Bu yazıda LAN yani local area network de güvenliğin sağlanması adına yapılması gereken en önemli adımlardan bahsedeceğiz.Ele aldığımız konu lar
---DHCP Snooping
---Ip Source Guard
---Arp Spoofing
---Dynamic Arp Inspection
Dhcp Snooping=Sisteme authorize edilmemiş yada yanlışlıka aktif edilmiş bir dhcp server konması ile sistemdeki ip yapısının bozulması ki bu bir attack şekli olarakda kullanılabilir.
Arp Spoofing=Bilindiği gibi switchlerin belli sayıda mac adreslerinin tutulduğu mac-table tablosu vardır.Bu tablo bir şekilde dolduğunda switchler hub gibi davrancak LAN stabilizasyonu vede güvenliği tehlikye girecektir.Arp tablosunun bu sekilde bozacak internet üzerinde onlarca tool vardır bunun engellenmesi gerekmetedir.
Dynamic Arp Inspection--Ip Source Guard=Bu iki özellik hemen hemen benzer teknolojilerdir bir kaç fark dışında.Burada hacker arp sorgularına kendi mac adresi ile yanıt vererek sessionları kendi üzerine alır vede sizin o anki girdiğiniz site yada sistemdeki session bilgilerini ki bunların içinde rdp şifreleri -mail şifreleri-authentication bilgileri gibi önemli bilgileri çok rahat elde edebilmektedirki güvenlik açısında olmaz ise olmaz bir konfigurasyon olarak düşünebiliriz.Darp-ip source guard sayesinde yapıdaki tum pclerin dhcp den ip almasını dhcp den ip almayan statik ip kullanan kullanıcıların sisteme girişlerini engelleyebiliriz bunun yanında su mac adresi su ip ile yanlız su porttan sisteme bağlanabilir farklı port -mac yada ip alması durumunda sisteme giriş yapamamasını sağlanacaktır.
Şimdi bu özellikleri nasıl aktif edeceğiz yada kulllancağız ona bakalım;
DHCP Snooping özellikle kat sw lerinde otomatik olarak IP alan client ların authorize olmamış DHCP lerden IP almasını engellemek için kullanılır.
Öncelikle aşağıda çalışan yapıyı özetlemek istiyorum.
Bu yapıda BB switch üzerinde 10-50 Vlan ları, bu vlan lara ait vlan interface leri ve vlan interface leri altında da “ip helper” komutu ile DHCP server ın IP adresi girilmiş durumdadır. Bu çalışan yapıda DHCP client lar bağlı bulunduğu port lardan ilgili VLAN a ait IP lerini otomatik olarak alacaklardır.
Bu yapıda olabilecek iki problem vardır.
1- Kat switch ine giren bir yabancı otomatik IP alır ve makinesine DHCP kurarak BB switch üzerindeki VLAN ların dışındaki bir subnet ten IP dağıtmaya çalışabilir. Bu olayı test ettiğimde client ların hala orjinal DHCP server dan IP aldığını gördüm ki bu durum sanırım “IP helper” komutu ile engelleniyor.
2- Olabilecek diğer durum kat switch ine giren bir yabancı otomatik IP alır ve makinesine DHCP kurarak aldığı IP blok tan IP dağıtmaya başlar. Bu durumda DHCP scope una farklı bir DGW adresi girerek paketleri önce istediği makineye yönlendirir, paketlerin içeriğine bakar daha sonra da snif ettiği makine üzerinden orjinal DGW ine yönlendirme yapabilir ki bu durumda da client lar hiçbirşey fark etmeyecektir.
İkinci durumdaki problemi aşağıdaki gibi şekillendirebiliriz.
Peki bu ikinci durumdaki problemi nasıl çözebiliriz ?
BB switch :
(config)#ip dhcp snooping
(config)#ip dhcp snooping vlan 20,30,40
(config-if)#ip dhcp snooping trust (BB sw de DHCP mizin takılı olduğu port)
(config-if)#ip dhcp snooping trust (BB sw de kat sw imize giden trunk port)
Kat switch :
(config)#ip dhcp snooping
(config)#ip dhcp snooping vlan 20,30,40
(config-if)#ip dhcp snooping trust (BB sw e giden trunk port)
Bu komutları girdikten sonra kat sw lerinde yabancı makinadaki DHCP çalışmayacaktır.
Bu yapı çalışırken sw ler RAM lerinde MAC Address,IP address,lease time,binding,interface eşlemsinin tutulduğu bir tablo oluştururlar, bu tablonun reboot dan sonra silinmemesi ve sw lerdeki RAM kullanımı artırmaması için aşağıdaki komut sayesinde tablo bir tftp server a atılıyor.
(config)#ip dhcp snooping database tftp://tftpserver/file
DHCP snooping enable edilip yukarıda bahsettiğim tablo oluştuktan sonra (1 gün yeterli bir süre) aşağıdaki komut kat sw lerindeki tüm port lara girildiğinde IP-MAC eşlemesine bakılır ve porttaki bu eşleşme uymadığı zaman porttaki IP trafiği drop edilir. Bu komut aynı zamanda porta statik IP ile gelen client ın bağlanmasınada engel olacaktır.
(config-if)#ip verify source vlan dhcp-snopping
Eğer statik IP ile bağlanılması zorunluluğu gerekiyorsa aşağıdaki gibi eşleşme manuel yapılacaktır.
(config)#ip source binding mac-address vlan vlan-id ip-address interface interface-id
Ayrıca IP-MAC eşlemesi uymaz ise arp paketlerini discard etmek içinde aşağıdaki adımlar uygulanmalıdır.
(config)#ip arp inspection vlan 30
(config-if)#ip arp inspection trust (trunk portlara uygulanmalıdır.)
Cat3750#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
00:11:855:7B:F5 10.0.0.2 86391 dhcp-snooping 1 FastEtheret1/0/1
00:11:85:8D:9A:F9 10.0.0.3 86313 dhcp-snooping 1 FastEtheret1/0/2
Total number of bindings: 2
bu cıktıda 10.0.0.2 ip si fasethernet 1/0/1 den mac adreside 00:11:855:7B:F5 olacak şekilde bind edilmiştir bu eşleşme dhcp istekleri dinlenerek elde edilmiştir.Ben faklı bir porttan bu ip yi farklı bir pc ye versem pc mac adresi farklı olduğundan sisteme giriş yapamayacaktır.
Peki arp spoofing ataklarını nasıl engelleceğiz bunun için port ta maksimum 3 mac adresinin arp a cevap vereceği daha fazla cevap gelmesi durumunda portun kapatılacağı senaryosu düşünülmüştür.Konfigürasyon şu şekilde olacakır.
interface Fa 0/1switchport mode access
switchport port-security
switchport port-security maximum 3
errdisable recovery cause psecure
errdisable recovery interval 60
bu portta maksimum 3 mac erişebilir 3 u gecerse port kapatılacak 60 dakika sonra tekrar açılacaktır.
Alıntıdır...
---DHCP Snooping
---Ip Source Guard
---Arp Spoofing
---Dynamic Arp Inspection
Dhcp Snooping=Sisteme authorize edilmemiş yada yanlışlıka aktif edilmiş bir dhcp server konması ile sistemdeki ip yapısının bozulması ki bu bir attack şekli olarakda kullanılabilir.
Arp Spoofing=Bilindiği gibi switchlerin belli sayıda mac adreslerinin tutulduğu mac-table tablosu vardır.Bu tablo bir şekilde dolduğunda switchler hub gibi davrancak LAN stabilizasyonu vede güvenliği tehlikye girecektir.Arp tablosunun bu sekilde bozacak internet üzerinde onlarca tool vardır bunun engellenmesi gerekmetedir.
Dynamic Arp Inspection--Ip Source Guard=Bu iki özellik hemen hemen benzer teknolojilerdir bir kaç fark dışında.Burada hacker arp sorgularına kendi mac adresi ile yanıt vererek sessionları kendi üzerine alır vede sizin o anki girdiğiniz site yada sistemdeki session bilgilerini ki bunların içinde rdp şifreleri -mail şifreleri-authentication bilgileri gibi önemli bilgileri çok rahat elde edebilmektedirki güvenlik açısında olmaz ise olmaz bir konfigurasyon olarak düşünebiliriz.Darp-ip source guard sayesinde yapıdaki tum pclerin dhcp den ip almasını dhcp den ip almayan statik ip kullanan kullanıcıların sisteme girişlerini engelleyebiliriz bunun yanında su mac adresi su ip ile yanlız su porttan sisteme bağlanabilir farklı port -mac yada ip alması durumunda sisteme giriş yapamamasını sağlanacaktır.
Şimdi bu özellikleri nasıl aktif edeceğiz yada kulllancağız ona bakalım;
DHCP Snooping özellikle kat sw lerinde otomatik olarak IP alan client ların authorize olmamış DHCP lerden IP almasını engellemek için kullanılır.
Öncelikle aşağıda çalışan yapıyı özetlemek istiyorum.
