ozztech_logo_white

Güvenlik Yapılandırması Layer 2

Güvenlik Yapılandırması Layer 2

Bilindiği üzere OSİ 7 katmandan oluşmaktadır ve her katmanın yaptığı işler farklıdır:

  • 1.Katman : Physical (Fiziksel Katman)
  • 2.Katman : Data Link (Veri Bağlantı Katmanı)
  • 3.Katman : Network (Ağ Katmanı)
  • 4.Katman : Transport (Taşıma Katmanı)
  • 5.Katman : Session (Oturum Katmanı)
  • 6.Katman : Presentation (Sunu Katmanı)
  • 7.Katman : Application (Uygulama Katmanı)

Bu gün konuşacağımız katman 2. Katmandır yani Data Link:

Nedir Bu Data Link?

Ağ paketlerinin yolladığı ana kaynak bilgisayardan hedef sunucu veya ana bilgisayara gitmekte olan veriler paketleniyor 2. Katmanda pakete 2 adet önemli paket ekleniyor bunlar 1. Kaynak MAC adresi hedef MAC adresi bu adresler yol boyunca katman atladıkça değişiyor. Bu adresler iç networkte iletişim için kullanılıyor örnek vermek gerekirse A makinesinden aynı networkten B makinesine paket yollayacaksanız kaynak makinenin MAC adresine A hedef makinenin MAC adresine B yazıyoruz. Bir başka örnek vermek gerekirse Bu paketi A makinesinden Google sunucusuna yollayacaksanız kuyruk kısmına kendi MAC adresinizi hedef MAC adresine ise networkten çıkış yapmasını sağlayacak olan Router’ın MAC adresini yazıcaksınız.

2. Katman da hem başlık hem de kuyruk bilgisi eklendiğini tekrardan belirtelim. Kuyruk bilgisinde hata kontrolü yapılmaktadır, paket yolda bozulduysa matematiksel hesap yapılıyor, yollanan data alınıyor bir algoritma içerisine sokulup matematiksel işlem yapılıyor ve sonucu kuyruk kısmına yazıyor, hedefe gidildiğinde aynı işlemler orada da gerçekleşiyor. Eğer matematiksel işlemlerin sonuçları birbirlerine uymuyorsa paket yolda bozuldu işaretini alıyor ve çöpe atılıyor.

2.Katman’da TCP ve UDP paketleri eklenmekte peki nedir bu TCP ve UDP?

TCP (Transmission Control Protocol)

TCP paketlere sıra numarası vermektedir ve paketlerin güvenli iletişim yapmasını sağlamaktadır eğer bir paket eksik gelirse bu paketi tekrar istiyor.

UDP (User Datagram Protocol)

Yollanacak pakete port numaralarını ekliyor fakat hiç bir kontrol yapmıyor sadece paketin gitmesi için oluşturulmuş bir protocol, hızlı çalışsın yeter paket var mı yok mu eksik mi bunların kontrolünü yapmıyor.

Bir çok güvenlik ve network yöneticisi sistemlerinin güvenliğini sağlayabilmek için gelebilecek tehditleri sonraki katmanlara taşıtmaktansa, alt katmanlarda yani layer 1 ve layer 2 gerekli yapılandırmayı veya kısıtlamaları koyarak gelebilecek tehditleri engellemeyi tercih etmektedirler. Burada görevi Switchler devir alır, Switch kısaca anlatmak gerekirse bağlı olduğu bilgisayarlar arasında haberleşmeyi sağlayan unsurlardır. Eğer Switch’inizin konfigürasyon ayarlarını yapmazsanız tehdit aktörlerinin hedefi haline gelirsiniz. Networkünüz Firewall, IPS/IDS gibi cihazlarla korunsa bile Switch konfigürasyon ayarları yapılmazsa tehdit aktörü korumalarınızı geçebilir ve ağınızı izleyebilir.

Birden fazla Switch ve network adaptörlerinin bulunduğu yerlerde en iyi korunma yöntemi AAA Authentication modunu aktive etmektir. Bunun anlamı kullanıcıların sorgularının yapılacağı yerel kullanıcı veritabanı, TACACS+ ya da RADIUS sunucu üzerinden kimlik doğrulaması olmadan adım atamayacaktır. TACACS+ ayrıntılı log tutma özelliğiyle bilinmektedir fakat ihtiyaca göre kullanılacak yöntemler de sunmaktadır.

Güvenlik Yapılandırma Ayarları

  1. Adım : Kullanıcı adı ve parolayı değiştirin.
  2. Adım : Macof saldırılarına karşı kendimizi korumak olacaktır:

Macof saldırısı kısaca Switchin çok fazla mac adresi saldırısına maruz bırakarak kapasitesini doldurmasıdır.

