cng's - ARP Poisoning – ARP Zehirlemesi

Monday, September 11, 2006

ARP Poisoning – ARP Zehirlemesi v0.9 by cng of AGG

Ethernet protokol mimarisi sebebi ile oluşan bir açıktır. Yaklaşık 10 yıldır bilinmekle birlikte bu açıktan faydalanmak için üst düzey linux/unix bilgisi gerektirdiğinden yapmak zorDU.

Bununla birlikte ağ yöneticisi gerektiği zamanlarda ağı dinlemek istediğinde hub’a taktığı uç ve bir sniffer yazılımına ihtiyaç duyardı. Zamanla hub’lar üretimden kalkıp switchler ortaya çıktığından beri ağ yöneticileri artık “yönetilebilir” switchler alarak “mirror” port tanımı yapıp gerektiğinde ağı dinlemektedirler.

Detaylı bilgi için;

http://www.olympos.org/article/articleview/172/1/10/arp_spoofing

Bu yazıda windows altında sorunsuz ve etkili çalışan Cain&Abel yazılımı ile yapılan ARP Poisoning saldırılarının tiplerini ve görme/engelleme/yakalama çeşitleri yeralmaktadır. Döküman eğitim amaçlı hazırlanmıştır 3. şahıslar tarafından kötü amaçlı olarak kullanılması yazarı bağlamadığı gibi umrunda da olmaz.

Cain&Abel ne yapar? “Man in the Middle” olarak adlandırılan “ortadaki adam” saldırısını, ARP zehirlemesi kullanarak gerçekleştirir böylece ağ’daki kullanıcıların özel bilgilerini görmektedir. Bunu yaparken desteklediği protokoller oldukça fazladır böylelikle örneğin bir banka/alışveriş sitesinde kredi kartını kullanan bir kullanıcının site/sayfa SSL’li dahi olsa bilgilerini görmek mümkündür. Program kablosuz ağ’lara bağlanarak gene bu tip işlemlerin yapılmasını desteklemektedir.

Yazının anlaşılabilmesi için belki bildiğiniz belkide bilmediğiniz bazı protokolleri ve terimleri açıklamak gerekli. Lütfen ne kadar “biliyorumda” desenizde “SÖZLÜK” bölümünü gözden geçirmeyi ihmal etmeyin.

Sözlük:
ARP (http://tr.wikipedia.org/wiki/ARP); Address Request Protocol, lokal ağ’larda paketlerin gönderilmesini/alınmasını sağlayan ikinci katmanda (L2) çalışan protokol. OSI (http://tr.wikipedia.org/wiki/OSI_Modeli) katmanlama modeline göre temel amacı, L3’den gelen adresleme paketlerine L2 adresleme paketlerini eklemektir. DOD (http://en.wikipedia.org/wiki/DoD_model) katmanlama modeline göre temel amacı, L2’den gelen adresleme paketlerine L1 adresleme paketlerini eklemektir.

IP (http://tr.wikipedia.org/wiki/IP); Internet Protocol, internet ağ’ına bağlı her cihazın kendine ait en az bir adet IP adresi vardır bu adres başka hiçbir cihazda yoktur. Böylelikle “adresleme” sağlanmaktadır. IP protokol’ünü geliştiren ekip DOD modelini geliştirmiştir ve daha sonra geliştirilen OSI modelini “benimsememiştir”. Bu bakımdan bilişime yeni başlayan birinin L2’si eskilerin L1’ine denk gelmektedir, bu da bazen karışıklıklara sebep olmaktadır.

IPv4 (http://tr.wikipedia.org/wiki/IP_adresi); 32bit uzunluğuna sahiptir, güvenlik özelliği yoktur. Bu bakımdan güvenli haberleşmeyle ilgili protokoller daha üst katmanlarda çalışır.

IPv6 (http://tr.wikipedia.org/wiki/IPv6); 128bit uzunluğundadır, güvenlik özelliği vardır. Yaklaşık 10 yıldır geliştirilmektedir ve yaygınlaşması için belirlenen plana göre 2007 yılında tüm dünyanın geçmesi beklenmektedir.

