|
Bu yazımızda neden Layer 2 güvenliğine ihtiyaç duyduğumuzdan ve yöntemlerinden bahsedeceğiz.
Neden Layer 2?
Genellikle network güvenliği denince akla Layer 3 security gelir. Bunun için access-list ler, firewall çözümleri gibi dışarıdan gelecek ataklara karşı iç networkü koruma yöntemleri kullanılır. Ancak unutulmaması gereken bir gerçek de şudur ki; kurum networklerinin en büyük tehditlerinden biri network içi ataklardır. Her ne kadar güvenilir gibi görünse de her kullanıcı network e zarar veren bir tehlike yaratabilir. Layer 2 security, bu tür durumlara karşı networkü korumak için gereklidir.
Ayrıca günümüzde Layer 2 security networke switchlerle bağlanmış elemanlar dışında wireless ile dışarı da açıktır. Sizin wireless networkünüze bağlanmayı başaran bir kimse iç networkünüze girmiş durumdadır. Wireless networkleri binanın dışına uzattığınız bir network kablosu gibi düşünebilirsiniz. Bu da beraberinde güvenlik önlemleri alma gerekliliği getirmektedir. Yani wireless teknolojilerin hayata geçmesiyle birlikte networklerin Layer 2 güvenliği daha da gereklilik kazanmıştır.
Öncelikle Layer 2 bazında yapılabilen ataklara bir kaç örnek verelim. Piyasada Dsniff, MACOF gibi bir çok program var. Örneğin bu programlar herhangi bir son kullanıcı bilgisayarına yüklenerek bağlı olduğu switch e değişik source MAC adresli frame ler göndermektedirler. Bir süre sonra switch in CAM tablosu dolacağından, yeni gelen adresleri tabloya ekleyemeyecek ve gelen frame lerin destination MAC adreslerini tabloda bulamayarak frame in geldiği port dışındaki bütün portlarından frame i gönderecektir. Kısaca switch hub gibi çalışmaya başlayacak ve herkesin pakedi herkese gitmeye başlayacaktır. Bu hem data güvenliği açısından, hem de network performansı açısından çok ciddi bir sorun yaratmakadır.
MAC adres bazında iki yöntemle network ümüzü korumamız mümkündür.
1. Her bir port için MAC sayısını sınırlamak
Bu yöntem, switchin hangi portuna ne kadar cihazın bağlanabileceğini kontrol etmemizi sağlar. Örneğin siz bir interface altına yanlızca 1 kullanıcının bağlanmasını isteyebilirsiniz. Böylece dışardan gelen beklenmedik misafirleri engelleyebilirsiniz.
Bu işlemi port-security ile yapıyoruz. Yapmamız gereken tek şey switch içinde bu özelliği açıp maksimum bağlanabilecek MAC adres sayısını belirlemek.
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Peki biz bu şekilde switch i konfigüre ettikten sonra, ikinci bir cihaz switch’e kablo ile bağlandığında ne olacaktır? Cevabı da biz belirliyoruz. Default olarak switch, port security’de söylenen koşul ihlal edildiğinde “shutdown” konumuna geçecektir. 2 seçeneğimiz daha var. İlki “prevent” seçeneği. Bu seçenekle, herhangi bir değişiklik yapılmaz, yanlızca yeni gelen MAC adresi ihmal edilir. Ancak bu tür bir ihlalin olup olmadığından haberiniz olmaz. 2. seçeneğiniz olan “restrict” özelliği ise gene MAC adresini ihmal edip, isterseniz log da tutacaktır. Default olan shutdown konumunda bırakmanız önerilir.
2. MAC adresleri kısıtlamak
Switch portuna bağlanacak MAC adres sayısını kısıtladıktan sonra yapılması gereken, hangi MAC adreslerinin bağlanabileceğini de belirlemektir. Böylece dışarıdan gelen bir kimse, sizin switch inize bağlanamayacaktır. Ayrıca yazının başında da bahsettiğimiz atakları da yapamayacaktır çünkü switch’in öğreneceği adresler hard-code olarak kısıtlanmış yani istenilenin dışında MAC adreslerinin bağlanmasına izin vermeyecektir.
Switch(config-if)#switchport port-security mac-address sticky
Default olarak switch portuna bağlanan her MAC adresine izin verir. Bu “dynamic” çalışmadır. Dinamik olarak öğrenmek; MAC adreslerin kısıtlanmaması, yani switch in herhangi bir MAC adresini kabul etmesi anlamına gelmektedir. Dinamik olarak çalışmasını istemiyorsanız iki seçeneğiniz bulunmaktadır. Bunlardan biri statik olarak adresleri girmektir. Diğeri ise “sticky” seçeneğidir. Statik olarak girmek elbette en güvenilir olandır ancak eğer 500 kullanıcılı bir networkte bu işi yapıyorsanız çok güç bir yöntemdir. Bunun yerine “sticky” seçeneğini kullanabilirsiniz. Bu seçenek, switch e o anda bağlı olan MAC adresleri kaydederek diğerlerine izin vermeyecektir. Tabii bu yöntemin riski var, ancak çok zaman kazandıran bir yöntemdir. Özellikle interface range komutuyla çok kısa bir sürede bütün network izinlerini ayarlamanıza olanak verir. Ancak cihazı bu şekilde konfigüre etmeden önce mümkün olduğunca network ünüzde o sırada doğru cihazların takılı ve açık olmasını sağlamak yararlı olacaktır.
Burada önemli olan şey, porta bağlanabilecek maksimum MAC adresi önce belirleyip sonra statik olarak MAC adresi girmektir.
Yukarıda sadece aaaa:bbbb:cccc’yi portta izin verilen tek adres olarak belirledik. Eğer max 1 değil de 10 yapsaydık tek adresi statik olarak girmemiz bir işe yaramayacaktı çünkü diğer 9 adres dinamik olarak doldurulucak, yani her bağlanan MAC e izin verilecekti. Bu yüzden eğer statik MAC giriyorsanız, izin verilecek MAC adres sayısını belirlemeyi unutmamak çok önemlidir.
Görüntüleme sayısı: 2023
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
|
