Cisco Ağ Cihazlarında ARP Spoofing Saldırılarına Karşı Alınabilecek Güvenlik Önlemleri ve Ayarları

Genel
10-04-2023 19:09
Cisco Ağ Cihazlarında ARP Spoofing Saldırılarına Karşı Alınabilecek Güvenlik Önlemleri ve Ayarları

ARP spoofing, bir ağdaki cihazlar arasında yapılan bir saldırıdır. Bu saldırıda, bir saldırgan, ağda bulunan bir başka cihazın IP adresine sahipmiş gibi davranır ve ağdaki diğer cihazların trafiklerini kendisine yönlendirir. Bunu yapmak için, saldırgan ağdaki diğer cihazların ARP önbelleğini değiştirir ve hedef cihazların IP adresini kendi MAC adresi ile eşleştirir.

 

Cisco ağ cihazları üzerinde ARP spoofing önlemek için bazı güvenlik önlemleri alınabilir.

 

Cisco ARP Spoofing'e Karşı Alınabilecek Güvenlik Önlemleri

 

1.     Port Security: Cisco ağ cihazlarında, port security özelliği kullanılarak ağa bağlanan cihazların MAC adresleri doğrulanabilir. Bu özellik sayesinde, ağa bağlanan cihazlar arasında yapılan ARP spoofing saldırıları engellenebilir.

2.     DHCP Snooping: DHCP snooping, ağdaki DHCP sunucularının güvenliğini sağlamak için kullanılan bir özelliktir. Bu özellik sayesinde, ağa bağlanan cihazlar arasında yapılan ARP spoofing saldırıları engellenebilir.

3.     Dynamic ARP Inspection (DAI): DAI özelliği, ağdaki ARP isteklerinin doğrulanmasını sağlar. Bu özellik sayesinde, ARP spoofing saldırıları engellenebilir.

4.     Private VLAN: Private VLAN özelliği, aynı VLAN'a bağlı cihazların birbirlerine erişimini sınırlar. Bu özellik sayesinde, ARP spoofing saldırıları engellenebilir.

 

Cisco Switch ve Router Ayarları

 

1.     Port Security Ayarları: Port security ayarları, switch üzerindeki portlarda ağa bağlanan cihazların MAC adreslerinin doğrulanmasını sağlar. Port security ayarları aşağıdaki gibi yapılabilir:

 

interface gigabitethernet0/1

 switchport mode access

 switchport port-security

 switchport port-security maximum 1

 switchport port-security violation restrict

 switchport port-security mac-address sticky

 

Yukarıdaki örnekte, gigabitethernet0/1 portu için port security ayarları yapılmıştır. Bu ayarlar sayesinde, bu porta sadece 1 cihaz bağlanabilir. Ayrıca, bu portta bir MAC adresi kaydedilerek, sadece bu MAC adresine sahip cihazların bağlanmasına izin verilir.

 

2. DHCP Snooping Ayarları: DHCP snooping ayarları aşağıdaki gibi yapılabilir:

 

ip dhcp snooping vlan 1-10

ip dhcp snooping

 

Yukarıdaki örnekte, VLAN 1-10 arasındaki ağlarda DHCP snooping ayarları yapılmıştır. Bu ayarlar sayesinde, sadece DHCP sunucusu tarafından dağıtılan IP adreslerine sahip cihazların ağa bağlanmasına izin verilir. DHCP snooping ayarları için port bazlı ve VLAN bazlı yapılandırmalar da yapılabilir.

 

3. Dynamic ARP Inspection (DAI) Ayarları: DAI ayarları aşağıdaki gibi yapılabilir:

 

ip arp inspection vlan 1-10

interface gigabitethernet0/1

 ip arp inspection trust

 

Yukarıdaki örnekte, VLAN 1-10 arasındaki ağlarda DAI ayarları yapılmıştır. Ayrıca, gigabitethernet0/1 portu için DAI ayarları yapılmıştır ve bu porta güvenilen cihazların MAC adresleri belirtilerek güvenliğin korunması sağlanır.

 

4.     Private VLAN Ayarları: Private VLAN ayarları aşağıdaki gibi yapılabilir:

 

 

vlan 100

 private-vlan primary

vlan 200

 private-vlan community

vlan 300

 private-vlan isolated

 

Yukarıdaki örnekte, VLAN 100 asıl VLAN, VLAN 200 topluluk VLAN'ı ve VLAN 300 yalıtılmış VLAN olarak tanımlanmıştır. Asıl VLAN'a bağlanan cihazlar, topluluk VLAN'ına bağlanan cihazlarla iletişim kurabilirken, yalıtılmış VLAN'a bağlanan cihazlar herhangi bir cihazla iletişim kuramaz.

 

Sonuç olarak, Cisco ağ cihazları üzerinde ARP spoofing saldırılarına karşı alınabilecek birçok güvenlik önlemi mevcuttur. Bu önlemler arasında port security, DHCP snooping, DAI ve private VLAN gibi özellikler bulunmaktadır. Bu önlemler sayesinde, ağdaki güvenliğin artırılması ve saldırılardan korunması sağlanır.

HASAN KAYAPINAR
HAKKIMDA

Blog Etiketleri :
Tüm Bloglar
IdeaSoft® | E-Ticaret paketleri ile hazırlanmıştır.