raderde 1
raderde
Cannn6161 1
Cannn6161
noisiv 1
noisiv
Manwe Work 1
Manwe Work
Mt2Hizmet 1
Mt2Hizmet
melankolıa18 1
melankolıa18
romegames 1
romegames
Krutzo 1
Krutzo
shrpnl 1
shrpnl
Hikaye Ekle
Reklam vermek için turkmmo@gmail.com

Ethernet Temelleri ARP Güvenliği

Tarihe Göre Sırala Reaksiyona göre sırala
Nizam-ı Alem

Nizam-ı Alem

Asalet kana değil, duruşa bakar.
Telefon Numarası Onaylanmış Üye Turkmmo Discord Nitro Booster
Yönetici
Dergi Editörü
Turnuva
Admin
Yarışma
Gold Üye
Gümüş Üye
VIP Üye
Paylaşım
Ayın Üyesi
Katılım
15 May 2013
Konular
1,207
Mesajlar
7,323
Çözüm
6
Online süresi
2mo 16d
Reaksiyon Skoru
5,959
Altın Konu
410
Başarım Puanı
349
MmoLira
1,966
DevLira
3
Ticaret - 0%
0   0   0

ROHAN2 WORLD 1-120 TR TİPİ OFFICIAL YOHARA, BALATHOR VE AMON! 80. GÜNÜNDE! +10.000 ONLİNE! HİLE VE BOT %100 ENGELLİ HEMEN TIKLA!

ARP Güvenliği​

ARP güvenlik açıkları​

Adres Çözümleme Protokolü (ARP), ağ güvenliğinin çok gelişmediği zamanlarda tasarlanmıştır. Bu nedenle protokol, gömülü güvenlik içermeyen açık metindir .ARP paketlerini doğrulamaz ve ARP İsteği hiç gönderilmemiş olsa bile ARP Yanıtını kabul eder.Varsayılan olarak, hiçbir mekanizma bir sahte ana bilgisayarın kötü amaçlı ARP mesajları gönderip göndermediğini veya ARP İstek/Yanıtlarını kesip değiştirmediğini doğrulamaz. Birkaç iyi bilinen saldırı, ARP sahteciliği adı verilen aynı işlemi kullanır . Saldırganların nihai hedefi, Şekil 1'de gösterildiği gibi veri yoluna girmek ve özel verileri çalmaktır.

1.gif

ARP sahteciliği​

Yerel alan ağındaki bir sahte ana bilgisayar sahte ARP mesajları gönderdiğinde, MAC adresini varsayılan ağ geçidinin IP adresiyle veya LAN'daki herhangi bir başka IP ile ilişkilendirebilir. Daha sonra ağdaki başka bir ana bilgisayara yönelik verileri almaya başlayabilir. Bu sahtecilik tekniğini kullanan başlıca saldırılar şunlardır:
  • Ortadaki Ana: Bir davetsiz misafirARP mesajlarını yakalarmeşru kullanıcılardan alır ve verileri yeniden yönlendirecek şekilde değiştirir.​
  • Oturum Kaçırma: Bir bilgisayar korsanı ARP sahteciliği kullanmaya çalışıyorbir çerezi, belirteci veya oturum kimliğini çalmak içinböylece özel verilere yetkisiz erişim sağlayabilir. Yoğun otobüs istasyonları ve havaalanlarındaki halka açık WiFi ağlarında oldukça yaygındır.​
  • Hizmet Reddi (DoS) : Bir saldırgan,bir ana bilgisayarı veya ağ kaynağını kullanılamaz hale getirmekhedeflenen kullanıcılarına. Tipik olarak ARP sahteciliği durumunda, belirli ana bilgisayara yönelik meşru verileri çalarak veya ana bilgisayarı çok sayıda yanlış veya kötü biçimlendirilmiş ARP mesajıyla doldurarak yapılır.​
2.gif


Şekil 2'deki örneğe bakalım. PC1, Yönlendirici 1'in IP'si için bir ARP İsteği gönderir. Bildiğiniz gibi, LAN'daki tüm düğümler bu paketin bir kopyasını alır. Bu nedenle, IP 192.168.1.6'ya sahip bir saldırgan, yönlendirici 1'in yanıtını, IP 192.168.1.1 ile ilişkili fiziksel adresin 5445-CCCD-DDDD olacağı şekilde taklit edebilir veya değiştirebilir. Bu, PC1 ile Yönlendirici 1 arasındaki tüm trafiğin Şekil 1'de gösterildiği gibi saldırgandan geçmesini zorlar. Bu tür ARP istismarına genellikle ARP Zehirlenmesi denir .

ARP Güvenlik Özellikleri​

Cisco, yukarıda açıklanan güvenlik açıklarını gidermek için birkaç ARP güvenlik özelliği tanıttı.

Dinamik ARP Denetimi (DAI)​

Dinamik ARP denetimi (DAI) , ARP İstek/Yanıt mesajlarını yakalayan veMAC-IP bağlantılarını güvenilir bir veritabanına karşı doğrularDHCP dinlemesi adı verilen başka bir özellik tarafından oluşturulmuştur . Ana fikir, DHCP ile ana bilgisayarlara dinamik olarak IP adresleri atarsanız, anahtar DHCP mesajlarını dinleyebilir ve LAN'daki hangi ana bilgisayara hangi IP'nin verildiğini izleyebilir. Bu bilgilere dayanarak, daha sonra bir ana bilgisayarın kendisine atanmamış bir IP adresi için ARP isteğine yanıt verip vermediğini doğrulayabilir. Geçersiz veya yanlış ARP yanıtları düşürülür.

Özellik, anahtardaki her arayüze bir güven durumu atayarak çalışır. Güvenilir arayüzlere gelen ARP çerçeveleri denetimi atlarken, güvenilmeyen bağlantı noktalarında alınanlar bir doğrulama kontrolünden geçer. Tipik bir DAI yapılandırmasında, son istemcilere bağlı tüm anahtar bağlantı noktaları güvenilmez olurken, diğer anahtarlara/yönlendiricilere veya DHCP sunucularına bağlı bağlantı noktaları güvenilir olur .

1748687769137.png


Şekil 3'teki örneğe bakalım. Yeşil portlar güvenilir olarak yapılandırılmış, kırmızı olanlar ise güvenilmeyen portlardır.

ARP Oranı Sınırlaması​

ARP paketleri CPU'da işlenir , bu nedenle bir anahtar çok sayıda ARP çerçevesi aldığında, bu kolayca CPU'yu aşırı yükleyebilir ve cihazı çökertebilir. Bu, bir hizmet reddi saldırısı olarak kullanılabilir. DAI, her saniye CPU'ya gidebilecek ARP paketi sayısını sınırlayarak bunu engelleyen yerleşik bir mekanizmaya sahiptir. Bir anahtarda dinamik ARP denetimi etkinleştirildiğinde, otomatik olaraktüm güvenilmeyen portların hızı saniyede 15 ARP paketiyle sınırlıdır, güvenilir olanın hız sınırlaması yoktur. Gelen ARP çerçevelerinin hızı sınırları aştığında, arayüz devre dışı bırakılır.

DAI Kaydı​

Her reddedilen ARP paketi için bir günlük mesajı oluşturulur ve analiz için Güvenlik Operasyon Merkezi'ne (SOC) gönderilebilir veya üzerinde işlem yapabilen otomatik tehdit algılama algoritmalarına beslenebilir. Bu tür bir günlük mesajının bir örneği aşağıda gösterilmiştir.

Kod: 
14:21:58: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Gi1/0/21, vlan 1.([18b1.a4f5.3aa1/192.168.1.45/0000.0000.0000/0.0.0.0/14:14:21 UTC Fri June 12 2020])

Dinamik ARP Denetimini (DAI) Yapılandırma​

Şekil 3'te gösterilen topolojiyi bir örnek olarak kullandığımızı varsayalım. Her iki anahtarda da Dinamik ARP İncelemesini (DAI) etkinleştirmek ve gövde bağlantısını güvenilir olarak yapılandırmak için aşağıdaki adımlar gereklidir:

Adım 1: Her iki anahtarda DAI'yi etkinleştirme ve doğrulama.

Kod: 
SW1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

SW1(config)#ip arp inspection ?
  validate  Validate addresses
  vlan      Enable/Disable ARP Inspection on vlans

SW1(config)#ip arp inspection vlan 1

Aynı yapılandırmayı switch 2'ye de uyguluyoruz. Şimdi özelliğin durumunu doğrulayalım.

Kod: 
SW1#show ip arp inspection

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    1     Enabled           Active

 Vlan     ACL Logging      DHCP Logging      Probe Logging
 ----     -----------      ------------      -------------
    1     Deny             Deny              Off

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
    1              0              0              0              0

 Vlan   DHCP Permits    ACL Permits  Probe Permits   Source MAC Failures
 ----   ------------    -----------  -------------   -------------------
    1              0              0              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
    1                   0                        0                       0

Adım 2: Anahtarlar arasındaki bağlantıyı güvenilir bağlantı noktası olarak yapılandırın.

Kod: 
SW1#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID    Local Intrfce   Holdtme    Capability   Platform    Port ID
SW2          Fas 0/1          170                    3560        Fas 0/1

SW1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

SW1(config)#int fa0/1
SW1(config-if)#ip arp inspection trust
SW1(config-if)#end
SW1#
%SYS-5-CONFIG_I: Configured from console by console

SW1#sh ip arp inspection interfaces fa0/1
Interface        Trust State     Rate(pps)    Burst Interval
---------------  -----------     ---------    --------------
Fa0/1            Trusted                None                 1

Adım 3: DHCP Snooping'in çalıştığını ve MAC-to-IP Bağlantılarının olduğunu doğrulayın

Kod: 
SW1# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
18:50:FD:3D:4C:01 192.168.1.7 5227 dhcp-snooping 1 FastEthernet0/7

Şimdi, sahte bir ana bilgisayarın 192.168.1.7 için ARP önbelleğini zehirlemeye çalışan yanlış bir ARP yanıtı göndermesi durumunda ne olacağını görelim

Kod: 
14:21:41: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Req) on Fa0/7, vlan 1.([1841.0fc2.043d/192.168.1.7/0000.0000.0000/0.0.0.0/14:20:35 UTC Tue June 12 2020])

Özet​

  • ARP güvenli bir protokol değildir ve yerleşik güvenlik mekanizmalarına sahip değildir .​
  • ARP Spoofing (ARP Zehirlenmesi) etrafında dönen birkaç istismar iyi bilinmektedir.​
  • Cisco, bilinen güvenlik açıklarının çoğunu ortadan kaldıran Dinamik ARP Denetimi (DAI) adlı bir özellik tanıttı .​
  • DAI , DHCP'nin hangi IP adresini hangi bilgisayara verdiğini izleyen ve bu bilgiyi bir MAC-IP bağlama tablosunda depolayan DHCP Snooping adı verilen başka bir özelliğe dayanır .​
  • DAI , anahtardaki her arayüze bir güven durumu ilişkilendirerek çalışır . ARP paketi güvenilmeyen bir bağlantı noktasına ulaştığında, MAC-to-IP bağlama tablosuna göre doğrulanır.​
  • Güvenilmeyen portların hızı , Hizmet Reddi saldırılarını önlemek için saniyede 15 ARP paketiyle sınırlıdır .
 
Cevap yazmak için giriş yap yada kayıt ol.

Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)

Benzer konular

Nizam-ı Alem
Altın Konu Dinamik ARP Denetimi (DAI)
Cevaplar
1
Görüntüleme
35
Tolstoy
Nizam-ı Alem
Altın Konu IPv6 Komşu Keşif Protokolü
Cevaplar
1
Görüntüleme
32
Tolstoy
Nizam-ı Alem
Altın Konu DHCP Gözetleme (DHCP Snooping)
Cevaplar
0
Görüntüleme
33
Nizam-ı Alem
Nizam-ı Alem
Ethernet Temelleri ARP Özellikleri
Cevaplar
1
Görüntüleme
68
chengdu
Nizam-ı Alem
Altın Konu Spanning Tree'ye neden ihtiyacımız var?
Cevaplar
2
Görüntüleme
38
Son1Dem
Geri
Üst