Yerel ağlarda güvenlik denildiğinde akla ilk gelen firewall kuralları veya antivirüs yazılımlarıdır. Ancak saldırganlar ağa fiziksel olarak sızdıklarında veya iç ağdaki bir bilgisayarı ele geçirdiklerinde, doğrudan Katman 2 (Layer 2) protokol zafiyetlerini hedef alırlar. Bunlardan en yaygın olanları Rogue DHCP (Sahte DHCP Sunucusu) ve ARP Poisoning (ARP Zehirlenmesi - Ortadaki Adam) saldırılarıdır.
Bu makalemizde, Cisco Catalyst switch’ler üzerinde bu iki tehlikeli saldırıyı engelleyen DHCP Snooping ve Dynamic ARP Inspection (DAI) teknolojilerini nasıl yapılandıracağımızı ele alacağız.
1. DHCP Snooping Nedir ve Nasıl Yapılandırılır?
DHCP Snooping, switch portlarını iki kategoriye ayırarak çalışır:
- Trusted (Güvenilir) Portlar: Sadece yetkili DHCP sunucusunun veya uplink (omurga) bağlantılarının bulunduğu portlardır. Bu portlardan DHCP yanıtları (OFFER, ACK) geçebilir.
- Untrusted (Güvenilmez) Portlar: Son kullanıcıların bağlı olduğu portlardır. Bu portlardan gelecek olan sahte DHCP yanıtları switch tarafından engellenir ve port pasifize edilir.
Cisco CLI DHCP Snooping Yapılandırması
Switch# configure terminal
! DHCP Snooping'i genel olarak aktif ediyoruz
Switch(config)# ip dhcp snooping
! Hangi VLAN'larda aktif olacağını belirliyoruz
Switch(config)# ip dhcp snooping vlan 10,20
! Yetkili DHCP sunucumuzun veya omurganın bağlı olduğu Gigabit 0/1 portunu GÜVENİLİR yapıyoruz
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit
! Son kullanıcı portlarında saniyede gelebilecek DHCP istek sınırını (Rate Limit) belirliyoruz
! (DHCP Starvation saldırılarını engellemek için)
Switch(config)# interface range fastEthernet 0/1 - 24
Switch(config-if-range)# ip dhcp snooping limit rate 10
Switch(config-if-range)# exit
2. Dynamic ARP Inspection (DAI) Nedir ve Nasıl Yapılandırılır?
ARP protokolü doğası gereği sorgusuz sualsiz tüm ARP yanıtlarını kabul eder (ARP Spoofing zafiyeti). Saldırganlar kendilerini ağ geçidi (Gateway) gibi göstererek trafiği kendi üzerlerine çekebilir (MitM).
Dynamic ARP Inspection (DAI), DHCP Snooping’in oluşturduğu IP-MAC eşleşme veri tabanını (DHCP Snooping Binding Database) kullanarak gelen tüm ARP paketlerinin doğruluğunu kontrol eder. Veri tabanında eşleşmeyen sahte ARP paketleri düşürülür.
Cisco CLI DAI Yapılandırması
! DAI özelliğini ilgili VLAN'lar için aktif ediyoruz
Switch(config)# ip arp inspection vlan 10,20
! Omurgaya veya Router'a bakan Gigabit 0/1 portunu DAI için GÜVENİLİR (Trust) yapıyoruz
! (Yoksa router'ın gönderdiği meşru ARP'lar da engellenebilir)
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# ip arp inspection trust
Switch(config-if)# exit
Sorun Giderme ve Doğrulama Komutları
Yaptığınız yapılandırmaların durumunu doğrulamak için aşağıdaki CLI izleme komutlarını kullanabilirsiniz:
! DHCP Snooping aktiflik ve port durumlarını görme
Switch# show ip dhcp snooping
! Switch'in öğrendiği güncel IP-MAC eşleşme tablosunu listeleme
Switch# show ip dhcp snooping binding
! DAI durumunu ve engellenen sahte ARP paket istatistiklerini görüntüleme
Switch# show ip arp inspection vlan 10
🔒 Altın Kural: DHCP Snooping ve DAI yapılandırmalarında, ağ geçidine (Gateway/Router) veya diğer switch’lere giden tüm bağlantı noktalarını (Trunk ve Uplink portları) mutlaka trust (güvenilir) olarak işaretlemeyi unutmayın. Aksi halde tüm ağın iletişimi kesilecektir.