SecHard

Layer2 Atakları ve Önleyici Kontroller

Owned by Kadir Çakıcı
Last updated: Jun 14, 2023 by seda peker
5 min read

SECHARD, Network cihazlarının marka bağımsız şekilde Security Audit Report’larını üretir, aksiyon alır ve güvenlik açıklarını kapatır.  SECHARD ile CLI’yı dahi bilinmeyen network cihazlarının güvenlik açıklarını kapatılabilir. Yapılan tüm Security aksiyonları detaylı bir şekilde kaydedilir.  Historical ya da System Event üzerinden bu aksiyonlar görüntülenir.

SECHARD, Network cihazlarının Security durumlarını sürekli kontrol eder. Bir değişiklik olması halinde gerekli düzenleme ve bildirimleri yapar.

 

·      Flooding Attacks: Flooding Attacks çeşitlerini kontrol eder ve kapatır.

·      Inspection Attacks: Inspection Attacks çeşitlerini kontrol eder ve kapatır.

·      Manipulation Attacks: Manipulation Attacks çeşitlerini kontrol eder ve kapatır.

·      Spoofing Attacks: Spoofing Attacks çeşitlerini kontrol eder ve kapatır.

·      Starvation Attacks: Starvation Attacks çeşitlerini kontrol eder ve kapatır.

·      Smurf Attacks: Smurf Attacks çeşitlerini kontrol eder ve kapatır.

·      Automated and Manual Hardening Actions: Güvenlik açıklarını Manuel ya da Otomatik olarak kapatır.

·      Auditing Layer 2 Network Attacks: Sürekli Konfigürasyon Denetimi ve Layer 2 Attack kontrolü yapar.

·      Tracking Security Score History: Security Score durumunu sürekli izler ve değişiklikleri Score History üzerinde gösterir.

·      Security Detail Reporting: Detaylı Security Report üretir.

·      Security Summary Reporting: Özet Security Report üretir.

 

Physical Security / Physical Attack

Genellikle aktifleştirilmemiş ve kullanılmayan portlar, üzerinde konfigürasyon yapılmamış şekilde bırakılır.  Bu portlar saldırganların her yere erişmelerini imkan tanır.  Kullanılmayan boş portların kapatılması ve ortamda kullanılmayan bir VLAN’a atılması bu riski ortadan kaldırır.

 MAC Flooding Attack / Flooding Attack

Mac Flooding, yerel ağlarda Switchlerin Cam Tablosuna doldurmaya yönelik yapılan DoS saldırı türüdür. Saldırgan tarafından Switch'e çok kısa bir süre içerisinde binlerce Mac adresleri gönderilir ve Switch bu Mac adresleri kaydeder. Cam Tablosunu doldurur ve gelen diğer isteklere cevap veremez hale gelir, gelen istekleri Hub mantığıyla bağlı olduğu tüm ağa gönderir. Bu durumda ağda ciddi bir yavaşlama olur ve saldırgan tüm ağı dinleyebilecek duruma gelir.

CDP Attack / Flooding Attack

Cisco Discovery Protocol (CDP) is a proprietary protocol that all Cisco devices can use by default. CDP discovers other Cisco devices that are directly connected. It simplifies configuration and connectivity by enabling devices to automatically configure their connections in some cases. CDP messages are not encrypted.

CDP contains information about the network version such as software version, IP address, platform, capabilities and local VLAN. When this information is available to an attacker computer, the attacker on that computer can use it to find exploits to attack your network, usually in the form of a Denial of Service (DoS) attack.

Saldırgan, CDP'nin bir yayın mesajında ​​ağ üzerinden gönderdiği cihazlar hakkındaki bilgileri koklamak için Wireshark veya diğer ağ analizörü yazılımlarını kolayca kullanabilir. Özellikle CDP aracılığıyla bulunan Cisco IOS yazılım sürümü, saldırganın söz konusu kod sürümüne özgü herhangi bir güvenlik açığı olup olmadığını araştırmasına ve belirlemesine izin verir. Ayrıca, CDP kimliği doğrulanmadığı için, bir saldırgan sahte CDP paketleri oluşturabilir ve saldırganın doğrudan bağlı Cisco cihazı tarafından alınmasını sağlayabilir. Saldırgan, Telnet veya SNMP aracılığıyla yönlendiriciye erişebilirse, tüm IOS düzeyleri, yönlendirici ve anahtar modeli türleri ve IP adresleme de dahil olmak üzere Layer 2 ve Layer 3'te ağınızın tüm topolojisini keşfetmek için CDP bilgilerini kullanabilir.

 LLDP Attack / Inspection Attack

 Cisco Discovery Protocol (CDP) ve Link Layer Discovery Protocol (LLDP) benzer amaçlar için kullanılır. Her ikisi de bir bağlantıda hangi tür cihazların bağlı olduğunu ve bazı cihaz yapılandırmasını (IP adresi, yazılım sürümü vb.) görmenin bir yolunu sunar. Genellikle bu bilgiler ağ mühendisleri tarafından büyük ağlarda sorun giderme verimliliğini artırmak için kullanılır. Bununla birlikte, bu bilgi genel olarak “dinleyen” herkese de açıktır, bu da bir saldırganın bağlı cihazlar hakkında büyük miktarda bilgi edinmek için aynı bağlantıyı dinlemesi gerektiği anlamına gelir.

