Layer 2 hücumları 1-ci bölüm
Bu məqalə ilə bəlkədə çoxlarının ihmal etdiyi amma şəbəkəmizin təməlini təşkil edən təhlükəsizlik tədbirləri almağımızın nə dərəcədə vacib olduğundan bəhs etməyə çalışacam. Hansı təhlükələrin olduğundan bəhs edəcəm. Eyni zamanda hansı tədbirlər almaq lazımdır? sualını cavanlandırmağa çalışacam. Ümid edirəm mövzu hər birimiz üçün maraqlı olar və praktikazında tətbiq edərsiniz. Birinci bölüm sizə sıxıcı gələ bilər çünkü bu bölümdə təhdidlərdən bəhs edəcəm. Digər bölümlərdə alacağımız tədbirlərdən bəhs etməyə başlayacam.
Şəbəkəmizdəki təhlükəsizliyi təmin edə bilmək üçün ola biləcək təhdidləri üst layer-lərə daşımaqdansa, mümkün olduğu qədər aşağı layer-lərdə qarşısını almaq lazımdır. 2-ci layer hücumları daxili şəbəkəmizin (LAN) içindən olduğu üçün firewall tərəfindən təsbit edilməməkdədir. Çünki bu sistemlər daha çox 3-cü və daha üst layer-lərin təhlükəsizliyi üçün hazırlanıbdır. Eyni zamanda bunlar çöl şəbəkədən iç şəbəkəyə gələ biləcək təhdid və hücumların qarşısını almaq məqsədiylə istifadə olunmaqdadır.
İndi isə OSİ modeli layer 2 hücumlarından bəhs edək.
Layer 2 Hücumları
1. MAC Adres Hücumu – CAM table overflow attack –
Switch-lər öz portları arasındakı məlumat mubadiləsini tutduqları MAC adres cədvəlinə baxaraq təmin edirlər.
MAC adres cədvəlində; port nömrəsi, porta qoşulu olan avadanlıq(lar)ın MAC adres(lər)i və həmin portun aid olduğu VLAN nömrəsi saxlanılır.
Switch2#show mac address-table
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
10 0025.9067.ba72 DYNAMIC Po5
10 0800.37a0.97fa STATIC Gi0/44
Switch portlarına gələn bir çərçivənin (frame) hədəf MAC adres bölümünə baxır. Sonra isə bu hədəf MAC adresin öz MAC cədvəlində olub olmağına baxar. MAC adres cədvələdə varsa onu həmin portdan göndərir. Bu proses switching adlanır, bütün layer 2 avdanlıqlar bu prinsiplə işləyirlər. Switch-lərin zəif cəhəti bu CAM cədvəlinin dolması ilə üzə çıxır. Switch MAC adres cədvəllərinin bir say limiti var. Bu limit saniyələr içində bir ataker tərəfindən doldurula bilər. Cədvəl dolduqdan sonra switch bir hub kimi işləməyə başlayır. Aldığı frame-ləri gələn portdan başqa bütün portlarından göndərir. Bu zəiflik ataker-ə switch üzərində hər hansı bir port yönləndirmə etmədən, switch-in MAC cədvəlini saxta MAC adreslərlə dolduraraq bütün trafiki dinləmə imkanı verir.
Bunu etmək çox sadədir. 35 $ dəyərində kiçik bir cihazla bütün şəbəkəyə CAM table overflow attack edə bilər.
Digər bir üsul: Kali Linux-dan aşağıdakı komandanın şəbəkəyə buraxılması yetərli olar.
root@kali:~# root@kali:~# root@kali:~# macof -i eth
2. VLAN Hopping hücumları
VLAN Hopping hücumu, atakerin aid olmadığı və normal vəziyyətdə görə bilmədiyi bir VLAN-a qoşulmanı əldə edə biləcək bir hücum növüdür. VLAN Hopping hücumunda olan bir ataker şəbəkədə hansı VLAN-a bağlı olmasına baxmayaraq, digər bütün VLAN-lara bağlana bilir. VLAN Hopping hücumunun iki tipi vardır:
a) Switch Spoofing
Bu tip hücumda ataker, özünü bir switch kimi göstərir və bağlı olduğu portu İSL yaxud İEEE 802.1q VLAN etiketləmə ilə konfiqurasiya olunmuş trunk port kimi şəbəkəyə qoşur. Bildiyimiz kimi İSL və ya İEEE 802.1q trunk portlar 1-dən çox VLAN-ı öz üzərində daşıya bilir. Bu imkan ona şəbəkədə olan bütün VLAN-lara üzvlük və təsir etmək imkanı yaradır.
