Şu ana kadar serimizde ağımızı segmentlere ayırdık, yedekliliği sağladık ve LACP ile bant genişliğimizi katladık. Altyapımız artık hızlı ve güvenilir çalışıyor. Ancak kurumsal bir ağda "hız", güvenliğin gerisinde kalmamalıdır.

Layer 2 (Veri Bağı Katmanı), doğası gereği cihazların birbirine güvendiği bir ortamdır. Eğer bir ağ prizine fiziksel erişimi olan kötü niyetli biri veya bilinçsiz bir kullanıcı yanlış bir cihaz bağlarsa, tüm trafiği dinleyebilir veya ağı çökertebilir. Bu bölümde, kurumsal ağ portlarındaki temel güvenlik zafiyetlerini kapatan üç güçlü koruma kalkanını yapılandıracağız.

Port Security (MAC Adresi Sınırlaması)

Bir toplantı odasındaki ağ prizine sadece o odadaki bilgisayarın veya IP telefonun bağlanmasını istersiniz. Dışarıdan getirilen bir laptopın veya mini-switch'in o porta takılarak ağa dahil olmasını engellemenin en temel yolu Port Security'dir.

Port Security, bir switch portundan geçebilecek maksimum MAC adresi sayısını belirler ve yabancı bir MAC adresi algılandığında portu cezalandırır.

Adım Adım Konfigürasyon:

Öncelikle portun statik bir access (veya trunk) portu olması gerekir, dinamik (DTP) portlarda Port Security çalışmaz.

Merkez-SW1(config)# interface gigabitEthernet 1/0/5
Merkez-SW1(config-if)# switchport mode access
! Port Security'yi etkinleştiriyoruz:
Merkez-SW1(config-if)# switchport port-security
! Bu portta en fazla 2 MAC adresine (Örn: IP Telefon + PC) izin veriyoruz:
Merkez-SW1(config-if)# switchport port-security maximum 2
! Ağa bağlanan ilk cihazların MAC adreslerini kalıcı olarak (sticky) öğrenmesini sağlıyoruz:
Merkez-SW1(config-if)# switchport port-security mac-address sticky

İhlal (Violation) Durumunda Ne Olacak?

Üçüncü bir cihaz takıldığında switch'in vereceği tepkiyi seçmeliyiz:

   Protect: Yabancı cihazın trafiğini düşürür, log yazmaz.

   Restrict: Yabancı cihazın trafiğini düşürür, Syslog mesajı üretir (Kurumsal ağlarda tavsiye edilen).

   Shutdown (Varsayılan): Portu tamamen kapatır (err-disable).

Biz log üreten ama portu tamamen kapatmayan restrict modunu seçelim:

Merkez-SW1(config-if)# switchport port-security violation restrict
Merkez-SW1(config-if)# exit

DHCP Snooping (Sahte Sunuculara Karşı Koruma)

Ağa katılan bir cihazın ilk yaptığı şey "Bana IP verin!" diye bir DHCP Discover yayını (broadcast) yapmaktır. Eğer ağınızda kötü niyetli biri kendi bilgisayarında sahte bir DHCP sunucusu (Rogue DHCP) çalıştırıyorsa, kullanıcılara kendi belirlediği sahte ağ geçidini ve DNS adreslerini dağıtabilir.

DHCP Snooping, switch üzerindeki portları Trusted (Güvenilir) ve Untrusted (Güvenilmeyen) olarak ikiye ayırır. DHCP teklifleri (DHCPOFFER) sadece Trusted portlardan gelebilir.

Adım Adım Konfigürasyon:

! DHCP Snooping'i global olarak açıyoruz:
Merkez-SW1(config)# ip dhcp snooping
! Hangi VLAN'larda çalışacağını belirtiyoruz:
Merkez-SW1(config)# ip dhcp snooping vlan 10,20

Tüm portlar varsayılan olarak Untrusted olur. Gerçek DHCP sunucumuzun bağlı olduğu portu veya omurgaya giden Trunk hattımızı Trusted yapmalıyız:

! DHCP sunucumuza veya Core switch'e giden Trunk portumuz:
Merkez-SW1(config)# interface port-channel 1
Merkez-SW1(config-if)# ip dhcp snooping trust
Merkez-SW1(config-if)# exit

DHCP Snooping arka planda hangi porttan hangi IP ve MAC adresinin alındığını bir veritabanına (Binding Database) kaydeder. Bu tablo, birazdan kuracağımız DAI için hayati önem taşır.

Dynamic ARP Inspection (DAI) ile MitM Koruması

Kurumsal ağ portlarında en sık karşılaşılan siber tehditlerden biri ARP Spoofing (Zehirlenmesi) yöntemiyle yapılan Man-in-the-Middle (Ortadaki Adam - MitM) saldırılarıdır. Saldırgan, ağdaki diğer cihazlara sahte ARP cevapları göndererek "Ağ geçidi benim" der ve tüm trafiği kendi üzerinden geçirerek dinler.

Dynamic ARP Inspection (DAI), ağda dolaşan ARP paketlerini inceler. Gelen ARP paketindeki IP ve MAC adresi eşleşmesini, DHCP Snooping'in oluşturduğu veritabanı (Binding Database) ile karşılaştırır. Eğer eşleşme yoksa, o sahte ARP paketini çöpe atar ve saldırıyı anında durdurur.

Adım Adım Konfigürasyon:

Tıpkı DHCP Snooping gibi, DAI de belirli VLAN'lar için global olarak açılır ve güvenilir portlar belirlenir.

! VLAN 10 ve 20 için DAI'yi etkinleştiriyoruz:
Merkez-SW1(config)# ip arp inspection vlan 10,20

Yine ağ geçidimize veya diğer switch'lere giden Uplink/Trunk portlarımızı DAI denetiminden muaf (Trust) tutmalıyız:

Merkez-SW1(config)# interface port-channel 1
Merkez-SW1(config-if)# ip arp inspection trust
Merkez-SW1(config-if)# exit

Önemli Not: Eğer ağınızda DHCP'den değil de statik olarak IP alan cihazlar (örneğin yazıcılar veya sunucular) varsa, bu cihazların ARP paketleri veritabanında olmayacağı için DAI tarafından engellenir. Bu cihazlar için manuel olarak bir ARP Access-List (ACL) yazmanız ve DAI'ye tanıtmanız gerekir.

Doğrulama (Verification) Komutları

Yaptığımız bu kritik güvenlik ayarlarını kontrol etmek için:

Port Security durumunu ve öğrenilen MAC adreslerini görmek için:

Merkez-SW1# show port-security interface gigabitEthernet 1/0/5

DHCP Snooping veritabanını (hangi IP kime verilmiş) görmek için:

Merkez-SW1# show ip dhcp snooping binding

DAI istatistiklerini ve engellenen sahte ARP paketlerini görmek için:

Merkez-SW1# show ip arp inspection statistics

Switch'lerimizi Layer 2 saldırılarına karşı ciddi şekilde sıkılaştırdık. Port Security ile cihaz sayısını kısıtladık, DHCP Snooping ile sahte IP dağıtımını engelledik ve DAI ile MitM saldırılarının önüne geçtik.

Ancak kurumsal bir ağda güvenliği "port bazlı" yönetmek bir süre sonra sürdürülemez hale gelir. Ağa bağlanan cihazın "kim" olduğunu bilmek, ona dinamik olarak VLAN atamak ve kimlik doğrulama süreçlerini merkezi bir sunucudan yönetmek gerçek kurumsal vizyondur.

Serimizin bir sonraki bölümünde, ağ güvenliğinin zirve noktası olan Switch Üzerinde 802.1X ve RADIUS Entegrasyonu konusuna derinlemesine bir giriş yapacağız.