Forum
Merhaba bir konuda yardımınıza ihtiyacım var yardımcı olabilirseniz sevinirim. Şöyle ki; Bir network yapısında 48port 1 adet switch var onlara bağlı modem ve ubiquti UniFi Access pointler var. Kullanıcıların tamamı ap ler üzerinden internete çıkıyor. Netcut diye bir yazılım var (başka yazılımlar da olabilir). Kullanıcılar bu yazılımı kullanarak diğer kullanıcıları engelleyip tüm band genişliğini kendileri kullanıyor. Zannediyorum bu yazılım network e ARP Poisoning attack veya DHCP snooping dedikleri bir saldırı yaparak kullanıcıların ağ geçidine çıkmalarını engelliyor. Gördüğüm kadarıyla bunun çözümü switch üzerinde arp ve dhcp ataklarına karşı saldırılardan koruyan bir özelliğin kullanılması. switch üzerinde bu özellik kullanılsa dahi wifi kullanıldığı için tam çözüm olmayacağını düşünüyorum. Mac adresini blokluyoruz adam mac i değiştirip yine giriyor. Böyle bir yapı yada daha büyük bir yapı düşünürsek nasıl bir önlem alabiliriz. Hangi cihazları kullanarak bu durumu engelleyebiliriz.
Netcut uygulamasına baktım. Kabaca mac listing ve Arp poisoning yapan bir uygulama. (kabaca tabi)
Arp poisoning ; gatewayin mac adresini çalıp, kendini gateway ilan ederek trafiği yönetmeni sağlar.
switch modeline göre önlemin değişkenlik gösterir ama amac Gatewayin mac adresinin kopyalanmamasını sağlamak.
Örneğin gateway mac adresi 00:00:xx:xx:12:34 bu mac adresini sabitlemelisin butun clientlerde.
Windows için komut;
netsh interface ipv4 add neighbors "Local Area Connection" 10.1.1.1 12-34-56-78-9a-bc
Trafik L1 > L2 > L3 oluştuğu için mac adresini change edemezler. ederlerse broadcast durur.
ikinci yöntem ki en sağlamıdır. Spanning tree konfigürasyonu yaparak, switche her porttan sadece bir mac adressi gelebilecegini öğretmelisin, bu sayede iki ayrı mac adresi gelemez. Gateway'in takılı oldugu porttanda sadece bu mac gelecek diyerek gatewayin mac adresini verirsin. atlamayazlar,
Diğer yandan, böyle kullanıcıların var ise onları tespit edip cezalandırmak daha net olabilir. Mesela bir firewall koysan (fortinet, checkpoint yada paloalto) bu tarz işlem yapanları karantinaya al deriz. karantinayıda 1 saat yaparız. aynı l2 ye bile ulasamaz.
Buda teknik makale umarım switchler Cisco dur.
Lakin modem + Switch dedin sanırım noname hub türevinde switch kullanıyorsun işin zor, eğer öyleyse.
clientlere mac adresi budur demek pek mantıklı gelmiyor. switchlerede ap ler bağlı olduğu için sadece bir mac geçsin de diyemeyiz sanırım. belli sayıdan sonra portu kapat denebilir. yapan adam sonuçta müşteri ne ceza verebilirsin. asıl sormak istediğim bu işi firewall ile yapabilir miyim örneğin fortigate. çünkü bu olay gateway a gelmeden gerçekleşiyor. firewall buna çözüm olurmu acaba?
Firewall bu isi cozer dogasi geregi asmetriyi engellemek icin calisir.
fortigate ile kesebilirsin.
https://forum.fortinet.com/tm.aspx?m=163983&print=true
burada ARP nin layer2 de çalıştığı firewall ın bir işe yaramayacağı anlatılıyor. bir karar veremedim 🙁
Foruma gerek yok, OSI layer yaz resimlerden bak. ARP layer 2 çalışır. Doğru, atladığın nokta sonrasında kullanıcı internete cıkmak için Layer3 olmak zorunda.
Ayrıca modemin mac adresini çalabilirsin. Lakin Fw da iş değişir. doğru konfig ile iş zor.
ilk mesaj:
"Diğer yandan, böyle kullanıcıların var ise onları tespit edip cezalandırmak daha net olabilir. Mesela bir firewall koysan (fortinet, checkpoint yada paloalto) bu tarz işlem yapanları karantinaya al deriz. karantinayıda 1 saat yaparız. aynı l2 ye bile ulasamaz."
Switch ne marka, okadar yazısıyoruz daha markasını bile söylemedin 🙂