Ethernet; Dünyada en yayğın olarak kullanılan arabirimin adıdır. 1973 yılında Xerox firması tarafından geliştirilmiş ve standartları DEC, Intel ve Xerox tarafından belirlenmiştir. Yaygın kullanıma 3Com firması sunmuştur.

Wirespeed (http://en.wikipedia.org/wiki/Wirespeed); Switch’e gelen paketin işlenmesi gecikmelere sebep olur (switch marka modeline göre; 10Mbit 40-70ms, 100Mbit 11-30ms, 1Gbit 4-8ms). Wirespeed özelliğine sahip switch’te böyle bir gecikme yaşanmaz. Böylece örneğin 1Gbit hızındaki porttan saniyede enaz 84byte’lık 1.448.000 adet, 1500byte’lık 83.333 paket (10Mbit’te 84byte’lık 14.880 adet, 100Mbit’te 84byte’lık 148.800 adet” veya “10Mbit’te 1500byte’lık 833 paket, 100Mbit’te 1500byte’lık 8.333 paket) gecikmeksizin işlenerek geçer.

Switch (http://tr.wikipedia.org/wiki/Switch); Anahtarlayıcı, portlarına takılı cihazların, host’ların, sunucuların ve istemcilerin macid’lerini ve hangi port’larda olduklarını kendi üstündeki bir tabloda tutarak ve sürekli güncelleyerek, “a” port’undan gelen paketin hedef macid’sini tablodan bulup, uyan port “b”ye gönderir.

PoE (http://en.wikipedia.org/wiki/Power_over_Ethernet); Power over Ethernet, ethernet portuna bağlanan PoE desteği bulunan cihaza (örneğin ip kamera) elektrik (1.8-60 volt) verilmesini sağlar. Böylece cihazın ayrıca bir elektrik kablosu kullanması gerekmez. Kullanılan CATx kablonun kaliteli olmasına özellikle dikkat edilmelidir.

L1 (http://tr.wikipedia.org/wiki/Physical) OSI; Birinci katman fiziksel katman, paketin hangi tür arabirim ile aktarılacağını ve iletimini sağlar. Üst katmanlardan gelen paketler binary olarak kodlanmışken bu katmanda, arabirimin tipine göre elektrik veya ışık sinyallerine çevirilir.

L2 (http://tr.wikipedia.org/wiki/Data_Link) OSI; İkinci katman veri bağlantısı katmanı, genellikle arabirimin içindedir bazı durumlarda işletim sistemi sürücüsü olarakta adlandırılır. Diğer cihazları/sunucu/istemcileri bulma, verinin gönderilme zamanının denetimi, iletimi ve hata kontrolümü yapar.

L3 (http://tr.wikipedia.org/wiki/Network) OSI; Üçüncü katman ağ katmanı, örneğin IP ve icmp bu katmanda çalışır, paketin ağ dışında bir başka ağ’a gönderilip gönderilmeyeceğine ve gönderilmesi durumunda paketteki adres değişimlerinden sorumludur.

L4 (http://tr.wikipedia.org/wiki/Transport) OSI; Dördüncü katman taşıma katmanı, veri paketlerinin arabirimin tipine göre ne kadarlık olacağına karar verip ayrımlarda bulunur. Port işlemleri bu katmanda yer alır, TCP ve UDP gibi protokollerin çalıştığı katmandır.

N-B (http://en.wikipedia.org/wiki/Non-blocking_I/O); Non-Blocking, switch’in, tüm portlarının hızlarının toplamından daha yüksek kapasiteli işleme gücü varsa, paket kaybı olmaksızın tüm portları tam kapasite çalıştırabileceğiniz anlamına gelir.

Gbit (http://en.wikipedia.org/wiki/Gbit); 1000Mbit’lik hız değerini temsil eder. Bu tür bir ortamda kaliteli switch, kablo ve kablolama kalitesi iyi durumdaysa saniyede enaz “84byte’lık 1.488.000 adet veya 1500byte’lık 83.333 adet paket geçebilir.

