Ağ anahtarlarının uzaktan yönetimi sırasında şifrelerin ve verilerin ağ üzerinden güvenli bir şekilde aktarılması için şifreli olan SSH (Secure Shell) protokolü kullanılmalıdır. Güvensiz olan Telnet protokolü ise devre dışı bırakılmalıdır. HP Comware v7 işletim sistemi kullanan switchlerde SSH ve yerel AAA (Authentication, Authorization, Accounting) kullanıcı yönetim adımları Cisco’dan biraz farklıdır.
Bu yazıda, HP Comware switchlerde SSH servisini etkinleştirme, kullanıcı oluşturma ve Telnet’i kapatma adımlarını inceleyeceğiz.
1. SSH Sunucu ve Kripto Anahtar Yapılandırması
İlk olarak SSH servisinin kullanacağı RSA ve DSA kripto anahtar çiftlerini oluşturuyoruz ve SSH sunucu özelliğini aktif ediyoruz:
<HP-Switch> system-view
# SSH sunucu özelliğini aktif edelim
[HP-Switch] ssh server enable
# Kripto anahtar çiftlerini üretelim (Default uzunluk 1024)
[HP-Switch] public-key local create rsa
[HP-Switch] public-key local create dsa
2. Yerel AAA Kullanıcısı Oluşturma ve Yetkilendirme
SSH üzerinden cihaza bağlanacak kullanıcıyı tanımlayıp şifresini, yetki seviyesini ve izin verilen servislerini belirtelim:
# AAA (Authentication) yapılandırma moduna girelim
[HP-Switch] local-user admin class manage
# Kullanıcının şifresini belirleyelim
[HP-Switch-luser-manage-admin] password simple Passw0rd123!
# Kullanıcının erişim sağlayabileceği servisleri tanımlayalım (Sadece SSH)
[HP-Switch-luser-manage-admin] service-type ssh
# Kullanıcı yetki seviyesini en yüksek (3 - Administrator) yapalım
# (Comware 7'de seviyeler: 0-Visit, 1-Monitor, 2-System, 3-Manage şeklindedir)
[HP-Switch-luser-manage-admin] authorization-attribute user-role network-admin
[HP-Switch-luser-manage-admin] quit
3. VTY (User Interface) Hatlarını Yapılandırmak
Cihazın uzaktan bağlantı kabul eden sanal arayüzlerini (VTY) sadece SSH kabul edecek ve AAA şifre doğrulaması yapacak şekilde ayarlayalım:
# 0 ile 63 arasındaki tüm sanal yönetim hatlarını yapılandıralım
[HP-Switch] line vty 0 63
# VTY hatlarında yerel AAA kimlik doğrulamasını zorunlu kılalım
[HP-Switch-line-vty0-63] authentication-mode scheme
# Bu hatlardan sadece SSH protokolünün geçmesine izin verelim (Telnet engellenir)
[HP-Switch-line-vty0-63] protocol inbound ssh
[HP-Switch-line-vty0-63] quit
4. Telnet Servisini Kapatmak
Eğer switch üzerinde Telnet servisi aktif ise, güvenliği sıkılaştırmak adına servis tamamen kapatılmalıdır:
# Telnet sunucusunu devre dışı bırakalım
[HP-Switch] undo telnet server enable
5. Yapılandırma Doğrulama Komutları
- SSH Sunucu Durumu ve Parametreleri:
[HP-Switch] display ssh server statusSSH versiyonu, etkin kripto protokolleri ve aktif bağlantı sayısını gösterir.
- Oturum Açmış Aktif SSH Bağlantıları:
[HP-Switch] display ssh user-information - Aktif VTY Kullanıcı Oturumları:
[HP-Switch] display users
Yapılandırmanızı kaydetmeyi unutmayın:
<HP-Switch> save safely force