EN
EN

Seviye 2 (Layer2) Güvenliği Nedir ve Nasıl Sağlanır ?

28 Haziran 2021


OSI Veri iletişiminin sağlamanın oturmuş standart modelidir. Bu hiyerarşik ağ modeli bilgisayar ağının tasarlanmasının ve yönetiminin daha kolay olmasını sağlamaktadır.   OSI modeline göre veriler tüm bu katmanlardan geçerek iletilir. İkinci seviyede (katmanda) iletişimi yerel ağ üzerinden yapan cihazlar üzerinden gerçekleştirilir. Birinci seviye (fiziksel katman) den bit olarak gelen veriler bu katman da framelere bölünerek bir üst katmana iletilir.

Bu katmanda “çerçeve” (frame) aktarımı sırasında çeşitli şekillerde veri manipülasyonları oluşabilir. Bu saldırıları şöyle özetleyebiliriz:

-Frame Spoofing
-Spanning Tree Injection
-Mac Flooding
-Mac Spoofing
-VLAN Hopping
-Cam Attack
-Dhcp Starvation Attack
-Rogue Dhcp Server Attack
-Arp Attack

Bu saldırılara karşılık olarak iletişim yönlendirme cihazlarının güvenli bir iletişim ortamı oluşturmak için çeşitli önlemler alınmaktadır. Bunlar sırasıyla;

-Güvenilmeyen Ağların yönetim arabirimlerinden ve protokollerinden yararlanarak zafiyet oluşturmaması için erişimini kısıtlamak,
-Trafiği kontrol etmek için VLAN oluşturmak,
-VLAN ID tüm trunk bağlantılarında kullanılmak,
-VLAN1’i kullanmaya çalışmak,
-DTP yi truck bağlantısının olmadığı yerlerde devre dışı bırakmak,
-Port Security (port güvenliği özelliği) uygulamak,
-Kullanılmayan hizmetleri ve protokolleri daima kapalı tutmak,
-Kullanılmayan portları kapalı tutup ve aktif olarak kullanılmayan VLAN üzerinde tutmak,
-DHCP Snooping kullanmak,
-Arp tablosu güvenliğini sağlamak,
-IP Search Guard özelliği kullanılmak,
-STP özelliğini kullanmak,
-Kripto doğrulama sistemlerini kullanmak.

Ağ üzerinde arabirim ve protokol yönetiminde, erişim yetkisi tanımlamalarında güvenli olmayan ağların, yetkilerinin sınırlandırılması gerekmektedir. İletişimin güvenliğini sağlamak için ağ üzerinde kullanılan protokollere güvensiz ağlardan bağlanan cihazların yönetmesi diğer cihazların yerel ve global bağlantılarında zafiyet oluşturmaktadır. Örneğin; SNMP protokolü ağ akışını ve yönetimini sağlarken güvensiz cihazların erişimi ağı zafiyete düşürebilir. Benzer şekilde iletişim yönetim cihazlarının (Switch, Router vs.) yönetim yetkisi içinde geçerlidir.

Yerel ağlarda yönetim cihazlarında, bağlı bulunan cihazların hiyerarşisinin tanımlanmamış olması erişim sağlayan kişiler arasında yetki karmaşasına sebep olacağı için aynı yerel ağ üzerinde farklı VLAN tanımlanması gerekmektedir. VLANlar yönetimsel olarak ağın ortak yayın kanalı olarak kullandığı mesajların azalmasını ve grup hiyerarşisi (multicast) üzerinde ortak yayınlar ile güvenliği sağlamaktadır. Ağ üzerinde ortak yayınlar hem kanalı zayıflarken hem de cihazların kritik bilgilerine erişim sağlamasına sebep olabilir.

VLANların kullanımı sırasında uygulanması gereken bazı kurallar bulunmaktadır. Yapılandırma sırasında her VLAN’da (VLAN 1 hariç) VLAN ID özelliği aktif olarak kullanılmalıdır. Ayrıca VLAN 1 üzerinden ağ trafiği hem hız düşüşü hem de zafiyet oluşturması için cihazları yapılandırma sırasında bu kısımda bulundurmalıdır. VLAN'lar arasında bağlantı Trunk’ lar ile sağlanır. Trunk ’ların kullanılmadığı yerde ise DTP’yi (Dynamic Trunk Protocol) kullanmak zafiyet oluşturur. Çünkü Ağ üzerinde tanımlı olan VLAN'ların boşta kalmış portlar üzerinden dinamik yapılandırma seçeneğinin kullanılması ile VLANlar bilgilerinin sızdırılmasına sebebiyet verebilir.

