Brocade SAN switchlerinde varsayılan olarak Telnet protokolü etkinleştirilmiş halde gelir. Telnet veriyi açık metin (clear text) olarak gönderdiği için güvenlik açısından risklidir.
Bu makalemde Brocade SAN Switch’lerde Telnet’i devre dışı bırakarak güvenli bir SSH yönetim protokolü kullanımını zorunlu hale getireceğiz. Ayrıca SNMPv1 protokolünü nasıl devre dışı bırakacağınızı göstereceğim.
Telnet’i Devre Dışı Bırakmak İçin IP Filter Policy Oluşturma
Varsayılan IP filter policy düzenlenemez. Bu nedenle yeni bir politika oluşturarak mevcut politikayı klonlayacağız.
# IPv4 için;
ipfilter --clone deny_telnet_ipv4 -from default_ipv4
# IPv6 için,
ipfilter --clone deny_telnet_ipv6 -from default_ipv6
Bu komutla ile default_ipv4 ve default_ipv6 politikalarını klonlayarak deny_telnet_ipv4 ve deny_telnet_ipv6 isimli yeni politikaları oluşturur.
Mevcut Telnet İzin Kuralını Kaldırma
Klonlanan politikada Telnet (TCP port 23) için var olan izin kuralını kaldırmamız gerekiyor. Öncelikle mevcut kuralları görmek için aşağıdaki komutu çalıştırınız.
ipfilter --show
Bu komut çıktısı mevcut politikadaki kuralların listesini ve kural numaralarını görüntüler. Telnet’e izin veren kuralın numarasını not edin (örneğin 2). Kuralı silmek için aşağıdaki komutu çalıştırınız.
# IPv4 için;
ipfilter --delrule deny_telnet_ipv4 -rule 2
#IPv6 için;
ipfilter --delrule deny_telnet_ipv6 -rule 2
Telnet Trafiğini Engelleyen Yeni Kural Ekleme
Şimdi TCP port 23 (Telnet) için gelen bağlantıları engelleyen yeni bir kural ekleyeceğiz.
# IPv4 için;
ipfilter --addrule deny_telnet_ipv4 -rule 2 -sip any -dp 23 -proto tcp -act deny
# IPv6 için;
ipfilter --addrule deny_telnet_ipv6 -rule 2 -sip any -dp 23 -proto tcp -act deny
Kuralı ekledikten sonra politikayı kaydetmemiz ve aktifleştirmemiz gerekiyor.
# IPv4 için;
ipfilter --save deny_telnet_ipv4
ipfilter --activate deny_telnet_ipv4
# IPv6 için;
ipfilter --save deny_telnet_ipv6
ipfilter --activate deny_telnet_ipv6
SNMPv1 Protokolünü Devre Dışı Bırakma
SNMPv1 güvenlik açısından zayıf olduğu için devre dışı bırakılması önerilir. Aşağıkdai komut SNMPv1 protokolünü devre dışı bırakarak SNMP yönetimini daha güvenli hale getirir.
snmpconfig --disable snmpv1
Yapılan bu değişikeri kontrol etmek için politikaların aktif durumda olduğundan emin olmak için şu komutu kullanabilirsiniz.
ipfilter --show
Bu komut ile aktif IP filter politikalarını ve içerdiği kuralları gösterir. Telnet’e izin veren bir kuralın bulunmadığından emin olunuz.