İçeriğe Atla
Mustafa Erbay
Kariyer · 12 dk okuma · görüntülenme Read in English

Pragmatik Switch Hardening: 3 Kritik Yapılandırma Adımı

Ağ güvenliğinin temelini oluşturan switch hardening adımlarını kendi deneyimlerimle anlatıyorum: DHCP Snooping, DAI ve IP Source Guard.

100%

İç ağ güvenliği denince genellikle firewall’lar, VPN’ler ve segmentasyon akla gelir. Ancak benim 20 yıllık saha tecrübemde gördüğüm şey, çoğu zaman en büyük riskin içeriden geldiği. Bir sunucuya yapılan brute-force saldırısını ya da dışarıdan gelen bir DDoS denemesini tespit etmek nispeten kolay olabilir, ama içerideki bir kullanıcının yanlışlıkla ya da kötü niyetle ağın temel fonksiyonlarını bozması bambaşka bir derttir.

Bir üretim firmasının ERP’sini geliştirirken ya da büyük bir TR e-ticaret sitesinin altyapısını yönetirken, ağın en dip katmanındaki o switch’lerin ne kadar kritik olduğunu defalarca tecrübe ettim. Bugün size, bu iç tehditlere karşı aldığım üç temel ve pragmatik önlemi anlatacağım: DHCP Snooping, Dynamic ARP Inspection (DAI) ve IP Source Guard. Bunlar, ağın omurgasını korumak için attığım ilk adımlar oldu ve kariyerimde bana çok zaman kazandırdılar.

Neden Switch Hardening? Ağın En Zayıf Halkası

Bir ağda “güvenlik” kelimesini kullandığımızda, hemen aklımıza kenar cihazlar, dışarıdan gelen tehditler gelir. Fakat benim tecrübelerime göre, içerideki bir ofis çalışanı, yanlış yapılandırılmış bir cihaz veya kötü niyetli bir ziyaretçi, dışarıdan gelen en sofistike saldırıdan bile daha büyük bir baş ağrısı yaratabilir. Örneğin ağa takılan küçük bir Wi-Fi router’ın kendi DHCP sunucusunu çalıştırmaya başlaması, tüm ofisin internete çıkışını bir anda kesebilir.

Bu gibi senaryolar, bana ağın en ucundaki cihazların, yani switch’lerin, ne kadar savunmasız olabileceğini gösterdi. Switch’ler genellikle “sadece veri aktarır” diye basite indirgense de, aslında ağın temel iletişimini sağlayan L2 katmanında birçok zaafiyet barındırırlar. ARP zehirlenmesi (ARP poisoning), MAC spoofing, DHCP sunucusu taklitleri (rogue DHCP servers) gibi saldırılar veya yanlış yapılandırmalar, ağın tamamını saniyeler içinde felç edebilir. Bu durumlar, bir sistem yöneticisi olarak sizin de, yazılım geliştiricisi olarak benim de iş akışımızı doğrudan etkiler. Bir üretim ERP’sinde operatör ekranları çalışmıyorsa, üretim durur; finansal hesaplayıcılarım internete çıkamıyorsa, veri senkronizasyonu olmaz. Bu yüzden, switch’leri güçlendirmek sadece “networkçülerin” işi değil, tüm IT profesyonellerinin kariyerini doğrudan etkileyen bir konudur. Bu konuları iyi anlamak, bir problem çıktığında hızlıca root cause analizini yapıp çözüme gitme yeteneğimi inanılmaz geliştirdi.

Adım 1: DHCP Snooping ile Rogue DHCP Sunucularına Geçit Yok

Ağda en sık karşılaştığım ve en hızlı yayılan sorunlardan biri, yetkisiz bir DHCP sunucusunun devreye girmesiydi. Yukarıda değindiğim gibi evden getirilen bir modem/router’ın ana switch’e takılması ve DHCP sunucusunun otomatik aktifleşmesi tipik bir senaryodur; bu durumda ağdaki yeni cihazlar yanlış IP adresleri alır, varsayılan ağ geçitleri değişir ve internet erişimi kesilir. Üstelik kaynağı bulmak ciddi zaman alabilir, çünkü dışarıdan bakıldığında “neden internet yok?” sorusunun nedeni hiç de belli değildir.

DHCP Snooping, tam da bu tür senaryoları engellemek için tasarlanmış bir güvenlik özelliğidir. Temel olarak, switch üzerinde hangi portların yetkili (trusted) DHCP sunucularına bağlı olduğunu belirlemenizi sağlar. Diğer tüm portlar (untrusted) üzerinden gelen DHCP sunucusu tekliflerini (DHCP Offer) engeller. Ayrıca, DHCP paketlerini inceleyerek bir IP-MAC-Port eşleşme tablosu (DHCP Snooping binding table) oluşturur. Bu tablo, sonraki güvenlik adımları için kritik bir temel oluşturur. Örneğin yukarıda anlattığım sorun yaşandığında, eğer DHCP Snooping aktif olsaydı, o modemden gelen DHCP Offer paketleri switch tarafından anında düşürülecekti ve ağ hiç etkilenmeyecekti.

! Global DHCP Snooping'i aktif et
ip dhcp snooping

! VLAN'lar üzerinde DHCP Snooping'i aktif et
ip dhcp snooping vlan 10,20,30

! Trusted port'u belirle (DHCP sunucusu bu portta)
interface GigabitEthernet0/1
 ip dhcp snooping trust

! Untrusted port'lar için limit koy (isteğe bağlı, DDoS'a karşı)
interface GigabitEthernet0/2
 ip dhcp snooping limit rate 100

Yukarıdaki yapılandırma, yetkili DHCP sunucumun bağlı olduğu GigabitEthernet0/1 portunu trusted olarak işaretlerken, diğer tüm portları untrusted bırakarak yetkisiz DHCP tekliflerini engeller. Bu sayede, yanlışlıkla takılan bir cihazın ağda kaos yaratmasının önüne geçmiş oluyorum. Benim deneyimimde, bu basit yapılandırma bile ağ kararlılığını belirgin şekilde artırdı diyebilirim, özellikle de son kullanıcıların kendi cihazlarını takıp çıkarmaya meyilli olduğu ortamlarda. Bu, network yöneticisi olarak görev tanımımın önemli bir parçası haline geldi.

Adım 2: Dynamic ARP Inspection (DAI) ile ARP Zehirlenmesini Engellemek

DHCP Snooping ile ağdaki IP adreslerinin dağıtımını kontrol altına aldık, ancak bu, L2 katmanındaki başka bir kritik zafiyeti, yani ARP zehirlenmesini (ARP poisoning), tek başına çözmez. ARP zehirlenmesi, bir saldırganın kendi MAC adresini, ağdaki başka bir cihazın (genellikle varsayılan ağ geçidi) IP adresiyle eşleştirerek ARP önbelleklerini zehirlemesiyle gerçekleşir. Bu durumda, trafik saldırgan üzerinden geçmeye başlar ve man-in-the-middle (MITM) saldırılarına yol açar. Yanlışlıkla yazılmış bir scriptin ya da hatalı yapılandırılmış bir cihazın ARP önbelleğini bozması da iç iletişimi aksatabilir. Bu tarz görünmez sorunlar, uzun ve anlamsız debug seanslarına yol açar.

Dynamic ARP Inspection (DAI), bu sorunu çözmek için DHCP Snooping tarafından oluşturulan IP-MAC-Port eşleşme tablosunu kullanır. Switch, bir porttan gelen her ARP paketini, bu tabloya göre doğrular. Eğer bir ARP paketi, tablodaki bir eşleşmeyle uyuşmuyorsa, switch o paketi engeller. Bu, saldırganın sahte ARP mesajları göndererek ağdaki cihazların ARP önbelleğini zehirlemesini engeller. DAI, özellikle DHCP Snooping ile birlikte kullanıldığında tam etkinliğini gösterir, çünkü güvenilir bir IP-MAC-Port haritasına ihtiyaç duyar.

! VLAN'lar üzerinde DAI'yi aktif et
ip arp inspection vlan 10,20,30

! Trusted port'u belirle (DHCP sunucusu ve router'ın bağlı olduğu port)
interface GigabitEthernet0/1
 ip arp inspection trust

! Untrusted port'lar için ARP kontrolü
interface GigabitEthernet0/2
 ip arp inspection validate src-mac dst-mac ip

Yukarıdaki validate komutu, switch’in ARP paketlerini kaynak MAC, hedef MAC ve IP adresi olmak üzere üç farklı kritere göre doğrulamasını sağlar. Bu, daha sıkı bir güvenlik duruşu anlamına gelir. Benzer şekilde, bir sanal makinenin bir başkasının ARP’sini taklit ettiği durumlarda, DAI’nin olmaması ciddi bir kesintiye yol açabilir. Bu yapılandırmayı devreye aldıktan sonra hem ağın kararlılığını sağlamış hem de olası veri sızıntılarının önüne geçmiş oluyorum. Bu, sadece network tarafı için değil, yazılım geliştirme ve operasyon süreçlerinin kesintisizliği için de hayati bir adımdı. ağ sorunları ve yazılım performansına etkisi yazısında benzer bir konuya değinmiştim.

Adım 3: IP Source Guard ile Trafik Kaynağını Kitlemek

DHCP Snooping ve DAI, L2 katmanında önemli bir koruma sağlasa da, hala bir cihazın yetkisiz bir IP adresi kullanarak ağda trafik yaratmasını engellemek için yeterli değildir. Örneğin, bir kullanıcı DHCP’den IP alıp ardından bu IP’yi statik olarak değiştirse veya başka bir kullanıcının IP adresini taklit etmeye çalışsa, önceki önlemler tek başına bunu durduramayabilir. İşte tam bu noktada IP Source Guard devreye giriyor.

IP Source Guard, switch portları üzerinde dinamik veya statik olarak tanımlanmış IP-MAC-Port eşleşmelerine dayanarak, bir porttan sadece belirli IP ve MAC adreslerine sahip trafiğin geçmesine izin verir. Yani, eğer bir cihaz, DHCP Snooping binding tablosunda kayıtlı olmayan bir IP adresiyle trafik göndermeye çalışırsa, switch bu trafiği engeller. Bu, IP spoofing saldırılarını ve yetkisiz IP adresi kullanımını tamamen ortadan kaldırır. Tipik bir senaryo şudur: bir kullanıcı statik olarak kendine, aslında ağ geçidine ait olması gereken bir IP’yi atar ve ağda sorun çıkarır. IP Source Guard, bu tür “yanlışlıkla” yapılan ama ciddi sorunlara yol açan hataları proaktif olarak engellememi sağlar.

! Port üzerinde IP Source Guard'ı aktif et
interface GigabitEthernet0/2
 ip verify source port-security

Yukarıdaki komut, GigabitEthernet0/2 portunda IP Source Guard’ı etkinleştirir. Bu port, sadece DHCP Snooping binding tablosunda veya statik olarak tanımlanmış IP-MAC çiftleriyle eşleşen trafiği kabul edecektir. Diğer tüm trafikler düşürülecektir. Bunun güzel bir yan faydası da var: yeni bir sunucunun IP’si yanlış girildiğinde, engellenen trafik IP Source Guard loglarında görünür; yani bu özellik aynı zamanda bir hata ayıklama aracı olarak da işe yarar.

Bu Yapılandırmaların Kariyerime ve Projelerime Etkisi

Bu üç temel switch hardening adımı – DHCP Snooping, DAI ve IP Source Guard – benim kariyerimde ve yönettiğim projelerde büyük fark yarattı. Özellikle L2 katmanındaki güvenlik zafiyetlerinin ne kadar sinsi ve yıkıcı olabileceğini bizzat deneyimlemiş biri olarak, bu yapılandırmaları her yeni ağ kurulumunda veya mevcut ağ iyileştirmesinde öncelik olarak görüyorum. Bu, sadece “network güvenliği” başlığı altında kalmıyor, aynı zamanda genel sistem kararlılığını, uygulama performansını ve hatta üretim sürekliliğini doğrudan etkiliyor.

Bir üretim ERP’sinde, operatör ekranlarının kesintisiz çalışması demek, üretim hattının durmaması demek. Bir e-ticaret sitesinde, ağdaki bir kesinti demek, her geçen dakikada büyüyen ciddi bir gelir kaybı demek. Kendi yan ürünümün finansal hesaplayıcılarında bile, ağın kararlı olması demek, kullanıcı deneyiminin kesintisiz olması demek. Bu yüzden, bu basit ama etkili önlemler, benim bir “sistem mimarı” olarak problem çözme yeteneğimi ve projelerime kattığım değeri artırdı. Artık bir ağ sorunuyla karşılaştığımda, “acaba ARP mi zehirlendi?” ya da “birisi rogue DHCP mi çalıştırıyor?” gibi soruları saniyeler içinde sorabiliyor ve hızla doğru debug adımlarına geçebiliyorum. Bu, benim için sadece teknik bir bilgi değil, aynı zamanda operasyonel bir olgunluk göstergesi.

Bu yaklaşımların “pragmatik” olmasının sebebi de bu. Mükemmel bir güvenlik duvarı kurmak için milyonlar harcamak yerine, ağın en temel katmanındaki potansiyel zafiyetleri uygun maliyetli ve etkili yöntemlerle kapatmak, her zaman benim önceliğim oldu. “Olur o kadar” felsefesiyle, her zaman en olası ve en yıkıcı senaryoları ele alırım. Bu üç adım, tam da bu felsefenin somut örnekleridir.

İzleme ve Bakım: Yapılandırma Yeterli Değil

Her ne kadar bu yapılandırmalar ağ güvenliğini önemli ölçüde artırsa da, “yapılandır ve unut” yaklaşımı bu alanda maalesef geçerli değil. Bir switch’te DHCP Snooping konfigürasyonunun bir firmware güncellemesi sırasında sıfırlanması ve bir süre sonra rogue DHCP sorununun yeniden ortaya çıkması mümkündür. Bu tür durumlar, yapılandırmaların düzenli olarak kontrol edilmesi ve izlenmesi gerektiğini acı bir şekilde hatırlatır. Benim için bu, sadece ilk kurulum anında değil, aynı zamanda sürekli bir süreçtir.

Bu güvenlik özelliklerinin doğru çalıştığından emin olmak için düzenli olarak logları kontrol ediyorum. Örneğin, bir switch’te DHCP Snooping veya DAI tarafından engellenen paketlerin loglarını incelemek, ağdaki anormallikleri veya olası saldırı girişimlerini erken tespit etmemi sağlar. show ip dhcp snooping binding veya show ip arp inspection statistics gibi komutlar, anlık durumu görmek için kritik öneme sahiptir. Ayrıca, journald üzerinde belirli anahtar kelimelerle (örneğin “DHCP SNOOPING”, “ARP INSPECTION”) filtreleme yaparak bu tür olayları merkezi bir log sisteminde topluyorum. Bu sayede, herhangi bir anormallik oluştuğunda otomatik bir alarm düşüyor ve hızlıca müdahale edebiliyorum.

! DHCP Snooping binding tablosunu görüntüle
show ip dhcp snooping binding

! ARP Inspection istatistiklerini görüntüle
show ip arp inspection statistics

! Logları merkezi bir syslog sunucusuna göndermek için
logging host 192.168.1.100 transport udp port 514
logging trap informational

Bu izleme ve bakım adımları, sadece güvenlik risklerini azaltmakla kalmıyor, aynı zamanda ağdaki sorunların kök nedenini bulma süresini de önemli ölçüde kısaltıyor. Benim bir Android spam uygulamamda bile, backend servislerinin ağ bağlantısı sorunları yaşadığında, bu loglar bana hızlıca yol gösterebiliyor. Bu, sürekli öğrenme ve adaptasyonun bir parçasıdır. Ağ büyüdükçe, yeni cihazlar eklendikçe veya mevcut politikalar değiştikçe bu yapılandırmaların gözden geçirilmesi ve güncellenmesi gerekiyor. observability ve monitoring stratejileri konulu yazımda bu izleme pratiklerini daha detaylı anlatmıştım.

Sonuç: Ağ Güvenliği Bir Süreçtir, Tek Seferlik Bir Eylem Değil

Bugün konuştuğumuz DHCP Snooping, Dynamic ARP Inspection ve IP Source Guard, ağımın temelini oluşturan, pragmatik ve etkili güvenlik adımlarıdır. Bunlar, içeriden gelebilecek en yaygın ve en yıkıcı ağ sorunlarına karşı kendimi ve yönettiğim sistemleri korumak için attığım ilk adımlar oldu. Bu adımlar, sadece teknik birer yapılandırma olmaktan öte, bir kariyer profesyoneli olarak ağ güvenliğine bakış açımı ve sorun çözme metodolojimi şekillendirdi.

