ARP Nedir?
Yerel alarn oluturulmasnda en ok kullanlan a arayz Ethernet' tir. Sistemlere Ethernet arayz grevi gren a kartlar taklarak LAN 'lara kolayca eklenmektedir. Ethernet arayzleri birbirlerine veri paketi gndermeleri iin, kendilerine retim srasnda verilen fiziksel adresleri kullanrlar; 48 bit olan bu arayzler her bit iin farkldr. Ancak TCP/IP protokolnn kullanld alarda 32 bit olan IP adresi kullanlr. Fiziksel katmanda Ethernet arayz kullanlyorsa, IP adresten fiziksel adrese dnm iinin yaplmas gerekir. Bunun iin sistemlerde adres zmleme protokol olan ARP( ngilizce:Address Resolution Protocol ) ve ARP tablolar kullanlr.
Gnderici belirli operasyonlar sergiler: istek iin 1, cevap iin 2, RARP istei iin 3 ve RARP cevap iin 4. Gnderen Donanm Adresi Donanm adres gnderici. Gnderen Protokol Adresi Protokol adres gnderici. Var Donanm Adresi Alcya ynelik donanm adresi. Bu alanda istekler nemsenmez.Bir istek mesaji gnderilirken Var Donanm Adresinin tamam sfr yaplr. Var Protokol Adresi Alcya ynelik protokol adresi.
ARP SALDIRILARI
Lokal alarda gerekletirilmesi hi de zor olmayan saldrlardan birisi de ARP sahtekarl saldrlardr. ARP sahtekarl saldrlarnn anlalabilmesi iin ARP kavramnn ok iyi bilinmesi gerekmektedir. ARP kavramnn iyi bilinmemesi, ARP saldrlarnn anlalmasna ve bu saldrlarn nlenmesine engel olacaktr. Aadaki yaznn daha iyi anlalabilmesi iin ARP kavramnn iyi bilinmesi gerekmektedir.ARP sahtekarl (ARP spoofing, ARP flooding, ARP poisoning) saldrs lokal alarda gerekletirilebilen bir saldrdr. Bu saldr, ekilde gerekletirilmektedir: Birincisi; hedef bilgisayarn ARP tablosunun yanl bilgilerle olmasn salayarak,hedef bilgisayarn gnderecei paketlerin saldrgann istedii adreslere gitmesini salamak. kincisi; hedef bilgisayarn gnderecei tm paketlerin, saldrgann bilgisayar zerinden gemesini salamak (Man in the Middle). ncs de; hedef bilgisayarn, paketlerini bir baka bilgisayara gndermesini salayarak bu bilgisayara servis d brakma (Denial of Service) saldrs yapmak eklindedir. Saldrlar, aadaki topoloji zerinden anlatmaya alacaz:
Birinci saldr:
Ada yer alan bilgisayarlarn birbirleriyle haberleme yaptklar durumda, A bilgisayarnn ARP tablosu aadaki gibi olacaktr:
Normal durumda A bilgisayar, C bilgisayarna bir ereve (frame) gnderecei zaman erevenin hedef MAC adresi ksmna koyaca adres CC-CC-00-00-00-01 olacaktr.lk saldrmzda saldrganmz A bilgisayarnn gnderecei tm erevelerin (frame) ED-12-3388-AA-B0 MAC adresli bir bilgisayara gnderilmesini salayacaktr. Bunun iin saldrgan, A bilgisayarna srekli olarak sahte ARP (spoofed ARP) ereveleri yollayacaktr. A bilgisayar da ARP tablosunu gelen bu sahte ARP mesajlarna gre gncelleyecektir. ARP mesajlar, herhangi bir durum tablosu tutmadklar (stateless) ve ARPta herhangi bir kimlik dorulama mekanizmas olmad iin de A bilgisayar gelen ARP mesajlarnn doru bilgisayardan gelip-gelmedii kontrol edemeyecektir. Tm bilgisayarlar gibi A bilgisayar da kendisine gelen ARP mesajlaryla ARP tablosunu herhangi bir kontrole tabi tutmadan gncellemek durumundadr.
