|
VLAN Hopping Ataklarının Önlenmesi |
Yanıt Yaz 
|
| Yazar | |
megabros 
Security Professional 
Kayıt Tarihi: 08-06-2009 Konum: Turkey Status: Aktif Değil Points: 752 |
 Mesaj Seçenekleri
Yanıt Yaz
Alıntı megabros
Bu mesaj kurallara aykırıysa buradan yöneticileri bilgilendirebilirsiniz.
 Thanks(0)
 Alıntı Cevapla
 Konu: VLAN Hopping Ataklarının ÖnlenmesiGönderim Zamanı: 23-08-2009 Saat 09:39 |
|
VLAN Hopping atakları, önlenmesi en basit, ancak en çok unutulan güvenlik açıklarından birini kullanarak yapılır. Bu ataklar kısaca, bir hacker’ın switch’inize trunk bağlantı kurması olarak açıklanabilir. Bir trunk bağlantı üzerinden bütün VLAN’lerin paketleri geçer. Bu da hacker’ın tüm network’e ulaşması demektir. VLAN’lerin en büyük amaçlarından biri, kullanıcıları ayrı VLAN’lere alarak birbirine ulaşmalarını önlemektir. Bunun için örneğin VOIP yani ses VLAN’i ayrı, admin VLAN’i ayrı, normal network trafiğini ayrı VLAN’lere aldığınızı düşünelim. Hacker, herhangi bir switch’e trunk hatla bağlandığı zaman bütün bu VLAN’lere girmiş demektir. Peki bu duruma yol açan şey nedir ve nasıl önlenebilir? Öncelikle konfigüre edilmemiş bir switch’e show run komutunu girerseniz interface’lerin aşağıdaki gibi olduğunu görebilirsiniz. ! İnterface FastEthernet0/1 Switchport mode dynamic desirable ! İnterface FastEthernet0/2 Switchport mode dynamic desirable Spanning-tree portfast ! İnterface Fast Ethernet 0/3 Switchport mode dynamic desirable Spanning-tree portfast ! İnterface FastEthernet0/4 Switchport mode dynamic desirable Spanning-tree portfast ! İnterface FastEthernet0/5 Switchport mode dynamic desirable Spanning-tree portfast Her bir switch portu varsayılan olarak (default) dynamic desirable mode’dadır. Bunun anlamı, Dinamik, yani otomatik olarak trunk ya da access port olacaktır. Desirable da, trunk olmaya istekli anlamındadır. Yani bir port dynamic desirable ise sürekli olarak trunk olmak istemektedir, bağlandığı cihazın portu eğer kesin olarak access ise, bu port da access olacaktır, trunk ise trunk olacaktır, karşıdaki de auto ya da dynamic desirable ise trunk olmaya çalıştığı için hat gene trunk olacaktır.
Normalde, bu çok güzel bir özelliktir. Aslında hiçbir konfigürasyon yapmaya gerek bırakmayarak, switch’ler bağlandığında hat trunk, son kullanıcıların bağlandığı portlardaysa hat otomatik olarak access port olacaktır. Ancak bu çok büyük bir güvenlik açığı olarak kullanılabilmektedir. Örneğin kötü niyetli bir kişi switch in bir portuna bağlanan bilgisayarında DTP paketlerini simüle ederek ya da kendi switch’ini bu uca bağlayarak bu hattın trunk olmasını sağlamış olacaktır. Hat trunk olduğunda network’teki tüm VLAN’lerin paketleri kötü niyetli kişinin elinde olacaktır. Bu sorunun çözümü çok basittir. Tek yapmanız gereken son kullanıcıya giden tüm portları acces port olarak belirlemektir. Böylece port, karşıdaki cihaza ya da DTP paketlerine göre değişmeyecek, hattınız her zaman access olarak kalacaktır. Bu kısa işlem sayesinde switch’inizin fastethernet 0/1 ‘den 0/24’e kadar bütün portlarını access portu olarak ayarlayarak çok büyük bir güvenlik açığını engellemek mümkün olur. Saygılar..Düzenleyen megabros - 23-08-2009 Saat 09:39 |
|
 |
|
|
Yanıt Yaz
|
|
| Tweet |
| Forum Atla | Forum İzinleri Kapalı Foruma Yeni Konu Gönderme Kapalı Forumdaki Konulara Cevap Yazma Kapalı Forumda Cevapları Silme Kapalı Forumdaki Cevapları Düzenleme Kapalı Forumda Anket Açma Açık Forumda Anketlerde Oy Kullanma |
Konu Seçenekleri