SecHard
1.2.1.2. Security
SECHARD, Network cihazlarının marka bağımsız bir şekilde Security Audit Report’larını üretip, aksiyon alarak bu güvenlik açıklarını kapatır. SECHARD ile CLI’yı dahi bilinmeyen network cihazlarının güvenlik açıklarını kapatılabilir. Yapılan tüm Security aksiyonları detaylı bir şekilde kaydedilir. Historical ya da System Event üzerinden bu aksiyonlar görüntülenir.
SECHARD, Network cihazlarının Security durumlarını sürekli kontrol eder. Bir değişiklik olması durumunda gerekli düzenleme ve bildirimleri yapar.
· Flooding Attacks: Flooding Attacks çeşitlerini kontrol eder ve kapatır.
· Inspection Attacks: Inspection Attacks çeşitlerini kontrol eder ve kapatır.
· Manipulation Attacks: Manipulation Attacks çeşitlerini kontrol eder ve kapatır.
· Spoofing Attacks: Spoofing Attacks çeşitlerini kontrol eder ve kapatır.
· Starvation Attacks: Starvation Attacks çeşitlerini kontrol eder ve kapatır.
· Smurf Attacks: Smurf Attacks çeşitlerini kontrol eder ve kapatır.
· Automated and Manual Hardening Actions: Güvenlik açıklarını Manuel ya da Otomatik olarak kapatır.
· Auditing Layer 2 Network Attacks: Sürekli Konfigürasyon Denetimi ve Layer 2 Attack kontrolü yapar.
· Tracking Security Score History: Security Score durumunu sürekli izler ve değişiklikleri Score History üzerinde gösterir.
· Security Detail Reporting: Detaylı Security Report üretir.
· Security Summary Reporting: Özet Security Report üretir.
Network Attacks
SECHARD, sahip olduğu Security özelliği ile muadili olmayan bir üründür. Network cihazlarına yapılabilecek muhtemel Layer 2, Layer 3 ve Layer 7 Application Attack’ları algılayıp, konfigürasyon ile engeller. Mevcut konfigürasyona bakarak hangi Attack’lara maruz kalabileceğini raporlar.
1.1.1.1.Physical Security / Physical Attack
Genellikle aktifleştirilmemiş ve kullanılmayan portlar, üzerinde konfigürasyon yapılmamış şekilde bırakılır. Bu portlar saldırganların her yere erişmelerini mümkün kılar. Kullanılmayan boş portların kapatılması ve ortamda kullanılmayan bir VLAN’a atılması bu riski ortadan kaldırır.
1.1.1.2.MAC Flooding Attack / Flooding Attack
Mac Flooding, yerel ağlarda Switchlerin Cam Tablosuna doldurmaya yönelik yapılan DoS saldırı türüdür. Saldırgan tarafından Switch'e çok kısa süre içerisinde binlerce Mac adresler gönderilir, Switch bu Mac adresleri kaydeder. Cam Tablosunu doldurur ve gelen diğer isteklere cevap veremez duruma düşer, gelen istekleri Hub mantığıyla bağlı olduğu tüm ağa gönderir. Bu durumda ağda ciddi bir yavaşlama olur ve saldırgan tüm ağı dinleyebilecek duruma gelir.
1.1.1.3.CDP Attack / Flooding Attack
Cisco Discovery Protocol (CDP), tüm Cisco cihazlarının varsayılan olarak kullanabileceği tescilli bir protokoldür. CDP, doğrudan bağlı olan diğer Cisco cihazları keşfeder. Cihazların bazı durumlarda bağlantılarını otomatik olarak yapılandırmasını sağlayarak yapılandırma ve bağlantıyı basitleştirir. CDP mesajları şifrelenmez.
CDP, ağ sürümü hakkında yazılım sürümü, IP adresi, platform, yetenekler ve yerel VLAN gibi bilgiler içerir. Bu bilgiler bir saldırgan bilgisayar tarafından kullanılabilir olduğunda, o bilgisayardaki saldırgan ağınıza saldırmak için genellikle Hizmet Reddi (DoS) saldırısı biçiminde istismarlar bulmak için kullanabilir.
