Anasayfa » Forum

ARP Poisoning ve DH...
 

ARP Poisoning ve DHCP snooping hakkında  

  RSS
Hasan ÖZTÜRK
(@ozturktr60)
Üye

Merhaba bir konuda yardımınıza ihtiyacım var yardımcı olabilirseniz sevinirim. Şöyle ki; Bir network yapısında 48port 1 adet switch var onlara bağlı modem ve ubiquti UniFi Access pointler var. Kullanıcıların tamamı ap ler üzerinden internete çıkıyor. Netcut diye bir yazılım var (başka yazılımlar da olabilir). Kullanıcılar bu yazılımı kullanarak diğer kullanıcıları engelleyip tüm band genişliğini kendileri kullanıyor. Zannediyorum bu yazılım network e ARP Poisoning attack veya DHCP snooping dedikleri bir saldırı yaparak kullanıcıların ağ geçidine çıkmalarını engelliyor. Gördüğüm kadarıyla bunun çözümü switch üzerinde arp ve dhcp ataklarına karşı saldırılardan koruyan bir özelliğin kullanılması. switch üzerinde bu özellik kullanılsa dahi wifi kullanıldığı için tam çözüm olmayacağını düşünüyorum. Mac adresini blokluyoruz adam mac i değiştirip yine giriyor. Böyle bir yapı yada daha büyük bir yapı düşünürsek nasıl bir önlem alabiliriz. Hangi cihazları kullanarak bu durumu engelleyebiliriz. 

Alıntı
Gönderildi : 24/03/2019 2:19 pm
Mustafa Demiroz
(@MustafaDemiroz)
Üye

Netcut uygulamasına baktım. Kabaca mac listing ve Arp poisoning  yapan bir uygulama. (kabaca tabi)

Arp poisoning ; gatewayin mac adresini çalıp, kendini gateway ilan ederek trafiği yönetmeni sağlar.

switch modeline göre önlemin değişkenlik gösterir ama amac Gatewayin mac adresinin kopyalanmamasını sağlamak.

Örneğin gateway mac adresi 00:00:xx:xx:12:34 bu mac adresini sabitlemelisin butun clientlerde.

Windows için komut; 

netsh interface ipv4 add neighbors "Local Area Connection" 10.1.1.1 12-34-56-78-9a-bc

Trafik L1 > L2 > L3 oluştuğu için mac adresini change edemezler. ederlerse broadcast durur.

ikinci yöntem ki en sağlamıdır. Spanning tree konfigürasyonu yaparak, switche her porttan sadece bir mac adressi gelebilecegini öğretmelisin, bu sayede iki ayrı mac adresi gelemez. Gateway'in takılı oldugu porttanda sadece bu mac gelecek diyerek gatewayin mac adresini verirsin. atlamayazlar, 

 

Diğer yandan, böyle kullanıcıların var ise onları tespit edip cezalandırmak daha net olabilir. Mesela bir firewall koysan (fortinet, checkpoint yada paloalto) bu tarz işlem yapanları karantinaya al deriz. karantinayıda 1 saat yaparız. aynı l2 ye bile ulasamaz.

CevapAlıntı
Gönderildi : 24/03/2019 4:21 pm
Mustafa Demiroz
(@MustafaDemiroz)
Üye

Buda teknik makale umarım switchler Cisco dur.

Lakin modem + Switch dedin sanırım noname hub türevinde switch kullanıyorsun işin zor, eğer öyleyse.

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_52_se/configuration/guide/3750scg/swdynarp.html

CevapAlıntı
Gönderildi : 24/03/2019 4:23 pm
Hasan ÖZTÜRK
(@ozturktr60)
Üye

clientlere mac adresi budur demek pek mantıklı gelmiyor. switchlerede ap ler bağlı olduğu için sadece bir mac geçsin de diyemeyiz sanırım. belli sayıdan sonra portu kapat denebilir. yapan adam sonuçta müşteri ne ceza verebilirsin. asıl sormak istediğim bu işi firewall ile yapabilir miyim örneğin fortigate. çünkü bu olay gateway a gelmeden gerçekleşiyor. firewall buna çözüm olurmu acaba?

CevapAlıntı
Gönderildi : 24/03/2019 10:46 pm
Mustafa Demiroz
(@MustafaDemiroz)
Üye

Firewall bu isi cozer dogasi geregi asmetriyi engellemek icin calisir.

fortigate ile kesebilirsin.

Bu ileti 5 ay önce Mustafa Demiroz tarafından düzenlendi
CevapAlıntı
Gönderildi : 24/03/2019 11:23 pm
Hasan ÖZTÜRK
(@ozturktr60)
Üye

https://forum.fortinet.com/tm.aspx?m=163983&print=true

burada ARP nin layer2 de çalıştığı firewall ın bir işe yaramayacağı anlatılıyor. bir karar veremedim 🙁

CevapAlıntı
Gönderildi : 24/03/2019 11:57 pm
Mustafa Demiroz
(@MustafaDemiroz)
Üye

Foruma gerek yok, OSI layer yaz resimlerden bak. ARP layer 2 çalışır. Doğru, atladığın nokta sonrasında kullanıcı internete cıkmak için Layer3 olmak zorunda.

Ayrıca modemin mac adresini çalabilirsin. Lakin Fw da iş değişir. doğru konfig ile iş zor.

ilk mesaj:

"Diğer yandan, böyle kullanıcıların var ise onları tespit edip cezalandırmak daha net olabilir. Mesela bir firewall koysan (fortinet, checkpoint yada paloalto) bu tarz işlem yapanları karantinaya al deriz. karantinayıda 1 saat yaparız. aynı l2 ye bile ulasamaz."

Switch ne marka, okadar yazısıyoruz daha markasını bile söylemedin 🙂

CevapAlıntı
Gönderildi : 25/03/2019 3:53 pm
Paylaş:
  
Çalışıyor

Lütfen Giriş yap yada Kayıt ol