Posts Tagged ‘arp poisoning engelleme’

Lokal Network Güvenliği (3. Bölüm- Ortadaki Adam)

PostDateIcon November 2nd, 2009 | Author: Cüneyt Bergel

Lokal network güvenliği yazı dizimin ilk iki bölümüne aşağıdaki liklerden ulaşabilirsiniz..

1.       Bölüm-Genel Bakış  2. Bölüm-Arp Zehirlenmesi

Bu yazımızda lokal networkte kolaylıkla yapılabilecek diğer bir saldırı tipi olan Man-In-The-Middle yani ortadaki adam tekniğinden bahsediyor olacağım.Ortadaki adam saldırı tekniği kısaca kullanıcı ile sunucu arasındaki trafiğin kendi üzerinden yönlendirmesi veya kendi oluşturduğu sahte bir siteye yönlendirme işidir. Bunu sağlamanın birçok yolu var.  Ben sadece 1 tanesine değineceğim.

2.Bölümde bahsettiğim arp zehirlenmesi kullanılarak saldırdan kullanıcının gateway adresi kendisiymiş gibi yayın yaparak kullanıcının tüm trafiğinin üzerinden geçmesini sağlar. Böylece kullanıcının hangi sitelere girdiğinden tutunda, gönderdiği aldığı maillere, şifrelere vs. kadar bilgileri alabilir.  İşte size ortadaki adam saldırısına güzel bir örnek.


Çözüm:

Birçok şekilde bu saldırı tipi yapılabilindiği için her senaryo için farklı korunma yöntemleri uygulanmalıdır. Yazımda bahsettiğim saldırı tipinde switch üzerinde konfigürasyon bazında değişiklik yapmak yeterli olacaktır.

Cisco Switch üzerinde arp zehirlenmesi engellemek için kullanılması gereken örnek konfigürasyon:


CiscoSW(config)#ip arp inspection vlan 1
CiscoSW(config)#ip arp inspection validate dst-mac src-mac ip
CiscoSW(config)#arp access-list servers
CiscoSW(config-arp-nacl)#permit ip host 192.168.69.25 mac host 000c.2957.6b39 log
CiscoSW(config-arp-nacl)#exit
CiscoSW(config)#ip arp inspection filter servers vlan 1

Posted in EÄŸitim, GüvenliÄŸi Algılamak, LAN Güvenlik | Tags: , , , , , , , , , , , , | No Comments »

Lokal Network Güvenliği (2. Bölüm- Arp Zehirlenmesi)

PostDateIcon October 5th, 2009 | Author: Cüneyt Bergel

Eylül ayı içerisinde yazmış olduğum Lokal Network Güvenliği konulu yazımın 1. bölümüne buradan ulaşabilirsiniz.

Bilgindiği gibi network alt yapısının IP versiyon 4 kullanılmaktadır. Bu protocol geliştirilirken o zamanki ihtiyacı karşılaması bakımından Güvenlik konusu fazla düşünülmeden geliştirilmiştir.  Başta bu olmak üzere şuanki networklerde kullanılan TCP/IP altyapısı çeşitli saldırılarla karşı karşıyadır. Bunlar:

1-      ARP Poisoning – ARP Zehirlenmesi,

2-      Man-In-The-Middle,

3-      DNS Spoofing,

4-      DHCP Spoofing,

5-      Sniffing,

6-      Broadcasting,

7-      DoS,

8-      Hijacking,

9-      BruteForce,

10-   Vs..

Makalemin bu bölümünde local network’lere en fazla yapılması muhtemel saldırı olan Arp Zehirlenmesinden bahsedeceğim.

 

Bilindiği üzere Ethernet kartlarının kendi üzerinde tanımlanmış olarak gelen ve teorik olarak değiştirilemeyen bir MAC adresi taşır. Lokal ağa bağlandığınızda DHCP üzerinden otomatik olarak bir IP adresi atanır (DHCP kullanılmayan networklerde el ile girilmesi gerekir).  Bilgisayarınızla switch arasındaki iletişim bu iki adres arasında yapılmaktadır. Bir örnek vermek gerekirse, browser’ınızdan lokal portal sunucunuza girmek istediğinizde arka planda bilgisayarınız lokal portal sunucunuzub adresinin tanımlı DNS’isinden IP adresini çözer ve iletişim bu ip adresine yönlendirilir. Bu yönlendirme işlemi yapılırken de fiziksel katmana inildiğinde MAC adresi devreye girer ve gmail.com’un bağlı bulunduğu switch’in portu üzerinden iletişime geçilmiş olur.

Özetleyecek olursak DNS, domain isminin bağlı bulunduğu ip adresini verir, ARP protokolü de ip adresinin bağlı bulunduğu MAC adresini verir. Işte bu noktada Arp protokolünün tanımlanan fonksiyon eksiklikleri nedeniyle arp zehirlenmesi yapılabilinmektedir.

Yukarıda bahsettiğim örnekte şunu öğrenmiş olduk, lokalportal.com adresinin a.b.c.d olduğu ve MAC adresinin de xx.xx.xx.xx.xx olduğunu bilgisayarımız hafızasına yazmış olduk. Kötü niyetli kişiler saldırı yapmak istedikleri bir veya birden fazla sunucu/pc vs. şu şekilde a.b.c.d ip adresinin MAC adresi yy.yy.yy.yy.yy ‘dur şeklinde sahte arp paketleri göndererek saldırı yapılan sunucu veya pc’ye sürekli olarak gönderir. Saldırdan lokalportal.com adresine girmek istediğinde aslında MAC adresi yy.yy.yy.yy.yy olan ip adresi x.y.z.w olan sunucuya bağlanacaktır. Işte bu olaya arp zehirlenmesi denilmektedir.

Çözüm:

Bu saldırılardan kurtulmak için birkaç yöntem bulunmaktadır. Bunlar:

1-      Dinamik arp yerine statik arp kullanmak,

2-      Switch’lerinizde arp zehirlenmesine karşı configure etmeniz,

3-      Sunucu ve pc’leriniz üzerine 3.parti Uygulama kurarak engellemek.

Bu üç yöntemden bazı artı ve eksileri bulunmaktadır. Küçük bir networkünüz varsa ve pc ve sunucularınız çok değişmiyorsa 1. Yöntemi kullanabilirsiniz. Ancak büyük bir networkünüz varsa static olarak arp adreslerini switch üzerine tanımlamak çok zor olaydır. Böyle bir durumda 2. Veya 3. Yöntemi kullanılmasını öneririm. Yöntemler içerisinde en efektif kullanılacak olan switch’leriniz üzerine arp zehirlenmesine karşı konfigürasyon yapmanız olacaktır.

Bir sonraki makalemde diğer saldırı yöntemleri ve çözümleri hakkında olacaktır.

Yazar: Cüneyt BERGEL

Posted in EÄŸitim, GüvenliÄŸi Algılamak, LAN Güvenlik | Tags: , , , , , , , , | No Comments »

Yazı Dizilerim
-Lokal Network Güvenliği (3 Bölüm)
-Penetrasyon Testi(3 Bölüm)
-Cross Site Scripting(1 Bölüm)
Sayfalar
ArÅŸiv
Linkler
Etiketler
5651 sayılı kanun anti-malware arp arp poisoning arp poisoning engelleme arp zehirlenmesi arp zehirlenmesini engellemek beyaz kutu testi BiliÅŸim Hukuku blackbox cisco router duyarlılık Flash Uygulamalarda Güvenlik greybox gri kutu testi Gsm Hacking güvenlik Güvenlik Yazılımları hack Https hukuk kara kutu testi lan güvenliÄŸi Linux kernel açığı Lokal Network GüvenliÄŸi makale microsoft Microsoft güvenlik açıkları netsec netsec güvenlik bülteni penetrasyon testi penetrasyon testing QoS Rapidshare security Siber Suçlar & Hack Virüs & Malware web.config web uygulama güvenliÄŸi whitebox wireless yazilarim Zararlı Yazılımlar ÅŸifre
Network ve Güvenlik
Shared Items
En Çok Okunanlar
Kategoriler

Copyright © 2009 Cüneyt BERGEL. All Rights Reserved.