Saldırgan, CDP'nin bir yayın mesajında ağ üzerinden gönderdiği cihazlar hakkındaki bilgileri koklamak için Wireshark veya diğer ağ analizörü yazılımlarını kolayca kullanabilir. Özellikle CDP aracılığıyla bulunan Cisco IOS yazılım sürümü, saldırganın söz konusu kod sürümüne özgü herhangi bir güvenlik açığı olup olmadığını araştırmasına ve belirlemesine izin verir. Ayrıca, CDP kimliği doğrulanmadığı için, bir saldırgan sahte CDP paketleri oluşturabilir ve saldırganın doğrudan bağlı Cisco cihazı tarafından alınmasını sağlayabilir. Saldırgan, Telnet veya SNMP aracılığıyla yönlendiriciye erişebilirse, tüm IOS düzeyleri, yönlendirici ve anahtar modeli türleri ve IP adresleme de dahil olmak üzere Layer 2 ve Layer 3'te ağınızın tüm topolojisini keşfetmek için CDP bilgilerini kullanabilir.
1.1.1.4.LLDP Attack / Inspection Attack
Cisco Discovery Protocol (CDP) ve Link Layer Discovery Protocol (LLDP) benzer amaçlar için kullanılır. Her ikisi de bir bağlantıda hangi tür cihazların bağlı olduğunu ve bazı cihaz yapılandırmasını (IP adresi, yazılım sürümü vb.) görmenin bir yolunu sunar. Genellikle bu bilgiler ağ mühendisleri tarafından büyük ağlarda sorun giderme verimliliğini artırmak için kullanılır. Bununla birlikte, bu bilgi tipik olarak “dinleyen” herkese de açıktır, bu da bir saldırganın bağlı cihazlar hakkında büyük miktarda bilgi edinmek için aynı bağlantıyı dinlemesi gerektiği anlamına gelir.
1.1.1.5.ISDP Attack / Inspection Attack
Cisco Discovery Protocol (CDP) ve Industry Standard Discovery Protocol (ISDP) benzer amaçlar için kullanılır. Her ikisi de bir bağlantıda hangi tür cihazların bağlı olduğunu ve bazı cihaz yapılandırmasını (IP adresi, yazılım sürümü vb.) görmenin bir yolunu sunar. Genellikle bu bilgiler ağ mühendisleri tarafından büyük ağlarda sorun giderme verimliliğini artırmak için kullanılır. Bununla birlikte, bu bilgi tipik olarak “dinleyen” herkese de açıktır, bu da bir saldırganın bağlı cihazlar hakkında büyük miktarda bilgi edinmek için aynı bağlantıyı dinlemesi gerektiği anlamına gelir.
1.1.1.6.STP Manipulation Attack / Manipulation Attack
Bu saldırı Spanning Tree Protocol (STP) kullanır ve saldırgan doğrudan veya başka bir anahtar aracılığıyla anahtardaki bir bağlantı noktasına bağlanır. STP parametreleri, saldırganın görünmeyecek çeşitli çerçeveleri görmesine yardımcı olan bir kök köprünün durumuna ulaşmak için manipüle edilir.
1.1.1.7.DHCP Starvation Attack / Starvation Attack
DHCP sunucularını hedefleyen başka bir ağ saldırısı türü, DHCP Starvation Attack olarak bilinir. Bir DHCP açlık saldırısında, bir saldırgan sahte kaynak MAC adresleri olan çok sayıda DHCP REQUEST iletisi yayınlar. Ağdaki meşru DHCP Sunucusu tüm bu sahte DHCP TALEP iletilerine yanıt vermeye başlarsa, DHCP sunucusu kapsamındaki kullanılabilir IP Adresleri çok kısa bir süre içinde tükenecektir. Bu saldırı DHCP sunucusunu servis dışı bırakmaya yönelik bir Servis atağıdır.
Bir DHCP açlık saldırısından ve sahte bir DHCP sunucusu kurduktan sonra saldırgan IP adreslerini ve diğer TCP / IP yapılandırma ayarlarını ağ DHCP istemcilerine dağıtmaya başlayabilir. TCP / IP yapılandırma ayarları Varsayılan Ağ Geçidi ve DNS Sunucusu IP adreslerini içerir. Ağ saldırganları artık orijinal meşru Varsayılan Ağ Geçidi IP Adresini ve DNS Sunucusu IP Adresini kendi IP Adresleriyle değiştirebilir.
1.1.1.8.ARP Spoofing Attack / Spoofing Attack
LAN üzerinden sahte ARP mesajları gönderildiğinde bir ARP kimlik sahtekarlığı saldırısı (MITM) gerçekleşir. Saldırganların MAC adresi daha sonra bir bilgisayarın IP adresiyle eşleştirilir. Bu noktada, saldırgan söz konusu IP adresi için herhangi bir veri almaya başlayacaktır. ARP sızdırma, saldırganların verileri yakalamasına, değiştirmesine ve durdurmasına olanak tanır.
Dinamik ARP denetimi (DAI) geçersiz ARP paketlerini reddeder. DHCP gözetlemesi, MAC adresi ve IP adresleri ile bir bağlantı veri tabanı oluşturduğundan DAI DHCP gözetlemesine dayanır. Gönderen MAC adresi ve gönderen IP adresi, DHCP gözetleme bağlamaları veri tabanındaki ilgili tablo girişiyle eşleşmezse anahtar herhangi bir ARP paketini düşürür.
1.1.1.9.Telnet Attack / Manipulation Attack
Hassas ağ yönetimi verilerini taşımak için birçok protokol kullanılır. Mümkün olan her durumda güvenli protokoller kullanılmalıdır. Güvenli bir protokol seçeneği Telnet yerine SSH kullanımını içerir, böylece hem kimlik doğrulama verileri hem de yönetim bilgileri şifrelenir.
Telnet kullanılması durumunda tüm trafik düz metin olarak akar, Telnet Communication Sniffing, Telnet Brute Force Attack ve Telnet DoS – Denial of Service ataklarına maruz kalınabilir.[w1]
1.1.1.10. Vlan Hopping Attack / Spoofing Attack
VLAN Hopping, bir erişim bağlantı noktasına (belirli bir VLAN'a bağlı olan) bağlanan bir saldırganın diğer VLAN'lardan ağ trafiğine erişebildiği bir tür ağ saldırısıdır. Normalde, bir anahtar erişim portuna bağlı bir bilgisayar (belirli bir VLAN'a bağlı), yalnızca bu anahtar portu ile ilgili VLAN'dan trafik alabilir.
VLAN atlamalı saldırısını kullanarak, bir saldırgan, bir dinleyici (protokol çözümleyici) kullanarak ağ trafiğini başka bir VLAN'dan koklayabilir veya bir VLAN'dan başka bir VLAN'a trafik gönderebilir. İki tür VLAN atlamalı saldırı vardır. Bunlar Anahtar Kimlik Sahtekarlığı saldırısı ve Çift Etiketleme saldırısıdır.
Nonegotiate kullanımı ve Native Vlan kontrolü sayesinde VLAN Hopping Switch Spoofing and VLAN Hopping Double Tagging atakları engellenmiş olur.
1.1.1.11. ICMP Based Attack / Smurf Attack
ICMP tabanlı saldırı türlerinden biri de Smurf saldırısıdır. Smurf adı, 1997 yılında TFreak adlı bir kişi tarafından oluşturulan orijinal istismar aracı kaynak kodundan smurf.c'den gelir. Bir Smurf saldırıda, bir saldırgan, kurbanın sahte kaynak IP'si olan çok sayıda ICMP paketini bir ağ kullanarak bir ağa yayınlar. IP yayın adresi. Bu, ağdaki cihazların kaynak IP adresine bir yanıt göndererek yanıt vermesine neden olur.
SecHard