Kurumlarımızda ağ altyapılarının, neredeyse tüm kablolu iletişim iskeletini oluşturan switchler, her zaman sadece temel görevi kapsamında kullanılmış, güvenlik açısından ele alınmamıştır. Bunun nedeni olarak switchlerde uygulanabilecek fonksiyonların bilinmemesine ek olarak sadece farklı VLAN veya subnetler arası trafiğin kesilmesinin yeterli sayılması gösterilebilir. Olması gereken ise, siber güvenliğin, L3 trafik arasında veya sadece güvenlik duvarı üzerinde olmayacağını anlayıp, uçtan uca düşünülerek dizayn edilmesidir.
Bu yazımızın amacı, güvenlik ürünlerine ciddi yatırımlar yapan kurumlarımızın ağlarında çoğu zaman en az önem verilen noktalardan olan switch güvenliğinde, marka bağımsız, sağlanabilecek önlemlere kısa bir özet geçmektir. Farklı üreticilerin farklı çözümleri veya terminolojide farklı ifadeleri mutlaka olabilir fakat birazdan yazacağımız maddeler neredeyse çoğu enterprise seviye switch üreticisi için geçerlidir.
1.Yönetimsel Güvenlik
a.Admin Girişleri
Varsayılan olarak gelen admin hesapları mutlaka değiştirilip güçlü bir parola kullanılmalıdır. Ayrıca mümkün olduğunca ağ cihazlarına girişler TACACS gibi güvenli servisler üzerinden sağlanmalıdır.
b.Erişim Protokolü
Birçok switch web konsolu kullanılır ve HTTPS de olsa built-in sertifika kullanıldığından zafiyetlere açık durumdadır. Burada önerimiz, web konsolunun ve CLI tarafında telnet servisinin kapatılması, SSH version 2’nin tercih edilmesidir.
c.SNMP Konfigurasyonu
SNMP (Simple Network Management Protocol) switch tarafında hem monitoring, hem de SNMP temelli NAC(Network Access Control) ürünlerinin switchleri yönetmesine olanak sağlayan bir protokoldür. Dolayısıyla burada oluşacak bir risk, ağı ciddi şekilde etkiler. Mümkünse SNMP versiyon 3 olarak konfigure edilmelidir. Bu sayede hem farklı hedeflerin bu verilere ulaşması engellenir, hem de akan veri şifreli olarak iletilir.
d.Secure-STP
STP(Spanning-Tree Protocol) bir loop engelleme protokollerinden biridir fakat bunu yapabilmek için aslında switchler arasında birçok bilginin alınıp verilmesini gerektirir. Bu da, kendini bir switch olarak gösterecek zararlının bu bilgileri elde edebilmesine olanak sağlar. STP tarafında alınabilecek bazı önlemler ile bunun önüne geçilebilir(BPDU-Guard).
2.Switchport Güvenliği
a.Static port güvenliği
Switch üzerinde portlara lokal olarak MAC adresi tanımlanabilir. Farklı üreticiler bunu farklı parametreler üzerinden desteklemektedir. Sonraki maddelerde yazacaklarımız kadar güvenli ve esnek olmasa da temel anlamda koruma sağlayacaktır.
b.MAB
Bir Radius sunucu üzerinden sağlanacak MAC bazlı korumadır. Burada da paramatre MAC adresi olduğundan ve kopyalamaya karşı zayıf olduğundan güvenlik riski azaltılsa da tamamen yok sayılamaz.
c.802.1x
EAP protokolleri üzerinden, genellikle Active-Directory olan ortamlarda uygulanan, kullanıcıları parola veya sertifika ile doğrulama metodundan yararlanan çözümdür. Güvenlik riskini en aza indiren seçenekleri(EAP-TLS vb.) sunar. Konfigurasyon anlamında en kapsamlısıdır ve yine bir Radius sunucu gerektirir.
3.Spoofing Saldırıları ve Korunma Mekanizmaları
a.DHCP Snooping
Switch üzerine yetkisiz bir DHCP sunucunun bağlanıp, ağdaki cihazlara IP dağıtmasını engeller. Bu çok ciddi MITM(Man-In-The-Middle) saldırılarına olanak sağlar. DHCP-Snooping konfigürasyonu ile birlikte switchler üzerindeki cihazların DHCP’den aldıkları IP’lerin bir tablosunu oluşturur.
b.Dynamic ARP Inspection
DHCP tarafında olduğu gibi, sadece yetkili cihazların ARP(Address Resolution Protocol) isteklerine cevap vermesini sağlar. DHCP-Snooping ile birlikte kullanılabilir ve yine MITM saldırılarının önüne geçer.
4.Bandwidth Optimizasyonu
a.Broadcast Limit Rate
Switchlere takılan bazı cihazlar, belli bir problem veya konfigürasyon hatası kaynaklı ciddi şekilde broadcast trafiği oluşturabilirler. Bu basit bir uygulama üzerinden yapılacak atak kaynaklı da olabilir. Sonucunda switchler işlevsiz kalabilir ve bir zafiyet meydana gelir. Bunu engellemek için global konfigürasyonda veya port-vlan bazlı bir broadcast limit uygulanabilir.
b.IGMP Snooping
Üst maddede olduğu gibi multicast trafiği için de bir limit uygulanabilir. Bu tarafta genellikle multicast trafiği oluşturmaya izinli host veya VLAN’lar belirtilir.
5.Ağ Segmentasyonu
a.VLAN Yapısı
Farklı tür ve yetkiye sahip olması gereken cihazları switch üzerinde ayrıştırmanın en temel ve basit yolu VLAN oluşturmaktır. Trafiğin kalitesini artıracağı gibi, farklı VLAN’lar birbirlerine bir L3 cihazda belirtilmediği sürece erişemediğinden ciddi anlamda güvenlik fonksiyonu nedeniyle kullanılmalıdır.
b.Micro-Segmentasyon
Yukarıda bahsettiğimiz VLAN yapısında cihazlar, VLAN içerisinde birbirlerine erişebilmektedir ve zararlı da aynı şekilde bir VLAN içerisinde birçok noktaya ulaşabilir. Bunun önüne geçmek ve aynı VLAN içerisinde bile kısıtlama uygulayabilmek için bu çözüm kullanılabilir. Üretici olarak henüz bunu tam anlamda sağlayan sadece HPE-Aruba (Tunnel-Node) olsa da güvenlik anlamında switching tarafında gelinen son noktayı ifade ettiğinden yazımıza eklemek istedik.
Switching-Security tarafında farklı üreticilerin farklı yaklaşımları olsa da genel hatlar bu şekilde çizilebilir. Viznet Bilişim olarak çalıştığımız markaların bu alanda verdiği imkanlara daha detaylı olarak sonraki yazılarımızda değineceğiz.
