Port Güvenliği ile MAC Flooding Saldırısını Önleme

MAC Flooding Saldırısı Nedir?

MAC Flooding adresi saldırısı, bir ağ anahtarına (switch) aşırı sayıda sahte MAC göndererek anahtarın MAC adres tablosunu doldurmayıp bir saldırı türüdür. Anahtarın MAC tablosunda değişiklik yapma, anahtardan gelen trafo belirleyici portlara yönlendiremez ve tüm trafo ağlarındaki diğer portlara yayılmaya başlar (flooding). Bu durum Saldırganının, ağdaki tüm pasif dinleme (sniffing) yöntemiyle yakalamasına olanak tanır. Bu saldırı genellikle ağların kapsamını genişletmek ve gizli bilgileri ele geçirmek için kullanılır.

Port Security Nedir?

Port Security, ağ anahtarlarındaki (switch) belirli portların yetkisiz cihazlara karşı korunması için kullanılan bir güvenlik aralığıdır. Bu özellik sayesinde bir port üzerinden yalnızca belirli sayıda veya belirli MAC adreslerinden gelen trafik kabul edilir.

Port Güvenliği ile MAC Flooding Saldırısını Önleme

Bu yazıda, Cisco Packet Tracer kullanarak oluşturacağımız bir senaryo üzerinden Port Security'nin nasıl oynanacağını simüle ediyor. Senaryomuz, Port Security'nin ağ değişimini sağlama işlemlerini pratik bir örnekle erişime sunacak.

Senaryo

Switch'in fa0/1 portunun öğrenebileceği MAC adresi sayısını sınırlandıracağız. Örneğin, adresi porta maksimum 3 MAC adresi limiti koyarsak dördüncü bir MAC öğrenilmeye çalışıldığında anahtar, o port otomatik olarak kapanır. Bu işlem Port Security özelliğiyle yapılır. Port kapatma dışında “Protect” ve “Restrict” modları da mevcuttur.

• Protect : Switch, kaydedilen limiti aşan MAC adreslerini öğrenmez ve bu adreslerden gelen paketlerden ayrılır. Ancak yönetici sisteme herhangi bir bildirim (syslog) gönderilmez.
• Restrict : Koruma dosyası aynı şekilde çalışıyor, ancak bu modda yöneticilere syslog mesajı gönderiliyor.
• Shutdown : Port tamamen devre dışı bırakılır ve aynı zamanda sistem günlüğü mesajı gönderilir. Bu senaryoda “Shutdown” modu kullanılacaktır.

İşlem Adımları

· Öncelikle 1 Switch ve 3 PC'yi tanımlıyoruz. Her bir PC'ye IP adreslerini sahip oldukları MAC adreslerini de belirliyoruz.

· Daha sonra fa0/1 portuna Port Security işlemi uygulanır.Maksimum MAC adresini belirleyip bu sayı aşıldığında Switch'in nasıl tepki verme şeklini yapılandırıyoruz.

· Başlangıçta Switch üzerindeki MAC tablosu boş olarak bulunmaktadır.

· MAC tablosunu doldurmak için sırasıyla PC cihazlarımızı Switch'e fa0/1 port üzerinden bağlayarak ping atma işlemini gerçekleştiriyoruz.Bu şekilde o anda Switch'e fa0/1 portundan bağlı bulunan cihazın MAC adresi tabloya ekleniyor.

· Bu şekilde Switch'in kabul etmesi maksimum MAC adresi sayısı dolmuş oldu.Şimdi sistemimize yeni bir bilgisayar (saldırgan) ekliyelim.Bu cihazda aynı şekilde Switch'e fa0/1 portundan bağlanın ve bir ping atma işlemi ile MAC adresi Switch'in MAC adresi tabloya eklemeye çalışsın.

· İşte tam bu anda bizim yazdığımız Port Security konfigürasyonu devreye girer ve Switch'i ShutDown değiştirilerek alır.Switch bu durumdayken MAC adresi tablosunda kayıtlı olan diğer bilgisayarlarda fa0/1 portundan Switch'e bağlanamaz.

· Switch'in ShutDown durumunda manuel olarak çıkarılması gerekiyor.Çıkarıldıktan sonra MAC adresi tablosunda kayıtlı olan cihazlar tekrar Switch'le başarılı bir şekilde bağlantılandırılır.