Daha önceki makalelerimde DHCP protokolünün temellerinden ve DHCP protokolü kullanılarak yapılabilecek “DHCP Starvation” saldırısından bahsetmiştim. Ayrıca Cisco cihazlar üzerinde DHCP konfigürasyonun nasıl yapılacağını da önceki makalelerimde anlatmıştım. İlgili makalelerime bağlantılardan ulaşabilirsiniz.
DHCP kullanılarak yapılabilecek ikinci saldırı, “DHCP Spoofing” saldırısıdır. Bu saldırıda ağa giren tehdit aktörü yetkisiz bir şekilde DHCP sunucu kurar. Kurduğu DHCP sunucusu ağda “DHCP Discover” isteğinde bulunan cihazlara “DHCP Offer” mesajı göndererek, IP adresi, Subnet Maskesi, Default Gateway ve DNS gibi bilgileri öğretebilir. Bu saldırı son cihazlar için çok tehlikeli olabilir. Tehdit aktörünün amacı zaten zarar vermektir. Bu sebeple doğru DNS ve Default Gateway bilgilerini öğretmeyecektir. Örneğin sahte bir DNS sunucusu bilgisi öğretir. Bu DNS sunucusu kullanıcıyı farklı adreslere yönlendirebilir. Son kullanıcı “Facebook.com” adresine gitmek istediğinde, tehdit aktörü bu isteği kendi kurduğu sahte “Facebook” sayfasına yönlendirir. Ardından kullanıcı giriş için gerekli olan bilgileri girdikten sonra, Tehdit aktörü kullanıcının bilgilerini ele geçirmiş olur. Ya da kendini Router gibi gösterip Default Gateway gibi davranabilir. Bu durumda MITM ( Man In the Middle ) saldırısı yapıp aradaki trafiği okuyabilir. Bir başka ihtimalde kullanıcılara dağıttığı IP bloğu eğer kurumda kullanılmıyorsa, kullanıcılar farklı ağlarla haberleşmeye geçemez ya da aynı bloktan IP dağıtmaya başlarsa IP çakışması ( Duplicate IP ) gibi problemler yaşanabilir.
Bu saldırı bilinçsiz bir şekilde kurum personeli tarafından da yapılabilir. Örneğin son kullanıcı WİFİ kullanmak için evinden bir modem getirebilir ve bu modemi ağa dahil edebilir. ADSL modemin özelliklerinden biride DHCP sunuculuğu yapmaktır. DHCP özelliği otomatik olarak açık gelir bu sebeple ağa dahil olduğu anda ADSL modem “DHCP Discover” isteğinde bulunan cihazlara cevap vermeye başlar. Süreç sonunda ağımızda büyük karmaşa çıkabilir.
“DHCP Discover” mesajı gönderen cihazlar ilk aldığı “DHCP Offer” mesajını kabul ederler. Kurumsal ağlarda genelde “DHCP Relay Agent” kullanıldığı için “DHCP” süreci, aynı ağda bulunan DHCP Sunucusuna göre daha uzun sürebilir. Bu sebeple cihazlar aynı ağda bulunan kötü amaçlı veya bilinçsiz olarak kurulan DHCP sunucularından IP adresi, Subnet Maskesi, Default Gateway ve DNS gibi bilgilerini almaya daha yatkındır.
Bu tür sebeplerden ötürü DHCP Snooping özelliğini Switch cihazlarımız üzerinde konfigürasyonunu yapmamız gerekmektedir. Bu özelliği açarak ayrıca “DHCP Starvation” saldırılarını da önlemiş olacağız.
Öncelikle “DHCP Snooping” özelliğini açmak için aşağıdaki komutu çalıştıralım.
HuseyinPala(config)# ip dhcp snooping“DHCP Snooping” özelliği açıldı ama henüz çalışmaya başlamadı. Daha sonraki komutlarımızda çalışması için gerekli olan komutu gireceğiz.
İlk komutu çalıştırdıktan sonra “Switch” üzerindeki tüm portlar “UNTRUST” yani “Güvenilmez” port olarak tanımlandı. Bu portların genel özelliği “DHCP Offer” ve “DHCP ACK” gibi kritik DHCP mesajlarını gönderemezler. Yani bu portlardan herhangi birine dahil olan tehdit aktörü “DHCP Discover” mesajlarını alabilecek, ancak “DHCP Offer” veya “DHCP ACK” gibi mesajlar gönderemeyecektir.
Ardından güvenli olduğunu bildiğimiz ( DHCP Server ) cihazının takılı olduğu portu veya DHCP Relay Agent yapısını kullanıyorsak Router cihazının olduğu portu “Trust” yapmamız gerekiyor. Çünkü yalnızca bu portlar üzerinden “DHCP Offer” ve “DHCP ACK” mesajlarının gelmesini istiyoruz.
HuseyinPala(config)# interface fastEthernet 0/1
HuseyinPala(config-if)# ip dhcp snooping trust
HuseyinPala(config-if)# exitYukarıdaki komutları kullanarak “FastEthernet 0/1” portunu “TRUST” yaptık. Artık bu port üzerinden “DHCP Offer” ve “DHCP ACK” mesajları gelebilir.
Şimdi de “DHCP Starvation” saldırısı için önlem alalım. Bunun için “DHCP Snooping” özelliğinden faydalanacağız. Saldırımızı hatırlayalım. Bu saldırıda tehdit aktörü sürekli “MAC” adresini değiştirerek “DHCP Discover” isteğinde bulunuyordu. Süreç sonunda tehdit aktörü ilgili DHCP sunucusundaki IP havuzunda, IP adreslerinin hepsini üstüne alıyordu. Bu sebeple DHCP den IP adresi almak isteyen cihazlar, IP adresi alamıyorlardı ve ağ haberleşmesi duruyordu.
HuseyinPala(config)# interface range fastEthernet 0/5-24
HuseyinPala(config-if-range)# ip dhcp snooping limit rate 6
HuseyinPala(config-if-range)# exit“limit rate” değeri “per-second” cinsinden girildi yani saniyede kaç DHCP paketi yollayabileceğini belirliyoruz.
Son olarak “DHCP Snooping” özelliğini devreye alalım.
HuseyinPala(config)# ip dhcp snooping vlan 5,10,50-52
HuseyinPala(config)# exitYukarıdaki komut ile bu özelliğin hangi VLAN’lerde aktif olacağını belirledik.
Artık DHCP güvenliğini sağlamış olduk. Kontrol komutlarını kullanarak DHCP sürecini Switch üzerinde takip edebiliriz.
HuseyinPala# show ip dhcp snoopingHuseyinPala# show ip dhcp snooping binding ( EN İYİ KONTROL KOMUTU ) Son kontrol komutumuz ağ yöneticisinin çok işine yarayabilecek bir komuttur. Hangi MAC adresli cihazın hangi IP adresini aldığı, kira süresinin ne kadar olduğu, hangi interface de bulunduğu, hangi VLAN’de olduğu gibi bilgileri görüntüleyebiliriz.
Daha fazla bilgisayar ağları ve güvenliği ile ilgili içerik için takipte kalın…
EFENDİLER, YARIN CUMHURİYET’İ İLAN EDECEĞİZ.
Mustafa Kemal Atatürk
28.10.1923
Bir yanıt bırakın