VLAN ların yapılandırması sırasında zafiyeti başka bir noktadan oluşturan port güvenliğini sağlamanız gerekmektedir. Port Security özelliğinin Yönetim cihazlarında yapılandırılmasının yapılması yerel üzerinde tanımlı olan portlarda kullanabilecek cihazların sayısının belirlenmesini ve MAC (Media Accses Control) adreslerinin tanımlanmasını sağlamaktadır. Böylece ağ üzerinde yetkisiz erişimler devre dışı bırakılabilir.

DTP’nin ihtiyaç duyulmadığı yerlerde kullanılmaması gibi diğer protokollerinde ağ üzerinde hem iletişim karmaşasının yaşanmaması için hem de veri güvenliğini sağlamak amacıyla yetkisiz kişilere engellemek ve kullanılmıyorsa kapamak gerekmektedir.

Yönetim Cihazlarının (Switch) üzerinde kullanılmayan portların erişilebilir halde tutulması yapılan diğer güvenlik adımlarına rağmen zafiyet oluşturmaktadır. yapılandırmaların tamamlanması sonrasında kullanılmayan portların kapalı bir şekilde ayrı bir VLAN oluşturularak tutulması diğer yetkisiz erişimleri engellemektedir.

2. katman cihazları, ağ yönetimi için ağ üzerindeki cihazların kimlik bilgisini ve IP bilgilerini kaydettikleri tabloya ARP (Address Resolution Protocol) tablosu denir. Tablo üzerindeki verilerin bir yönüyle yapılandırılmasında tercihe bağlı olarak DHCP protokolünün kullanılması ile cihazlara atanmış olan IP’lerin (Internet Protocol) güvenliğini yani atama yapan tarafın ile switchler arasındaki iletişim kanalının doğruluğunu sağlamak için DHCP Snooping kullanılması gerekmektedir. Bu sayede DHCP (Dynamic Host Configuration Protocol) tanımlamaları belirlenmiş olan kaynak tarafından atanması sağlanır.

Yönetim cihazının erişim sağlayan bütün cihazların kimlik bilgisini kaydettiği tabloların güncelliğini ve doğruluğunu sağlamak da büyük bir önem arz etmektedir. Tutulan bu bilgiler hem doğru hem de trafiğin devamını sağlamak için yapılan IP atamaları ve Port kullanımlarını değiştirmektedir. Ağ üzerinde tanımlanan cihazların iletişim için oluşturdukları paketler tablonun yanlış olması ile iletişimi aksatabilir veya yanlış trafik oluşturabilir. Bunun için Dynamic ARP İnspection özelliği kullanılmalıdır. Tablo üzerinde kayıtlı olmayan cihazların IP atama istekleri reddedilecektir.

IP Search Guard yapılandırması 2. katman cihazlarının DHCP ayarlarını ve IP erişim kuralalrını denetler. Komşu IP bilgilerine ve VLAN bilgilerine ulaşarak Ağ üzerinde çalışan MAC ve IP bilgilerine (ARP tablosu aracılığı ile) erişebilir. Dynamic ARP Inspection ve DHCP Snooping protokolleri sayesinde sağlar. Bu protokollerin oluşturdukları tablolar sayesinde denetçi protokol olarak çalışır.

Ağ üzerinde yönetim cihazlarının konumlandırılmasına bağlı olarak oluşturulan yedek kanallar doğru yapılandırılma olmadığı zaman paketlerin fırtına (stroming) oluşturulmasına sebebiyet verirken benzeri bir durum saldırı zamanında da gerçekleşebilir. Bu saldırının önlenmesi için STP (Spanning Tree Protocol) aktif olarak kullanılmalıdır. Paket tekrarını engellemek için kök cihaz belirleyerek öncelikli olan cihaz ve ona ait olan iletişim kanalları aktif olarak kullanılmasını sağlar. Bu kanallardan birisi devre dışı kalması halinde diğer yedek kanal aktif hale gelir ve kök cihaz ayarları yenilenir.

Verinin iletişim altyapısının güvenliği için aynı zamanda paketlerin iletim sırasında verilerin kripto olarak gönderilmesi ve iletişim cihazlarının kendi arasında da bu kurallar dahilinde iletişim kurması güvenliği sağlamaya yardımcı olacaktır.

Verinin her katmanda güvenliği cihaz üzerindeki trafikte hem akışı sağlayarak hem de denetimi sağlayarak yapılması gerekmektedir. Veri bağı katmanında yönetim cihazlarının yapılandırılması için gerekli olan yapılandırmalar ; Cihazdaki gereksiz portların kapatılması ve ayrı bir VLAN’da tutulması, VLAN1 ‘in  kullanılmaması, DTP ve benzeri protokollerin kullanım yöntemlerinin belirlenmesi, Port security, DHCP Snooping, Dynamic ARP İnspection,IP Search Guard , STP  ve verinin kripto algoritmalar ile taşınmasıdır.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog