Merhaba arkadaşlar. LAN Security makale serimizin bu bölümünde, bir önceki bölümde bahsettiğimiz DHCP Snooping’in devamı olarak, ARP Spoofing ataklarına karşı kullanabileceğimiz DAI (Dynamic ARP Inspection)’dan bahsedeceğiz.

Konuya tam olarak girmeden önce kısaca ARP ve ARP Spoofing atakları hakkında bilgi vermek istiyorum.

Aynı IP subnetinde bulunan iki host birbireriyle ethernet üzerinden haberleşmek istediklerinde frameleri tam hedefe gönderebilmek için fiziksel adreslerini (MAC adresi) bilmelidir. Burada şunuda belirtmekte fayda var ki, aynı IP subnetinden bulunmayan bir cihaza erişmek isteyen hostlarda Default Gateway adresinin MAC adresini bilmelidir. Her iki durumda da Layer 2 header’ının hedef MAC adresi alanında next-hop cihazın, host ya da Router, MAC adresinin olduğunu söyleyebiliriz.


IPv4 networklerinde hedef cihazın MAC adresini öğrenmeyi sağlayan protokol ARP’dır (Address Resolution Protocol). Ve ARP herhangi bir Authenticaion mekanizması bulundurmadığı için kolaylıkla spoof edilebilir.

Bir bilgisayar ip adresini bildiği başka bir bilgisayarın MAC adresini öğrenmek için Broadcast olarak ARP Request paketi gönderir ve Switch tarafından bütün portlara flood edilen bu mesaj networkteki bütün bilgisayarlara ulaşır. Fakat sadece ARP Request mesajının içindeki ip adresine sahip olan bilgisayar ARP Reply mesajı ile, unicast olarak, isteği cevaplar. Dolayısıyla ARP Request’i gmnderen host hedef bilgisayarın fiziksel adresini öğrenmiş olur.


ARP Poisoning olarak da adlandırılan ARP Spoofing atakları, ARP içerisinde gömülğ bir authentication özelliği olmamasınında hareketle, kolaylıkla yapılabilmektedir. Hatta bunu yapabilmek için çok ciddi bir bilgi birikimine ihtiyaç olmadığını da söyleyebiliriz. Örneğin Windows üzerinde çalışan CAIN ile, çok az bilgisi olan insanlar bile bu şekilde saldırılar yapabilir.

Topolojimizde A bilgisayarı C Routerının MAC adresini öğrenmek için ARP Request paketi gönderiyor ve Router’dan ARP Replay paketi alıyor. Aldğı ARP Reply paketi ile ARP Table’ında ip adresi – mac adresi eşleşmesini oluşturduktan sonra artık bu ip adresine (10.1.1.1) paketlerini gönderebilecek. Buraya kadar herşey normal ve olması gerektiği gibi.

Aynı anda B bilgisayarını kullanan bir kişinin networke saldırdığını düşünelim. Bu bilgisayarı kullanan ve burada Attacker diye nitelendirdiğimiz kişi, kullandığı örneğin CAIN gibi bir program ile networke sürekli ARP paketleri (gratuitous ARP) gönderiyor. Şekilden de anlayacağını gibi bu ARP paketlerinin içeriği, 10.1.1.1 ip adresinin MAC adresinin B.B.B.B olduğu şeklinde. Aslında bu mac adresi B bilgisayarına ait.

Bu ARP paketlerini alan A Bilgisayarının bu durumda yapacağı şey, ARP tablosunu güncellemek ve bu tabloda 10.1.1.1’in mac adrsi B.B.B.B’dir şeklinde bir girdi oluşturmak olacaktır. Dolayısıyla artık Router’a gönderilmek istenen bütün paketler B bilgisayarına gönderilecektir. Artık bu noktadan sonra B bilgisayarı tam olarak A ve C’nin arasına girmiş demektir.

Attacker bu paketlerin kendi üzerinden geçtikten sonra hedefe, örneğin internete gitmesini sağladıktan sonra, internetten gelecek olan cevaplarıda takip etmek isterse, C Routerına da Poisoning mesajları gönderebilir ve bütün trafiği inceleyebilir.

Peki nasıl önleriz ?

Makalenin başında da belirttiğimiz gibi DHCP Snooping’in bir devamı olarak kullanabileceğimiz Dynamic ARP Inspection ile ARP Spoofing ataklarını engellemek mümkündür.

DHCP Snooping’den bahsederken, DHCP mesajlarını takip eden Switchlerin, ip-mac adresi eşleşmeleri hakkında bilgi sahibi olduklarını da belirtmiştir. Hemen daha önceki makalede de incelediğimiz DHCP Snooping Binding tablosuna bir göz atmakta fayda var.

Yani kullandığımız Switch, DHCP Server’dan ip konfigürasyonlarını alan iki bilgisayarın ip adreslerini ve MAC adreslerini biliyor. Artık burada düz mantık ile, Switche, bu ip ve mac adresi eşleşmelerinin dışında ki ARP paketlerini kabul etme dediğimde ARP Spoofing ataklarının önüne geçmiş olurum.

Dynamic ARP Inspection Global konfigürasyon modunda aşağidaki gibiş enable edilebilir;

Switch(config)#ip arp inspection vlan vlan_id

Switch portlarından DAI tarafından control edilmemesini istediğimiz portlar var ise bunları DAI için trusted port haline getirebiliriz. Interface konfigürasyon modunda yapılabilecek bu konfigürasyon aşağıdaki gibidir;

Switch(config-if)#ip arp inspection trust

Switchin bu konfigürasyonlardan sonra ARP paketleri ile ilgili hareket aşağıdaki gibi olacaktır;

1. Trusted interfacelerden gelen ARP paketlerini herhangi bir alanı kontrol etmeden forward eder.

 

2. Untrusted interfacelerden gelen bütün ARP paketlerini inceler.

 

3. İnceleme sonrasında geçerli ip adresi – mac adresi eşleşmesine sahip olan ARP paketlerini forward eder.

 

4. IP – Mac adress eşleşmesi geçerli olmayan paketleri drop eder ve loglar ya da isteğimize göre sadece loglar.

 

 

Host’lara bağlanılan switch portları Untrusted, Switchler arasındaki bağlantıları sağlayan portlar ise Trusted olmalıdır. Fakat network içerisinde Dynamic ARP Inspection yeteneği olmayan switchler var ise bu durum bazı tehlikelere neden olabilir.

Örneğin bu topolojide Switch B’nin Dynamic ARP Inspection yapmadığını düşünelim. Bu durumda Switch A’nın 1. portunun trusted olarak konfigüre edilmesi B switchi üzerindeki portlardan gelebilcek saldırılar için açık olacaktır. Dolayısıyla Switch A’nın 1. portunun Untrusted olarak konfigüre edilmesi gerekir.

DAI konfigürasyonu yapılan Switch, IP – Mac eşleşmelerini kontrol ederken tabi ki CPU çalışacaktır. Bir switchin DAI yaptığı bilindiğinde bu DoS ataklarına maruz bırakılabilir. Sürekli olarak gönderilecek ARP paketleri ile CPU’nun zorlanması şeklindeki bir DoS atağı DAI Rate limiting ile engellenebilir. Switch portuna DAI ile inceleyeceği paket sayısında bir limit belirttiğimizde, bu limit aşılırsa port Err-Disabled state’e gelir, dolayısıyla kapanır. Err-Disabled State’e giren bir portun nasıl aktif hale getirilebileceği ile ilgili bilgiler LAN Security Bölüm 2: Port Security makalesinde bulabilirsiniz.

DAI Rate Limiting konfigürasyonu aşağıdaki gibi yapılabilir;

Dynamic ARP Inspection ARP paketlerinin içindeki IP – Mac eşleşmelerini kontrol eder, geçerli olmayan ARP paketlerini bloklar. Bunun yanında istenirse ARP paketinin kaynak ve hedef adreslerininde (Layer 2 Header) kontrol edilmesi sağlanabilir.

Son olarak network içerisinde statik ip konfigürasyonuna sahip olan bilgisayarlar için nasıl statik girdiler oluşturulabileceğini inceleyeceğiz. Aslında statik olarak ip adresi alan, dolayısıyla DHCP Snooping tarafından ip ve mac adresi eşleşmesi bilinmeyen bilgisayarların ARP paketleri bloklanacaktır.

Fakat, örneğin ip adresi 10.1.1.10 olan bir server’ımız var ve ip adresi statik olarak konfigüre edilmiş ve bu bilgisayarın MAC adreside aaaa.aaaa.aaaa olsun. Bu Server için statik olarak aşağıdaki gibi bir konfigürasyon ile bir girdi oluşturulabilir ve bu bilgisayardan gelen ARP paketlernin bloklanması engellenebilir.

Switch(config)# ip source binding aaaa.aaaa.aaaa vlan 1 10.1.1.10 interface fastethernet 0/5

Evet arkadaşlar bu makalemizde DHCP ile ip konfigürasyonu dağıtılan ve DHCP Snooping’in switchler üzerinde enable edildiği networklerde Dynamic ARP Inspection ile ARP Spoofing ataklarını nasıl engelleyebileceğimizi anlatmaya çalıştım. Umarım faydalı olmuştur. Herkese iyi çalışmalar.

Hayrullah Kolukısaoğlu