UpLink; Switch ortamlarda istemci ve sunucu hariç diğer bağlantıların yapıldığı port’lara verilen isimlendirmedir.

DHCP (http://tr.wikipedia.org/wiki/DHCP); Dynamic Host Configuration Protocol, ağ’daki host’lara istemci’lere otomatik olarak IP ve diğer servislerle ilgili IP adreslerini veren servistir.

MacID (http://tr.wikipedia.org/wiki/MAC_adresi); Media Access Control, 48bit uzunluğunda dır ve ilk 24bit üretici numaralarına ayrılmıştır, kanal 24bit her üreticinin kendi vereceği sıra numaraları gibi düşünülebilir. Dünyada üretilen arabirimlerin (örneğin ethernet kartınız) hiçbirinin macid’si diğeri ile aynı değildir, böylece ARP adreslemesi sorunsuz olarak çalışır.

Peki yönetici ile Cain&Abel kullanan arasında ne fark vardır? Temeldeki teknik fark şudur, birinci yöntemde ağda fazladan paket oluşumunu engelleyip yükü switch üstünde tutarak dinleme yapılmaktadır ve sorunu çözmeye yönelik kullanılır. ARP zehirleme saldırısında ise art niyetli kişi söz konusudur ve ağda fazladan paket oluşmasına sebep olarak ağdaki tüm switch’lere yük bindirir.

Dummy kullanıcı nedir? Böyle birşeyin varlığından haberi bile yokken “hacker (lamer)” arkadaşı veya bir “hacker (lamer)”la yaptığı konuşmada ARP Poisoning lafını merak eder, google açıp “arp poison” yazar ikinci linke (http://www.oxid.it/cain.html) tıklar...

Sonrasında;

Resim 01; Programı kurduktan sonra resimdeki adımları takip ederek hangi arabirimden paketleri göndereceğini/alacağını seçiyoruz. Örnekte 192.168.1.1 ip adresine sahip olan arabirim seçilmiştir. WinPcap yazılı olmadan program arabirimlerle haberleşemeceğinden çalışmaz. WinPcap programın içinden çıkmaktadır ve programın yüklenmesi esnasında kuruplup/kurulmayacağı kullanıcıya sorulmaktadır. Resimde “start” seçenekleri kapatılmıştır böylece ayarları yapana kadar program boş yere bilgisayarı meşgul etmeyecektir.

Resim 02; Kullanıcı ağ’daki diğer cihazları/istemcileri/sunucuları aramak için bu pencereyi kullanmaktadır.

Resim 03; Ağ’daki tarama sonucunda dinlenecek (zehirlenecek) istemci/sunucu seçiminin yapılacağı bölüm. Burda dikkat edilmesi gereken nokta “3” nolu işarettir. “3” nolu bölüme “tıklamadığı” sürece “4” nolu seçenek aktif olmayacaktır. Cain&Abel v2.9

Resim 04; Zehirleme bağlatılıp “1” gelen/giden paketlerin görüldüğü ekrandır. Eğer gelen/giden paketler 0’dan (sıfır) büyükse zehirleme başarılı olmuş demektir.

Resim 05; Örnek ağ’da kullanıcının email (pop3) şifresinin zehirleme sayesinde görüntülendiğini görmektesiniz. “username ve password” sütunlarına dikkat.

Resim 06; Örnek ağ’da kullanıcının bir başka bilgisayarın paylaşımına bağlanmak için kullandığı “kullanıcı adı ve şifre” ve bunlara ait hash’lenmiş bilginin içeriği görülmektedir. “6” nolu işaretteki seçenek ile bu hash’lenmiş bilginin içindeki şifrenin bulunması için, programın ilgili bölümüne hash’lenmiş bilginin aktarımı görülmektedir.

Resim 07; Şifre kırma ekranında çeşitli metodlar kullanılarak şifrenin bulunması (kırılması) gerçekleştirilir. Şifrenin uzunluğuna, kullanılan metoda, şifrenin karmaşıklığına ve şansınıza göre bu işlemler 1-2 saniye ile binlerce yıl arasında sürebilir.

“Dummy” kullanıcıyı yakalama; Kullanıcı heyecanla ağdaki herşeyi dinlemeye kalkacağından ağdaki trafik artacak ve switchler üzerindeki yük belirgin olarak artacaktır, bunu en basit “ışıklardan” veya switchler’i monitör ediyorsanız cpu’ların kullanım yüzdeleri artacaktır.

Basitçe yakalama, en yoğun cpu yüzdesi veya ışıkların sürekli yandığı switch’e bağlı kullanıcıları gözlemlemektir. İleri düzey yakalama, xarp yazılımı “http://www.chrismc.de/developing/xarp/index.htm” windows tabanlı sunucu/istemci’lere veya arpwatch yazılımı “http://ee.lbl.gov/” linux, bsd, unix tabanlı sunucu/istemci’lere yüklenerek arp cache’lerde ki değişiklikler görülebilir.

“Lamer”ı yakalama; Yakalayamadığınız için veya farkında bile olmadığınızdan ve “dummy” artık heyecanlanmadığından lamer’lığa terfi etmiştir. ARP zehirlemeye başlamadan önce makinesinin adını ve ip adresini değiştirmiş, antivirüs’ünü kapatmış ve macid’sini (linux, http://cse.msstate.edu/~rwm8/travesty/ - windows, http://www.klcconsulting.net/smac/) değiştirmiştir ve zamanlanmış görevleri (cron, at, windows task schedule) kullanmaktadır. Böylece Xarp veya Arpwatch gibi yazılımlarla “ip” ve “host”u tespit etmiş olsanızda kişiyi bulmak mümkün olmayacaktır. Bu noktada switch’e takılı kablolarıda tek tek çıkarıp takmakta bir çözüm olabilir.

Artık bundan bıktınız ve böyle birşeyin ağınızda olmasını istememektesiniz. Olursada kişiyi hemen bulmak ve gerekli yaptırımları/ceza’ları vermek istemektesiniz.

Bu durumda iki seçeneğiniz var, iki seçeneğin birbirine göre avantajları/dezavantajları bulunmaktadır.

A-) Dinamik arp yerine ağınızı statik arp çalışacak şekilde düzenlemek

B-) Switch’lerinizi ARP poisoning’e karşı korumalı seçmeniz

A-) Dinamik ARP yerine Stasik ARP kullanmaktaki temel amaç “arp broadcasting”i kapatmaktır.

Dezavantaj 1: “arp -s <ip> <macid>” şeklinde tüm sunucu/istemci’lere, tüm sunucu/istemci’lerin ip ve macid’leri girilmelidir. Bu yöntem ufak ağ’lar için uygundur, ağa dahil olacak her yeni makinenin macid ve ip adresini, yeni makineye ve çalışan diğer makinelere girmek gereklidir.

Avantaj 1: Böylece “arp broadcast” kullanılmayacak, arp tabloları sabit olduğundan ve ağ’dan gelen arp değiştirme istekleri kabul edilmediğinden arp zehirlemesi yapan kullanıcı hiçbirşey göremeyecektir.

Dezavantaj 2: Xarp ve Arpwatch gibi programlarla böyle bir atağın olup/olmadığını, kimin yaptığını göremeyeceksiniz.

B-) Switch konusu derin olduğundan bundan sonraki bölümlere geçmeden önce test ortamı hakkında biraz bilgi vermek yerinde olacaktır.

Yazılım:

Windows XP (http://www.microsoft.com) (win)
Windows 2003 (http://www.microsoft.com) (win)
Gentoo (http://www.gentoo.org) (lix)
VmWare (http://www.vmware.com) (lix)
Xarp (http://www.chrismc.de) (win)
DSniff (http://www.monkey.org/~dugsong/dsniff) (lix)
ArpWatch (http://ee.lbl.gov) (lix)
Yersinia (http://www.yersinia.net) (lix)
Cain (http://www.oxid.it) (win)
Liar (1998, özel yazılım, coder soulfly) (win)
Ettercap (http://ettercap.sourceforge.net) (lix)
QMail MailServer (http://www.qmail.org) (lix)
Ethereal (http://www.ethereal.com) (win) (lix)
Kerio MailServer (http://www.kerio.com) (win)
Travesty (http://www.cse.msstate.edu/~rwm8) (lix)
Smac (http://www.klcconsulting.net) (win)
Angst (http://angst.sourceforge.net) (lix)

Donanım:

Resim 08; Örnek ağ’ı oluşturan dizüstü bilgisayarlar. 2 adet Compaq, 1 adet Sony, 1 adet HP

Resim 09; Testleri gerçekleştirdiğim iki switch ve bağlantıları.

Resim 10; Switch’lerin modelleri.

4 adet Laptop
1 adet PC
2 adet Switch; Allied Telesyn, AT-8824 / Cisco Catalyst 3750
Güç, utp, ve konsol kabloları

Allied Telesyn (http://www.alliedtelesyn.com), “Arp Poisoning” engelleme özelliğindeki swichleri;
AT-8600 10/100, L3+ L4, WireSpeed L3 L4, 24-48 Port, 2x1Gbit UpLink, PoE
AT-8800 (bu seri artık üretilmemektedir)
AT-8900 10/100, L3, WireSpeed L3, 48 Port, IPv6, 4x1Gbit UpLink
AT-9900 10/100/1000, L3, N-B L3 L4, WireSpeed L3, 24 Port, Ipv6, 4x1Gbit UpLink

Cisco (http://www.cisco.com), “Arp Poisoning” engelleme özelliğindeki swichleri;
Catalyst 3550
Catalyst 3560
Catalyst 3750
Catalyst 4006
Catalyst 4503
Catalyst 4506
Catalyst 4507R
Catalyst 6500

Switch’ler üzerinde “arp poisoning” engelleme işlemi üreticiye göre farklı isimlendirilmektedir. ARP zehirlemesini engellemek için öncelikle üreticiler farklı dahi olsa aynı olan isimlendirme ile anılmaktadır “dhcp snooping”. Sonrasında üreticiye göre farklı olarak isimlendirilen “arp inspection, arp poisoning, arp security ...” gereklidir.

Bunun yapılabilmesi için 2 seçenek bulunmaktadır.

B1-) DHCP kullanmak

B2-) Sabit ARP tablosu oluşturmak

Avantaj 1: Ürüne göre, “dummy/lamer”ı bulmak çok kolaydır.

Dezavantaj 1: Bu tip switch’ler layer 2-3 özelliğinde olduğundan nispeten fiyatları diğer switch’lere göre biraz daha yüksektir fakat bu üreticiye göre değişmektedir, kimi üreticiler bu tip bir özelliği default olarak sunduğundan böyle bir switch aldığınızda fiyata dahildir. Kimi üreticiler de ise belli bir modelin üstünde olan ürünlerinde bu özellik bulunmaktadır.

B1-) Bu yöntemde DHCP kullanmak zorunludur. Zaten bir DHCP sunucusu kullanıyorsanız problem yoktur, kullanmıyorsanız ağınızı DHCP kullanır hale getirmeniz ve DHCP öğrenmeniz (10-15 dakika) gerekecektir.

Farklı üreticilerde bu komutlar birbirine yakındır. “dhcp snooping enable” veya “ip dhcp snooping”.

Bu komutun amacı; DHCP isteğinde bulunan istemci’lere, DHCP sunucusunun verdiği cevapları switch’in kendi üstünde ki bir tabloda (switch’e göre bu özellik tftp, ftp, http sunucuda da tutulabilmektedir) tutmasını sağlamaktır. Bu tabloda istemciye verilen ip adresi ve istemcinin macid’si yer alır. Bu tablo dışında bir ip/macid’si ile ağa girilmeye çalışıldığında “ip=macid” karşılaştırılması yapılır ve eşleşmeyen paketler otomatik olarak “drop” edilir.

Allied Telesyn;

Resim 11; “set dhcpsnooping port=ALL” komutu ile öncelikle dhcpsnooping özelliğinin hangi port’lara uygulanacağını seçiyoruz.

