Şəbəkədə interfeys səviyyə təhlükəsizliyi

Vikipediya, azad ensiklopediya
Jump to navigation Jump to search

Şəbəkə interfeys səviyyəsi (istifadəçi yönümlü) TCP/IP model-in ən aşağı səviyyəsidir. Bu səviyyənin özünə xas bir neçə təhlükəsizlik açıqları var ki, hücumçu tərəfindən istismar edilə bilər.

Şəbəkə interfaz səviyyəsi[redaktə | əsas redaktə]

Şəbəkə interfaz səviyyəsi (həmçinin data link səviyyə kimi adlanır), istifadəçinin sistemi ilə şəbəkə cihazı arasındakı fiziki interfazdır. Bu səviyyə data paketlərin ötürülmə üçün necə formatlanmasını və yönləndirilməsini müəyyənləşdirilir. Bəzi ümumi link səviyyə protokolları bunlardır, IEEE 802.2 and X.25.[1] Data link səviyyə və onun protokolları istifadəçi cihazını və şəbəkə cihazını idarə edir. Bu səviyyənin məqsədi şəbəkəyə qoşulu istifadəçilər arası etibarlı əlaqə saxlamaqdır. Şəbəkənin bu səviyyəsi tərəfindən təmin olunan servislərə aşağıdakılar daxildir:[2]

  • Data bölünməsi - Data axınlarını müəyyən formalı fram və ya paket hissələri halına salır.
  • Checksums - qəbul edicinin göndərilən dataları düz ardıcıllıqla toplaması və xəta olub olmamasını müəyyən etmək üçün checksum dataları göndərir.
  • Bildiriş - Etibarlı data axını üçün qəbuledicinin data paketlərin qəbulu barədə müsbət və ya mənfi bildiriş göndərilməsidir.
  • Məlumat axımı nəzarəti- Sürətli göndəricinin daha asta qəbuledici tərəfindən üstələnməməsini təmin etmək üçün məlumatların yaddaşlarda saxlanmasıdır.

Açıqlar və onların təhlükələrinin azaldılması[redaktə | əsas redaktə]

Kabelli şəbəkələrdə[redaktə | əsas redaktə]

Fiziki Adres Yaddaşı(CAM və ya MAC) cədvəlinin doldurulması hücumu[redaktə | əsas redaktə]

Data link səviyyənin adres paketləri hədəf adresin fiziki adreslərindən yəni MAC adreslərindən ibarət olur. Şəbəkədəki cihazların hansı port altında yerləşməsini bilmək üçün switchlər MAC adres cədvəllərindən istifadə edir. Bu cədvəl switchlərə axtarılan adresə məlumatların təhlükəsiz göndərilməsinə icazə verir. Təhlükəsizliyin əsas olduğu şəbəkələrdə hub şəbəkələrə nəzərən switch istifadəsi daha təhlükəsiz rabitəni təmin edir. MAC cədvəlinin doldurulması hücumu məntiqi olaraq switchi huba çevirir.[3] Hücumçu MAC cədvəlin sabit yaddaşə dolana qədər MAC adresləri switchə göndərir. Bu halda switch məlumatı necə yönləndirəcəyini bilmir və gələn məlumatları bütün portlardan yayımlayır. Bu andan etibarən hücumçu bütün trafiki (şifrələri, mesajlaşma və s.-ni) əldə edə bilir. [4]

MAC cədvəlinin doldurulması hücumunun zərərlərinin azaldılması üçün switchdə port təhlükəsizliyini quraşdırmaq lazımdır. Bu üsulla porta xüsusi bir MAC adresi uyğunlaşdırmaq və ya yalnız təyin etdiyimiz sayda MAC adresin bir portdan istifadəsini tənzimləmək mümkündür . Əgər etibarsız MAC adres portdan istifadə etmək istəyərsə, switch həmin MAC adresi bloklaya bilər və ya portu tamamilə söndürə bilər.[5]

Address Routing Protocol (ARP) spoofing hücumu [redaktə | əsas redaktə]

Gnome-searchtool.svg Əsas məqalə: ARP spoofing hücumu

Dynamic Host Configuration Protocol (DHCP) starvation[redaktə | əsas redaktə]

IP adresi olmayan istifadəçi cihazı şəbəkəyə daxil olanda DHCP server-ə İP adres almaq üçün sorğu göndəri. DHCP server həmin cihaz üçün İP adresi ayırır və cihaza İP adresini və adresin istifadə müddətini göndərir. Son olaraq cihaz İP adresini alması ilə bağlı DHCP server-ə müsbət bildiriş göndərir. 

DHCP starvation hücumunda, hücumçu DHCP server-dən İP adres və isifadə müddəti əldə etsə də, bu məlumatları əldə etdiyi ilə bağlı təsdiq cavabı yollamır. Əksinə DHCP serverdə ehtiyat İP adreslərin hamısı bitənə qədər davamlı olaraq İP sorğusu göndərir. Bu halda başqa istifadəçilər İP əldə olunması üçün müraciət etsə də, şəbəkəyə qoşulma istəkləri baş tutmur və denial of service ilə nəticələnir. Hücumçu bu halda özünü yanlış DHCP olaraq tanıdır və istifadəçilərə yanlış şəbəkə tənzimləmələri yollayır, və bununla da bütün trafik hücumçunun cihazına yönlənir.[6]

Bu hücumun təsirlərini azaltmaq üçün switchlərdə İP mənbəyi guard özəlliyini aktiv etməkdir. İP guard ilkin olaraq DHCP paketlərindən başqa bütün trafikləri bloklayır. Cihaz DHCP-dən İP adres aldıqdan sonra cihaz Access Control List (ACL)-də switchin müəyyən portu ilə limitlənir. Bundan sonra məlumat axınına ACL tərəfindən icazə verilir.

Naqilsiz şəbəkələr[redaktə | əsas redaktə]

Gizli düyün hücumu (hidden node attack)[redaktə | əsas redaktə]

Naqilsiz şəbəkələrdə istifadıçilər və ya düyünlər eyni mühitdən istifadə edir. Əgər A və B istifadəçiləri eyni ofisdə öz notbukları ilə şəbəkədən istifadə edirlərsə,bu halda onlar bir wireless access point-ə bağlı olurlar. Ancaq eyni anda yalnız bir istifadəçi məlumat göndərə bilir ki, məlumat toqquşması baş verməsin. İlk olaraq A istifadəçisi RTS siqnalı (Ready-To-Send, göndərməyə hazıram) göndərir.Əgər Access Point başqa bir trafik qəbul etmirsə, CTS siqnalı(Clear to send) göndərir. A düyünü məlumatı göndərməyə başlayır və həmin zaman B düyün məlumat göndərməməli olduğunu bilir. Buna baxmayaraq, B düyünü A ilə birbaşa əlaqə saxlamır. Bu halda A düyünü gizli düyündür, və access pointlə əlaqə üçün nə vaxta kimi gözləməli olduğunu bilir. Hücumçu şəbəkəy CTS siqnalları göndərərək bu funkisonallığı istismar edə bilər. Bu halda bütün düyünlər gizli düyün olduğunu düşünərək öz məlumatlarını göndərmirlər və bu denial of service nəticələnir.[7]

Gizli düyün hücumunu reallaşdırmaq üçün NetEqualizer kimi proqramlardan istifadə etmək olar.[7] Bu cür proqramlar access pointin trafikini gözdən keçirərək ona uyğun trafik yaradır. Əgər CTS/RTS siqnalları qəbul edilərsə, gizli düyün hücumu kimi qəbul edilir və bloklanır.

Deidentifikasiya hücumu[redaktə | əsas redaktə]

Hər hansı bir istifadəçi access pointə qoşulmaq istədikdə ilk olaraq identifikasiya olmalıdır. Nə vaxt ki, istifadəçi ayrılarsa(deidentifikasiya), access pointə ayrılmaq üçün mesaj göndərir. Hücumçu access pointə istifadəçini ayrılması ilə bağlı mesaj göndərə bilər və həmin İP ilə yenidən qoşulma üçün icazə istəyə bilər.[8]

Bu hücumun təsirini azaltmaq üçün access point ayrılma vaxtının gecikmələrini tənzimləyə bilər və bu access pointə sonradan göndərilən paketlərin analizi üçün əlverişli imkan yaradır. Əgər data hissəsi ayrılmadan sonra göndərilibsə, bu sorğu ləğv edilir, çünki normal istifadəçi belə bir sorğu göndərə bilməz.[9]

References[redaktə | əsas redaktə]

  1. "The TCP/IP Protocol Framework". İstifadə tarixi: 8 February 2013.
  2. "Data Link Layer". İstifadə tarixi: 8 February 2013.
  3. O'Connor, Terrence. "Detecting and Responding to Data Link Layer Attacks". SANS Institute. İstifadə tarixi: 8 February 2013.
  4. Akeung, Darryl. "Switch Security – DHCP Starvation and Flooding CAM Tables (Fail Open) Part 1". 2 February 2013 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 8 February 2013.
  5. "Network Security at the Data Link Layer (Layer 2) of LAN". Javvin Network Management & Security. 11 April 2013 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 14 February 2013.
  6. Dmitry, Davletbaev. "Dhcpstarv - DHCP Starvation Utility". SourceForge.net. İstifadə tarixi: 14 February 2013.
  7. 1 2 "NetEqualizer Lite and Hidden Nodes: A Real Solution to a Virtual Problem". NetEqualizer. İstifadə tarixi: 14 February 2013.
  8. "Deauthentication". Aircrack-ng. İstifadə tarixi: 14 February 2013.
  9. Bellado, John. "Deauthentication Attack". Proceedings of the USENIX Security Symposium, Aug 2003. 14 December 2017 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 14 February 2013.