b) Double Tagging
Bu hücum tipində paketin istənilən bir VLAN-a getməsi üçün porta girən çərçivələrə (frame) iki ədəd İEEE 802.1 başlığı (header) birləşdirilir. Çərçivəni (frame) ilk alan switch birinci başlığı çıxarır. Çərçivəni (frame) alan ikinci switch , frame içərisindəki ikinci başlıqdakı VLAN nömrəsinə baxaraq paketi getmək istədiyi hədəf VLAN-a göndərir.
3. Spanning-Tree protokolu (STP) hücumları
Spanning-Tree bir şəbəkədə yarana biləcək loop-ların qarşısını almaq məqsədi ilə yaradılmış bir protokoldur. Spanning-Tree protokolunun aktiv olduğu switch-lər öz aralarında bir kök switch (root switch) seçirlər. Spanning-Tree protokoluna daxil olan hər switch-in bir “bridge ID” dəyəri vardır. Bu İD “bridge prirority” və MAC adres dəyələri nəzərə alınaraq hesablanır. Hər bir switch-də “bridge prirority” default olaraq 32768 ədədinə uyğun gəlir. “bridge prirority” dəyəri ən kiçik olan switch kök (root switch) olaraq seçilir. Bu seçim BPDU çərçivələri vasitəsi ilə edilir. Şəbəkəyə BPDU çərçivəsi (frame) buraxan bir PC qoşub , bu PC-nin göndərdiyi çərçivələrin( frame) içindəki “bridge prirority” dəyərini 0 seçməklə, şəbəkəyə qoşduğumuz PC-nin root switch-in yerinə keçməsi təmin edilə bilər. Beləliklə bütün şəbəkə trafiki bu saxta kök switch olan konpüter üzərindən keçəcək. Eyni zamanda root switch-i əvəzləyən bu PC-inin şəkəbəkə kabelini müəyyən intervalla çıxarıb taxmaqla kök switch (root switch) seçiminni yenidən başladaraq şəbəkə kəsilmələri və performans problemləri yaratmaq olar. Bu PC-nin yerinə başqa bir switch yerləşdirilib , “bridge prirority” dəyəri 0 seçilib bu switch-də root switch kimi göstərilə bilərlər.
4. Saxta MAC (MAC Spoofing) hücumu
Bu hücum növündə ataker, switch-ə göndərilinən çərçivələrin (frame) içərisindəki “başlanğıc MAC adres” bölümünə, izləmək istədiyi istifadəçinin MAC adresini yazır. Switch MAC adres cədvəlində bu dəyişkiliyi qeyd edər. Beləliklə switch-in MAC adres cədvəlində, atakerin qoşulduğu port üçün iki ədəd MAC adres yerləşmiş olur. (atakerin MAC adresi və hədəf kompüterin MAC adresi) Beləliklə hədəf kompüterə göndərilən çərçivələr də (frame) də atakerin kompüterinə göndərilmiş olur. Hədəf kompüter şəbəkəyə paket göndərənə qədər bu vəziyyət davam etmiş olacaqdır.
5. Saxta ARP (ARP Spoofing, ARP Poisoning) hücumu
ARP lokal şəbəkəmizdə olan İP adresləri MAC adreslərələ birləşdirən bir protokoldur. Normal vəziyyətdə, şəbəkədə olan bir kompüter , paket göndərəcəyi başqa bir kompüterin MAC adresini öyrənmək üçün ARP istəyi (ARP request) paketi göndərir və switch bu paketi bütün portlarına göndərir. Sadəcə paketin göndəriləcəyi hədəf kompüter bu ARP istəyinə cavab verir. Paketi göndərən kompüterdə bu İP – MAC kombinasiyasını öz ARP cədvəlində tutur.
Saxta ARP hücumlarında ataker, paketin göndəriləcəyi kompüterin yerinə ARP istəyinə cavab verir. Beləkilə paketi göndərən kompüterin ARP cədvəlində atakerin İP və MAC kombinasiyası olacaqdır. Bununlada hədəfdəki kompüterə göndəriləcək olan paketlər atakerin kompüterinə göndərilir.
