Cüneyt BERGEL

Archive for the ‘LAN Güvenlik’ Category

Lokal network güvenliği yazı dizimin ilk iki bölümüne aşağıdaki liklerden ulaşabilirsiniz..

1.       Bölüm-Genel Bakış  — 2. Bölüm-Arp Zehirlenmesi

Bu yazımızda lokal networkte kolaylıkla yapılabilecek diğer bir saldırı tipi olan Man-In-The-Middle yani ortadaki adam tekniğinden bahsediyor olacağım.Ortadaki adam saldırı tekniği kısaca kullanıcı ile sunucu arasındaki trafiğin kendi üzerinden yönlendirmesi veya kendi oluşturduğu sahte bir siteye yönlendirme işidir. Bunu sağlamanın birçok yolu var.  Ben sadece 1 tanesine değineceğim.

2.Bölümde bahsettiğim arp zehirlenmesi kullanılarak saldırdan kullanıcının gateway adresi kendisiymiş gibi yayın yaparak kullanıcının tüm trafiğinin üzerinden geçmesini sağlar. Böylece kullanıcının hangi sitelere girdiğinden tutunda, gönderdiği aldığı maillere, şifrelere vs. kadar bilgileri alabilir.  İşte size ortadaki adam saldırısına güzel bir örnek.

Çözüm:

Birçok şekilde bu saldırı tipi yapılabilindiği için her senaryo için farklı korunma yöntemleri uygulanmalıdır. Yazımda bahsettiğim saldırı tipinde switch üzerinde konfigürasyon bazında değişiklik yapmak yeterli olacaktır.

Cisco Switch üzerinde arp zehirlenmesi engellemek için kullanılması gereken örnek konfigürasyon:

CiscoSW(config)#ip arp inspection vlan 1
CiscoSW(config)#ip arp inspection validate dst-mac src-mac ip
CiscoSW(config)#arp access-list servers
CiscoSW(config-arp-nacl)#permit ip host 192.168.69.25 mac host 000c.2957.6b39 log
CiscoSW(config-arp-nacl)#exit
CiscoSW(config)#ip arp inspection filter servers vlan 1

Eylül ayı içerisinde yazmış olduğum Lokal Network Güvenliği konulu yazımın 1. bölümüne buradan ulaşabilirsiniz.

Bilgindiği gibi network alt yapısının IP versiyon 4 kullanılmaktadır. Bu protocol geliştirilirken o zamanki ihtiyacı karşılaması bakımından Güvenlik konusu fazla düşünülmeden geliştirilmiştir.  Başta bu olmak üzere şuanki networklerde kullanılan TCP/IP altyapısı çeşitli saldırılarla karşı karşıyadır. Bunlar:

1-      ARP Poisoning – ARP Zehirlenmesi,

2-      Man-In-The-Middle,

3-      DNS Spoofing,

4-      DHCP Spoofing,

5-      Sniffing,

6-      Broadcasting,

7-      DoS,

8-      Hijacking,

9-      BruteForce,

10-   Vs..

Makalemin bu bölümünde local network’lere en fazla yapılması muhtemel saldırı olan Arp Zehirlenmesinden bahsedeceğim.

 

Bilindiği üzere Ethernet kartlarının kendi üzerinde tanımlanmış olarak gelen ve teorik olarak değiştirilemeyen bir MAC adresi taşır. Lokal ağa bağlandığınızda DHCP üzerinden otomatik olarak bir IP adresi atanır (DHCP kullanılmayan networklerde el ile girilmesi gerekir).  Bilgisayarınızla switch arasındaki iletişim bu iki adres arasında yapılmaktadır. Bir örnek vermek gerekirse, browser’ınızdan lokal portal sunucunuza girmek istediğinizde arka planda bilgisayarınız lokal portal sunucunuzub adresinin tanımlı DNS’isinden IP adresini çözer ve iletişim bu ip adresine yönlendirilir. Bu yönlendirme işlemi yapılırken de fiziksel katmana inildiğinde MAC adresi devreye girer ve gmail.com’un bağlı bulunduğu switch’in portu üzerinden iletişime geçilmiş olur.

Özetleyecek olursak DNS, domain isminin bağlı bulunduğu ip adresini verir, ARP protokolü de ip adresinin bağlı bulunduğu MAC adresini verir. Işte bu noktada Arp protokolünün tanımlanan fonksiyon eksiklikleri nedeniyle arp zehirlenmesi yapılabilinmektedir.

Yukarıda bahsettiğim örnekte şunu öğrenmiş olduk, lokalportal.com adresinin a.b.c.d olduğu ve MAC adresinin de xx.xx.xx.xx.xx olduğunu bilgisayarımız hafızasına yazmış olduk. Kötü niyetli kişiler saldırı yapmak istedikleri bir veya birden fazla sunucu/pc vs. şu şekilde a.b.c.d ip adresinin MAC adresi yy.yy.yy.yy.yy ‘dur şeklinde sahte arp paketleri göndererek saldırı yapılan sunucu veya pc’ye sürekli olarak gönderir. Saldırdan lokalportal.com adresine girmek istediğinde aslında MAC adresi yy.yy.yy.yy.yy olan ip adresi x.y.z.w olan sunucuya bağlanacaktır. Işte bu olaya arp zehirlenmesi denilmektedir.

Çözüm:

Bu saldırılardan kurtulmak için birkaç yöntem bulunmaktadır. Bunlar:

1-      Dinamik arp yerine statik arp kullanmak,

2-      Switch’lerinizde arp zehirlenmesine karşı configure etmeniz,

3-      Sunucu ve pc’leriniz üzerine 3.parti Uygulama kurarak engellemek.

Bu üç yöntemden bazı artı ve eksileri bulunmaktadır. Küçük bir networkünüz varsa ve pc ve sunucularınız çok değişmiyorsa 1. Yöntemi kullanabilirsiniz. Ancak büyük bir networkünüz varsa static olarak arp adreslerini switch üzerine tanımlamak çok zor olaydır. Böyle bir durumda 2. Veya 3. Yöntemi kullanılmasını öneririm. Yöntemler içerisinde en efektif kullanılacak olan switch’leriniz üzerine arp zehirlenmesine karşı konfigürasyon yapmanız olacaktır.

Bir sonraki makalemde diğer saldırı yöntemleri ve çözümleri hakkında olacaktır.

Yazar: Cüneyt BERGEL

Lokal network güvenliği genelde kurumlar tarafından Internet güvenliği kadar önemsemediği veya göz ardı edildiği bir konudur. Yurt dışı araştırma şirketlerinin raporlarında sistemlere yapılan saldırıların %70’den fazlasının şirket içerisinden yapılmaktadır.

Şöyle bir senaryo düşünelim. 4 milyon abonesi olan bir telefon firması düşünün. Bu şirketin 4 milyon abonesinin iletişim bilgileri, kişisel bilgileri, borç tahsilat bilgileri, yaptığı ödemeler vs. Gibi bilgiler kurumun veritabanında tutulmaktadır. Şirket ve/veya ortak çalıştığınız ve direk lokal networkünüze erişimi bulunan diğer firmaların çalışanları bu veritabanı sunucuna Servis engelleme atağı (DoS) yapıldığını düşündüğünüzde neler olabileceğini bir düşünün. Firmanın çalışan vezneleri tahsilat yapamayacak, yeni abone kaydı yapılamayacak, mevcut abone bilgilerini sorgulayamayacak, internet üzerinden verilen online hizmet kesilecektir.