Layer2 Saldırıları ve Korunma Yöntemleri
Ağ saldırıları deyince genelde akla gelen 3.katman ve üzerindeki katmanlara yapılan ataklardır. Fakat 2.katmana yapılan ataklarda 3.katman ve üzerine yapılan ataklar kadar etkilidir. 2.katman ataklarının bir güzel yönü yerel ağda (LAN) yapıldığı için güvenlik duvarları etkisiz almakta, engellenememekte ve tespit edilememektedir. Çünkü güvenlik sistemleri 3.katman ve üzerisi için tasarlanmıştır.Tespit ve engelleme sistemleri dış ağdan iç ağa gelen saldırılara göre tasarlanmıştır.İç ağdan yine iç ağa yapılacak saldırıları tespit ve engelleme şansları yoktur.
2.katman saldırı çeşitleri aşağıda sıralanmıştır.
1-) MAC Flooding Atağı
Ağı aktif olarak dinleme yöntemlerinden biridir. Saldırı yapan bilgisayarın seri bir şekilde karşı switche binlerce Mac adresi gönderir. Switchin sahip olduğu Mac adres tablosu dolar. Tablosu dolan switch, hub gibi çalısmaya baslar. Güvenliğin sağlanmaması ağ hızının düşürülmesine sebep olur.
Korunma Yöntemi
Anahtarın giriş yerine birim sürede gelen ARP isteğinin belli bir miktarı olacaktır. Bu miktar aşılırsa giriş yeri bunu saldırı algılayacak ve iletişimi durduracaktır.
2-) VLAN Hopping Atakları
Bu atak saldırganın ulaşamayacağı bir VLANa ulaşmasını sağlayan bir türdür. Saldırgan hangi VLANa bağlı olursa olsun, o VLANa bağlı tüm VLANlara erişebilir.
Bu saldırının iki çeşit türü vardır.
a-) Anahtar Sahtekarlığı (Switch Spoofing)
Bu atakta saldırgan kendisini anahtar gibi davranacak şekilde ayarlar. Saldıracağı VLANı etkilemek için kendisini anahtarmış gibi gösterecek bir porta sahiptir. Saldırganın kendisini portla anahtar gibi göstermesi tüm VLANlara üye olması erişimini gösterir.
b-)Çift Etiketleme (Double Tagging)
Bu atakta, paketin istenen VLANe erişebilmesi için porta giren çerçevelere (frame) iki adet IEEE 802.1q başlığı (header) eklenir. Çerçeveyi ilk alan anahtar birinci başlığı (header) çıkarır. Çerçeveyi alan ikinci anahtar, çerçeve içerisindeki ikinci başlıktaki VLAN bilgisi okuyarak paketi, gitmesini istediği hedef VLANe gönderir.
3-) Spanning-Tree Protokolü (STP) Atakları
STP (Spanning Tree Protocol - Spanning Tree Protokolü), bir ağda anahtarlayıcılar (switch ) arasındaki yedekli bağlantılarda meydana gelebilecek döngüleri engellemek için kullanılan bir protokoldür.
Korunma Yöntemi
Bilgisayar korsanları "portfast"ın (hızlı port) açık olduğu portlara anahtarlayıcılarını bağlayarak döngüye neden olabilir. Çünkü portfastin açık olduğu portlarda port, hemen iletim durumuna geçtiğinden bir süre döngü oluşabilir.
Bu durumu önlemek için "BPDU Guard" isimli bir özellik geliştirilmiştir. BPDU koruması, portfastın açık olduğu portlardan BPDU alınca o portu kapatma işlevi yapar. Böylece kötü amaçlı kişi anahtarlayıcısını ağa bağladığında, bağlandığı port otomatik olarak kapanır.
4-) Sahte MAC (MAC Spoofing) Atağı
Anahtara gönderilen çerçevelerin içerisindeki Kaynak Mac Adres kısmına dinlemek istediği bilgisayarın Mac adresini yazar. Buna Mac adresine göre anahtar güncelleme yapar. Anahtar Mac adres tablosunda saldırganın bağlı olduğu anahtar portunun içinde 2 tane Mac adresi olmuş olur. Ağlar arasında yapılan verilen böylece saldırganın bilgisayarına gönderilmiş olur.
5-) Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı
ARP yerel ağda yer alan IP adreslerini MAC adresleriyle eşleştiren bir protokoldür. Normalde ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini öğrenmek için anahtara ARP isteği (ARP request) paketi gönderir ve anahtar bu paketi tüm portlarına gönderir. Sadece paketin gönderileceği hedef bilgisayar bu ARP isteğine cevap verir. Paketi gönderen bilgisayar da bu IP - MAC eşleşmesini kendi ARP tablosunda tutar. Sahte ARP ataklarında saldırgan, paketin gönderileceği bilgisayarın yerine ARP isteğine cevap verir. Böylece paketi gönderen bilgisayarın ARP tablosunda (IP - MAC eşleşmesi tablosu) saldırgan bilgisayarının IP ve MAC adresleri bulunacaktır. Böylece hedefteki bilgisayar gönderilecek olan paketler saldırganın bilgisayarına gönderilir.
Korunma Yöntemi
Bu atağa önlemek için bilgisayarda statik arp girdisi eklenmesi gerekir.
6-) DHCP Açlık (DHCP Starvation) Atağı
DHCP açlık atağı, DHCP isteklerine sahte MAC adresleriyle cevap verme mantığına dayanan bir atak çeşididir. Yeterli miktarda DHCP istekleri ağ üzerinden dinlenildiği takdirde saldırgan, DHCP sunucularının atadığı IP adreslerini tespit edebilir.Daha sonra saldırganın yapması gereken sahte bir DHCP sunucusunu ağa dahil etmektir. Bu şekilde yeni ve sahte DHCP sunucusu ağdaki DHCP isteklerine cevap verecektir.
7-) VTP Açıklığı
VTP ağ yöneticilerinin VLANlerin eklenmesi, silinmesi ve isimlerini değiştirmesini sağlayan, Cisco cihazlara has bir protokoldür. VTP konusunda bir saldırı tespit edilmemiştir ama bu, saldırının olmayacağı anlamına gelmez. Saldırgan, anahtarın portuna bağladığı bilgisayarının portunu "trunk port" olarak tanımlayıp ağa sahte VTP mesajları göndererek, anahtara VLAN ekleyebilir, silebilir ya da değişiklik yapabilir. Gerçekleşme ihtimali düşüktür fakat böyle bir saldırı teorik olarak mümkündür.
Ağ saldırıları deyince genelde akla gelen 3.katman ve üzerindeki katmanlara yapılan ataklardır. Fakat 2.katmana yapılan ataklarda 3.katman ve üzerine yapılan ataklar kadar etkilidir. 2.katman ataklarının bir güzel yönü yerel ağda (LAN) yapıldığı için güvenlik duvarları etkisiz almakta, engellenememekte ve tespit edilememektedir. Çünkü güvenlik sistemleri 3.katman ve üzerisi için tasarlanmıştır.Tespit ve engelleme sistemleri dış ağdan iç ağa gelen saldırılara göre tasarlanmıştır.İç ağdan yine iç ağa yapılacak saldırıları tespit ve engelleme şansları yoktur.
2.katman saldırı çeşitleri aşağıda sıralanmıştır.
1-) MAC Flooding Atağı
Ağı aktif olarak dinleme yöntemlerinden biridir. Saldırı yapan bilgisayarın seri bir şekilde karşı switche binlerce Mac adresi gönderir. Switchin sahip olduğu Mac adres tablosu dolar. Tablosu dolan switch, hub gibi çalısmaya baslar. Güvenliğin sağlanmaması ağ hızının düşürülmesine sebep olur.
Korunma Yöntemi
Anahtarın giriş yerine birim sürede gelen ARP isteğinin belli bir miktarı olacaktır. Bu miktar aşılırsa giriş yeri bunu saldırı algılayacak ve iletişimi durduracaktır.
2-) VLAN Hopping Atakları
Bu atak saldırganın ulaşamayacağı bir VLANa ulaşmasını sağlayan bir türdür. Saldırgan hangi VLANa bağlı olursa olsun, o VLANa bağlı tüm VLANlara erişebilir.
Bu saldırının iki çeşit türü vardır.
a-) Anahtar Sahtekarlığı (Switch Spoofing)
Bu atakta saldırgan kendisini anahtar gibi davranacak şekilde ayarlar. Saldıracağı VLANı etkilemek için kendisini anahtarmış gibi gösterecek bir porta sahiptir. Saldırganın kendisini portla anahtar gibi göstermesi tüm VLANlara üye olması erişimini gösterir.
b-)Çift Etiketleme (Double Tagging)
Bu atakta, paketin istenen VLANe erişebilmesi için porta giren çerçevelere (frame) iki adet IEEE 802.1q başlığı (header) eklenir. Çerçeveyi ilk alan anahtar birinci başlığı (header) çıkarır. Çerçeveyi alan ikinci anahtar, çerçeve içerisindeki ikinci başlıktaki VLAN bilgisi okuyarak paketi, gitmesini istediği hedef VLANe gönderir.
3-) Spanning-Tree Protokolü (STP) Atakları
STP (Spanning Tree Protocol - Spanning Tree Protokolü), bir ağda anahtarlayıcılar (switch ) arasındaki yedekli bağlantılarda meydana gelebilecek döngüleri engellemek için kullanılan bir protokoldür.
Korunma Yöntemi
Bilgisayar korsanları "portfast"ın (hızlı port) açık olduğu portlara anahtarlayıcılarını bağlayarak döngüye neden olabilir. Çünkü portfastin açık olduğu portlarda port, hemen iletim durumuna geçtiğinden bir süre döngü oluşabilir.
Bu durumu önlemek için "BPDU Guard" isimli bir özellik geliştirilmiştir. BPDU koruması, portfastın açık olduğu portlardan BPDU alınca o portu kapatma işlevi yapar. Böylece kötü amaçlı kişi anahtarlayıcısını ağa bağladığında, bağlandığı port otomatik olarak kapanır.
4-) Sahte MAC (MAC Spoofing) Atağı
Anahtara gönderilen çerçevelerin içerisindeki Kaynak Mac Adres kısmına dinlemek istediği bilgisayarın Mac adresini yazar. Buna Mac adresine göre anahtar güncelleme yapar. Anahtar Mac adres tablosunda saldırganın bağlı olduğu anahtar portunun içinde 2 tane Mac adresi olmuş olur. Ağlar arasında yapılan verilen böylece saldırganın bilgisayarına gönderilmiş olur.
5-) Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı
ARP yerel ağda yer alan IP adreslerini MAC adresleriyle eşleştiren bir protokoldür. Normalde ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini öğrenmek için anahtara ARP isteği (ARP request) paketi gönderir ve anahtar bu paketi tüm portlarına gönderir. Sadece paketin gönderileceği hedef bilgisayar bu ARP isteğine cevap verir. Paketi gönderen bilgisayar da bu IP - MAC eşleşmesini kendi ARP tablosunda tutar. Sahte ARP ataklarında saldırgan, paketin gönderileceği bilgisayarın yerine ARP isteğine cevap verir. Böylece paketi gönderen bilgisayarın ARP tablosunda (IP - MAC eşleşmesi tablosu) saldırgan bilgisayarının IP ve MAC adresleri bulunacaktır. Böylece hedefteki bilgisayar gönderilecek olan paketler saldırganın bilgisayarına gönderilir.
Korunma Yöntemi
Bu atağa önlemek için bilgisayarda statik arp girdisi eklenmesi gerekir.
6-) DHCP Açlık (DHCP Starvation) Atağı
DHCP açlık atağı, DHCP isteklerine sahte MAC adresleriyle cevap verme mantığına dayanan bir atak çeşididir. Yeterli miktarda DHCP istekleri ağ üzerinden dinlenildiği takdirde saldırgan, DHCP sunucularının atadığı IP adreslerini tespit edebilir.Daha sonra saldırganın yapması gereken sahte bir DHCP sunucusunu ağa dahil etmektir. Bu şekilde yeni ve sahte DHCP sunucusu ağdaki DHCP isteklerine cevap verecektir.
7-) VTP Açıklığı
VTP ağ yöneticilerinin VLANlerin eklenmesi, silinmesi ve isimlerini değiştirmesini sağlayan, Cisco cihazlara has bir protokoldür. VTP konusunda bir saldırı tespit edilmemiştir ama bu, saldırının olmayacağı anlamına gelmez. Saldırgan, anahtarın portuna bağladığı bilgisayarının portunu "trunk port" olarak tanımlayıp ağa sahte VTP mesajları göndererek, anahtara VLAN ekleyebilir, silebilir ya da değişiklik yapabilir. Gerçekleşme ihtimali düşüktür fakat böyle bir saldırı teorik olarak mümkündür.