ISDP Attack / Inspection Attack

 Cisco Discovery Protocol (CDP) ve Industry Standard Discovery Protocol (ISDP) benzer amaçlar için kullanılır. Her ikisi de bir bağlantıda hangi tür cihazların bağlı olduğunu ve bazı cihaz yapılandırmasını (IP adresi, yazılım sürümü vb.) görmenin bir yolunu sunar. Genellikle bu bilgiler ağ mühendisleri tarafından büyük ağlarda sorun giderme verimliliğini artırmak için kullanılır. Bununla birlikte, bu bilgi tipik olarak “dinleyen” herkese de açıktır, bu da bir saldırganın bağlı cihazlar hakkında büyük miktarda bilgi edinmek için aynı bağlantıyı dinlemesi gerektiği anlamına gelir.

STP Manipulation Attack / Manipulation Attack

Bu saldırı Spanning Tree Protocol (STP) kullanır ve saldırgan doğrudan veya başka bir anahtar aracılığıyla anahtardaki bir bağlantı noktasına bağlanır. STP parametreleri, saldırganın görünmeyecek çeşitli çerçeveleri görmesine yardımcı olan bir kök köprünün durumuna ulaşmak için manipüle edilir.

DHCP Starvation Attack / Starvation Attack

DHCP sunucularını hedefleyen başka bir ağ saldırısı türü, DHCP Starvation Attack olarak bilinir. Bir DHCP açlık saldırısında, bir saldırgan sahte kaynak MAC adresleri olan çok sayıda DHCP REQUEST iletisi yayınlar. Ağdaki meşru DHCP Sunucusu tüm bu sahte DHCP TALEP iletilerine yanıt vermeye başlarsa, DHCP sunucusu kapsamındaki kullanılabilir IP Adresleri çok kısa bir süre içinde tükenecektir. Bu saldırı DHCP sunucusunu servis dışı bırakmaya yönelik bir Servis atağıdır.

Bir DHCP açlık saldırısından ve sahte bir DHCP sunucusu kurduktan sonra saldırgan IP adreslerini ve diğer TCP / IP yapılandırma ayarlarını ağ DHCP istemcilerine dağıtmaya başlayabilir. TCP / IP yapılandırma ayarları Varsayılan Ağ Geçidi ve DNS Sunucusu IP adreslerini içerir. Ağ saldırganları artık orijinal meşru Varsayılan Ağ Geçidi IP Adresini ve DNS Sunucusu IP Adresini kendi IP Adresleriyle değiştirebilir.

1.1.1.8.ARP Spoofing Attack / Spoofing Attack

LAN üzerinden sahte ARP mesajları gönderildiğinde bir ARP kimlik sahtekarlığı saldırısı (MITM) gerçekleşir. Saldırganların MAC adresi daha sonra bir bilgisayarın IP adresiyle eşleştirilir. Bu noktada, saldırgan söz konusu IP adresi için herhangi bir veri almaya başlayacaktır. ARP sızdırma, saldırganların verileri yakalamasına, değiştirmesine ve durdurmasına olanak tanır.

Dinamik ARP denetimi (DAI) geçersiz ARP paketlerini reddeder. DHCP gözetlemesi, MAC adresi ve IP adresleri ile bir bağlantı veri tabanı oluşturduğundan DAI DHCP gözetlemesine dayanır. Gönderen MAC adresi ve gönderen IP adresi, DHCP gözetleme bağlamaları veri tabanındaki ilgili tablo girişiyle eşleşmezse anahtar herhangi bir ARP paketini düşürür.

Telnet Attack / Manipulation Attack

Hassas ağ yönetimi verilerini taşımak için birçok protokol kullanılır. Mümkün olduğu sürece güvenli protokoller kullanılmalıdır. Güvenli bir protokol seçeneği Telnet yerine SSH kullanımını içerir, böylece hem kimlik doğrulama verileri hem de yönetim bilgileri şifrelenir.

Telnet kullanılması durumunda tüm trafik düz metin olarak akar, Telnet Communication Sniffing, Telnet Brute Force Attack ve Telnet DoS – Denial of Service ataklarına maruz kalınabilir.

Vlan Hopping Attack / Spoofing Attack

VLAN Hopping, bir erişim bağlantı noktasına (belirli bir VLAN'a bağlı olan) bağlanan bir saldırganın diğer VLAN'lardan ağ trafiğine erişebildiği bir tür ağ saldırısıdır. Normalde, bir anahtar erişim portuna bağlı bir bilgisayar (belirli bir VLAN'a bağlı), yalnızca bu anahtar portu ile ilgili VLAN'dan trafik alabilir.

VLAN atlamalı saldırısını kullanarak, bir saldırgan, bir dinleyici (protokol çözümleyici) kullanarak ağ trafiğini başka bir VLAN'dan koklayabilir veya bir VLAN'dan başka bir VLAN'a trafik gönderebilir. İki tür VLAN atlamalı saldırı vardır. Bunlar Anahtar Kimlik Sahtekarlığı saldırısı ve Çift Etiketleme saldırısıdır.
Nonegotiate kullanımı ve Native Vlan kontrolü sayesinde VLAN Hopping Switch Spoofing and VLAN Hopping Double Tagging atakları engellenmiş olur.

ICMP Based Attack / Smurf Attack

ICMP tabanlı saldırı türlerinden biri de Smurf saldırısıdır. Smurf adı, 1997 yılında TFreak adlı bir kişi tarafından oluşturulan orijinal istismar aracı kaynak kodundan smurf.c'den gelir. Bir Smurf saldırıda, bir saldırgan, kurbanın sahte kaynak IP'si olan çok sayıda ICMP paketini bir ağ kullanarak bir ağa yayınlar. IP yayın adresi. Bu, ağdaki cihazların kaynak IP adresine bir yanıt göndererek yanıt vermesine neden olur.

SecHard