İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Seviye 2 (Layer2) Güvenliği Nedir ve Nasıl Sağlanır ?


OSI Veri iletişiminin sağlamanın oturmuş standart modelidir. Bu hiyerarşik ağ modeli bilgisayar ağının tasarlanmasının ve yönetiminin daha kolay olmasını sağlamaktadır.   OSI modeline göre veriler tüm bu katmanlardan geçerek iletilir. İkinci seviyede (katmanda) iletişimi yerel ağ üzerinden yapan cihazlar üzerinden gerçekleştirilir. Birinci seviye (fiziksel katman) den bit olarak gelen veriler bu katman da framelere bölünerek bir üst katmana iletilir.

Bu katmanda “çerçeve” (frame) aktarımı sırasında çeşitli şekillerde veri manipülasyonları oluşabilir. Bu saldırıları şöyle özetleyebiliriz:

-Frame Spoofing
-Spanning Tree Injection
-Mac Flooding
-Mac Spoofing
-VLAN Hopping
-Cam Attack
-Dhcp Starvation Attack
-Rogue Dhcp Server Attack
-Arp Attack

Bu saldırılara karşılık olarak iletişim yönlendirme cihazlarının güvenli bir iletişim ortamı oluşturmak için çeşitli önlemler alınmaktadır. Bunlar sırasıyla;

-Güvenilmeyen Ağların yönetim arabirimlerinden ve protokollerinden yararlanarak zafiyet oluşturmaması için erişimini kısıtlamak,
-Trafiği kontrol etmek için VLAN oluşturmak,
-VLAN ID tüm trunk bağlantılarında kullanılmak,
-VLAN1’i kullanmaya çalışmak,
-DTP yi truck bağlantısının olmadığı yerlerde devre dışı bırakmak,
-Port Security (port güvenliği özelliği) uygulamak,
-Kullanılmayan hizmetleri ve protokolleri daima kapalı tutmak,
-Kullanılmayan portları kapalı tutup ve aktif olarak kullanılmayan VLAN üzerinde tutmak,
-DHCP Snooping kullanmak,
-Arp tablosu güvenliğini sağlamak,
-IP Search Guard özelliği kullanılmak,
-STP özelliğini kullanmak,
-Kripto doğrulama sistemlerini kullanmak.

Ağ üzerinde arabirim ve protokol yönetiminde, erişim yetkisi tanımlamalarında güvenli olmayan ağların, yetkilerinin sınırlandırılması gerekmektedir. İletişimin güvenliğini sağlamak için ağ üzerinde kullanılan protokollere güvensiz ağlardan bağlanan cihazların yönetmesi diğer cihazların yerel ve global bağlantılarında zafiyet oluşturmaktadır. Örneğin; SNMP protokolü ağ akışını ve yönetimini sağlarken güvensiz cihazların erişimi ağı zafiyete düşürebilir. Benzer şekilde iletişim yönetim cihazlarının (Switch, Router vs.) yönetim yetkisi içinde geçerlidir.

Yerel ağlarda yönetim cihazlarında, bağlı bulunan cihazların hiyerarşisinin tanımlanmamış olması erişim sağlayan kişiler arasında yetki karmaşasına sebep olacağı için aynı yerel ağ üzerinde farklı VLAN tanımlanması gerekmektedir. VLANlar yönetimsel olarak ağın ortak yayın kanalı olarak kullandığı mesajların azalmasını ve grup hiyerarşisi (multicast) üzerinde ortak yayınlar ile güvenliği sağlamaktadır. Ağ üzerinde ortak yayınlar hem kanalı zayıflarken hem de cihazların kritik bilgilerine erişim sağlamasına sebep olabilir.

VLANların kullanımı sırasında uygulanması gereken bazı kurallar bulunmaktadır. Yapılandırma sırasında her VLAN’da (VLAN 1 hariç) VLAN ID özelliği aktif olarak kullanılmalıdır. Ayrıca VLAN 1 üzerinden ağ trafiği hem hız düşüşü hem de zafiyet oluşturması için cihazları yapılandırma sırasında bu kısımda bulundurmalıdır. VLAN'lar arasında bağlantı Trunk’ lar ile sağlanır. Trunk ’ların kullanılmadığı yerde ise DTP’yi (Dynamic Trunk Protocol) kullanmak zafiyet oluşturur. Çünkü Ağ üzerinde tanımlı olan VLAN'ların boşta kalmış portlar üzerinden dinamik yapılandırma seçeneğinin kullanılması ile VLANlar bilgilerinin sızdırılmasına sebebiyet verebilir.

