Günümüzde güvenlik deyince hala çoğu bilişimcinin aklına önce güvenlik duvarı geliyor. Ancak güvenlik duvarı ile sadece internetten gelen saldırılara karşı önlem alınabildiği unutulmamalıdır.
Gelişmiş güvenlik duvarı yazılımları sayesinde internet üzerinden güvenlik duvarını aşmak çok güçleşti, bu nedenle korsanlar yöntem değiştirerek saldırılarını doğrudan yerel alan ağından yani içeriden yapmaya başladılar. Bu sayede korsanlar yerel alan ağına girdikleri anda güvenlik duvarındaki bütün önlemler etkisizleşiyor ve yerel alan ağındaki bütün bileşenler saldırıya açık hale geliyor.
Yerel alan ağına girmek için korsanlar doğrudan anahtara bir ağ kablosu ile kendini bağlıyor ya da kurumun kablosuz ağını kullanıyorlar. Bu tür saldırılarda tek güvenlik önlemi ise anahtarlarda (switch) alınabiliyor.
Durum iç açıcı değil
Şu anda kurumsal işletmelerin yüzde 90'ının bu türde saldırılara açık olduğunu söylemek mümkün. Kimsenin fark etmediği saldırılar yapılabiliyor. Ne yazık ki hala birçok BT yöneticisi güvenliğin yalnızca güvenlik duvarıyla sınırlı olduğunu düşünüyor. Oysa günümüzde artık asıl önemli olan iç güvenliği sağlamak. İçeriden saldırı yapmak hem daha kolay, hem de saldırıların iz belli etmeden yapılması mümkün. Bu nedenle yerel alan ağlarında anahtar üzerinden sağlanacak güvenliğe daha fazla önem verilmesi gerekiyor.
Yerel alan ağına sızan korsanlar anahtara bağlı bütün istemcilerdeki şifrelenmemiş her türlü trafiği dinleyebiliyorlar. Yapılan araştırmalar yerel alan ağından gelen saldırıların oranının yüzde 60'a çıktığını gösteriyor. Korsanların, kurumun ağına girmek için şirket içine girerek boşta duran ya da başka bir bilgisayara bağlı duran bir ağ kablosunu kendi bilgisayarlarına bağlamaları yeterli oluyor. Bunun ardından ağ üzerindeki her türlü trafiği dinlemeleri mümkün olabiliyor.
Saldırı yapmak bu kadar kolay olunca da saldırılar giderek artıyor. Yerel alan ağından yapılabilecek saldırılara örnek olarak en sık kullanılanlardan ikisi olan ARP Zehirlenmesi ve DHCP Snooping verilebilir.
ARP zehirlenmesi
Eskiden ARP zehirlenmesi yapmak çok zordu, ciddi bir ağ ve, donanım bilgisi gerekiyordu. Oysa artık internetten indirilebilecek ücretsiz ve kullanımı çok kolay yazılımlarla bu saldırı bir çocuk oyuncağı haline geldi. ARP zehirlenmesi sonucunda saldırıyı yapan bilgisayar ağ trafiğini kendi üzerine alıyor ve bu trafiği izleyebilir hale geliyor. Bu sayede şifresiz giden MSN konuşmalarından dosya transferine kadar her türlü "clear text" bilgiyi kolayca izleyebiliyor. Aynı şekilde şifrelenmemiş SSL kullanmayan siteleri, şifrelenmemiş POP3 e-posta parolaları saldırıyı yapan bilgisayarı tarafından izlenebiliyor.
Bu tür saldırılarla kablosuz ağından yararlanılan bir cafede ya da bir otelde karşılaşmak da mümkün. İşin en tehlikeli yanlarından birisi ise yanınızdaki bir bilgisayarın ARP zehirlenmesi yapıp yapmadığını anlamanız hiç kolay değil.
İzlenen trafik şifrelenmiş olsa bile bunu izleyenler parolaları kırmak için kullanılan programları kullanarak bu şifreleri çözebiliyorlar. Sonuçta bilgi casusluğu, endüstri casusluğu işten bile olmuyor.
Bu tür saldırılar üniversitelerde de yaygın olarak yaşanıyor. Bu tür saldırı programlarını duyan, bu işlere meraklı öğrenciler bunları öncelikle kendi üniversitelerinde deneyebiliyorlar. Bunu merak amacıyla yapsalar bile istemeden de olsa ağın çökmesi sebep olabiliyorlar.
DHCP Snooping
Bu saldırı yönteminde ise saldırı yapan bilgisayar ağ üzerindeki DHCP sunucusunun yerine geçiyor ve IP bilgilerini isteyen istemcilere kendi istediği bilgileri veriyor. Bu bilgilerden en önemlisi DNS sunucusu ve varsayılan ağ geçidi IP adresi. Saldırgan bu bilgileri değiştirerek istemcilerin bağlanmak istedikleri web sitelerinin yerine kendi istediği yere ulaşmalarını sağlıyor. Sonuçta internet bankacılığı gibi uygulamalarda kullanıcı farkına varmadan sahte bir siteye girip, kolayca ve farkına varmadan şifresini verebiliyor.
Yerel alan ağları üzerinden yapılabilecek bu tür saldırıları önlemek için kurum güvenlik politikalarının oluşturulması, bu tür saldırıları anahtarda önleyebilecek özelliklere sahip yönetilebilir ve bu tarz saldırı tiplerine karşı güvenlik önlemleri bulunan "HP Procurve anahtarları" gibi yönetilebilir akıllı anahtarların kullanılması gerekiyor.
