İkinci Katman Saldırıları – 1

Ağ saldırıları denince öncelikle OSI’nin üçüncü (Ağ Katmanı) ve daha yukarı katmanlarıyla ilgili ataklar akla gelmektedir. Fakat ikinci katman atakları da en az üst katmanlara yönelik yapılan ataklar kadar etkili olabilmektedir. İkinci katman atakları yerel alan ağlarının içinden (LAN) yapıldığı için güvenlik duvarı ya da saldırı engelleme / tespit etme sistemleri tarafından engellenememektedir / tespit edilememektedir. Çünkü bu sistemler genellikle üçüncü ve daha üst katmanların güvenliği için tasarlanmıştır.
Ayrıca saldırı tespit veya engelleme sistemleri genellikle dış ağdan iç ağa gelebilecek saldırıları tespit ya da engellemek için kullanılmaktadır. Bu sistemlerin iç ağda yer alan bir saldırganın, yine iç ağda yer alan anahtarlara yapılacak saldırıları tespit edebilme / engelleme gibi bir şansı yoktur.
Ağ güvenliği tüm OSI katmanlarının güvenliğinin ele alınmasıyla asıl amacına ulaşacaktır. Üst katmanların güvenliğinin alınıp, ikinci katman güvenliğinin ele alınmaması ağ güvenliğinin tam anlamıyla anlaşılamadığını gösterir. Bilgi sistemlerindeki güvenliğin sistemdeki en zayıf halka kadar olduğunun altını tekrar çizmekte fayda görüyoruz.
Birinci katmana yönelik ataklar da yine bu kapsama dahildirler. Ağınızda tüm güvenlik önlemlerini almış olsanız da, şayet ağınızda bulunan sunucuları ve diğer cihazlarınızı bir kesintisiz güç kaynağına ya da bir jeneratöre bağlamamışsanız almış olduğunuz ikinci katman ve daha yukarı katman güvenlik önlemleri bir elektrik kesintisi durumunda hiçbir anlam ifade etmeyecektir. Ya da binanızın elektrik şalteri herkesin ulaşabileceği bir yerdeyse ve bulunduğu yerde yeterli güvenlik önlemleri de alınmamışsa üst katmanlar için almış olduğunuz güvenlik önlemleriniz yine bir işe yaramayacaktır. Çünkü elektrik kesilirse sisteminiz haliyle çalışamayacaktır.
Biz, bu makalemizde ikinci katman ataklarının nasıl yapıldığını anlatmaya çalışacağız. Bundan sonraki makalelerde de bu ikinci katman ataklarını daha ayrıntılı ele almaya çalışacağız.

İkinci Katman Sadırıları

1. MAC Adres Atağı

Anahtarlar, portları arasındaki iletişimi üzerlerindeki MAC adres tablolarına bakarak yapar.
MAC adres tablosunda; port numarası, porta bağlı olan bilgisayar(lar)ın MAC adres(ler)i ve ilgili portun hangi VLAN’e ait olduğu gibi bilgiler yer alır. Anahtar, portlarına gelen bir çerçevenin (frame) önce hedef MAC adres kısmına bakar. Daha sonra çerçevenin (frame) içinde yer alan bu hedef MAC adresinin kendi MAC adres tablosunda olup, olmadığına bakar. MAC adresini tabloda bulursa çerçeveyi (frame) ilgili porta gönderir. Yapılan bu işleme anahtarlama (switching) denir. Tüm ikinci katman anahtarları bu prensibe göre çalışır. Anahtarlama cihazlarının önemli bir zafiyeti, anahtarın MAC adres tablosunun dolması durumunda ortaya çıkmaktadır. Anahtarların MAC adres tablolarının bir sınırı vardır. Bu kapasite, cihazın marka, model ve donanımına bağlı olarak değişiklik göstermektedir.
Gelen çerçevenin (frame) hedef MAC adresi anahtarın MAC adres tablosunda bulunduğu takdirde anahtar bu çerçeveyi (frame) ilgili porta gönderecektir. Fakat anahtara gelen çerçevenin (frame) hedef MAC adresi, anahtarın MAC adres tablosunda bulunmadığı durumlarda, anahtar çerçeveyi (frame) tüm portlarına yollayacaktır. Peki bu nasıl gerçekleşir?
Anahtarın MAC adres tablosunun tamamen dolu olduğunu düşünelim ve anahtarın, beşinci portuna bağlı bir bilgisayardan gönderilen çerçevenin (frame) hedef MAC adresinin, anahtarın MAC adres tablosunda bulunmadığını düşünelim. Bu durumda anahtar, beşinci portundan gelen çerçeveyi (frame) diğer tüm portlarına yollayacaktır. Bu da ilgili beşinci porttan çıkan tüm bilginin diğer portlara da gönderilmesi sonucunu doğuracaktır. Bu da saldırganın, anahtar üzerinde herhangi bir port yönlendirmesi yapmadan, sadece anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği dinleyebilmesine yol açacaktır. Bu durum ayrıca anahtarın performansına da olumsuz etki edecektir.

VLAN Hopping atağı; saldırganın, üye olmadığı ve normalde ulaşamayacağı bir VLAN’e ulaşabilmesini sağlayan bir atak türüdür. VLAN Hopping saldırısında bulunan bir saldırgan, ağda hangi VLAN’e bağlı olursa olsun ağdaki diğer tüm VLAN’lere erişebilir. VLAN Hopping atağının iki türü vardır:

a) Anahtar Sahtekarlığı (Switch Spoofing)

Bu atak türünde saldırgan, kendisini bir anahtar gibi davranacak şekilde ayarlar. Saldırganın bu saldırıyı yapabilmesi için DTP’ye uygun şekilde ISL ya da IEEE 802.1q VLAN etiketlemelerini yapabilmesi gerekir. Bu saldırıda, saldırgan kendisini ISL ya da IEEE 802.1q VLAN etiketlemesini yapabilecek bir porta sahip olan bir anahtarmış gibi göstermektedir. Bir portun birden fazla VLAN’i taşıyabilmesi için ISL ya da IEEE 802.1q portu (trunk port) olarak tanımlanmış olması gerekir. Saldırganın, kendisini ISL ya da IEEE 802.1q portuymuş (trunk port) gibi göstermesi ağda bulunan tüm VLAN’lere üye olması ve erişebilmesi sonucunu doğurur.

b) Çift Etiketleme (Double Tagging)

Bu atakta, paketin istenen VLAN’e erişebilmesi için porta giren çerçevelere (frame) iki adet IEEE 802.1q başlığı (header) eklenir. Çerçeveyi ilk alan anahtar birinci başlığı (header) çıkarır. Çerçeveyi alan ikinci anahtar, çerçeve içerisindeki ikinci başlıktaki VLAN bilgisi okuyarak paketi, gitmesini istediği hedef VLAN’e gönderir.

3. Spanning-Tree Protokolü (STP) Atakları

Spanning-Tree protokolü bir ağda anahtarlama döngülerini (switching loops) engellemek için kullanılan bir protokoldür. Spanning-Tree protokolünün aktif olduğu anahtarlar kendi aralarında bir kök anahtar (root switch) seçerler. Spanning-Tree protokolüne dahil olan her anahtarın bir “bridge ID” değeri vardır. Bu değer “bridge prirotity” ve MAC adresi değerlerinden oluşur. “bridge prirority”nin varsayılan değeri 32768’dir. “bridge prirority” değeri en düşük olan anahtar kök anahtar (root switch) olarak seçilir. Bu seçim, BPDU çerçeveleri (frame) aracılığıyla yapılır. Ağa BPDU çerçevesi (frame) üreten bir bilgisayar bağlanıp, bağlanan bilgisayarın ürettiği BPDU çerçevelerinin (frame) içindeki “birdge prirority” değeri de 0 yapılmak suretiyle ağa bağladığımız bilgisayarın kök anahtarın (root switch) yerini alması sağlanabilir. Böylece tüm ağ trafiği bağlanan bu sahte kök anahtar bilgisayarı üzerinden geçer. Ayrıca kök anahtarın yerine geçen bu bilgisayarın ağ kablosunu sürekli, söküp takmak suretiyle kök anahtar seçimini tekrar başlatarak ağda bağlantı kesintilerine ve performans problemlerine de yol açmak mümkündür. Ağa, kendisini bir anahtarmış gibi gösteren bir bilgisayar yerine normal bir anahtar da bağlanabilir. Bağlanan anahtarın “bridge priority” değeri “0” yapılarak bu anahtar da “root bridge” olarak seçtirilebilir.

4. Sahte MAC (MAC Spoofing) Atağı

Bu atak türünde saldırgan, anahtara gönderdiği çerçevelerin (frame) içerisindeki “kaynak MAC adres” kısmına, dinlemek istediği bilgisayarın MAC adresini yazar. Anahtar MAC adres tablosunu bu duruma göre günceller. Böylece anahtarın MAC adres tablosunda, saldırganın bağlanmış olduğu anahtarın portu için iki adet MAC adresi yer almış olur. (Saldırganın MAC adresi ve hedef bilgisayarın MAC adresi) Hedef bilgisayara gönderilen çerçeveler de (frame) de böylece saldırganın bilgisayarına gönderilmiş olur. Hedef bilgisayar ağa paket gönderene kadar bu durum devam edecektir.

5. Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı

ARP yerel ağda yer alan IP adreslerini MAC adresleriyle eşleştiren bir protokoldür. Normalde ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini öğrenmek için anahtara ARP isteği (ARP request) paketi gönderir ve anahtar bu paketi tüm portlarına gönderir. Sadece paketin gönderileceği hedef bilgisayar bu ARP isteğine cevap verir. Paketi gönderen bilgisayar da bu IP – MAC eşleşmesini kendi ARP tablosunda tutar.
Sahte ARP ataklarında saldırgan, paketin gönderileceği bilgisayarın yerine ARP isteğine cevap verir. Böylece paketi gönderen bilgisayarın ARP tablosunda (IP – MAC eşleşmesi tablosu) saldırgan bilgisayarının IP ve MAC adresleri bulunacaktır. Böylece hedefteki bilgisayar gönderilecek olan paketler saldırganın bilgisayarına gönderilir.
Saldırgan varsayılan ağ geçidinin (default gateway) yerine ARP isteklerine cevap verecek olursa da, ağdan dışarı çıkacak olan tüm paketler, varsayılan ağ geçidi (default gateway) yerine saldırganın bilgisayarı üzerinden dışarı çıkacaktır. Böylece saldırgan hem ağdan çıkan tüm paketleri dinleyebilecektir hem de bilgisayarının donanım özelliklerine bağlı olarak ağda performans düşüklüğüne sebep olacaktır.

6. DHCP Açlık (DHCP Starvation) Atağı

DHCP açlık atağı, DHCP isteklerine sahte MAC adresleriyle cevap vermeye dayalı bir atak çeşididir. Yeterli miktarda DHCP istekleri ağ üzerinden dinlenildiği takdirde saldırgan, DHCP sunucularının atadığı IP adresi uzayını tespit edebilir. Bundan sonra saldırganın yapacağı iş sahte bir DHCP sunucusunu ağa dahil etmektir. Böylece bu yeni ve sahte DHCP sunucusu ağdaki DHCP isteklerine cevap verecektir.
Ağa sahte bir DHCP sunucusunun koyulmasıyla saldırgan, istemcilere IP adreslerini ve diğer ağ bilgilerini sağlar. DHCP cevap paketlerinin içerisinde varsayılan ağ geçidi (default gateway) ve DNS sunucularının adresleri de yer almaktadır. Saldırgan sahte DHCP sunucusuyla istemcilere varsayılan ağ geçidi (default gateway) ve DNS sunucusu olarak kendi bilgisayarının adresini verebilir. Böylece ağdan dışarı çıkacak olan tüm paketler saldırganın bilgisayarı üzerinden geçecektir. Bu atağa aynı zamanda “man-in-the-middle” atağı da denmektedir.

7. CDP Açıklığı

CDP ikinci katmanda çalışan ve Cisco cihazlarının birbirlerini tanımalarını sağlayan bir protokoldür. CDP çerçevelerinin (frame) içerisinde cihazın adı (hostname), IP adresi, cihazın modeli, cihazın işletim sistemi versiyonu gibi bilgiler yer almaktadır. Bu bilgiler ağ üzerinde açık olarak, şifresiz bir şekilde gönderilmektedir. Cihazlara ait bilgilerin ağ üzerinden şifresiz bir şekilde gönderilmesi sakıncalıdır. Cihazın markası ve modeli öğrenilmek suretiyle; o marka ve modele has açıklıklar kullanılarak cihaza saldırı(lar) gerçekleştirilebilir. Cihazlardan öğrenilmiş olan IP bilgileri kullanılarak da ağın topolojisi tespit edilebilir.

8. VTP Açıklığı

VTP ağ yöneticilerinin VLAN’lerin eklenmesi, silinmesi ve isimlerinin değiştirilmesi gibi olayların merkezi bir şekilde yapılmasını sağlayan, Cisco cihazlara has ikinci katman (Layer 2) bir protokoldür.
Son durum itibariyle VTP konusunda bir saldırı tespit edilmemiştir ama bu, saldırının olmayacağı anlamına da gelmemelidir. Saldırgan, anahtarın portuna bağladığı bilgisayarının portunu “trunk port” olarak tanımlayıp ağa sahte VTP mesajları göndermek suretiyle, anahtara VLAN ekleyebilir, silebilir ya da değişiklik yapabilir. Gerçekleşme ihtimali düşük olsa bile önlemleri alınmadığı takdirde böyle bir saldırı teorik olarak mümkündür.
Yukarıda ikinci katman saldırılarıyla ilgili temel bazı fikirler vermeye çalıştık. Bundan sonraki makalelerimizde bu saldırılar daha ayrıntıyla ele alınacak ve bu saldırılardan korunma yolları gösterilmeye çalışılacaktır.

Kısaltmalar:

ARP: Address Resolution Protocol
BPDU: Bridge Protocol Data Unit
CDP: Cisco Discovery Protocol
DHCP: Dynamic Host Configuration Protocol
DNS: Domain Name System
DTP: Dynamic Trunking Protocol
IEEE: Institute of Electrical and Electronics Engineers
IP: Internet Protocol
ISL: Inter-Switch Link
MAC: Media Access Control
OSI: Open Systems Interconnection
VLAN: Virtual Local Area Network
VTP: VLAN Trunking Protocol
Selçuk Şahin, TÜBİTAK-UEKAE