Bu yapıda BB switch üzerinde 10-50 Vlan ları, bu vlan lara ait vlan interface leri ve vlan interface leri altında da “ip helper” komutu ile DHCP server ın IP adresi girilmiş durumdadır. Bu çalışan yapıda DHCP client lar bağlı bulunduğu port lardan ilgili VLAN a ait IP lerini otomatik olarak alacaklardır.
Bu yapıda olabilecek iki problem vardır.
1- Kat switch ine giren bir yabancı otomatik IP alır ve makinesine DHCP kurarak BB switch üzerindeki VLAN ların dışındaki bir subnet ten IP dağıtmaya çalışabilir. Bu olayı test ettiğimde client ların hala orjinal DHCP server dan IP aldığını gördüm ki bu durum sanırım “IP helper” komutu ile engelleniyor.
2- Olabilecek diğer durum kat switch ine giren bir yabancı otomatik IP alır ve makinesine DHCP kurarak aldığı IP blok tan IP dağıtmaya başlar. Bu durumda DHCP scope una farklı bir DGW adresi girerek paketleri önce istediği makineye yönlendirir, paketlerin içeriğine bakar daha sonra da snif ettiği makine üzerinden orjinal DGW ine yönlendirme yapabilir ki bu durumda da client lar hiçbirşey fark etmeyecektir.
İkinci durumdaki problemi aşağıdaki gibi şekillendirebiliriz.
Peki bu ikinci durumdaki problemi nasıl çözebiliriz ?
BB switch :
(config)#ip dhcp snooping
(config)#ip dhcp snooping vlan 20,30,40
(config-if)#ip dhcp snooping trust (BB sw de DHCP mizin takılı olduğu port)
(config-if)#ip dhcp snooping trust (BB sw de kat sw imize giden trunk port)
Kat switch :
(config)#ip dhcp snooping
(config)#ip dhcp snooping vlan 20,30,40
(config-if)#ip dhcp snooping trust (BB sw e giden trunk port)
Bu komutları girdikten sonra kat sw lerinde yabancı makinadaki DHCP çalışmayacaktır.
Bu yapı çalışırken sw ler RAM lerinde MAC Address,IP address,lease time,binding,interface eşlemsinin tutulduğu bir tablo oluştururlar, bu tablonun reboot dan sonra silinmemesi ve sw lerdeki RAM kullanımı artırmaması için aşağıdaki komut sayesinde tablo bir tftp server a atılıyor.
(config)#ip dhcp snooping database tftp://tftpserver/file
DHCP snooping enable edilip yukarıda bahsettiğim tablo oluştuktan sonra (1 gün yeterli bir süre) aşağıdaki komut kat sw lerindeki tüm port lara girildiğinde IP-MAC eşlemesine bakılır ve porttaki bu eşleşme uymadığı zaman porttaki IP trafiği drop edilir. Bu komut aynı zamanda porta statik IP ile gelen client ın bağlanmasınada engel olacaktır.
(config-if)#ip verify source vlan dhcp-snopping
Eğer statik IP ile bağlanılması zorunluluğu gerekiyorsa aşağıdaki gibi eşleşme manuel yapılacaktır.
(config)#ip source binding mac-address vlan vlan-id ip-address interface interface-id
Ayrıca IP-MAC eşlemesi uymaz ise arp paketlerini discard etmek içinde aşağıdaki adımlar uygulanmalıdır.
(config)#ip arp inspection vlan 30
(config-if)#ip arp inspection trust (trunk portlara uygulanmalıdır.)
Cat3750#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
00:11:855:7B:F5 10.0.0.2 86391 dhcp-snooping 1 FastEtheret1/0/1
00:11:85:8D:9A:F9 10.0.0.3 86313 dhcp-snooping 1 FastEtheret1/0/2
Total number of bindings: 2
bu cıktıda 10.0.0.2 ip si fasethernet 1/0/1 den mac adreside 00:11:855:7B:F5 olacak şekilde bind edilmiştir bu eşleşme dhcp istekleri dinlenerek elde edilmiştir.Ben faklı bir porttan bu ip yi farklı bir pc ye versem pc mac adresi farklı olduğundan sisteme giriş yapamayacaktır.
Peki arp spoofing ataklarını nasıl engelleceğiz bunun için port ta maksimum 3 mac adresinin arp a cevap vereceği daha fazla cevap gelmesi durumunda portun kapatılacağı senaryosu düşünülmüştür.Konfigürasyon şu şekilde olacakır.
interface Fa 0/1switchport mode access
switchport port-security
switchport port-security maximum 3
errdisable recovery cause psecure
errdisable recovery interval 60
bu portta maksimum 3 mac erişebilir 3 u gecerse port kapatılacak 60 dakika sonra tekrar açılacaktır.
Alıntıdır...
Son düzenleme:
