Şəbəkədə interfeys səviyyə təhlükəsizliyi

Şəbəkə interfeys səviyyəsi (istifadəçi yönümlü) TCP/IP model-in ən aşağı səviyyəsidir. Bu səviyyənin özünə xas bir neçə təhlükəsizlik açıqları var ki, hücumçu tərəfindən istismar edilə bilər.

Şəbəkə interfaz səviyyəsi

Şəbəkə interfaz səviyyəsi (həmçinin data link səviyyə kimi adlanır), istifadəçinin sistemi ilə şəbəkə cihazı arasındakı fiziki interfazdır. Bu səviyyə data paketlərin ötürülmə üçün necə formatlanmasını və yönləndirilməsini müəyyənləşdirilir. Bəzi ümumi link səviyyə protokolları bunlardır, IEEE 802.2 and X.25.^[1] Data link səviyyə və onun protokolları istifadəçi cihazını və şəbəkə cihazını idarə edir. Bu səviyyənin məqsədi şəbəkəyə qoşulu istifadəçilər arası etibarlı əlaqə saxlamaqdır. Şəbəkənin bu səviyyəsi tərəfindən təmin olunan servislərə aşağıdakılar daxildir:^[2]

• Data bölünməsi — Data axınlarını müəyyən formalı fram və ya paket hissələri halına salır.
• Checksums — qəbul edicinin göndərilən dataları düz ardıcıllıqla toplaması və xəta olub olmamasını müəyyən etmək üçün checksum dataları göndərir.
• Bildiriş — Etibarlı data axını üçün qəbuledicinin data paketlərin qəbulu barədə müsbət və ya mənfi bildiriş göndərilməsidir.
• Məlumat axımı nəzarəti- Sürətli göndəricinin daha asta qəbuledici tərəfindən üstələnməməsini təmin etmək üçün məlumatların yaddaşlarda saxlanmasıdır.

Açıqlar və onların təhlükələrinin azaldılması

Kabelli şəbəkələrdə

Fiziki Adres Yaddaşı(CAM və ya MAC) cədvəlinin doldurulması hücumu

Data link səviyyənin adres paketləri hədəf adresin fiziki adreslərindən yəni MAC adreslərindən ibarət olur. Şəbəkədəki cihazların hansı port altında yerləşməsini bilmək üçün switchlər MAC adres cədvəllərindən istifadə edir. Bu cədvəl switchlərə axtarılan adresə məlumatların təhlükəsiz göndərilməsinə icazə verir. Təhlükəsizliyin əsas olduğu şəbəkələrdə hub şəbəkələrə nəzərən switch istifadəsi daha təhlükəsiz rabitəni təmin edir. MAC cədvəlinin doldurulması hücumu məntiqi olaraq switchi huba çevirir.^[3] Hücumçu MAC cədvəlin sabit yaddaşə dolana qədər MAC adresləri switchə göndərir. Bu halda switch məlumatı necə yönləndirəcəyini bilmir və gələn məlumatları bütün portlardan yayımlayır. Bu andan etibarən hücumçu bütün trafiki (şifrələri, mesajlaşma və s.-ni) əldə edə bilir.^[4]

MAC cədvəlinin doldurulması hücumunun zərərlərinin azaldılması üçün switchdə port təhlükəsizliyini quraşdırmaq lazımdır. Bu üsulla porta xüsusi bir MAC adresi uyğunlaşdırmaq və ya yalnız təyin etdiyimiz sayda MAC adresin bir portdan istifadəsini tənzimləmək mümkündür . Əgər etibarsız MAC adres portdan istifadə etmək istəyərsə, switch həmin MAC adresi bloklaya bilər və ya portu tamamilə söndürə bilər.^[5]

Address Routing Protocol (ARP) spoofing hücumu 

  Əsas məqalə: ARP spoofing hücumu

Dynamic Host Configuration Protocol (DHCP) starvation

IP adresi olmayan istifadəçi cihazı şəbəkəyə daxil olanda DHCP server-ə İP adres almaq üçün sorğu göndəri. DHCP server həmin cihaz üçün İP adresi ayırır və cihaza İP adresini və adresin istifadə müddətini göndərir. Son olaraq cihaz İP adresini alması ilə bağlı DHCP server-ə müsbət bildiriş göndərir. 

DHCP starvation hücumunda, hücumçu DHCP server-dən İP adres və isifadə müddəti əldə etsə də, bu məlumatları əldə etdiyi ilə bağlı təsdiq cavabı yollamır. Əksinə DHCP serverdə ehtiyat İP adreslərin hamısı bitənə qədər davamlı olaraq İP sorğusu göndərir. Bu halda başqa istifadəçilər İP əldə olunması üçün müraciət etsə də, şəbəkəyə qoşulma istəkləri baş tutmur və denial of service ilə nəticələnir. Hücumçu bu halda özünü yanlış DHCP olaraq tanıdır və istifadəçilərə yanlış şəbəkə tənzimləmələri yollayır, və bununla da bütün trafik hücumçunun cihazına yönlənir.^[6]

Bu hücumun təsirlərini azaltmaq üçün switchlərdə İP mənbəyi guard özəlliyini aktiv etməkdir. İP guard ilkin olaraq DHCP paketlərindən başqa bütün trafikləri bloklayır. Cihaz DHCP-dən İP adres aldıqdan sonra cihaz Access Control List (ACL)-də switchin müəyyən portu ilə limitlənir. Bundan sonra məlumat axınına ACL tərəfindən icazə verilir.

Naqilsiz şəbəkələr

Gizli düyün hücumu (hidden node attack)

Naqilsiz şəbəkələrdə istifadıçilər və ya düyünlər eyni mühitdən istifadə edir. Əgər A və B istifadəçiləri eyni ofisdə öz notbukları ilə şəbəkədən istifadə edirlərsə,bu halda onlar bir wireless access point-ə bağlı olurlar. Ancaq eyni anda yalnız bir istifadəçi məlumat göndərə bilir ki, məlumat toqquşması baş verməsin. İlk olaraq A istifadəçisi RTS siqnalı (Ready-To-Send, göndərməyə hazıram) göndərir.Əgər Access Point başqa bir trafik qəbul etmirsə, CTS siqnalı(Clear to send) göndərir. A düyünü məlumatı göndərməyə başlayır və həmin zaman B düyün məlumat göndərməməli olduğunu bilir. Buna baxmayaraq, B düyünü A ilə birbaşa əlaqə saxlamır. Bu halda A düyünü gizli düyündür, və access pointlə əlaqə üçün nə vaxta kimi gözləməli olduğunu bilir. Hücumçu şəbəkəy CTS siqnalları göndərərək bu funkisonallığı istismar edə bilər. Bu halda bütün düyünlər gizli düyün olduğunu düşünərək öz məlumatlarını göndərmirlər və bu denial of service nəticələnir.^[7]

Gizli düyün hücumunu reallaşdırmaq üçün NetEqualizer kimi proqramlardan istifadə etmək olar.^[7] Bu cür proqramlar access pointin trafikini gözdən keçirərək ona uyğun trafik yaradır. Əgər CTS/RTS siqnalları qəbul edilərsə, gizli düyün hücumu kimi qəbul edilir və bloklanır.

Deidentifikasiya hücumu

Hər hansı bir istifadəçi access pointə qoşulmaq istədikdə ilk olaraq identifikasiya olmalıdır. Nə vaxt ki, istifadəçi ayrılarsa(deidentifikasiya), access pointə ayrılmaq üçün mesaj göndərir. Hücumçu access pointə istifadəçini ayrılması ilə bağlı mesaj göndərə bilər və həmin İP ilə yenidən qoşulma üçün icazə istəyə bilər.^[8]

Bu hücumun təsirini azaltmaq üçün access point ayrılma vaxtının gecikmələrini tənzimləyə bilər və bu access pointə sonradan göndərilən paketlərin analizi üçün əlverişli imkan yaradır. Əgər data hissəsi ayrılmadan sonra göndərilibsə, bu sorğu ləğv edilir, çünki normal istifadəçi belə bir sorğu göndərə bilməz.^[9]

References

1. "The TCP/IP Protocol Framework". 27 February 2021 tarixində arxivləşdirilib. İstifadə tarixi: 8 February 2013.
2. "Data Link Layer". 27 February 2021 tarixində arxivləşdirilib. İstifadə tarixi: 8 February 2013.
3. O'Connor, Terrence. "Detecting and Responding to Data Link Layer Attacks". SANS Institute. 22 March 2013 tarixində arxivləşdirilib. İstifadə tarixi: 8 February 2013.
4. Akeung, Darryl. "Switch Security – DHCP Starvation and Flooding CAM Tables (Fail Open) Part 1". 2 February 2013 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 8 February 2013.
5. "Network Security at the Data Link Layer (Layer 2) of LAN". Javvin Network Management & Security. 11 April 2013 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 14 February 2013.
6. Dmitry, Davletbaev. "Dhcpstarv - DHCP Starvation Utility". SourceForge.net. 14 April 2021 tarixində arxivləşdirilib. İstifadə tarixi: 14 February 2013.
7. "NetEqualizer Lite and Hidden Nodes: A Real Solution to a Virtual Problem". NetEqualizer. 15 August 2020 tarixində arxivləşdirilib. İstifadə tarixi: 14 February 2013.
8. "Deauthentication". Aircrack-ng. 2 May 2021 tarixində arxivləşdirilib. İstifadə tarixi: 14 February 2013.
9. Bellado, John. "Deauthentication Attack". Proceedings of the USENIX Security Symposium, Aug 2003. 14 December 2017 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 14 February 2013.