Virtual Local Area Network (VLAN), bir ağın segmentlere ayrılarak broadcast trafiğinin azaltılmasını sağlar. Her VLAN bir broadcast domain ve subnet işlevi görür. Ayrıca segmentlere ayırma yöntemi sayesinde ağ güvenliği ve esneklik sağlar.
Switch Spoofing (Anahtar Sahtekarlığı) ve Double Tagging (Çift Etiketleme) olmak üzere iki yöntemi içerir. VLAN Hopping (Sekme) atakları, cihazların normal şartlarda VLAN'lara ulaştıkları yöntemden farklı olarak ağa bağlanıp portlara paketlerin gönderilmesi yolu ile VLAN bilgilerine ulaşılmasıdır. Bu yöntem sayesinde sadece bağlı olduğu VLAN bilgisine değil ağın içerdiği tüm VLAN bilgilerine erişim sağlanır.
Yapılandırılmamış portların olması bir ağ içerisinde büyük güvenlik açığına neden olur. Bu saldırı türünde saldırı yapacak cihaz, ağla kendisi arasında "trunk" port yaratır.
802.1q VLAN etiketlemesi yapabilecekmiş gibi göstererek veya bir anahtarlayıcı (switch) kullanarak yapar. DTP (Dynamic Trunking Protocol - Dinamik Trunk Protokolü) anahtarlıyıcıların portlarında "trunk" yapılandırmasının gerçekleştirilmesini sağlar. Eğer port dinamik otomatik olmaya ayarlıysa DTP paketlerini alabilir ve "trunk" port durumuna geçebilir. Bu durumlarda bu porta bağlanan herhangi bir cihaz ağla kendisi arasında "trunk" port oluşturur.
Atağın Double Tagging (Çift Etiketleme) yöntemi ile gerçekleştirilmesi durumunda VLAN içerisinde etiketlenmiş çerçevelerin portlardan iletebilmeleri için 802.1q özelliği ile tanımlanmış olması gerekir. Normalde bir portta tanımlama yapılmadığında etiketlenmiş çerçeveler iletilemez.
802.1q özelliği ile yapılandırılmış olan portlar bu paketlerin iletimini gerçekleştirirler. Yerli vlanlarda VLAN numarası tanımlanmadığında otomatik olarak VLAN 1 "yerli vlan" olarak atanır. Bu özellik bir ağı VLAN sekme ataklarına karşı savunmasız bırakır. Bu paketi alan ilk anahtarlayıcı dış başlığı çıkartır.
Paket karşılaştırıldıktan sonra tekrar başka bir anahtarlayıcıya gönderilir. Diğer anahtarlayıcı ise gelen paketi alır ve başlıktan VLAN bilgisini okuyarak istenen yere ulaştırır. Bu şekilde ulaşılamayan cihazlara farklı VLAN adresinde olmalarına rağmen erişim sağlanarak amaçlanan saldırı gerçekleştirilir.
Sechard Nasıl Önler?
Ek olarak Switch’lerde son cihazların bağlandığı tüm portlar erişim noktası olarak tanımlandığında da bu sorun çözülecektir. Ağda son cihazların bağlantıları sadece “access” olacak ve ağ ayarlarına erişilemeyecektir.
port link-type access: Port bağlantı tipi “access” olarak tanımlanır.
port link-type trunk: Port bağlantı tipi “trunk” olarak tanımlanır.
port link-type dot1q-tunnel: Tüm 802.1Q trunk bağlantı noktalarında yerel VLAN paketlerinin etiketlenmesini etkinleştirecek şekilde ayarlar.
undo port link-type dot1q-tunnel: Bağlantı noktasını interface configuration komutu ile “dynamic auto” varsayılan durumuna döndürür.
Bu adımlarda atağı önlemek üzere VLAN değerinin 1’den farklı bir numarayla değiştirilmesi gereklidir.
Bu atağın engellenmesi istenirse tüm güvenilmeyen portların DTP özelliğinin kapatılması gerekir.
Add Comment