İkinci Katman Atakları

Eyl 07, 2013

2. Katman (Layer 2) saldırıları LAN (Yerel Alan Ağlarının) içinden yapıldığı için güvenlik duvarı ya da atak tespit etme sistemleri tarafından engellememektedir. Genellikle atak tespiti veya engelleme sistemleri dış ağdan iç ağa gelebilecek saldırıları tespit etmek ya da engellemek için kullanılır. Bu sistemler üçüncü  katman ve üstü katmanların güvenliği için tasarlandığından, iç ağda yer alan bir saldırganın, yine iç ağda bulunan anahtarlayıcılara yapacağı saldırıları tespit edebilme veya engelleme özelliği yoktur. Ağ güvenliğinin sağlanabilmesi için tüm OSI katmanlarının güvenliğinin sağlanması gereklidir. Üst katman güvenlikleri sağlanıp ikinci katman güvenliğinin ele alınmaması ağ güvenliğinin tam sağlanmadığını gösterir. Birinci katmana yönelik saldırılarda yine bu kapsama dahildir. Örneğin, ağda tüm güvenlik önlemleri sağlanmış olmasına rağmen, ağdaki sunucular ve diğer cihazlar bir kesintisiz güç kaynağına ya da jenaratöre bağlanmamışsa alınan ikinci katman ve üstü güvenlik önlemleri bir elektrik kesintisi durumunda işe yaramayacaktır. Ya da elektrik şalteri herkesin ulaşacağı yerde bulunuyorsa ve yeterli güvenlik önlemi alınmadıysa üst katmanlar için alınan önlemler de işe yaramayacaktır, çünkü herhangi bir elektrik kesintisi durumunda  sistem çalışmayacaktır.

İkinci katman ataklarını sıralarsak:

  1. MAC Adres Atağı

    Portlar arasındaki iletişim üzerlerindeki MAC adres tablolarına bakılarak anahtarlayıcılar tarafından yapılır. MAC adres tablosunda; port numaraları, porta bağlı olan bilgisayarların MAC adresleri ve de ilgili olan portun hangi VLAN'e (Sanal Yerel Alan Ağı) ait olduğu gibi bilgiler yer alır. Anahtarlayıcılar öncelikle portlarına gelen bir çerçevenin (frame) hedef MAC adres kısmına bakıp sonra çerçeve içerisindeki hedef MAC adresinin kendi MAC adres tablosunda olup olmadığını sorgular, eğer adresi tabloda bulunursa çerçeve ilgili porta gönderilir bu işleme anahtarlama(switching) denir.  Fakat anahtarlayıcılara gelen çerçevenin hedef MAC adresi, anahtarlayacıların MAC adres tablosunda bulunmadığında anahtarlayıcı çerçeveyi tüm portlara yollar.  Böylece asıl ilgili olan portla alakalı bilgilerin diğer tüm portlara gönderilmesine sebep olur. Bu da saldırganın, anahtarlayıcı üzerinde herhangi bir  port yönlendirmesi yapmadan, sadece anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği dinleyebilmesine yol açar.  Bu durum anahtarlayıcının veriminin de olumsuz etkilenmesine sebep olur. 
    Anahtarlayıcı cihazlarında MAC adres tablosunun dolması durumunda sorunlar ortaya çıkmaktadır, çünkü anahtarlayıcıların MAC adres tablolarının sınırı vardır ve bu sınır cihazın marka, model ve donanımına bağlı olarak değişmektedir.

  2. "VLAN Hopping" Atakları

    Üye olunmadığı halde ve normalde ulaşılamayan VLAN'e ulaşabilmenin sağlandığı bir  saldırı türüdür. VLAN Hopping saldırısında bulunulduğunda, ağda hangi VLAN'e bağlı olunursa olunsun ağdaki tüm VLAN'lere erişim sağlanabilir. "VLAN Hopping" atağının iki türü vardır:

    • Anahtar Sahtekarlığı (Switch Spoofing)

      Bu saldırı çeşidinde saldırgan, kendisini anahtarlayıcı gibi davranacak şekilde ayarlar ve bu saldırıyı yapabilmesi için DTP'ye (Dynamic Trunking Protocol) uygun olarak ISL ya da IEEE 802.1q VLAN etiketlemelerini yapabilmesi gerekir. Bu saldırıda, saldırgan kendisini ISL ya da IEEE 802.1q VLAN etiketlemesini yapabilecek porta sahip bir anahtar gibi gösterir. Bir portta birden fazla VLAN taşınabilmesi için ISL ve 802.1q portunun ”trunk port “olarak tanımlanmış olması gerekir. Böylece portların “trunk port” gibi gösterilmesiyle ağda bulunan tüm VLAN’lere üye olunabilir ve erişilebilir.

    • Çift Etiketleme (Double Tagging)

      Bu saldırı türünde, paketin istenen VLAN’e ulaşabilmesi için porta giren çerçevelere iki adet IEEE 802.1q başlığı (header) eklenir ve çerçeveyi ilk alan anahtarlayıcı tarafından birinci başlık çıkarılır, ikinci anahtarlayıcı ise başlıktaki VLAN bilgisini okuyarak paketi gitmesini istediği VLAN’e gönderir.


  3. Spanning-Tree Protokolü (STP) Atakları

    Bir ağda anahtarlayıcı döngülerini (switching loops) engellemek için kullanılan bir protokoldür. STP protokolünde her anahtarlayıcının bir “bridge ID” numarası vardır ve bu numara “bridge priority” ve MAC adresi değerlerinden oluşmaktadır. “bridge priority”nin varsayılan değeri 32768'dir ve en düşük “bridge priority”  değerine sahip anahtarlayıcı BPDU (Bridge Protocol Data Unit- Köprü Protokolü Veri Birimi) çerçeveleri aracılığıyla  kök (root) anahtarlayıcı olarak seçilir.  Ağa BPDU çerçevesi üretebilen bilgisayar bağlanarak, bağlanan bilgisayarın ürettiği BPDU çerçevelerinin içindeki "bridge priority" değeri 0 olarak ayarlanır. Böylece ağa bağlanan bilgisayarın kök anahtarlayıcının yerini alması sağlanır.  Bu şekilde tüm ağ trafiği, bağlanan bu sahte kök anahtarlayıcı bilgisayarı üzerinden geçer.  Ayrıca kök anahtarlayıcının yerine geçen bu bilgisayarın ağ kablosunu sürekli,  söküp takmak şartıyla kök anahtarlayıcı seçimi tekrar başlatılabilir. Böylece ağda bağlantı kesintilerine ve performans problemlerine de yol açılabilir. Ağa gerçek bir anahtarlayıcı  bağlanarak ve “bridge priority” değeri “0” yapılarak bu anahtarlayıcının da “root bridge” olarak seçilmesi sağlanabilir.

  4. Sahte MAC (MAC Spoofing) Atağı

    Bu saldırı türünde, anahtarlayıcıya gönderilen çerçevelerin içerisindeki kaynak MAC adresi kısmına, dinlenmek istenen bilgisayarın MAC adresi yazılır. Anahtarlayıcınında MAC adres tablosunu bu duruma göre günceller böylece anahtarlayıcının MAC adres tablosunda, saldırgan tarafından bağlanılan anahtarlayıcının portu için iki adet MAC adresi(saldırganın MAC adresi ve hedef bilgisayarın MAC adresi) yer almış olur. Hedef bilgisayar ağa paket gönderene kadar hedef bilgisayara gönderilen çerçeveler de böylece saldırganın bilgisayarına gönderilmiş olmaktadır.

  5. Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı

    Yerel ağda IP adreslerinin MAC adresleriyle eşleşmesine yarayan protokol ARP dır. Normalde ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini öğrenmek için anahtarlayıcıya ARP isteği (ARP request) paketi gönderir ve anahtarlayıcı bu paketi tüm portlara yollar ama sadece hedef bilgisayar bu ARP isteğine cevap verir. Paketi gönderen bilgisayar da bu IP - MAC eşleşmesini kendi ARP tablosunda tutar.
    Sahte ARP ataklarında saldırgan, paketin gönderildiği bilgisayar yerine ARP isteğine cevap verir ve böylece paketin gönderildiği bilgisayarın ARP tablosunda saldırganın bilgisayarının IP ve MAC adresleri bulunacaktır. Bu şekilde hedefteki bilgisayara gönderilmesi gereken paketler saldırganın bilgisayarına gönderilmiş olur.
    Saldırgan varsayılan ağ geçidinin (default gateway) yerine ARP isteklerine cevap verirse de, ağdan dışarı çıkan tüm paketler, varsayılan ağ geçidi yerine saldırganın bilgisayarı üzerinden dışarı çıkar böylece hem ağdan çıkan tüm paketler dinlenebilir hem de bilgisayarının donanım özelliklerine bağlı olarak ağda performans düşüklüğüne sebep olabilir.

  6. DHCP Açlık (DHCP Starvation) Atağı

    DHCP sunucusuyla aynı ağda bulunan saldırgan, DHCP havuzu içerisindeki tüm IP adreslerini kiralayabilmek için sahte MAC adresleri üreterek kısa sürede çok sayıda DHCP discover paketi gönderir. Bu saldırı ile DHCP havuzunda kullanılacak boşta IP adresi kalmaz ve sunucunun hizmet vermesi engellenmiş olur.

  7. Sahte DHCP Sunuculuğu (Rogue DHCP Server)

    DHCP sunucularının atadığı IP adresleri DHCP istekleri ağ üzerinden yeterli miktarda dinlenildiğinde saldırgan tarafından tespit edilebilir. Böylece saldırgan sahte DHCP sunucusunu ağa dahil eder ve bu yeni, sahte  DHCP sunucusu  ağdaki DHCP isteklerine cevap verebilecek duruma gelir.
    Ağa sahte DHCP sunucusunun koyulmasıyla saldırgan, istemcilerin IP adresleri ve diğer bilgilerini elde edebilir. Cevap paketlerininin içerisinde görebildiği varsayılan ağ geçidi (default gateway) ve DNS sunucusu olarak da kendi bilgisayar adresini verebilir, böylece ağ üzerinden dışarı çıkacak tüm paketler saldırganın bilgisayarı üzerinden geçmiş olacaktır. Bu atak da "man-in-the-middle" atağı olarak adlandırılır.

  8. CDP Açıklığı

    CDP ikinci katmanda çalışır ve Cisco cihazlarının birbirlerini tanımalarını sağlar. CDP çerçevelerinde cihazın adı (hostname), IP adresi, cihazın modeli ve işletim sistemi sürümü gibi bilgiler yer almaktadır ve bu bilgiler ağ üzerinde şifresiz bir biçimde açık olarak gönderilmektedir. Cihazların bilgilerinin ağ üzerinden şifresiz bir biçimde gönderilmesi sakıncalıdır, cihazın markası ve modeli öğrenilirse, o marka ve modele has olan açıklıklar kullanılarak cihaza saldırılar gerçekleştirilebilir. Cihazlardan öğrenilen IP bilgileri kullanılarak da ağın  topolojiside tespit edilebilir.

  9. VTP Açıklığı

    VTP; ağ yöneticilerinin ad değiştirebilme, ekleme yapılabilme, silme gibi işlemlerin merkezi bir şekilde yapılmasını sağlayan ikinci katman protokolüdür.
    VTP'de saldırı, saldırganın anahtarılayıcının portuna bağladığı bilgisayarın portunu “trunk port“ olarak tanımlayıp ağa sahte VTP mesajları göndererek anahtarlayıcıya VLAN ekleyebilir, silebilir ya da herhangi bir değişiklik yapabilir duruma gelmesiyle gerçekleştirilir. Gerekli önlem alınmadığı takdirde zor da olsa saldırı mümkün olabilir.

  10. LAN Storm (Fırtınası)

    2. Katman cihazları LAN storm (fırtına) saldırılarına karşı savunmasızdırlar. LAN fırtınası, paketler LAN‘a aktığında gerçekleşir. Bu durum aşırı bir trafik oluşturarak ağ performansını düşürür. Protokol yığın uygulamalarındaki hatalar, ağ yapılandırmalarındaki hatalar ya da DoS saldırısına uğrayan kullanıcılar fırtına oluşturabilirler. Yayın (broadcast) fırtınaları da ağlarda gerçekleşme ihtimali olan olaylardır. Unutulmamalıdır ki anahtarlayıcılar her zaman gelen tüm "broadcast" paketlerini tüm portlarından yayımlarlar. ARP (Adres Çözümleme Protokolü) ve DHCP (Dinamik Host Belirleme Protokolü-Dinamik Makine Yapılandırma Protokolü) gibi bazı gerekli protokoller "broadcast " kullanır, bu yüzden anahtarlayıcılar "broadcast" trafiğini aktarabilmelidirler.
    Her çeşit paket saldırısını ve değerini aşan yayınları (broadcast) engellemek mümkün değildir ancak fırtına kontrolüyle bunlar engellenebilir. Fırtına kontrolü LAN üzerindeki trafiğin; herhangi bir fiziksel arayüzden akan "broadcast", "multicast" veya "unicast" fırtınasından etkilenmesini önler. Fırtına kontrolü herhangi bir arayüzden anahtarlama cihazına akan trafiği izler ve bu trafiğin olduğunu belirler. Anahtarlayıcı da aynı türdeki  paketlerin belli bir zaman aralığında bir fiziksel arayüzden geçişini izleyerek bu akışın  önceden belirlenmiş bir bastırma eşiğine ulaşıp ulaşmadığını kontrol eder. Eğer eşik değer aşılmışsa fırtına kontrolü paket trafiğini keser.