Konfigürasyon için:

  • Switch arayüzüne girin ve sırasıyla aşağıda yer alan komutları uygulayan.
  • –conf t
  • –interface gigabitEthernet 0/0
  • –switchport mode access
  • –switchport port-security
  • –switchport port-security maximum 3 (Maximum alacağı mac sayısı)
  • –switchport port-security mac-address sticky (Yapılan işlemi kalıcı hale getirmek için kullanılan komut)
  • –switchport port-security violation shutdown (Saldırı gerçekleşirse port kendini kapatsın komutudur)
  • –end (Saldırı gerçekleşirse port kendini kapatacak ve tekrar kendini açıp çalışması için kullanılan komutlar)
  • –errdisable recovery cause psecure-violation
  • –errdisable recovery interval 30 (30 saniye sonra kendini açması için yazdım siz isterseniz 20 yazabilirsiniz.)
  • –errdisable recovery
  • –end

3. Adım: Macof saldırısına karşı kendinizi bu şekilde koruyabilirsiniz ve bir diğer saldırı olan CDP için de kendimizi korumalıyız.

CDP kısaca birbirine komşu CISCO cihazların, birbirlerinin şifrelerini bilmesine gerek kalmadan bir birleriyle iletişim kurmasını sağlayan protokoldür.

Konfigürasyon için:

  • Switch arayüzüne girin ve sırasıyla aşağıda yer alan komutları uygulayan.
  • –conf t
  • –interface range gigabitEthernet 0/0-2 (0 -2 Port aralığını kapat dedik burada)
  • -no cdp enable
  • –end

4. Adım: DHCP Protokolünü korumaya almaktır.

DHCP kısaca sistemdeki bilgisayarlara IP adreslerini ve buna ek olarak değişik parametreleri atamak için kullanılan servistir. DHCP’nin temel özelliği sistemi kuran kişinin tek tek IP adreslerini veya benzer parametrelerini elle girmesi yerine, hepsinin otomatik gerçekleşmesidir.

Konfigürasyon için:

  • Switch arayüzüne girin ve sırasıyla aşağıda yer alan komutları uygulayan.
  • –conf t
  • –interface gigabitEthernet 0/0
  • –sw mo access
  • –sw port-security
  • –switchport-security max 2
  • –sw port-security mac sticky
  • –switchport port-security violation shutdown
  • –end
  • –conf t
  • –ip dhcp snooping vlan1 (Eğer birden fazla lan adresi var ise virgül koyarak devam edebilirsiniz.)
  • –interface gigabitEthernet 0/2
  • –ip dhcp snooping trust
  • –end
  • –show ip dhcp snooping (En son yaptığımız yapılandırma ayarlarını bize göstermesi için)

5.Adım: ARP Protokolünü korumaya almaktır.

ARP kısaca IP adresinden, MAC adresini öğrenmek için kullanılan protokoldür.

Konfigürasyon için:

  • –conf t
  • –ip dhcp snooping
  • –ip dhco snooping vlan1
  • –ip arp inspection vlan1
  • –intergace gigabitEthernet 1/0
  • –ip dhcp snooping trust
  • –ip arp inspection trust

6.Adım: Switch Spoofing’den korumaktır.

Switch spoofing kısaca tehdit aktörünün vlanlar arası gezinti yapabildiği eğer zaafiyetler varsa bunlardan yararlanıp gerekirse muhasabe bilgisine kadar ulaşıp istediği her şeyi değiştirebildiği tehlikeli bir açıktır.

Konfigürasyon için:

  • –conf t
  • –int gigabitEthernet 0/0
  • –switchport mode access
  • –switchport nonegotiate
  • –end

7.Adım: VTP Protokolünü korumaya almaktır.

VTP kısaca CISCO ya özel olan bir protokoldür, tek bir switch ile vlan yapılandırıldıktan sonra diğer switchlere tekrar aynı işlemler tekrarlanmasın diye kolaylık sağlanmıştır. Fakat bu kolaylık saldırganlara açık kapı bırakabilir ve vlanları değiştirip sistemde gezinebilirler.

Konfigürasyon için:

  • –conf t
  • –vtp password
  • –vtp mode transparent
  • –end

8.Adım: STP Protokolünü korumaya almaktır.

STP kısaca Switchler arasında anahtarlar yardımıyla ağda kesintisiz bir iletişim kurulmasını sağlayan ve bir arıza gerçekleşirse ağda kesinti olmamasını sağlayan protokoldür.

Konfigürasyon için:

  • –conf t
  • –int gigabitEthernet 0/0
  • –spanning-tree guard root

9.Adım: VLAN korumasıdır.

VLAN kısaca bir ağı segmentlere ayırarak broadcast oluşturup ağ trafiğini azaltmasına denir. Segmentlere ayrılan bu yapının esnek olması ağ güvenliği zaafiyetini ortaya çıkartmaktadır.

Konfigürasyon için:

  • –en
  • –conf t
  • –interface range gigabitEthernet 0/0-2
  • –switchport nonegotiate
  • –end

Bu makalemizi beğendiyseniz sizleri Yeni MacOS Güvenlik Açığı ‘Powerdir’ adlı makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/yeni-macos-guvenlik-acigi-powerdir/

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »