Güvenlik / Security Makaleleri - VLAN Hopping Ataklarının Önlenmesi

SayfayÄ± YazdÄ±r | Pencereyi Kapat

VLAN Hopping Ataklarının Önlenmesi

Nereden YazdÄ±rÄ±ldÄ±ÄŸÄ±: Bilginin Adresi
Kategori: Bilgisayar Güvenliği / Computer Security
Forum AdÄ±: Güvenlik / Security Makaleleri
Forum TanÄ±mlamasÄ±: Bilgisayarınızı Her Türlü Saldırıya Karşı Korumak İçin Yapmanız Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=7896
Tarih: 04-05-2024 Saat 15:37

Konu: VLAN Hopping Ataklarının Önlenmesi

MesajÄ± Yazan: megabros
Konu: VLAN Hopping Ataklarının Önlenmesi
Mesaj Tarihi: 23-08-2009 Saat 09:39

VLAN Hopping atakları, önlenmesi en basit, ancak en çok unutulan güvenlik açıklarından birini kullanarak yapılır. Bu ataklar kısaca, bir hacker’ın switch’inize trunk bağlantı kurması olarak açıklanabilir. Bir trunk bağlantı üzerinden bütün VLAN’lerin paketleri geçer. Bu da hacker’ın tüm network’e ulaşması demektir.

VLAN’lerin en büyük amaçlarından biri, kullanıcıları ayrı VLAN’lere alarak birbirine ulaşmalarını önlemektir. Bunun için örneğin VOIP yani ses VLAN’i ayrı, admin VLAN’i ayrı, normal network trafiğini ayrı VLAN’lere aldığınızı düşünelim. Hacker, herhangi bir switch’e trunk hatla bağlandığı zaman bütün bu VLAN’lere girmiş demektir.

Peki bu duruma yol açan şey nedir ve nasıl önlenebilir? Öncelikle konfigüre edilmemiş bir switch’e show run komutunu girerseniz interface’lerin aşağıdaki gibi olduğunu görebilirsiniz.

!

İnterface FastEthernet0/1

Switchport mode dynamic desirable

!

İnterface FastEthernet0/2

Switchport mode dynamic desirable

Spanning-tree portfast

!

İnterface Fast Ethernet 0/3

Switchport mode dynamic desirable

Spanning-tree portfast

!

İnterface FastEthernet0/4

Switchport mode dynamic desirable

Spanning-tree portfast

!

İnterface FastEthernet0/5

Switchport mode dynamic desirable

Spanning-tree portfast

Her bir switch portu varsayılan olarak (default) dynamic desirable mode’dadır. Bunun anlamı, Dinamik, yani otomatik olarak trunk ya da access port olacaktır. Desirable da, trunk olmaya istekli anlamındadır. Yani bir port dynamic desirable ise sürekli olarak trunk olmak istemektedir, bağlandığı cihazın portu eğer kesin olarak access ise, bu port da access olacaktır, trunk ise trunk olacaktır, karşıdaki de auto ya da dynamic desirable ise trunk olmaya çalıştığı için hat gene trunk olacaktır.

Normalde, bu çok güzel bir özelliktir. Aslında hiçbir konfigürasyon yapmaya gerek bırakmayarak, switch’ler bağlandığında hat trunk, son kullanıcıların bağlandığı portlardaysa hat otomatik olarak access port olacaktır. Ancak bu çok büyük bir güvenlik açığı olarak kullanılabilmektedir. Örneğin kötü niyetli bir kişi switch in bir portuna bağlanan bilgisayarında DTP paketlerini simüle ederek ya da kendi switch’ini bu uca bağlayarak bu hattın trunk olmasını sağlamış olacaktır. Hat trunk olduğunda network’teki tüm VLAN’lerin paketleri kötü niyetli kişinin elinde olacaktır.

Bu sorunun çözümü çok basittir. Tek yapmanız gereken son kullanıcıya giden tüm portları acces port olarak belirlemektir. Böylece port, karşıdaki cihaza ya da DTP paketlerine göre değişmeyecek, hattınız her zaman access olarak kalacaktır.
Bir portu access moda geçirmek için yapmanız gereken tek şey interface’lerin altına switchport mode access komutunu girmektir. Tek tek insterfacelere girmek yerine interface range komutunu da kullanabilirsiniz.

Bu kısa işlem sayesinde switch’inizin fastethernet 0/1 ‘den 0/24’e kadar bütün portlarını access portu olarak ayarlayarak çok büyük bir güvenlik açığını engellemek mümkün olur.

Saygılar..

SayfayÄ± YazdÄ±r | Pencereyi Kapat