Ağ yöneticisi ne yapmalı?
Kesinlikle ilk önlem en uçta yönetilebilir ve bu tarz saldırılara karşı güvenlik önlemlerine sahip anahtar kullanmak olacaktır. ARP zehirlenmesine karşı anahtarlar, üzerindeki Mac adresleri ve IP adreslerinin eşleştirildiği bir tablo tutabiliyorlar. Bu tabloya uymayanların ya da bunlardan herhangi birini değiştirenlerin ağla ilişkisini kesebiliyorlar. Ayrıca her gelen pakette bu kontrol yapılarak korsanların isimlerini gizlemek amacıyla Mac adreslerini değiştirerek Mac spoofing yapmaları engelleniyor.
Anahtarlar DHCP Snooping'i önlemek için sistemdeki gerçek DHCP sunucunun yalnızca belirlenen portlarda çalışmasını veya buna ek olarak yalnızca belli bir IP'den gelmesi sağlayabiliyor. Böylece sahte DHCP'ler engelleniyor. Eğer bütün istemcilerin IP bilgilerini ağ yöneticisi tarafından belirlenen DHCP'den alması isteniyor ve kimsenin bu bilgileri elle girmemesi isteniyorsa bu yöntem buna da olanak tanıyor. Bu kuralı ihlal edenler de ağdan atılarak güvenlik sağlanabiliyor.
Bazı kurumlar yerel alan ağına sızıntıları önlemek için kurumun içine ziyaretçilerin hiç birinin cep telefonu ya da dizüstü bilgisayar sokmalarına izin vermiyor. Bu önlemin üzerine yabancı bir bilgisayar ağa bağlansa bile, bilgisayar anahtar tarafından kontrol edilerek ağa kabul edilmiyor ve sistem yöneticisine derhal bildiriliyor.
HP'nin güvenlik vizyonu ise Procurve anahtarlarında bu saldırılara karşı güvenlik önlemlerinin standart olarak gelmesi.
Çok bilinen saldırı yöntemlerinin dışında HP ProCurve Anahtarları ve kablosuz vericileri üzerinde istemcilerin birbiriyle haberleşmesi de önlenebiliyor. Bu sayede bir cafede yan yana oturan ya da bir otelde yan odalarda kalan kişilerin bütün trafiği izleyip veri elde etmesi önlenebiliyor. Bu sayede anahtar üzerindeki her port ayrı hareket etmeye ve sadece kendini ve internete çıkartan yönlendiriciyi görmeye başlıyor.
Bunun dışında Procurve Immunity Manager yazılımıyla yerel alan ağına yönelik bu tür saldırılar denendiğinde, bu saldırıyı yapan istemci karantinaya alınabiliyor.
Ayrıca HP Procurve müşterilerine ömür boyu ücretsiz yazılım yükseltimi sağlama taahhüdünde bulunuyor. Bu sayede yeni saldırılara karşı müşterilerini koruma altına almayı hedefliyor. Procurve artık üretimde olmayan anahtarlar için de güncellemeler sunuyor. Sistem yöneticisinin işlemlerini kolaylaştırmak için HP ProCurve Manager Plus yazılımı ile her güncelleme çıktığında ağ yöneticisi bilgilendirilerek, istediği anda internet üzerinden güncellemeyi indirerek anahtara yüklemesi sağlanabiliyor.
Kullanıcılar tarafında ne yapılabilir?
Bu tür saldırılara karşı kullanıcıların da bilinçlendirilmesi gerekiyor. Ne yazık ki ARP zehirlenmesine karşı kullanıcıların yapacakları pek bir şey yok. DHCP Snooping'e karşı önlem olarak şifre girerek giriş yaptıkları sayfanın altındaki kilit işaretinin kapalı olup olmadığını her zaman kontrol etmeleri gerekiyor. Bu kilit girilen internet sitesinde SSL şifrelemesinin aktif olduğunu gösteriyor. Sahte sitelerde bu kilidin bulunması oldukça zor. Eğer sahte bir SSL sertifikası ile bu kilit sağlansa bile yeni nesil tarayıcılar bu sertifikayı kontrol ederek sahte bir siteye gidilmesini kontrol edebiliyorlar.
Kullanıcıların alabileceği bir diğer önlem de herkese açık bir ağa bağlanıldığında ilk olarak kurumlarına bir VPN oluşturmak olabilir. Bu sayede kullanıcı ve kendi kurumu arasında bir VPN tüneli açılıyor ve o tünelden geçen trafik şifreli olduğu için yan masada ya da yan odadaki biri artık trafiği anlayamaz hale geliyor.
CHIP Online okurları için hazırlayan:
Mehmet Tarımcı
Marmara Üniversitesi Teknik Eğitim Fakültesi Bilgisayar ve Kontrol Öğretmenliği Bölümünden mezun olan Mehmet Tarımcı, aynı üniversitenin Mühendislik Fakültesi'nde MIS-Yönetim Bilişim Sistemleri'nde yüksek lisans yaptı. Çalışma hayatına KoçSistem'de Teknik Uzman olarak başlayan Tarımcı, daha sonra sırasıyla Gelecek A.Ş.'de Eğitim Uzmanı, İstanbul Ritz-Carlton Hotel'de Bilgi İşlem Müdür Yardımcısı ve Setur Divan A.Ş.'de Bilgi Sistemleri Şefi olarak görev yaptı. Mehmet Tarımcı şu anda HP Procurve Türkiye Müşteri Yöneticisi olarak görev yapıyor.