LAN Security makalelerimizin ikinci bölümünde Layer 2’de sik karsilasilan, hatta konuyla ilgili çok fazla bilgisi olmayan insanlarin bile hazir bazi tool’lari kullanarak yapabilecegi MAC adres bazli ataklari önlemede bizlere yardimci olabilecek Port Security’den bahsedecegiz.

Bildiginiz gibi Layer 2’de kullandigimiz switchler dinamik olarak network içerisindeki cihazlarin MAC adreslerini ögrenirler ve CAM (Content Addressable Memory) Tablosu da denen bir MAC address veritabani olustururlar. Daha sonra kendilerine gelen paketleri hublarin aksine bütün portlardan göndermek yerine sadece ilgili hedef MAC adresinin bulundugu porta yönlendirirler. Switch özellikle Packet Sniffer programlariyla network trafigmizi dinlemek isteyenler önlemede çok faydalidir diyebiliriz. Hub kullanilan bir ortamda, networkü dinlemek isteyenbirisi network içerisindeki herhangi bir yerden bunu gerçeklestirebilir zira bütün trafik bütün portalara gönderildigi için atak yapan kisiyede gidecektir.

Bu durum aslinda bizi çok rahatlatmamali. çünki her switch üzerinde belirli sayida MAC adresi bulundurabilir. örnein benim bu makale boyunca kullanacagim Cisco 3550 serisi switch MAC adres tablosunda 8192 tane MAC adresi bulundurbilmektedir. Herseyin düzgün çalistigi ortamlarda tabii ki bu sayi yeterli olacaktir. Ama internet üzerindeki arama motorlarinda bazit bir arama yaptiginizda bile bulabileceginiz, daha öncede belirttigim gibi hacking ile ilgisi olmayan, teknik bilgisai çok az olan insanlarin bile rahatlikla kullanabilecegi toollar ile Switchimiz sanki bir Hub gibi çalismasi saglanabilir.



Mayis 1999’da Perl dili kullanilarak yazilan bu toolun adi Macof’dur. Daha sonra C dili ile yeniden derlenmis ve dsniff adli programin içerisine gömülmüstür. Yaptigi isi ise aslinda çok basit olmakla birlikte sonuçlari hem network performansinin düsmesi hem de networkün dinlenmesine olanak vermesi sebebiyle zararli olabilir. Bu tool switche random olarak ürettigi MAC adreslerini kaynak MAC adresi olarak kullanarak çesitli paketler gönderir.





Kendisine gelen paketlerin kaynak MAC adreslerine bakarak MAC adres tablosunu olusturan switchler, sekildeki örnekteki gibi 3/25 portunun karsisina atak yapan kisiden gelen MAC adreslerini ekleyecektir. Aklimiza hemen MAC adreslerinin MAC adres tablosunda 300 saniye tutuldugu, dolayisiyla bunu sorun olmayacagi gelebilir. Fakat bu tool ile ilk MAC adresinin süresi dolmadan yüzlerde MAC adresi gönderilebilecektir. (CAM Table Overflow)

Peki bundan bize ne ?

MAC adres tablosu dolmus olan bir switchin portalaridanki bilgisayarlar her ne kadar switche paket gönderselerde MAC adres tablosunda yer olmadigi için tabloya eklenemeyeceklerdir. Yukaridaki swithin MAC adres tablosu incelense, 3/25 portunda binlerce MAC adresi görülecek ama diger portlarinda hçbir MAC adresi görülmeyecektir. Hemen burada switchin hedef MAC adresinin hangi portta oldugunu bilmedigi paketleri bütün portalara flood ettigini hatirladigimizda network içerisinde diger bilgisayarlar tarafindan gönderilen bütün paketlerin atak yapan kisiyede gidecegini anlayabiliriz. Switch artik bir Hubdan farksiz çalisacaktir.

Peki nasil çözeriz ?

Burada ilk kullanabilecegimiz ve uygulamasida basit olan Port Security özelligidir. Cisco switchler ile access portlari üzerinde konfigüre edebilecegimiz Port Security ile neler yapabiliriz?

1. Tablomuza statik olarak MAC adresleri ekleyebiliriz.
2. Tablomuza Sticky MAC adresleri ekleyebilirizi.
3. MAC adres tablosunda bir port karsisina gelebilecek maksimum MAC adres sayisini belirli bir sayida sinirlayabiliriz.
4. Belirledigimi kurallarin disina çikildiginda switchin önlem almasini saglayabiliriz.


Port Security kullanacagimiz port access portu olmalidir. Konfigürasyonu oldukça basittir. Ilgili portun konfigürasyon maduna düstükten sonra asagidaki komutlar ile çalistirilabilir;

Switch(config)# interface fastethernet 0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security

Bu komutlar Port Security’i default özellikleri ile aktif hale getirir. Bir portun Port Security yönünden kurallarini görmek için asagidaki komut kullanilabilir.

Switch#show port-security interface fastethernet 0/0



Komutlari bu sekilde uyguladiktan sonra defaul ayarlar asagidaki gibi olacaktir.



Port Secutiy: Enabled, Port Status: Secure-up disinda Violation Mode’a fikkatinizi çekmek isterim. Violation Mode defaul Shutdown’dur ve belirlenen kriterlere uyulmadigi zaman switchin göstercegi aksiyonu belirler.

Yine default ayarlardaki bir baska noktada Maximum Mac Addresses’dir. Bu sayida 1’dir. Ikinci bir MAC adresi bu porttan paket gönderecek olursa port shutdown olur. (Aslinda bu durum Err-disabled state’dir.)

Violation mode shutdown’dan baska protect veya restrict olabilir.

Protect Mode ile sadece ikinci MAC adresi ya da belirledigimiz kriterlerin disinda kalan MAC adreslerinden gelen paketler filtrelenirken Restrict ile hem paket filtrelenir hem de Security Violation Count bir artirilir. Benim tercihim her zaman shutdown olmustur. Shutdown yani err-disable duruma geçen bir portu aktif hale getirmek için ilgili port konfigürasyon moduna geçilir sirasiyla “shutdown” ve “no shutdown” komutlari uygulanir.

Port Securit ile istenirse statik MAC adreside eklenebilir. Sadece örnek olmasi açisindan aaaa.aaaa.aaaa gibi bir MAC adresini fa0/1 portuna asagidaki gibi ekleyebiliriz. Tabi bunu yapabilmem için su an zaten bir tane secure MAC adresi interface’de oldugu için maksimum MAC adresi sayisini 2’ye çikarmam gerekir.




Statik MAC adresi ekleme disinda birde sticky opsiyonumuz vardir. Bu dinamik olarak ögrenilen MAC adreslerinin konfigürasyona eklenmesini ve istenirse kaydedilebilmesini saglar.



Bu konfigürasyonlardan sonra üzerinde çalistigimiz interface için port security ile bilgiler asagidaki gibi görüntelenecektir.

Simdi örnek bir uygulama olmasi açisindan bir port üzerinde asagidaki çalismayi yapacagim;

1. Maximum MAC address sayisi 1 olacak
2. Statik olrak aaaa.1111.1111 MAC adresi eklenecek
3. Violation Mode Shutdown olacak.
4. Portu aktif hale getirip o porttan farkli bir MAC adresi ile paket göndermeye çalisilmasi durumda switchin portu kapattigi görülecek.



Bu konfigürasyondan kisa bir süre sonra yani bizim belirledigimiz MAC adresi disinda bir MAC adresinden paket gelir gelmez asagidaki konsol logu ile karsilasiriz.

Bu logdan anlasilacagi üzere port err-disable moda geçti.

Show komutlariyla durumu asagidaki gibi monitör edebiliriz.

Portu aktif hale getirmek için kapatip açmak gerektigini daha önce söylemistim. Bunun disinda istenirse belirli bir sürenin sonunda kendiliginden up duruma gelmeside saglanabilir.

Bu süre default olarak sekildede görülecegi gibi 300 saniyedir fakat disable durumdadir. Yeniden düzenlemek istenirse asagidaki komutlar kullanilabilir.



Psecure Violation disinda daha bir çok sebebpten bir port err-disable duruma geçebilir. Su an bizim için öneli olan Psecure Violation. Bununla devam ediyoruz;

Sadece bir fikir olmasi açisinda Psecure Violation için err-disable recovery’i enable hale getirip, timeout süresini de 600 saniyeye çikardim. Ama kisisel önerim bunun dinamik olarak yapilandirilmasindan ziyade bizler tarafindan manuel düzenlenmesidir. Böylece networkümüz içerisinde olan bitenden sürekli haberdar olup durum degerlendirmelerimizi buna göre yapabiliriz.

Bu düzenlemelerin düzgün yapilip yapilmadigini ise daha öncede kullandigimiz asagidaki komut ile yeniden görebiliriz.

Ayni olayi bu sefer violation modu restrict seçerek yapacagim. Asagida bununla ilgili screeshitlari bulabilirsiniz;

Su anda portumun MAC adresi ögrenmesini istemedigim için portu kapali tutuyorum. Açtiktan sonra neler olacagini izleyecegiz;



Portu açtiktan bir süre sonra bu porta bagli olan bir bilgisayardan gelen paket orada tanimli farkli bir mac adresi oldugu ve maksimum mac adresi sayisi bir oldugu için filtrelendi.



Restrict ile Violation Count’unda bir artirildigini söylemistik. Tabi ben bunlari yaparken o porta bagli olan bilgisayar çok sayida paket gönderdigi için sayimiz su anda 16’ya kadar çikmis. Port Status’a baktigimizda durumun up oldugunu görüyoruz. Yani burada bizim belirledigimiz MAC adresi paketlerini göndermeye devam edebiliyor, sadece bunun disinda kalan MAC adresine sahip olanlarin paketleri filtreleniyor.

Protect ile bir uygulama yapmiyorum zira Restrict ile tamamiyla ayni olup Violation Count'da bir degisiklige sebep olmayacaktir.

Evet arkadaslar Port Security ile ilgili söyleyeceklerimiz bu kadar. Genel konfigürasyonun nasil yapilacagini ve aktif hale getirdikten sonra nasil izlenebilecegini anlatmaya çalistigim makalem umarim faydali olmustur. Herkese iyi çalismalar.

Hayrullah Kolukisaoglu 

İlgili Diğer Makaleler

Cisco Switchler ile LAN Security Bölüm 1: Genel Kavramlar
Cisco Switchler ile LAN Security Bölüm 3: 802.1x Authentication
Cisco Switchler ile LAN Security Bölüm 4: DHCP Atakları ve DHCP Snooping
Cisco Switchler ile LAN Security Bölüm 5: Dynamic ARP Inspection
Cisco Switchler ile LAN Security Bölüm 6: Private VLANs



 

Ortalama Üye Değerlendirmesi

   (3 Oylamalar)

Yorum Sayısı: 8 / 8