Resim 12; “enable dhcpsnooping” komutu ile dhcpsnooping özelliğini aktif hale getiriyoruz. Öncesinde tüm portlara dhcpsnooping özelliğini uyguladığımızdan artık dhcp’den ip almamış hiçbir cihaz ağ’da aktif olamayacaktır.

Resim 13; “sh dhcpsnooping” komutu ile dhcpsnooping durumunu görmekteyiz.

Resim 14; “set dhcpsnooping port=1 trusted=on” komutu ile dhcp sunucunun bulunduğu port’u belirlemekteyiz. Trused parametresi o porta güvenileceği ve bu porttan gelen paketler ne olursa olsun kabul edileceğini belirtir. Port numarası değiştirerek “uplink” port’larıda bu şekilde ayarlamalıyız.

Resim 15; “sh dhcpsnooping port” komutu ile port’ların durumlarını ve “trusted” bilgilerini görebiliyoruz.

Resim 16; “enable dhcpsnooping arpsecurity” komutu ile “arpsecurity” (arp zehirlemesini asıl engelleyen) özelliğini aktif hale getiriyoruz.

Resim 17; “sh dhcpsnooping” komutu ile dhcpsnooping ve arpsecurity durumlarını görmekteyiz.

Cisco;

Resim 18; “ip arp inspection vlan x” komutu ile switch’in özelliğini aktif hale getirip istediğimiz vlan’a atıyoruz.

Resim 19; “interface gigabitethernet 1/0/x ve ip arp inspection trust” komutlarını kullanarak hangi port’a DHCP sunucunu bağladığımızı ve uplink’port’larının hangileri olduğunu belirtiyoruz.

Resim 20; “sh ip arp inspection interfaces” komutu ile port’ların durumlarını görebiliriz.

Resim 21; Consol’a dhcpsnooping sebebiyle gelen bloklama mesajları.

B2-) İstemci’lerde yapılan “arp -s” komutunun benzeri olarak bunu switch’ler üzerinde yapabilirsiniz. Bu istemcilerle tek tek uğraşmanızı gerektirmeyecektir.

Bu işlemi istemciler üzerinde yapmak yerine switch’ler üzerinde yapmakta mümkün;

Allied Telesyn;

Resim 22; “add dhcpsnooping binding=00-11-11-00-00-99 int=vlan1 ip=192.168.1.100 port=2” komutu ile dhcp kullanmadığımız ortamda istemci/sunucu/host/cihazların macid, ip adreslerini ve port bilgilerini girerek sabit arp tablosu yaratmaktayız.

Cisco;

Resim 23; “arp access-list xxxxxxx” komutu ile statik arp tablosu ismi veriyoruz “permit ip host x.x.x.x mac host xx-xx-xx-xx-xx-xx” komutu ile cihazları/sunucuları/istemci’lerin macid ve ip adreslerini tablomuza ekliyoruz daha sonra “ip arp inspection filter xxxxx vlan x static” komutu ile hazırladığımız tabloyu istediğimiz vlan’a statik olarak atıyoruz.

Resim 24; “sh arp access-list” komutu ile hazırladığımız statik tabloların adlarını ve içeriğini görebilimekteyiz.

Allied Telesyn;
1- Açılışında çıkan yoğun fan sesi birkaç dakika sonra azalsada, “oda” ortamında kullanımı bir süre sonra sinir bozulmasına yol açmakta. Allied Telesyn hemen hemen tüm modelleri maalesef bu şekilde çalışmaktadır.

2- Dhcpsnooping ve arp security işlemlerini başarıyla ve “performansından ödün vermeden” (şirket (Türk) yetkililerinin buna verdikleri cevap; “Bu bloklama işlemi switch’in cpu’suna gitmeden yapılmakta” oldu) yapabilmesine rağmen bu işlemlere ilişkin snmp veya syslog bilgisi üretmemektedir. Debug modu açıldığında bloklamalara ilişkin bilgiler görüldüğü halde, bunların “geri bildirimini” yapmaması büyük eksiklik. Şirket (Türk) yetkilileri ile yapılan görüşmelerde bu kadar basit ve “zaten olması” gereken bir özellik için, “kaç tane alacaksınız?” sorusu ile karşılaştım bu da bende şirketin güvenirliğinin tekrar gözden geçirilmesine yol açtı.