Saldrgan; A bilgisayarna lokal ada yer alan tm IP adresleri iin tek bir adet MAC adresini ieren (ED-12-33-88AA-B0) ARP mesajlar gnderecektir. Bu durumda A bilgisayarnn ARP tablosu aada duruma dnecektir:
A bilgisayar adaki herhangi bir bilgisayara paket gndermek istedii zaman paketlerin hepsi ED-12-33-88-AA-B0 MAC adresine sahip olan bilgisayara gnderilecektir. Bu saldrda saldrgan; A bilgisayarna gnderecei sahte ARP erevelerindeki (frame) MAC adresini deitirmek suretiyle, A bilgisayarnn gnderecei tm paketleri istedii bilgisayara gndermeyi baarabilecektir. Bu ekilde saldrgan, A bilgisayarndan kan tm paketleri istedii bir bilgisayardan dinleyebilecektir. kinci Saldr Bu saldr, birinci saldrda bahsedilen yntemle gerekletirilmektedir. Bu saldrda saldrgan, sahte ARP (spoofed ARP)erevelerinin ierisine kendi bilgisayarnn MAC adresini yazmak suretiyle hedef bilgisayardan kan tm paketlerin kendi bilgisayar zerinden gemesini salar. Bu saldr, man-in-the-middle (MiM) saldrs olarak da bilinmektedir.Saldrgan, tm aa yollad ARP mesajlarnn ierisine varsaylan a geidinin (default gateway) MAC adresi yerine kendi MAC adresini yazarsa da kendisi varsaylan a geidi olmu olacaktr. Bylece adan darya kacak olan tm trafik saldrgann bilgisayarna gelebilecektir. nc Saldr Bu saldr da yine birinci saldrda bahsedilen yntemle gerekletirilmektedir. Bu saldr trnde saldrgann amac, hedef bilgisayardan dar kacak olan paketleri dinlemek deil, hedef bilgisayara servis d brakma (DoS) saldrs yapmaktr.Bunun iin saldrgan tm ada yer alan bilgisayarlara sahte ARP mesajlar yollar. Bu mesajlarn ierisine de hedef bilgisayarn MAC adresini yazar. Bylece ada yer alan tm bilgisayarlar paketlerini hedef bilgisayara yollar. Bu da hedef bilgisayarn ethernet balantsnn limitinin dolmasna sebep olur. Ayrca hedef bilgisayarn ilemci gcnn de %100 orannda kullanlmasna sebep olarak, hem hedef bilgisayarn ilem yapmasn engellemi olur, hem de ada yer alan dier bilgisayarlarn balantlarn engellemi olur.Saldrgan tm a etkileyip, bu saldry ok fazla dikkat ekmeden yapmak isterse de, sahte ARP mesajlarn tm aa deil de, dnml olarak ada yer alan baz bilgisayarlara gndererek adaki bilgisayarlarn eriim sorununu gizlemi olur. Adaki bilgisayarlardaki eriim problemi dnml olarak gzlendiinden, bunun bir atak olduunun anlalmas olduka zor olacaktr. zm: Olduka eski bir protokol olan ARPn alma yapsndan kaynaklanan bu sorunlarn protokol baznda bir zm bulunmamaktadr. ARPn bu eksikliini, anahtarlama cihazlar zerinde alnacak baz nlemlerle kapatmak mmkndr. zm 1: zmlerden bir tanesi; anahtarlama cihazlarnn da IP adresi MAC adresi elemelerini (ARP tablosu) port baznda tutmalardr. Anahtarlama cihazlar zerinde port baznda bir IP adresi MAC adresi eletirmesi yapld takdirde ilgili porttan farkl bir MAC adresinin gelmesi mmkn olmayacaktr. Bylece saldrgan bal olduu anahtarlama cihaznn portundan farkl IP adresi MAC adresi elemelerine sahip olan ARP mesajlar gnderemeyecektir. Anahtarlama cihaznn bir portu iin sadece bir IP adresi ve bir MAC adresi tanmlanabilecektir. Bu nleme; Dynamic ARP Inspection ya da Dynamic ARP Protection denmektedir.Dynamic ARP Inspection/Dynamic ARP Protection yaplandrmas yaplm olan anahtarlama cihazlar, ayn zamanda 0.0.0.0 ya da 255.255.255.255 gibi geerli olmayan IP adreslerinden gelen ARP isteklerini de engelleyecektir.DHCP sunucusunun bulunduu bir sistemde Cisco marka anahtarlama cihazlarnda bu zellik aadaki gibi aktif hale getirilir:
Cisco(config)#ip dhcp snooping vlan 53, 61 Cisco(config)#ip arp inspection vlan 53,61 Cisco(config)#interface GigabitEthernet 5/48 Cisco(config-if)#ip dhcp snooping trust Cisco(config-if)#ip arp inspection trust Yukardaki rnekte, IP adreslerinin otomatik olarak datld (bir DHCP sunucusunun bulunduu) bir sistemde 53 ve 61 numaral VLANler iin Dynamic ARP Inspection zellii aktif hale getirilmitir. Anahtarlama cihaz 53 ve 61 numaral VLANlere bal olan portlar iin kendi zerinde tuttuu IP adresi MAC adresi tablosuna bakarak ARP erevelerine izin verecek ya da bu ereveleri (frame) drecektir.Aadaki rnekte de HP ProCurve marka anahtarlama cihazlarnda DHCP sunucusunun bulunduu bir ortamda Dynamic ARP Protection zellii aktif hale getirilmitir: ProCurve(config)# arp-protect vlan 53,61 ProCurve(config)# arp-protect trust c1-c12, e3 Bu konfigrasyonlarda dikkat edilmesi gereken husus, anahtarlama cihazlarnn birbirlerine balandklar portlarn gvenilir (trusted) olarak tanmlanmasdr.Gvenilir (trusted) olarak tanmlanmayan portlardan gelen ARP istekleri kontrol edileMEYEecek, gvenilir olmayan (untrusted) portlardan gelen ARP mesajlar da kontrol edilecektir. zm 2: Bir DHCP sunucusunun bulunmad bir ortamda (IP adreslerinin statik olduu) IP adresi MAC adresi elemelerinin anahtarlama cihazlar zerinde el ile birer birer yaplmas gerekmektedir. Yani DHCP sunucusundan hazr olarak alnan IP adresi MAC adresi eletirmelerinin anahtarlama cihazna el ile girilmesi gerekmektedir.Bunun iin anahtarlama cihazlar zerinde ARP eriim kontrol listeleri (ARP access control lists - ARP ACLs) tanmlanr.Aadaki rnekte Cisco marka anahtarlama cihazlarnda DHCP sunucusunun bulunmad bir sistemde Dynamic ARP Inspection konfigrasyonu yer almaktadr: Cisco(config)#ip arp inspection vlan 61 Cisco(config)#ip source binding AAFF.6161.0606 vlan 61 192.168.61.61 interface Gi1/2 Cisco(config)#arp access-list ARP_ACL_NAME Cisco(config-arp-acl)# permit ip host 192.168.61.61 mac host AAFF.6161.0606 Cisco(config)#ip arp inspection filter ARP_ACL_NAME vlan 61 Yukardaki rnekte VLAN 61 iin, sadece 192.168.61.61 IP numaral ve AA-FF-61-61-06-06 MAC adresine sahip olan bir bilgisayardan ARP mesajlar kabul edilecektir.Aadaki rnekte HP ProCurve marka anahtarlama cihazlarnda DHCP sunucusunun bulunmad bir sistemde Dynamic ARP Protection konfigrasyonu yer almaktadr: ProCurve(config)#ip source-binding AAFF61-610606 interface vlan 61 192.168.61.61 interface A4
zm 3: Bu saldr iin bir baka zm de, anahtarlama cihaznn portlarna birim zamanda gelen ARP mesajlarn snrlamaktr. Bu ekilde, ARP servis d brakma saldrlarnn da (ARP DoS) nne geilmi olunur. Bu zellik, sadece Cisco marka anahtarlarn baz modellerinde aktif hale getirilebilmektedir. Cisco(config)#errdisable recovery cause arp-inspection Cisco(config)#interface GigabitEthernet 6/12 Cisco(config-if)#ip arp inspection limit rate 25 burst interval 3 Yukardaki rnekte GigabitEthernet 6/12 numaral port iin, bu porta 3 saniye boyunca saniyede 25ten fazla ARP mesaj geldii takdirde port, bunu bir ARP saldrs olarak alglayp, zerinden geen iletiimi kesecektir.Lokal alarda ok fazla nlem alnmayan ve saldr tespit sistemleriyle de tespit edilmeleri mkn olmayan ikinci katman saldrlarna kar nlemlerin alnmas lokal alarn gvenlii iin olduka nemlidir