olması için access listemizi gösteriyoruz.

policy-map IPS_PolicyMap
class IPS_ClassMap
ips inline fail-open
Class map içerisindeki match edilmiş trafiğin layer 3-4 policy-map içerisinde ne tür bir aksiyona uğrayacağını belli ediyoruz.”inline” kelimesi ile AIP-SSM modülümüzün match olan trafik için “Prevention” (IPS) yapmasını sağlıyoruz, isteğe bağlı olarak sadece “detection” (IDS) yapması için “promiscious” parametresi kullanılabilir.”fail-open” syntax’ı ile eğer olurda AIP-SSM modülü hata verirse trafiğin kesilmeden devam edebileceğini söylüyoruz.Kritik networklerde “fail-close” syntax’ı kullanılarak trafiğin kesilmesi sağlanabilir.

service-policy IPS_PolicyMap global
Son olarak yukarıda aksiyonu belli edilmiş match olan trafiğin “global” syntax’ı ile cihazın tüm interfacelerine ingress yönde gelen trafik için unidirectional olarak uygulanmasını sağlıyoruz ve yine isteğe bağlı olarak interface bazında uygulandığı takdirde, uygulandığı interface için hem ingress hem de egress yönünde bidirectional olarak çalışması sağlanabilir.

Share
Cisco Security kategorisine gönderildi | , , , , , ile etiketlendi | Yorum yapın

Imagex ile image backup ve restore

Koray ÖNDER tarafından 07 Ekim 2011 tarihinde gönderildi

İlk önce makinemize Windows AIK toolkitini yüklüyoruz.PE (Pre-Environment) boot cd yaratmak için “start” menü içerisinden “Microsoft Windows AIK” altında bulunan “Deployment Tools Command Prompt” komut satırı aracını çalıştırıyoruz.İçerisinde aşağıdaki komutu çalıştırarak pe boot cd hazırlayabilmek için gerekli dosyalarının belittiğimiz bir klasör içerisine kopyalanmasını sağlıyoruz.
copype.cmd x86 c:\imagex86

iso boot dosyasını ekliyoruz
copy c:\imagex86\winpe.wim c:\imagex86\iso\sources\boot.wim

imagex imajlama yazılımımızı iso içerisinde yer alacak şekilde kopyalıyoruz
copy “c:\program files\windows aik\tools\x86\imagex.exe” c:\imagex86\iso

————————————————————–
opsiyonel olarak ayrıca .wim image’ların offline’da çalışabilmesi için Servicing klasörünün de tamamen kopyalanması gerekmektedir bunun için;
xcopy “c:\Program Files\Windows AIK\Tools\x86\Servicing” c:\imagex86\ISO\Servicing /s

ardından bu işlem için gerekli Dll’leri de Windows içerisinden kopyalıyoruz
copy %windir%\system32\msxml6*.dll c:\imagex86\iso\Servicing

dosyaların exclude listesini elle belirleyebilmek için Wimscript.ini dosyasını iso yaratılacak klasör (imagex.exe dosyasının bulunduğu konum) içerisine atabilirsiniz.
————————————————————–

dosyaları kopyalamış olduğumuz iso klasörünü iso dosyası haline getiriyoruz
oscdimg -n -bc:\imagex86\etfsboot.com c:\imagex86\iso c:\imagex86\imagex86.iso

Imajlama işlemi için artık iso dosyamız oluşmuş oldu.

Imajını almak istediğimiz pc yi bu iso ile (cd veya usb) ile boot ediyoruz.diskpart ile partition yapımızı düzenliyoruz ve harflere bakıyoruz.
list disk
select disk 0
list partition
select partition
delete partition 1
create partition primary
format fs=ntfs label=backup
assign letter=d
active
exit

Daha sonra aşağıdaki komutu koşturarak c deki sistemin d sürücüsüne doğrulamadan geçerek yedeklenmesini sağlıyoruz./verify parametresi ile imajın doğrulama işleminden geçmesini sağlıyoruz.
imagex.exe /capture c: d:\imaj1.wim “5ekim2011 hp makine imajlari” /verify

Az önce almış olduğumuz imajı bir flash yada diske kopyalarak yeni makineye götürüyoruz.Aldığımız imajı restore etmek için aşağıdaki komut ile e: partitionu üzerinde bulunan imajın 1 nolu disk üzerindeki c: partitionu içerisine atılacağını söylüyoruz
imagex.exe /apply e:\imaj1.wim 1 c:\

Son olarak sistemin hangi klasör altından boot edileceğini seçiyoruz.
c:\windows\system32\bcdboot c:\windows

Share
Windows kategorisine gönderildi | Yorum yapın