Unutmayın, ağ güvenliği tek seferlik bir kurulum değil, sürekli bir süreçtir. Yapılandırmaların ötesinde, düzenli izleme, bakım ve değişiklik yönetimi, sistemlerinizi güvende tutmanın anahtarıdır. Benim net pozisyonum, bu temel adımları atlamadan, içeriden gelebilecek tehditlere karşı sağlam bir savunma hattı oluşturmaktır. Bu sayede, hem kendimi hem de çalıştığım kurumları beklenmedik ve sinsi ağ kesintilerinden koruyabiliyorum.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

Sıkça Sorulanlar

Bu makale ile ilgili okurların sorduğu yaygın sorular.

DHCP Snooping'i yapılandırmaya nasıl başlarım?
Ben, DHCP Snooping'i yapılandırmaya başlarken, ağın temel yapılandırmasını iyi anlamak için zaman ayırırım. İlk olarak, hangi DHCP sunucularının ağda geçerli olduğunu belirlerim. Sonra, bu sunucuların IP adreslerini tanımlar ve switch'lerin bu adresleri reconoc edebilmesi için gerekli yapılandırmaları yaparım. Bu, iç tehditlere karşı ilk adımlardan biridir ve ağımın güvenliğini sağlar.
Dynamic ARP Inspection (DAI) ve IP Source Guard arasında ne gibi bir fark vardır?
Benim deneyimime göre, DAI ve IP Source Guard, her ikisi de ağ güvenliğini sağlamak için kullanılan araçlardır, ancak farklı amaçlara hizmet ederler. DAI, ARP saldırılarına karşı korurken, IP Source Guard, IP spoofing saldırılarına karşı korur. DAI, ARP paketlerini doğrular ve sahte ARP paketlerini engeller, जबकi IP Source Guard, IP paketlerinin kaynak IP adresini doğrular ve geçerli olmayan paketleri engeller. Bu iki aracı birlikte kullanarak, ağımın katmanlarını daha iyi koruyabiliyorum.
Switch hardening'i yapılandırırken nelere dikkat etmeliyim?
Ben, switch hardening'i yapılandırırken, ağın performansını etkileyebilecek faktörleri dikkate alırım. İlk olarak, hangi güvenlik önlemlerinin uygulanacağına karar veririm. Sonra, bu önlemlerin ağın genel performansını nasıl etkileyeceğini değerlendiririm. Buna ek olarak, güvenlik önlemlerinin uygulanması sırasında oluşabilecek hatalara karşı hazırlıklı olurum ve necessary yedeklemeleri yaparım. Bu şekilde, ağımın güvenliğini sağlarken aynı zamanda performansını da korurum.
Switch hardening'i yapılandırdıktan sonra ne gibi faydalar bekleyebilirim?
Benim deneyimime göre, switch hardening'i yapılandırdıktan sonra, ağımın güvenliği đáng kể şekilde artar. İç tehditlere karşı daha iyi korunan ağım, dışarıdan gelen saldırıları daha efektif bir şekilde engelleyebilir. Buna ek olarak, ağımın performansını da daha iyi yönetebilirim, çünkü gereksiz trafik ve hatalı paketler engellenir. Ayrıca, ağımın genel yönetimini daha kolaylaştırabilirim, çünkü güvenlik önlemleri otomatik olarak uygulanır ve ağımın durumunu daha iyi takip edebilirim.
ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

✉️ Ücretsiz · Spam yok · İstediğin an çık

Yeni yazılardan haberdar olun

Yeni içerikler ve teknik notlar e-postanıza gelsin.

  • 📌
    Haftanın en iyisi Sadece okumaya değer tek yazı
  • 🔧
    Alet çantası Bu hafta kullandığım araçlar
  • 🧠
    Perde arkası Blog'a girmeyen notlar

Spam yapmıyoruz. İstediğiniz zaman ayrılabilirsiniz. · Sadece Umami (self-hosted, Google yok) ile takip.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar