Cüneyt BERGEL

Eylül ayı içerisinde yazmış olduğum Lokal Network Güvenliği konulu yazımın 1. bölümüne buradan ulaşabilirsiniz.

Bilgindiği gibi network alt yapısının IP versiyon 4 kullanılmaktadır. Bu protocol geliştirilirken o zamanki ihtiyacı karşılaması bakımından Güvenlik konusu fazla düşünülmeden geliştirilmiştir.  Başta bu olmak üzere şuanki networklerde kullanılan TCP/IP altyapısı çeşitli saldırılarla karşı karşıyadır. Bunlar:

1-      ARP Poisoning – ARP Zehirlenmesi,

2-      Man-In-The-Middle,

3-      DNS Spoofing,

4-      DHCP Spoofing,

5-      Sniffing,

6-      Broadcasting,

7-      DoS,

8-      Hijacking,

9-      BruteForce,

10-   Vs..

Makalemin bu bölümünde local network’lere en fazla yapılması muhtemel saldırı olan Arp Zehirlenmesinden bahsedeceğim.

 

Bilindiği üzere Ethernet kartlarının kendi üzerinde tanımlanmış olarak gelen ve teorik olarak değiştirilemeyen bir MAC adresi taşır. Lokal ağa bağlandığınızda DHCP üzerinden otomatik olarak bir IP adresi atanır (DHCP kullanılmayan networklerde el ile girilmesi gerekir).  Bilgisayarınızla switch arasındaki iletişim bu iki adres arasında yapılmaktadır. Bir örnek vermek gerekirse, browser’ınızdan lokal portal sunucunuza girmek istediğinizde arka planda bilgisayarınız lokal portal sunucunuzub adresinin tanımlı DNS’isinden IP adresini çözer ve iletişim bu ip adresine yönlendirilir. Bu yönlendirme işlemi yapılırken de fiziksel katmana inildiğinde MAC adresi devreye girer ve gmail.com’un bağlı bulunduğu switch’in portu üzerinden iletişime geçilmiş olur.

Özetleyecek olursak DNS, domain isminin bağlı bulunduğu ip adresini verir, ARP protokolü de ip adresinin bağlı bulunduğu MAC adresini verir. Işte bu noktada Arp protokolünün tanımlanan fonksiyon eksiklikleri nedeniyle arp zehirlenmesi yapılabilinmektedir.

Yukarıda bahsettiğim örnekte şunu öğrenmiş olduk, lokalportal.com adresinin a.b.c.d olduğu ve MAC adresinin de xx.xx.xx.xx.xx olduğunu bilgisayarımız hafızasına yazmış olduk. Kötü niyetli kişiler saldırı yapmak istedikleri bir veya birden fazla sunucu/pc vs. şu şekilde a.b.c.d ip adresinin MAC adresi yy.yy.yy.yy.yy ‘dur şeklinde sahte arp paketleri göndererek saldırı yapılan sunucu veya pc’ye sürekli olarak gönderir. Saldırdan lokalportal.com adresine girmek istediğinde aslında MAC adresi yy.yy.yy.yy.yy olan ip adresi x.y.z.w olan sunucuya bağlanacaktır. Işte bu olaya arp zehirlenmesi denilmektedir.

Çözüm:

Bu saldırılardan kurtulmak için birkaç yöntem bulunmaktadır. Bunlar:

1-      Dinamik arp yerine statik arp kullanmak,

2-      Switch’lerinizde arp zehirlenmesine karşı configure etmeniz,

3-      Sunucu ve pc’leriniz üzerine 3.parti Uygulama kurarak engellemek.

Bu üç yöntemden bazı artı ve eksileri bulunmaktadır. Küçük bir networkünüz varsa ve pc ve sunucularınız çok değişmiyorsa 1. Yöntemi kullanabilirsiniz. Ancak büyük bir networkünüz varsa static olarak arp adreslerini switch üzerine tanımlamak çok zor olaydır. Böyle bir durumda 2. Veya 3. Yöntemi kullanılmasını öneririm. Yöntemler içerisinde en efektif kullanılacak olan switch’leriniz üzerine arp zehirlenmesine karşı konfigürasyon yapmanız olacaktır.

Bir sonraki makalemde diğer saldırı yöntemleri ve çözümleri hakkında olacaktır.

Yazar: Cüneyt BERGEL

Konuyla İlgili Diğer Yazılar

• Lokal Network GüvenliÄŸi (3. Bölüm- Ortadaki Adam)
• Lokal Network GüvenliÄŸi (Bölüm 1-Genel Bakış)
• Blackbox Penetrasyon Testi-2
• Cross Site Scripting (XSS)
• Blackbox Penetrasyon Testi-1
• Penetrasyon Testi
• Https’e Ne Kadar Güvenmeliyiz?
• Flash Uygulamalardaki Güvenlik Zaafiyeti

Leave a Reply