Cisco Ağ Cihazlarında ARP Spoofing Saldırılarına Karşı Alınabilecek Güvenlik Önlemleri ve Ayarları
ARP spoofing, bir ağdaki cihazlar arasında yapılan bir saldırıdır. Bu saldırıda, bir saldırgan, ağda bulunan bir başka cihazın IP adresine sahipmiş gibi davranır ve ağdaki diğer cihazların trafiklerini kendisine yönlendirir. Bunu yapmak için, saldırgan ağdaki diğer cihazların ARP önbelleğini değiştirir ve hedef cihazların IP adresini kendi MAC adresi ile eşleştirir.
Cisco ağ cihazları üzerinde ARP spoofing önlemek için bazı güvenlik önlemleri alınabilir.
Cisco ARP Spoofing'e Karşı Alınabilecek Güvenlik Önlemleri
1. Port Security: Cisco ağ cihazlarında, port security özelliği kullanılarak ağa bağlanan cihazların MAC adresleri doğrulanabilir. Bu özellik sayesinde, ağa bağlanan cihazlar arasında yapılan ARP spoofing saldırıları engellenebilir.
2. DHCP Snooping: DHCP snooping, ağdaki DHCP sunucularının güvenliğini sağlamak için kullanılan bir özelliktir. Bu özellik sayesinde, ağa bağlanan cihazlar arasında yapılan ARP spoofing saldırıları engellenebilir.
3. Dynamic ARP Inspection (DAI): DAI özelliği, ağdaki ARP isteklerinin doğrulanmasını sağlar. Bu özellik sayesinde, ARP spoofing saldırıları engellenebilir.
4. Private VLAN: Private VLAN özelliği, aynı VLAN'a bağlı cihazların birbirlerine erişimini sınırlar. Bu özellik sayesinde, ARP spoofing saldırıları engellenebilir.
Cisco Switch ve Router Ayarları
1. Port Security Ayarları: Port security ayarları, switch üzerindeki portlarda ağa bağlanan cihazların MAC adreslerinin doğrulanmasını sağlar. Port security ayarları aşağıdaki gibi yapılabilir:
interface gigabitethernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky
Yukarıdaki örnekte, gigabitethernet0/1 portu için port security ayarları yapılmıştır. Bu ayarlar sayesinde, bu porta sadece 1 cihaz bağlanabilir. Ayrıca, bu portta bir MAC adresi kaydedilerek, sadece bu MAC adresine sahip cihazların bağlanmasına izin verilir.
2. DHCP Snooping Ayarları: DHCP snooping ayarları aşağıdaki gibi yapılabilir:
ip dhcp snooping vlan 1-10
ip dhcp snooping
Yukarıdaki örnekte, VLAN 1-10 arasındaki ağlarda DHCP snooping ayarları yapılmıştır. Bu ayarlar sayesinde, sadece DHCP sunucusu tarafından dağıtılan IP adreslerine sahip cihazların ağa bağlanmasına izin verilir. DHCP snooping ayarları için port bazlı ve VLAN bazlı yapılandırmalar da yapılabilir.
3. Dynamic ARP Inspection (DAI) Ayarları: DAI ayarları aşağıdaki gibi yapılabilir:
ip arp inspection vlan 1-10
interface gigabitethernet0/1
ip arp inspection trust
Yukarıdaki örnekte, VLAN 1-10 arasındaki ağlarda DAI ayarları yapılmıştır. Ayrıca, gigabitethernet0/1 portu için DAI ayarları yapılmıştır ve bu porta güvenilen cihazların MAC adresleri belirtilerek güvenliğin korunması sağlanır.
4. Private VLAN Ayarları: Private VLAN ayarları aşağıdaki gibi yapılabilir:
vlan 100
private-vlan primary
vlan 200
private-vlan community
vlan 300
private-vlan isolated
Yukarıdaki örnekte, VLAN 100 asıl VLAN, VLAN 200 topluluk VLAN'ı ve VLAN 300 yalıtılmış VLAN olarak tanımlanmıştır. Asıl VLAN'a bağlanan cihazlar, topluluk VLAN'ına bağlanan cihazlarla iletişim kurabilirken, yalıtılmış VLAN'a bağlanan cihazlar herhangi bir cihazla iletişim kuramaz.
Sonuç olarak, Cisco ağ cihazları üzerinde ARP spoofing saldırılarına karşı alınabilecek birçok güvenlik önlemi mevcuttur. Bu önlemler arasında port security, DHCP snooping, DAI ve private VLAN gibi özellikler bulunmaktadır. Bu önlemler sayesinde, ağdaki güvenliğin artırılması ve saldırılardan korunması sağlanır.
HASAN KAYAPINAR
HAKKIMDA