2.Katman (Layer 2)

Related Articles

Cisco Site-to-Site IPsec VPN

23 Haziran 2019

AAA (Authentication – Authorization – Accounting)

23 Haziran 2019

Zone-based Policy (ZPF) Firewall Yapılandırması

23 Haziran 2019

• Katman (Layer 2)

Katman 2 saldırıları, güvenlik duvarı veya izinsiz giriş tespit sistemleri tarafından LAN (Yerel Alan Ağları) aracılığıyla gerçekleştirildiği için engellenmez. Tipik olarak, saldırı tespit veya engelleme sistemleri, harici ağdan dahili ağa yapılan saldırıları tespit etmek veya önlemek için kullanılır. Bu sistemler üçüncü ve daha yüksek katmanların güvenliği için tasarlandığından, iç ağdaki bir saldırganın iç ağdaki anahtarlayıcılara yapılan saldırıları algılama veya önleme özelliği yoktur. Ağ güvenliğini sağlamak için tüm OSI katmanlarının güvenli olması gerekir. Üst katman güvenliği ve ikinci katman güvenliği sağlanamaması, ağ güvenliğinin tam güvende olmadığını gösterir. Buna ilk katmana yapılan saldırılar da dahildir. Örneğin, ağda tüm güvenlik önlemleri sağlanmış olsa da, ağdaki sunucular ve diğer aygıtlar kesintisiz bir güç kaynağına veya jeneratöre bağlı değilse, ikinci katman ve güvenlik önlemleri, bir elektrik kesintisi durumunda çalışmaz. Veya, elektrik şalteri herkesin erişimine açıksa ve yeterli güvenlik önlemi alınmazsa, üst tabakalar için alınan önlemler de işe yaramayacaktır, çünkü elektrik kesintisi durumunda sistem çalışmayacaktır.

İkinci katman saldırılarını listelersek:

MAC Adresi Saldırısı

Portlar arasındaki haberleşme anahtarlayıcılar üzerindeki MAC adres tablolarına bakarak yapılır. MAC adres tablosunda; port numaraları, portlara bağlı bilgisayarların MAC adresleri ve karşılık gelen portun hangi VLAN’a (Sanal Yerel Alan Ağı) ait olduğu. Anahtarlayıcılar önce bağlantı noktalarına gelen bir çerçevenin hedef MAC adresine bakar ve ardından çerçevedeki hedef MAC adresinin MAC adres tablosunda olup olmadığını sorar, adres tabloda bulunursa, çerçeve ilgili porta gönderilir. , bu sürece anahtarlama denir. Bununla birlikte, çerçevenin hedef MAC adresi, anahtarlayıcıların MAC adres tablosunda bulunmuyorsa, anahtarlayıcı çerçeveyi tüm portlara gönderir. Bu, ilgili tüm bağlantı noktalarının diğer tüm bağlantı noktalarına gönderilmesine neden olacaktır. Bu, saldırganın anahtar üzerindeki herhangi bir bağlantı noktasını yönlendirmeden anahtarın MAC adres tablosunu yanlış MAC adresleriyle doldurarak anahtardaki tüm trafiği dinlemesini sağlar. Bu ayrıca değiştiricinin verimliliğini olumsuz yönde etkileyebilir.
Anahtarlama cihazlarındaki MAC adres tablosu dolduğunda problemler ortaya çıkar, çünkü anahtarlama makinelerinin MAC adres tabloları cihazın yapısına, modeline ve donanımına bağlı olarak değişen bir sınırlamaya sahiptir.

“VLAN Hopping” Saldırıları

Kayıtlı olmayan ve normalde mevcut olmayan bir VLAN’a erişime izin veren bir saldırı türüdür. VLAN Bir Atlamalı saldırı gerçekleştiğinde, hangi VLAN’ın ağa bağlı olduğuna bakılmaksızın, ağdaki tüm VLAN’lara erişilebilir. İki tür “VLAN Hopping” saldırısı vardır:

Anahtar Sahtekarlığı (Switch Spoofing)

Bu tür bir saldırıda, saldırgan bir anahtarlayıcı olarak hareket etmeye kendini ayarlar ve ISTP veya IEEE 802.1q VLAN’ı DTP’ye (Dinamik Trunking Protokolü) göre etiketleme yapabilir. Bu saldırıda, saldırgan kendisini ISL veya IEEE 802.1q VLAN etiketlemesi yapabilen bir bağlantı noktasına sahip bir anahtar olarak sunar. Bir portta birden fazla VLAN taşımak için, ISL ve 802.1q portu “trunk port” olarak tanımlanmalıdır. Bu, ağdaki tüm VLAN’lara “trunk portlar” olarak taşıyarak abone olmayı ve bunlara erişmeyi mümkün kılar.

Çift Etiketleme (Double Tagging)

Bu tür saldırılarda, limana giren çerçevelere iki IEEE 802.1q başlığı eklenir, böylece paket istenen VLAN’a ulaşabilir ve birinci başlık çerçeveyi alan ilk anahtarlayıcı tarafından kaldırılır ve ikinci anahtarlayıcı VLAN bilgisini okur başlığında ve paketi gitmek istediği VLAN’a gönderir.

Spanning-Tree Protokolü (STP) Atakları

Bir ağdaki anahtarlama döngülerini engellemek için kullanılan bir protokol. STP protokolünde, her değiştiricinin “köprü önceliği” ve MAC adres değerlerinden oluşan bir kimlik köprüsü ID numarası vardır. Öncelikli köprü önceliği 32’nin varsayılan değeri 32768’dir ve en düşük köprü önceliğine sahip anahtar anahtarlayıcısı, BPDU (Köprü Protokolü Veri Birimi) çerçeveleri aracılığıyla kök değiştirici olarak seçilir. BPDU çerçeveleri üretebilen bir bilgisayarı ağa bağlayarak, bağlı bilgisayar tarafından oluşturulan BPDU çerçevelerinde “köprü önceliği” değeri 0 olarak ayarlanır. Bu, ağa bağlı bilgisayarın kök değiştiricinin yerini almasını sağlar. Bu şekilde, tüm ağ trafiği bağlı olan bu sahte kök değiştirici bilgisayardan geçer. Ek olarak, bu bilgisayarın ağ kablosunun kalıcı olarak değiştirilmesi durumunda, kök değiştiricinin seçimi yeniden başlatılabilir. Bu, ağ kesintilerine ve performans sorunlarına yol açabilir. Ağa gerçek bir şalter bağlayarak ve “köprü önceliği” ni “0 bu” olarak ayarlayarak, bu şalter “kök köprü da” olarak seçilebilir.

Sahte MAC (MAC Spoofing) Atağı

Bu tür bir saldırıda, dinlenecek bilgisayarın MAC adresi, anahtarlayıcıya gönderilen çerçevelerde kaynak MAC adresine girilir. Anahtarın MAC adres tablosu uygun şekilde güncellenir, böylece anahtarın MAC adres tablosu, saldırgan tarafından bağlanan anahtarlayıcı bağlantı noktası için iki MAC adresine (saldırganın MAC adresi ve hedef bilgisayarın MAC adresi) sahip olur. Hedef bilgisayara gönderilen kareler, hedef bilgisayar ağa paketleri gönderinceye kadar saldırganın bilgisayarına gönderilir.

Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı

ARP, IP adreslerini yerel ağdaki MAC adresleriyle eşleştirmek için kullanılan protokoldür. Normalde, ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini bulmak için değiştiriciye bir ARP istek paketi gönderir ve değiştirici bu paketi tüm bağlantı noktalarına gönderir, ancak yalnızca hedef bilgisayar buna yanıt verir ARP isteği. Paketi gönderen bilgisayar ayrıca bu IP – MAC eşlemesini ARP tablosunda tutar.
Sahte ARP saldırılarında, saldırgan paketin gönderildiği bilgisayar yerine ARP isteğine yanıt verir, böylece paketin gönderildiği bilgisayarın ARP tablosu saldırganın bilgisayarının IP ve MAC adreslerine sahip olur. Bu şekilde, hedef bilgisayara gönderilmesi gereken paketler saldırganın bilgisayarına gönderilir.
Bir saldırgan, varsayılan ağ geçidi yerine ARP isteklerine yanıt verirse, ağdan çıkan tüm paketler, varsayılan ağ geçidi yerine saldırganın bilgisayarından çıkar, böylece ağdan çıkan tüm paketler dinlenebilir ve buna bağlı olarak ağda düşük performansa neden olabilir. bilgisayarın donanım özellikleri hakkında.

Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı

ARP, IP adreslerini yerel ağdaki MAC adresleriyle eşleştirmek için kullanılan protokoldür. Normalde, ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini bulmak için değiştiriciye bir ARP istek paketi gönderir ve değiştirici bu paketi tüm bağlantı noktalarına gönderir, ancak yalnızca hedef bilgisayar buna yanıt verir ARP isteği. Paketi gönderen bilgisayar ayrıca bu IP – MAC eşlemesini ARP tablosunda tutar.
Sahte ARP saldırılarında, saldırgan paketin gönderildiği bilgisayar yerine ARP isteğine yanıt verir, böylece paketin gönderildiği bilgisayarın ARP tablosu saldırganın bilgisayarının IP ve MAC adreslerine sahip olur. Bu şekilde, hedef bilgisayara gönderilmesi gereken paketler saldırganın bilgisayarına gönderilir.
Bir saldırgan, varsayılan ağ geçidi yerine ARP isteklerine yanıt verirse, ağdan çıkan tüm paketler, varsayılan ağ geçidi yerine saldırganın bilgisayarından çıkar, böylece ağdan çıkan tüm paketler dinlenebilir ve buna bağlı olarak ağda düşük performansa neden olabilir. bilgisayarın donanım özellikleri hakkında.

DHCP Açlık (DHCP Starvation) Atağı

DHCP açlığı saldırısı, yanlış MAC adresleriyle DHCP taleplerine cevap verilmesine dayanan bir saldırıdır. DHCP istekleri ağ üzerinden yeterince dinlendiğinde, DHCP sunucuları tarafından atanan IP adresleri saldırgan tarafından algılanabilir. Bu, saldırganın sahte DHCP sunucusunu ağa katmasına izin verir ve bu yeni sahte DHCP sunucusu, ağdaki DHCP isteklerine yanıt verebilir.
Saldırgan, ağa sahte bir DHCP sunucusu koyarak, müşterilerin IP adreslerini ve diğer bilgilerini alabilir. Ayrıca kendi bilgisayar adresini varsayılan ağ geçidi ve yanıt paketlerinde görülebilen DNS sunucusu olarak da sağlayabilir; böylece ağ üzerinden çıkan tüm paketler saldırganın bilgisayarından geçer. Bu saldırı aynı zamanda “ortadaki adam” saldırısı olarak da adlandırılır.

CDP Açıklığı

CDP ikinci katmanda çalışır ve Cisco cihazlarının birbirini tanımasını sağlar. CDP çerçeveleri, ağ üzerinden şifrelenmemiş bir biçimde gönderilen cihazın ana bilgisayar adı, IP adresi, modeli ve işletim sistemi sürümü gibi bilgiler içerir. Cihazların bilgilerini ağ üzerinden şifrelenmemiş bir biçimde göndermek sakıncalıdır. Cihazın markası ve modeli öğrenilirse, söz konusu marka ve modele özgü açıklıklar kullanılarak saldırılar gerçekleştirilebilir. Ağın topolojisi, cihazlardan öğrenilen IP bilgileri kullanılarak da belirlenebilir.

VTP Açıklığı

VİP; Bu, ağ yöneticilerinin ad değişikliği gerçekleştirmelerini, işlemleri merkezi bir şekilde eklemelerini ve silmelerini sağlayan ikinci katman protokolüdür.
VTP’de, saldırgan, saldırganın anahtarlayıcı bağlantı noktasına bir unk trunk portu olarak bağladığı bilgisayarın bağlantı noktasını tanımladığında ve ağa, eklemek, silmek veya herhangi bir değişiklik yapmak için sahte VTP mesajları gönderir. değiştirici. Gerekli önlemler alınmadığı takdirde zor olsa bile saldırı mümkündür.

LAN Fırtına (Fırtına)

Katman 2 cihazları LAN fırtınası saldırılarına karşı savunmasızdır. Paketler LAN’a aktığında bir LAN fırtınası oluşur. Bu aşırı trafik güvenliğidir. Protokol yığınlarında, hatalar, ağla ilgili hatalar veya DoS saldırıları gerçekleştirebilirler. Yayın fırtınaları Anahtarlayıcıların tüm yayın paketlerini tüm bağlantı noktalarından zamanında yayınladığını unutmayın. ARP (Adres Çözünürlük Protokolü) ve DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü) gibi bazı seçenek protokolleri “yayın” sitesinde bulunurken, anahtarlayıcılar “yayın” trafiğini iletebilir.
Her tür paket saldırısını ve bunları aşan yayınları engellemek mümkün değildir, ancak bunlar fırtına kontrolü tarafından engellenebilir. LAN üzerindeki trafiğin fırtına kontrolü; yayının “yayın”, “çok noktaya yayın” veya “tek noktaya yayın” tarafından etkilenmesini önler. Fırtına kontrolü, herhangi bir arayüzden anahtarlama cihazına akan trafiği izler ve trafikteydi. Anahtarlayıcı aynı zamanda, aynı tür paketlerin akışının, bu akım tarafından ayarlanan bir bastırma eşiğine ulaşıp ulaşmadığını da kontrol eder, bu da zamanın fiziksel bir arayüz boyunca geçişini izler. Eşik aşılırsa, fırtına kontrolü paket trafiğini keser.

HEDEFLER:
SWITCH’lerde Layer2 Security Özelliklerinin Devreye Alınması.

Ön Bilgi:
Tüm Switch Portları VLAN1’dedir.
“USER SW” ve “DMZ SW” e aşağıdaki komutlar girilmelidir.

enable
configure terminal
interface range Fa 0/1 – 24
switchport mode access
switchport access vlan 1
end
write

ADIMLAR:
1) USER_SW ve DMZ_SW’de Client ve Sunucu portlarında “port-security” acilmalı
ve “maximum 2” MAC adresi girilecek sekilde konfigurasyon yapılmalıdır.

Eger daha fazla MAC adresi girilirse;

• port açık kalmalı
• log tutulmalı
• ve fazla mac adresli trafik gecmemelidir.

2) DMZ-SW “STP Root Switch” olarak yapilandirilmistir. Bu Switch’de;

• “Root Guard” özelliği devreye alınmalıdır.
• Tum PC ve Sunucu portlarında “spanning-tree portfast” özelliği açılmalıdır.
• Tum PC ve Sunucu portarında “spanning-tree bpduguard enable”
  özelliği açılmalıdır.

3) Topolojide 2 adet DHCP Sunucusu bulunmaktadır.
Sadece yetkili olan DHCP sunucusu IP dağıtabilmelidir.
Iki Switch’de de yetkisiz portlardan gelecek “DHCP Offer” paketleri Switch
tarafından bloklanmalıdır.

• Yetkili DHCP Sunucusu 10.0.0.0/24 bloğundan IP dağıtmaktadır.
  Yetkisiz DHCP Sunucusu 191.168.0.0/24 bloğundan IP dağıtmaktadır.
• DHCP Snooping özelliğini devreye aldıktan sonra PC’lerin doğru bloktan
  (10.0.0.0/24) IP Adresi aldığını kontrol edin.
• Not: Sunucu IP Adresleri ve DHCP Sunucu yapılandırması tamamlanmıştır.

ADIM1: IPUCU
USER SW
interface range FastEthernet 0/1 – 3
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
end
write

(Benzer komutları Fa0/11, Fa0/12, FA0/13 ve Fa0/14
için de uygulayın)

protect: – Drops all the packets from the “insecure hosts”
– Does not increment the security-violation count.
restrict: – Drops all the packets from the “insecure hosts”
– Increments the security-violation count.
shutdown:- Shuts down the port if there is a security violation.

ADIM3: IPUCU

DMZ SW:
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 1

interface FastEthernet 0/11
ip dhcp snooping trust

EK Komut: (Normal topolojide gerekli degil)
DMZ SW:
interface GigabitEthernet 0/2
ip dhcp snooping trust

USER SW:
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 1

interface GigabitEthernet 0/1
ip dhcp snooping trust