Çevrimdışı

Ethernet ağ dinleyicileri ağ güvenliği alanında en kuvvetli araçlardan birisidir.Fakat bu kuvvetinin yanında yanlış ellerde ağ güvenliğiniz için en büyük tehditlerden birisi olmaktadır.İçerideki veya dışarıdaki bir kullanıcı var olan sistemi dinlemeye alacaktır.Böylece bu kötü niyetli kişilerin ellerine kullanıcı adı,parola,e-posta adresleri ve diğer önemli bilgiler geçeçek ve bu bilgiler vasıtasıyla diğer ağlara geçiş için bir kapı açılmış olacaktır.

Eskiden sadece paylaşımlı Ethernet ağlarının dinlenebileceğine inanılırdı.Bu paylaşımlı ağlar bütün trafiği üzerinde bulunan her arabirime gönderen hub cihazlarından oluşan ağlardır.Eğer trafik gönderilmesi istenen bilgisayarın bağlı olduğu arabirime gelmemiş ise bu trafik bu bilgisayarlar tarafından önemsenmemekteydi.Fakat ağ dinlemenin mantığı gereği kesinlikle olmaması gereken bir davranıştır.Ağ üzerindeki herhangi bir bilgisayar herkesten aldığı trafiği işleyebilir.Böylece bu trafik içindeki önemli bilgiler istenmeyen kişilerin eline geçebilir.

Artık günümüzde hub yerine anahtarlayıcı(switch)aktif cihazları sıkça kullanılmaya başlandı ve bu problem aşıldı.Hub tan farklı olarak trafiği sadece gitmesi gereken bilgisayarın bağlı olduğu arabirime göndermektedirler.Bunu yapmak için anahtarlayıcı üzerine bağlı olan bilgisayarların MAC adreslerini ve bu MAC adreslerinin hangi anahtarlayıcı arabirimine bağlı olduğu bilgisini tutar.Anahtarlayıcı üzerine gelen bir trafik,hedef MAC adresine bakılarak gitmesi gereken arabirime gönderilir.Bunu yaparken anahtarlayıcı alıcı ve verici arasında adanmış (dedicated) sanal bir hat kurar.TCP/IP protokolünün eksikliğinden kaynaklanan problemlerden dolayı her şey bu şekilde çalışmayabilir.
Anahtarlayıcı aktif cihazları sadece belli sayıda MAC adresini hafızasında tutabilir.Bu değer anahtarlayıcı üzerindeki arabirim sayısından kat kat fazla olacak şekildedir.Böylece anahtarlayıcıların birbirlerine bağlanarak bir çok bilgisayarı desteklemesi sağlanır.Bunu yapmak için anahtarlayıcı kendine komşu olan anahtarlayıcının MAC adreslerini öğrenmelidir.Örnek olarak 24 arabirimli ve 23 makine bağlanmış bir switch (switch A) olsun.Diğer switch (switch B) ise üzerinde 47 adet makinenin bağlı olduğu 48 arabirimli bir switch olsun.Bu durumda switch A,switch B üzerindeki 47 adet MAC adresini öğrenip bunu kendi üzerindeki 24. arabirim ile ilişkilendirecektir.Aynı şekilde switc B ise switch A üzerindeki 23 MAC adresini üzerindeki 48.arabirim ile ilişkilendirecektir.

Her ne kadar switchlerin üzerindeki MAC adres hafızası binlerce olsa bile bu MAC hafızanın kolayca sahte MAC adresleri ile doldurulması mümkündür.Bu saldırganın kullanacağı en basit yöntemdir.Switch üzerindeki MAC adres tablosu taşarsa switch hub gibi davranacaktır.Böylece saldırgan istediği trafiği dinleyecektir.ARPWATCH gibi araçlar ile ağ üzerinde gönderilen yalancı MAC adreslerinin farkına varılabilir.ARPWATCH bu yalancı MAC adresleri ile ilgili uyarıları size gönderir.ARPWATCH programı,ARP tablosu zehirlemelerinin tespitini yapabilir.

Kaynak : Andrew Lockhart