VLAN ların yapılandırması sırasında zafiyeti başka bir noktadan oluşturan port güvenliğini sağlamanız gerekmektedir. Port Security özelliğinin Yönetim cihazlarında yapılandırılmasının yapılması yerel üzerinde tanımlı olan portlarda kullanabilecek cihazların sayısının belirlenmesini ve MAC (Media Accses Control) adreslerinin tanımlanmasını sağlamaktadır. Böylece ağ üzerinde yetkisiz erişimler devre dışı bırakılabilir.

DTP’nin ihtiyaç duyulmadığı yerlerde kullanılmaması gibi diğer protokollerinde ağ üzerinde hem iletişim karmaşasının yaşanmaması için hem de veri güvenliğini sağlamak amacıyla yetkisiz kişilere engellemek ve kullanılmıyorsa kapamak gerekmektedir.

Yönetim Cihazlarının (Switch) üzerinde kullanılmayan portların erişilebilir halde tutulması yapılan diğer güvenlik adımlarına rağmen zafiyet oluşturmaktadır. yapılandırmaların tamamlanması sonrasında kullanılmayan portların kapalı bir şekilde ayrı bir VLAN oluşturularak tutulması diğer yetkisiz erişimleri engellemektedir.

2. katman cihazları, ağ yönetimi için ağ üzerindeki cihazların kimlik bilgisini ve IP bilgilerini kaydettikleri tabloya ARP (Address Resolution Protocol) tablosu denir. Tablo üzerindeki verilerin bir yönüyle yapılandırılmasında tercihe bağlı olarak DHCP protokolünün kullanılması ile cihazlara atanmış olan IP’lerin (Internet Protocol) güvenliğini yani atama yapan tarafın ile switchler arasındaki iletişim kanalının doğruluğunu sağlamak için DHCP Snooping kullanılması gerekmektedir. Bu sayede DHCP (Dynamic Host Configuration Protocol) tanımlamaları belirlenmiş olan kaynak tarafından atanması sağlanır.

Yönetim cihazının erişim sağlayan bütün cihazların kimlik bilgisini kaydettiği tabloların güncelliğini ve doğruluğunu sağlamak da büyük bir önem arz etmektedir. Tutulan bu bilgiler hem doğru hem de trafiğin devamını sağlamak için yapılan IP atamaları ve Port kullanımlarını değiştirmektedir. Ağ üzerinde tanımlanan cihazların iletişim için oluşturdukları paketler tablonun yanlış olması ile iletişimi aksatabilir veya yanlış trafik oluşturabilir. Bunun için Dynamic ARP İnspection özelliği kullanılmalıdır. Tablo üzerinde kayıtlı olmayan cihazların IP atama istekleri reddedilecektir.

IP Search Guard yapılandırması 2. katman cihazlarının DHCP ayarlarını ve IP erişim kuralalrını denetler. Komşu IP bilgilerine ve VLAN bilgilerine ulaşarak Ağ üzerinde çalışan MAC ve IP bilgilerine (ARP tablosu aracılığı ile) erişebilir. Dynamic ARP Inspection ve DHCP Snooping protokolleri sayesinde sağlar. Bu protokollerin oluşturdukları tablolar sayesinde denetçi protokol olarak çalışır.

Ağ üzerinde yönetim cihazlarının konumlandırılmasına bağlı olarak oluşturulan yedek kanallar doğru yapılandırılma olmadığı zaman paketlerin fırtına (stroming) oluşturulmasına sebebiyet verirken benzeri bir durum saldırı zamanında da gerçekleşebilir. Bu saldırının önlenmesi için STP (Spanning Tree Protocol) aktif olarak kullanılmalıdır. Paket tekrarını engellemek için kök cihaz belirleyerek öncelikli olan cihaz ve ona ait olan iletişim kanalları aktif olarak kullanılmasını sağlar. Bu kanallardan birisi devre dışı kalması halinde diğer yedek kanal aktif hale gelir ve kök cihaz ayarları yenilenir.

Verinin iletişim altyapısının güvenliği için aynı zamanda paketlerin iletim sırasında verilerin kripto olarak gönderilmesi ve iletişim cihazlarının kendi arasında da bu kurallar dahilinde iletişim kurması güvenliği sağlamaya yardımcı olacaktır.

Verinin her katmanda güvenliği cihaz üzerindeki trafikte hem akışı sağlayarak hem de denetimi sağlayarak yapılması gerekmektedir. Veri bağı katmanında yönetim cihazlarının yapılandırılması için gerekli olan yapılandırmalar ; Cihazdaki gereksiz portların kapatılması ve ayrı bir VLAN’da tutulması, VLAN1 ‘in  kullanılmaması, DTP ve benzeri protokollerin kullanım yöntemlerinin belirlenmesi, Port security, DHCP Snooping, Dynamic ARP İnspection,IP Search Guard , STP  ve verinin kripto algoritmalar ile taşınmasıdır.