Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - VLAN Hopping Ataklarının Önlenmesi
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

VLAN Hopping Ataklarının Önlenmesi

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: VLAN Hopping Ataklarının Önlenmesi
    Gönderim Zamanı: 23-08-2009 Saat 09:39

VLAN Hopping atakları, önlenmesi en basit, ancak en çok unutulan güvenlik açıklarından birini kullanarak yapılır. Bu ataklar kısaca, bir hacker’ın switch’inize trunk bağlantı kurması olarak açıklanabilir. Bir trunk bağlantı üzerinden bütün VLAN’lerin paketleri geçer. Bu da hacker’ın tüm network’e ulaşması demektir.

VLAN’lerin en büyük amaçlarından biri, kullanıcıları ayrı VLAN’lere alarak birbirine ulaşmalarını önlemektir. Bunun için örneğin VOIP yani ses VLAN’i ayrı, admin VLAN’i ayrı, normal network trafiğini ayrı VLAN’lere aldığınızı düşünelim. Hacker, herhangi bir switch’e trunk hatla bağlandığı zaman bütün bu VLAN’lere girmiş demektir.

Peki bu duruma yol açan şey nedir ve nasıl önlenebilir?  Öncelikle konfigüre edilmemiş bir switch’e show run komutunu girerseniz interface’lerin aşağıdaki gibi olduğunu görebilirsiniz.


!

İnterface FastEthernet0/1

Switchport mode dynamic desirable

!

İnterface FastEthernet0/2

Switchport mode dynamic desirable

Spanning-tree portfast

!

İnterface Fast Ethernet 0/3

Switchport mode dynamic desirable

Spanning-tree portfast

!

İnterface FastEthernet0/4

Switchport mode dynamic desirable

Spanning-tree portfast

!

İnterface FastEthernet0/5

Switchport mode dynamic desirable

Spanning-tree portfast

Her bir switch portu varsayılan olarak (default) dynamic desirable mode’dadır. Bunun anlamı, Dinamik, yani otomatik olarak trunk ya da access port olacaktır. Desirable da, trunk olmaya istekli anlamındadır. Yani bir port dynamic desirable ise sürekli olarak trunk olmak istemektedir, bağlandığı cihazın portu eğer kesin olarak access ise, bu port da access olacaktır, trunk ise trunk olacaktır, karşıdaki de auto ya da dynamic desirable ise trunk olmaya çalıştığı için hat gene trunk olacaktır.

Normalde, bu çok güzel bir özelliktir. Aslında hiçbir konfigürasyon yapmaya gerek bırakmayarak, switch’ler bağlandığında hat trunk, son kullanıcıların bağlandığı portlardaysa hat otomatik olarak access port olacaktır. Ancak bu çok büyük bir güvenlik açığı olarak kullanılabilmektedir. Örneğin kötü niyetli bir kişi switch in bir portuna bağlanan bilgisayarında DTP paketlerini simüle ederek ya da kendi switch’ini bu uca bağlayarak bu hattın trunk olmasını sağlamış olacaktır. Hat trunk olduğunda network’teki tüm VLAN’lerin paketleri kötü niyetli kişinin elinde olacaktır.

Bu sorunun çözümü çok basittir. Tek yapmanız gereken son kullanıcıya giden tüm portları acces port olarak belirlemektir. Böylece port, karşıdaki cihaza ya da DTP paketlerine göre değişmeyecek, hattınız her zaman access olarak kalacaktır.
Bir portu access moda geçirmek için yapmanız gereken tek şey interface’lerin altına switchport mode access komutunu girmektir. Tek tek insterfacelere girmek yerine interface range komutunu da kullanabilirsiniz.

Bu kısa işlem sayesinde switch’inizin fastethernet 0/1 ‘den 0/24’e kadar bütün portlarını access portu olarak ayarlayarak çok büyük bir güvenlik açığını engellemek mümkün olur.

Saygılar..


Düzenleyen megabros - 23-08-2009 Saat 09:39
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.172 Saniyede Yüklendi.