Ataker default gateway yerinə ARP istəklərinə cavab verməyə başlasa, şəbəkədən çölə çıxacaq bütün paketlər normal gateway-in əvəzinə atakerin kompüteri üzərindən çöl şəbəkəyə çıxacaqdır. Beləliklə ataker həm şəbəkədən çıxan bütün paketləri izləyə biləcəkdir, həmdə kompüterinin hardware imkanlarına görə şəbəkədə keyfiyyət dəyərini olduqca aşağı düşməsinə səbəb olacaqdır.
6. DHCP Stavation hücumu
DHCP Starvation hücumu, DHCP istəklərinə saxta MAC adreslərlə cavap verməyə çalışılan bir təhdid növüdür. Yetərli miqdarda DHCP istəklərini şəbəkə üzərində dinləyən ataker, DHCP serverlərin payladığı İP adresləri təsbit edə bilir. Bundan sonra atakerin atacağı addım, saxta bir DHCP serveri şəbəkəyə buraxmaqdır. Beləliklə bu yeni və saxta DHCP server şəbəkədəki DHCP sorğularına cavab verəcəkdir.
DHCP cavab paketlərinin içərisində default gateway və DNS serverlərin adresləridə göndərilir. Ataker bu default gateüay və DNS lərin əvəzinə öz avadanlığının adreslərini verə bilir. Beləliklə şəbəkədən çölə çıxacaq bütün paketlər atakerin kompüteri üzərində keçəcəkdir. Bu hücuma eyni zamandada “man-in-the-middle” hücumuda deyirlər.
7. CDP boşluğu
CDP ikinci layer-də işləyən və Cisco avadanlıqların bir birini tanımaları üçün yaradılmış bir protokoldur. CDP çərçivələrin (frame) içərisində cihazın adı (hostname) , İP adresi, cihazın modeli, cihazın İOS versiyası kimi məlumatlar yer almaqdadır. Bu məlumatlar şəbəkə üzərində açıq (clear text) olaraq, şifrəsiz bir formada göndərilməkdədir. Avadanlığa aid bir məlumatların şəbəkə üzərində açıq bir formada göndərilməsi təhlükəlidir. Avadanlığın marak və modeli öyrənilərək; bu marka və modeldə olan açıqlıqlardan yararlanaraq avadanlığa hücumlar edilə bilər. CDP vasitəsiylə hər bir cihazın qonşuluğundakı avadanlıqlarda görülə bilməkdədir. Bundan istifadə edərək şəbəkənin topologiyası asanlıqla öyrənilə edilə bilər.
8. VTP boşluğu
VTP şəbəkə inzibatçılarının VLAN-ları yaratmaq, silmək və adlarının dəyiştirilməsi kimi halların mərkəzləşmiş bir formada həll olmasına imkan yaradan Cisco avadanlıqlarına xas ikinci layer bir protokoldur.
Ataker, qoşulduğu portu trunk port olaraq göstərərək şəbəkəyə saxta VTP mesajarı göndərməklə, client switch-lərə VLAN-lar əlavə edə , silə və dəyişiklik edə bilər. Ehtimalı az olsa belə teorik olaraq bunu etmək mümkündür.
Bu hücum VLAN-ların öyrənilməsi məqsədiylədə edilə bilər. Ataker şəbəkəyə qoşduğu switch-i VTP client switch moda keçirməklə şəbəkədə olan bütün mövcud VLAN-ları və onlara uyğun verilmiş adların hər birini təyin edə bilər.
Yuxarda Layer 2 hücumları ilə bağlı fundamental məlumatları olduqca qısa formada göstərməyə çalıştım. Bundan sonrakı məqalələrimdə bu hücumları daha detallı izah edəcək və hücumlardan qorunma yollarının göstərməyə çalışacam. Ümid edirəm ki, bu məlumatlar azda olsa sizə yol göstərici ola bilmişdir.
Şərhlər ( 1 )
Salam.
Cox lazımlı məqalədir. Statistikaya göre atackların 50 faizdən çoxu daxilden gəldiyi üçün yuxarıda yazılanları qətiyyən göz ardı etmək olmaz.