Yazar

2018-01-06 03:12:40

VLAN Hopping (Virtual Local Area Network Hopping - Sanal Yerel Ağ Sekme) Ataklarının Önlenmesi


VLAN sekme atakları, son cihazların VLAN'lara ulaşabilecekleri şekilden farklı olarak ağa bağlanıp portlara paketlerin gönderilmesiyle VLAN bilgilerinin elde edilmesidir. Bu şekilde sadece bağlı olduğu VLAN bilgisine değil ağdaki tüm VLAN bilgilerine erişilir. "Trunk" ayarların düzgün yapılmaması durumunda çerçeveler (frame) üzerinde değişiklik yapılarak VLAN saldırı gerçekleştirilebilir. Saldırı iki şekilde yapılabilir.

  • Anahtar Sahtekarlığı (Switch Spoofing)

Yapılandırılmamış portların olması bir ağ içerisinde büyük güvenlik açığına neden olur. Bu saldırı türünde saldırı yapacak cihaz, ağla kendisi arasında "trunk" port yaratır. Ağa bağlanmak için cihaz kendi portunu IEEE  (Institute of Electrical and Electronics Engineers - Elektrik ve Elektronik Mühendisliği Enstitüsü) iki tip 100BaseT standardı belirlemiştir. 100BaseTX ve 100BaseT4.  
802.1q VLAN etiketlemesi yapabilecekmiş gibi göstererek veya bir anahtarlayıcı (switch) kullanarak yapar. DTP (Dynamic Trunking Protocol - Dinamik Trunk Protokolü) anahtarlıyıcıların portlarında "trunk" yapılandırmasının gerçekleştirilmesini sağlar. Bir anahtarlayıcının portunun DTP ye uyarlanabilmesi için 4 çeşit mod vardır. Bunlar dinamik istenen (dynamic desirable), dinamik otomatik (dynamic auto), "trunk" ve  erişim (access) bağlantılardır. Anahtarlayıcıların portları dinamik istenen moda uyarlı bir şekildedir. Bu da otomatik olarak "trunk" olmaya meyilli anlamına gelir. Dinamik istenen modda olan port bağlanacağı porta göre bağlantı şeklini belirler. "Trunk" ise "trunk", erişim ise erişim bağlantı kurar. Fakat dinamik istenen ve dinamik otomatik ise yine "trunk" bağlantı oluşur. Dinamik istenen modda olan port her an "trunk" port durumuna geçebilir ve bu da güvenlik açığına neden olur. Ek olarak eğer port dinamik otomatik olmaya ayarlıysa DTP paketlerini alabilir ve "trunk" port durumuna geçebilir. Bu durumlarda bu porta bağlanan herhangi bir cihaz ağla kendisi arasında "trunk" port oluşturur. Port ayarlarının yapılmamasından  dolayı cihazda DTP kullanılır. Bu şekilde VLAN bilgilerine erişilebilir. Bu atağın engellenmesi istenirse tüm güvenilmeyen portlar DTP özelliğine kapatılır.

Anahtarlayıcı>enable
Anahtarlayıcı#configure terminal 
Anahtarlayıcı(config)#int fastEthernet 0/1 
Anahtarlayıcı(config-if)#switchport mode trunk
Anahtarlayıcı(config-if)#switchport nonegotiate

Üstteki yapılandırmayla artık o porttan DTP uygulaması olmayacaktır. Ek olarak anahtarlayıcılarda son cihazların bağlandığı tüm portlar erişim olarak tanımlandığında da bu sorun çözülecektir. Ağda son cihazların bağlantıları sadece erişim olacak ve ağ ayarlarına erişilemeyecektir. Aşağıdaki yapılandırma bir porttaki erişim modun tanımını gösterir. 

Anahtarlayıcı>enable
Anahtarlayıcı#configure terminal
Anahtarlayıcı(config)#int fastEthernet 0/1 
Anahtarlayıcı(config-if)#switchport mode access

  • Çift Etiketleme (Double Tagging)

VLAN içerisinde etiketlenmiş çerçevelerin portlardan iletebilmeleri için 802.1q özelliği ile tanımlanmış olması gerekir. Normalde bir portta tanımlama yapılmadığında etiketlenmiş çerçeveler iletilemez. Fakat bunun tek bir istisnası  yerli (native) vlan'lara ait çerçevelerdir ve burdan gelen çerçeveler etiketlenmemişlerdir. IEEE 802.1q özelliği ile yapılandırılmış olan portlar bu paketlerin iletimini gerçekleştirirler. Yerli  vlanlarda VLAN numarası  tanımlanmadığında otomatik olarak VLAN 1 "yerli vlan" olarak atanır. Bu özellik bir ağı VLAN sekme ataklarına karşı savunmasız bırakır. Bu saldırı türünde bir çerçeveye iki adet IEEE 802.1q başlığı eklenir. İç başlıkta (inner tag) hedef VLAN'la ilgili etiket mevcuttur. Dış başlıkta (outer tag) ise "yerli vlan"a ait olduğunu belirten etiket vardır ve çerçeve etiketlendikten sonra elde edilen paket ağ üzerinden gönderilir. Bu paketi alan ilk anahtarlayıcı dış başlığı çıkartır. Paket karşılaştırıldıktan sonra tekrar başka bir anahtarlayıcıya gönderilir. Diğer anahtarlayıcı ise gelen paketi alır ve başlıktan VLAN bilgisini okuyarak istenen yere ulaştırır. Bu şekilde amaçlanan saldırı gerçekleşir.
 

 

 

Alınması gereken önlemlerin ilki "yerli vlan"ın kullanıcılar tarafından kullanılmaması ve "yerli vlan" numrasını birden farklı bir numarayla değiştirilmesi gerekir.


Etiketler : Network Security