Forum

Procurve Layer 2 G&...
 
Bildirimler
Hepsini Temizle

Procurve Layer 2 Güvenliği

6 Yazılar
3 Üyeler
0 Reactions
1,327 Görüntüleme
(@hasanatan)
Gönderiler: 39
Trusted Member
Konu başlatıcı
 

Merhaba arkadaşlar;

Hp procurve cihazlarda layer 2 güvenlik önlemi olarak vlan oluşturmak yeterli midir? Vlanların da kendilerine özgü güvenlik açıkları var mıdır? Layer2 güvenliğini sağlamak için procurve cihazlarda ne gibi konfigürasyonlar yapmam gerekir? Bu konuda yararlanabileceğim kaynak (mümkünse türkçe) paylaşımında bulunabilir misiz?

 
Gönderildi : 13/12/2012 16:30

(@efesulukcu)
Gönderiler: 1424
Noble Member
 

dhcp snooping ve arp spoofing konularını inceleyebilirsiniz başlangıç olarak. loop protection yapabilirsiniz.

vlan oluşturmak aslen bir güvenlik önlemi değildir. networkün temiz kalması veya yönetimsel kolaylık açısından tercih edilebilir. vlanların değil switchlerin güvenlik açıkları vardır.

switchleri birbirlerine bağladıysanız stp özelliklerine de bakabilirsiniz.

bu konularda Türkçe kaynak bulma şansınız bildiğim kadarıyla düşük ama merak ettikleriniz varsa cevaplamaya çalışayım.

 
Gönderildi : 17/12/2012 23:01

(@hasanatan)
Gönderiler: 39
Trusted Member
Konu başlatıcı
 

Efe bey öncelikle ilginiz için çok teşekkürler. Benim asıl merak ettiğim procurve switchlerde  Vlan hopping atakları(switch snoofing ve dooble tagging), mac snooping , arp snoofing , dhcp starvation vb layer2 ataklarının nasıl engelleneceği ? Bu tür saldırıların önüne geçebilmem için switch üzerinde nasıl bir konfigürasyon yapmalıyım ? Sistemimde önlem almam gereken başlıca şeyler nelerdir?

 
Gönderildi : 18/12/2012 16:24

(@efesulukcu)
Gönderiler: 1424
Noble Member
 

management vlanınızla kullanıcıların kullandıkları vlanlar farklı olsun öncelikle. management vlanı için default vlanı kullanmayın ve güvenlik için özel bir vlan atayıp herhangi bir şekilde bu portu başka vlanlara tagged şekilde ayarlamayın.

dhcp starvation=dhcp snooping. bunun için isterseniz vlan bazlı isterseniz tüm vlanlar için http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c01979055  adresini inceleyebilirsiniz.

  1. First, define a list of authorized DHCP servers (up to 20). 

    Example: Define a DHCP server with IP address 10.1.1.10 as trusted:
    ProCurve(config)# dhcp-snooping authorized-server 10.1.1.10
    Trust the DHCP server at this address.
  2. Configure trusted ports.
    Example: Define ports 4,5,6 and 7 as trusted:
    ProCurve(config)# dhcp-snooping trust 4,5,6,7
    Trust traffic coming from interfaces (ports) 4, 5, 6, and 7
  3. Specify the VLAN(s) on which you want to use this feature.
    Example: Activate DHCP snooping on VLAN1, VLAN2, and VLAN3:
    ProCurve(config)# dhcp-snooping vlan 1-3
    Activate DHCP snooping for VLAN 1, VLAN 2,and VLAN 3
  4. Activate DHCP Snooping globally.
    ProCurve(config)# dhcp-snooping
    Activate DHCP snooping globally

mac snooping=arp spoofing=arp protection için http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=es&cc=pr&taskId=115&prodSeriesId=1827663&prodTypeId=12883&objectID=c02609533  adresini inceleyebilirsiniz. dhcp snooping özelliğinin aktive edilmesi gerektiğini unutmayın.

 vlan hopping atakları da yanlış bilmiyorsam cisco konfiglerinin açıklıkları üzerine şeyler. hp üzerinde bu uygulamalara rastlamadım. yaptığım araştırma kadarıyla da yoklar.

     
 
Gönderildi : 19/12/2012 02:50

(@hasanatan)
Gönderiler: 39
Trusted Member
Konu başlatıcı
 

Efe Bey ; 

İlginize gerçekten çok teşekkür ederim .İşe yarar bilgiler vermişsiniz. mac snooping=arp snooping=arp protection ve dhcp starvation = dhcp snooping demişsiniz. Ancak aşağıda linkini verdiğim makalede bunları farklı katagoride değerlendirmiş. Siz ne düşünürsünüz bu konuda ?

https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html

 

 
Gönderildi : 19/12/2012 16:56

(@HakanALKAN)
Gönderiler: 125
Estimable Member
 

linkteki l2 ataklarını önlemek cisco cihazlarda mümkün. hp switchinizin desteklediği kadar önlem alabilirsiniz. bir hp hiçbir zaman bir Cisco değildir.

 
Gönderildi : 19/12/2012 19:50

Paylaş: