DHCP Snooping’i Standart Konfigürasyonunuza ekleyin!
Birkaç yıl öncesine kadar sadece 3 katman switchlerde sunulan birçok güvenlik teknolojileri artık birçok 2. katman cihazda da kullanılabilir durumda. Gelişen teknoloji ve firmalar arasındaki rekabet, mevcut cihazlarımızın sadece işletim sistemlerini güncelleyerek bu güvenlik teknolojilerinin kullanılabilmesine imkan tanıyor. Bu teknolojilerden bazıları DHCP Snooping, Source Guard ve Dynamic ARP Inspection. DHCP Snooping desteği Cisco Catalyst 2950 switch’lerde 12.1(22)EA1 ve sonrası IOS’lar, Catalyst 2960 switch’lerde ise 12.2(35)SE5 ve sonrası IOS’lar ile birlikte gelen bir özellik. Bu yazımda kendi yönettiğimiz network’teki cihazlarda kullanımını standart hale getirdiğimiz DHCP Snooping’in çalışma yapısının testi, doğrudan ve dolaylı yoldan sağladığı çözümler ile bu konudaki ilginç tecrübelerimizi paylaşacağım.
Network Tap
Switched Networklerin en önemli problemlerinden biri izleme (monitoring) veya analiz amaçlı olarak ağ üzerinden akan trafiğe güvenilir erişimdir. Bunu ağ üzerinden farklı türlerde gerçekleştirmek mümkündür. En çok bilinen ve kullanılan yöntem port span yada mirroring olarak bilinen switchler üzerinde bir porttan akan trafiğin başka bir porta kopyalanmasıdır. Port mirroring işleri çok kolaylaştıran ve ek bir maliyet gerektirmeyen bir yöntem olmasına karşın bazı dezavantajları ağcılar için can sıkabilmektedir.
- İlk olarak söyleyebileceğimiz monitoring yapmak istediğiniz cihaz bu özelliği (port spanning) desteklemeyebilir.
- Switchler 1. ve 2. katmanda oluşan hataları span portlarına göndermemektedirler. Diğer bir deyişle eğer izlemek istediğiniz hatta hatalı frame ler söz konusu ise span portlarında bu hatalı paketleri dolayısıyla %100 trafiği görmeniz mümkün olmayacaktır.
- Oldukça yüklü bir trafiği monitor etmek istediğimizde oluşan aşırı yük nedeniyle switch operasyonunda ve monitoring de paket kayıpları oluşabilir.
- Full duplex iletişimde port kapasitesine yakın bir trafik söz konusu ise ve akan trafik her iki yönde (transmit and receive) izlenmek isteniyorsa trafik tam anlamıyla takip edilemeyecektir. Kısaca açıklamak gerekirse :  Örneğin 100 Mbit full duplex çalışan bir portu switch üzerindeki başka bir 100Mbit lik port ile monitor etmek istiyorsak, transmit ve receive ayrı ayrı 100’er Mbit veri transferi yapacağından toplamdaki veri trafiğinin 100Mbit i aşması durumunda monitor ettiğimiz bu verinin tamamını izlememiz mümkün olamayacaktır.
- Ağ trafiğinin sürekli izlenmesinin elzem olduğu durumlarda bilerek veya bilinmeyerek monitor (span) iptali bizim açımızdan bir güvenlik açığı olarak karşımıza çıkmaktadır.