3- Port’tan geçecek (bu yazıda anlatılmamıştır) arp paketi sayı (rate) limitlerini düzgün olarak çalıştıramadım. Rate limiti nasıl ayarlarsam ayarlayayım her seferinde atak olduğunu sandı ve ilgili port’u kapattı.

4- Port’ların atak gelmesi durumunda “kapatılması” işlemi başarıyla çalışmakta.

5- Cihaz TFTP’den statik arp ve dhcpsnooping tablolarını güncelleyebilmek gibi güzel bir özelliğe sahip ayrıca cihazın üstünde script yazılabilmekte.

Cisco;
1- Sessiz. Cihazın çalışması esnasında içindeki fanlar döndüğü halde çalışıp/çalışmadığını anlamak için ışıklarına bakmak gerekiyor.

2- Dhcpsnooping ve arp security işlemlerini başarıyla fakat performansından ödün vererek (cihazın üstünde rule, accesslist, routing vs.. özellikleri açıldığında) çalışmakta. Geri bildirimler doğru ve detaylı. Bu detaylar özellikle syslog kullanan yöneticilerin çok hoşuna gidecektir.

3- Port’tan geçecek (bu yazıda anlatılmamıştır) arp paketi sayı (rate) limitleri düzgün olarak çalışmakta. Bu özelliğin “her port” için tek tek ve test edilerek ayarlanması gerekli.

4- Port’ların atak gelmesi durumunda “kapatılması” işlemine sahip değil. Şirket (Türk) yetkilileri ile yapılan görüşmede böyle bir özelliğin yazılıma eklenmesinin pek kolay olmadığı (“sizin için kasamayız biz Türk’üz ezik milletiz” zihniyetine sahip olduklarını anladım) anlatıldı.

Düşüncem, firmanın Türkiye’den yapılacak böyle bir talep için ekstra zaman harcayıp yazılımı geliştirmeyeceği yönündedir.

5- Statik arp ve dhcpsnooping tablolarını güncellenmesi ancak cihaza bağlanılarak yapılabilmekte bu da port sayısı fazla olan ağ’larda uzuunnn iş yükü demek.

Bilisim

posted on Monday, September 11, 2006 1:34:14 PM (GTB Standard Time, UTC+02:00)

Saturday, December 16, 2006 7:50:35 PM (GTB Standard Time, UTC+02:00)

guzel yazi... cisco'nun bildigim kadariyla networkde bir numarali bir sirket oldugunu duymusdum (oyle de sanirim). benim bir kac sorum olucakdi aslinda bu yazinla ilgili.

bahsettigin herhangi bir switcher'in bir portundan baglanan baska bir swither'dan gelen packetleri gordugunde, 1 den fazla macid sine sahip oldugundan ana portu kapatir mi?

kapanan portlari acmak icin gene switcher'a baglanilacagindan, switcher'a kapanan portdan erismek mumkun mu?

bir de merak ettigim baska konu, 4-5 tane boyle switchler var. hepsi birbiri uzerine baglanilmis. ama sadece bir tanesinden internet geliyor ve diger switcherlara dagitiyor. internete en uzak duran switchera baglanmis bir bilgisayar da bulunmakda. simdi dhcp yapilmak istenirse, hangi switcher da ozelligi acmamiz gerek? sorunun devami degil ama ekstra bi soru; eger internete baglanan switchera bir de arp security konulursa, portundan fazla macid'si oldugu icin butun portlari kapamaz mi? (her portta en az 1 switcher ve her switcher'da da en az portu kadar bilgisayar bagli oldugu dusunulurse ?)

cicso'nun networking ile ilgili bir egitimi oldugunu duydum, network uzerine sertifikasyon dagiticani da.. ne kadar iyi olur bu seyi almak ? (egitim istanbulda veriliyordu sanirsam.)

hfg

Thursday, September 27, 2007 10:30:01 AM (GTB Standard Time, UTC+02:00)

hfg, öncelikle geç kalmış cevap için özür...

port kapama cisco'da "rate limit ve arp limit" gibi özelliklerle sağlandığı için port sayın arttıkça her port için "tek tek" ayar çekmek gerekmekte...!

kapanan porta ulaşmak mümkün değil, switch'in "console portundan" veya "trusted" olarak tanımlanmış portlardan birinden girerek açabilirsin veya web arabiriminden...

dhcp için hangi switch'e bağlı olduğunun önemi yok "statik ip" ile çalışan cihazların (bilgisayar, router, fw ve benzeri) switch'e bağlı oldukları portları "trusted" olarak tanımlaman gerekli. switchleri birbirine bağladığın link portlarınada "trusted" yetkisi vermelisin.

marka ve ürün bağımsız olarak benim düşüncem, eğitim merkezlerinin hiç bir işe yaramadıklarıdır. sertifika almak için eğitim kitabını alıp ezberleyip sonrasında braindump sitelerinde biraz gezinip sınava girmek yeterlidir. Gerçek hayatta ne derece işine yarar veya bir işe girdiğinde eğitime gitmiş olsan dahi öğretilenler ne derece işine yarar.... bence yaramaz.. belki çok küçük bir ihtimal 10'da 1'ini kullanılır....

cng's

Sunday, October 28, 2007 2:35:00 AM (GTB Standard Time, UTC+02:00)

Aslında arp-poisoning olayı için tam bir çözüm bulunmuyor bildiğim kadarıyla, catalyst sw serileri ile bir derece işin içinden çıkılabiliyor fakat ip-sentinel gibi uygulamalarda bu da sıkıntı oluşturuyor, kendi test sistemimde (2924xl) nette yaygın olarak çözüm olarak sunulan "port security" ile istediğim sonuca ulaşamadım, en azından cain ve ip-sentinel için geçerli bu. İleri seviye catsw fiyatlarını düşünürsek (milyarlardan bahsediyoruz) client taraflı önlem almak en anlamlısı oluyor, arpwatch bir derece faydalı, sonuçta izleme programı, fakat bu önlem yazıda bahsi geçen lamerler için fayda sağlayabilir. Firewall (zonealarm vs.) ile de çözüm sağlanabilir. Stateless protokollerin kaderi bu :) .

molvix

Sunday, October 28, 2007 2:41:34 PM (GTB Standard Time, UTC+02:00)

molvix, port security engellemek için çare değil zaten.
duyduğum kadarıyla a.t. switchlerin alt modellerinde de olacakmış.
bildiğim kadarıyla client tarafında önlem almak için sadece static arp tanımı yapabilirsin diğer yöntemler ile (zone alarm vs..) engellenemez. kolay gelsin.

cng's

Tuesday, May 06, 2008 10:27:37 AM (GTB Standard Time, UTC+02:00)

tcp/ip protokolunde pakedin icine ip adresi ve mac adresi konuluyor bunlarda arp tablosunda tutuluyor arp tablosusu görebildiğimiz bi program varmı veya paket ulaştığında ip ve mac adreslerinin de yenında gösterilmesi gibi bişey

HAKAN

Wednesday, May 21, 2008 12:58:10 PM (GTB Standard Time, UTC+02:00)

selam hakan, tcp/ip değil, gw'e kadar olan iletişimde tüm protokoller mac kullanır.
arp tablosunu ip destekli bir cihazda veya işletim sisteminde "arp -a" komutu ile görebilirsin.
eğer switch üzerindeki tabloyu görmek istersen switch'in yönetilebilir (manageable) olması gerekmekte, böyle bir switch'e sahipsen her marka ve modelin komutları farklı olduğundan teknik dökümanlarında (genelde pdf olur) dosyalarından ilgili komutu bulabilirsin.

cng's

Name
E-mail
Home page

	Remember Me
Comment (HTML not allowed)
Enter the code shown (prevents robots):
Live Comment Preview