Forum
Merhaba arkadaşlar;
Hp procurve cihazlarda layer 2 güvenlik önlemi olarak vlan oluşturmak yeterli midir? Vlanların da kendilerine özgü güvenlik açıkları var mıdır? Layer2 güvenliğini sağlamak için procurve cihazlarda ne gibi konfigürasyonlar yapmam gerekir? Bu konuda yararlanabileceğim kaynak (mümkünse türkçe) paylaşımında bulunabilir misiz?
dhcp snooping ve arp spoofing konularını inceleyebilirsiniz başlangıç olarak. loop protection yapabilirsiniz.
vlan oluşturmak aslen bir güvenlik önlemi değildir. networkün temiz kalması veya yönetimsel kolaylık açısından tercih edilebilir. vlanların değil switchlerin güvenlik açıkları vardır.
switchleri birbirlerine bağladıysanız stp özelliklerine de bakabilirsiniz.
bu konularda Türkçe kaynak bulma şansınız bildiğim kadarıyla düşük ama merak ettikleriniz varsa cevaplamaya çalışayım.
Efe bey öncelikle ilginiz için çok teşekkürler. Benim asıl merak ettiğim procurve switchlerde Vlan hopping atakları(switch snoofing ve dooble tagging), mac snooping , arp snoofing , dhcp starvation vb layer2 ataklarının nasıl engelleneceği ? Bu tür saldırıların önüne geçebilmem için switch üzerinde nasıl bir konfigürasyon yapmalıyım ? Sistemimde önlem almam gereken başlıca şeyler nelerdir?
management vlanınızla kullanıcıların kullandıkları vlanlar farklı olsun öncelikle. management vlanı için default vlanı kullanmayın ve güvenlik için özel bir vlan atayıp herhangi bir şekilde bu portu başka vlanlara tagged şekilde ayarlamayın.
dhcp starvation=dhcp snooping. bunun için isterseniz vlan bazlı isterseniz tüm vlanlar için http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c01979055 adresini inceleyebilirsiniz.
-
First, define a list of authorized DHCP servers (up to 20).
Example: Define a DHCP server with IP address 10.1.1.10 as trusted:ProCurve(config)# dhcp-snooping authorized-server 10.1.1.10Trust the DHCP server at this address. - Configure trusted ports.
Example: Define ports 4,5,6 and 7 as trusted:ProCurve(config)# dhcp-snooping trust 4,5,6,7Trust traffic coming from interfaces (ports) 4, 5, 6, and 7
- Specify the VLAN(s) on which you want to use this feature.
Example: Activate DHCP snooping on VLAN1, VLAN2, and VLAN3:ProCurve(config)# dhcp-snooping vlan 1-3Activate DHCP snooping for VLAN 1, VLAN 2,and VLAN 3
- Activate DHCP Snooping globally.
ProCurve(config)# dhcp-snoopingActivate DHCP snooping globally
mac snooping=arp spoofing=arp protection için http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=es&cc=pr&taskId=115&prodSeriesId=1827663&prodTypeId=12883&objectID=c02609533 adresini inceleyebilirsiniz. dhcp snooping özelliğinin aktive edilmesi gerektiğini unutmayın.
vlan hopping atakları da yanlış bilmiyorsam cisco konfiglerinin açıklıkları üzerine şeyler. hp üzerinde bu uygulamalara rastlamadım. yaptığım araştırma kadarıyla da yoklar.
Efe Bey ;
İlginize gerçekten çok teşekkür ederim .İşe yarar bilgiler vermişsiniz. mac snooping=arp snooping=arp protection ve dhcp starvation = dhcp snooping demişsiniz. Ancak aşağıda linkini verdiğim makalede bunları farklı katagoride değerlendirmiş. Siz ne düşünürsünüz bu konuda ?
https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html
linkteki l2 ataklarını önlemek cisco cihazlarda mümkün. hp switchinizin desteklediği kadar önlem alabilirsiniz. bir hp hiçbir zaman bir Cisco değildir.