Anasayfa » Forum

Procurve Layer 2 G&...
 

Procurve Layer 2 Güvenliği  

  RSS
hasan atan
(@hasanatan)
Üye

Merhaba arkadaşlar;

Hp procurve cihazlarda layer 2 güvenlik önlemi olarak vlan oluşturmak yeterli midir? Vlanların da kendilerine özgü güvenlik açıkları var mıdır? Layer2 güvenliğini sağlamak için procurve cihazlarda ne gibi konfigürasyonlar yapmam gerekir? Bu konuda yararlanabileceğim kaynak (mümkünse türkçe) paylaşımında bulunabilir misiz?

Alıntı
Gönderildi : 13/12/2012 15:30
Efe Sülükçü
(@efesulukcu)
Üye

dhcp snooping ve arp spoofing konularını inceleyebilirsiniz başlangıç olarak. loop protection yapabilirsiniz.

vlan oluşturmak aslen bir güvenlik önlemi değildir. networkün temiz kalması veya yönetimsel kolaylık açısından tercih edilebilir. vlanların değil switchlerin güvenlik açıkları vardır.

switchleri birbirlerine bağladıysanız stp özelliklerine de bakabilirsiniz.

bu konularda Türkçe kaynak bulma şansınız bildiğim kadarıyla düşük ama merak ettikleriniz varsa cevaplamaya çalışayım.

CevapAlıntı
Gönderildi : 17/12/2012 22:01
hasan atan
(@hasanatan)
Üye

Efe bey öncelikle ilginiz için çok teşekkürler. Benim asıl merak ettiğim procurve switchlerde  Vlan hopping atakları(switch snoofing ve dooble tagging), mac snooping , arp snoofing , dhcp starvation vb layer2 ataklarının nasıl engelleneceği ? Bu tür saldırıların önüne geçebilmem için switch üzerinde nasıl bir konfigürasyon yapmalıyım ? Sistemimde önlem almam gereken başlıca şeyler nelerdir?

CevapAlıntı
Gönderildi : 18/12/2012 15:24
Efe Sülükçü
(@efesulukcu)
Üye

management vlanınızla kullanıcıların kullandıkları vlanlar farklı olsun öncelikle. management vlanı için default vlanı kullanmayın ve güvenlik için özel bir vlan atayıp herhangi bir şekilde bu portu başka vlanlara tagged şekilde ayarlamayın.

dhcp starvation=dhcp snooping. bunun için isterseniz vlan bazlı isterseniz tüm vlanlar için http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c01979055  adresini inceleyebilirsiniz.

  1. First, define a list of authorized DHCP servers (up to 20). 

    Example: Define a DHCP server with IP address 10.1.1.10 as trusted:
    ProCurve(config)# dhcp-snooping authorized-server 10.1.1.10
    Trust the DHCP server at this address.
  2. Configure trusted ports.
    Example: Define ports 4,5,6 and 7 as trusted:
    ProCurve(config)# dhcp-snooping trust 4,5,6,7
    Trust traffic coming from interfaces (ports) 4, 5, 6, and 7
  3. Specify the VLAN(s) on which you want to use this feature.
    Example: Activate DHCP snooping on VLAN1, VLAN2, and VLAN3:
    ProCurve(config)# dhcp-snooping vlan 1-3
    Activate DHCP snooping for VLAN 1, VLAN 2,and VLAN 3
  4. Activate DHCP Snooping globally.
    ProCurve(config)# dhcp-snooping
    Activate DHCP snooping globally

mac snooping=arp spoofing=arp protection için http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=es&cc=pr&taskId=115&prodSeriesId=1827663&prodTypeId=12883&objectID=c02609533  adresini inceleyebilirsiniz. dhcp snooping özelliğinin aktive edilmesi gerektiğini unutmayın.

 vlan hopping atakları da yanlış bilmiyorsam cisco konfiglerinin açıklıkları üzerine şeyler. hp üzerinde bu uygulamalara rastlamadım. yaptığım araştırma kadarıyla da yoklar.

     
CevapAlıntı
Gönderildi : 19/12/2012 01:50
hasan atan
(@hasanatan)
Üye

Efe Bey ; 

İlginize gerçekten çok teşekkür ederim .İşe yarar bilgiler vermişsiniz. mac snooping=arp snooping=arp protection ve dhcp starvation = dhcp snooping demişsiniz. Ancak aşağıda linkini verdiğim makalede bunları farklı katagoride değerlendirmiş. Siz ne düşünürsünüz bu konuda ?

https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html

 

CevapAlıntı
Gönderildi : 19/12/2012 15:56
Hakan ALKAN
(@HakanALKAN)
Üye

linkteki l2 ataklarını önlemek cisco cihazlarda mümkün. hp switchinizin desteklediği kadar önlem alabilirsiniz. bir hp hiçbir zaman bir Cisco değildir.

CevapAlıntı
Gönderildi : 19/12/2012 18:50
Paylaş:

Lütfen Giriş yap yada Kayıt ol