Forum

ARP Poisoning ve DH...
 
Bildirimler
Hepsini Temizle

ARP Poisoning ve DHCP snooping hakkında

7 Yazılar
2 Üyeler
0 Reactions
2,978 Görüntüleme
(@hasan7ozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

Merhaba bir konuda yardımınıza ihtiyacım var yardımcı olabilirseniz sevinirim. Şöyle ki; Bir network yapısında 48port 1 adet switch var onlara bağlı modem ve ubiquti UniFi Access pointler var. Kullanıcıların tamamı ap ler üzerinden internete çıkıyor. Netcut diye bir yazılım var (başka yazılımlar da olabilir). Kullanıcılar bu yazılımı kullanarak diğer kullanıcıları engelleyip tüm band genişliğini kendileri kullanıyor. Zannediyorum bu yazılım network e ARP Poisoning attack veya DHCP snooping dedikleri bir saldırı yaparak kullanıcıların ağ geçidine çıkmalarını engelliyor. Gördüğüm kadarıyla bunun çözümü switch üzerinde arp ve dhcp ataklarına karşı saldırılardan koruyan bir özelliğin kullanılması. switch üzerinde bu özellik kullanılsa dahi wifi kullanıldığı için tam çözüm olmayacağını düşünüyorum. Mac adresini blokluyoruz adam mac i değiştirip yine giriyor. Böyle bir yapı yada daha büyük bir yapı düşünürsek nasıl bir önlem alabiliriz. Hangi cihazları kullanarak bu durumu engelleyebiliriz. 

 
Gönderildi : 24/03/2019 14:19

(@MustafaDemiroz)
Gönderiler: 221
Reputable Member
 

Netcut uygulamasına baktım. Kabaca mac listing ve Arp poisoning  yapan bir uygulama. (kabaca tabi)

Arp poisoning ; gatewayin mac adresini çalıp, kendini gateway ilan ederek trafiği yönetmeni sağlar.

switch modeline göre önlemin değişkenlik gösterir ama amac Gatewayin mac adresinin kopyalanmamasını sağlamak.

Örneğin gateway mac adresi 00:00:xx:xx:12:34 bu mac adresini sabitlemelisin butun clientlerde.

Windows için komut; 

netsh interface ipv4 add neighbors "Local Area Connection" 10.1.1.1 12-34-56-78-9a-bc

Trafik L1 > L2 > L3 oluştuğu için mac adresini change edemezler. ederlerse broadcast durur.

ikinci yöntem ki en sağlamıdır. Spanning tree konfigürasyonu yaparak, switche her porttan sadece bir mac adressi gelebilecegini öğretmelisin, bu sayede iki ayrı mac adresi gelemez. Gateway'in takılı oldugu porttanda sadece bu mac gelecek diyerek gatewayin mac adresini verirsin. atlamayazlar, 

 

Diğer yandan, böyle kullanıcıların var ise onları tespit edip cezalandırmak daha net olabilir. Mesela bir firewall koysan (fortinet, checkpoint yada paloalto) bu tarz işlem yapanları karantinaya al deriz. karantinayıda 1 saat yaparız. aynı l2 ye bile ulasamaz.

 
Gönderildi : 24/03/2019 16:21

(@MustafaDemiroz)
Gönderiler: 221
Reputable Member
 

Buda teknik makale umarım switchler Cisco dur.

Lakin modem + Switch dedin sanırım noname hub türevinde switch kullanıyorsun işin zor, eğer öyleyse.

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_52_se/configuration/guide/3750scg/swdynarp.html

 
Gönderildi : 24/03/2019 16:23

(@hasan7ozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

clientlere mac adresi budur demek pek mantıklı gelmiyor. switchlerede ap ler bağlı olduğu için sadece bir mac geçsin de diyemeyiz sanırım. belli sayıdan sonra portu kapat denebilir. yapan adam sonuçta müşteri ne ceza verebilirsin. asıl sormak istediğim bu işi firewall ile yapabilir miyim örneğin fortigate. çünkü bu olay gateway a gelmeden gerçekleşiyor. firewall buna çözüm olurmu acaba?

 
Gönderildi : 24/03/2019 22:46

(@MustafaDemiroz)
Gönderiler: 221
Reputable Member
 

Firewall bu isi cozer dogasi geregi asmetriyi engellemek icin calisir.

fortigate ile kesebilirsin.

Bu ileti 6 yıl önce Mustafa Demiroz tarafından düzenlendi
 
Gönderildi : 24/03/2019 23:23

(@hasan7ozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

https://forum.fortinet.com/tm.aspx?m=163983&print=true

burada ARP nin layer2 de çalıştığı firewall ın bir işe yaramayacağı anlatılıyor. bir karar veremedim 🙁

 
Gönderildi : 24/03/2019 23:57

(@MustafaDemiroz)
Gönderiler: 221
Reputable Member
 

Foruma gerek yok, OSI layer yaz resimlerden bak. ARP layer 2 çalışır. Doğru, atladığın nokta sonrasında kullanıcı internete cıkmak için Layer3 olmak zorunda.

Ayrıca modemin mac adresini çalabilirsin. Lakin Fw da iş değişir. doğru konfig ile iş zor.

ilk mesaj:

"Diğer yandan, böyle kullanıcıların var ise onları tespit edip cezalandırmak daha net olabilir. Mesela bir firewall koysan (fortinet, checkpoint yada paloalto) bu tarz işlem yapanları karantinaya al deriz. karantinayıda 1 saat yaparız. aynı l2 ye bile ulasamaz."

Switch ne marka, okadar yazısıyoruz daha markasını bile söylemedin 🙂

 
Gönderildi : 25/03/2019 15:53

Paylaş: