Open Shortest Path First (OSPF), dünyada en çok kullanılan dinamik yönlendirme protokollerinden biridir. OSPF ile ilgili daha ayrıntılı bilgilere, aşağıdaki yazımdan ulaşabilirsiniz.
Time-to-Live(TTL) bir paketin yaşam ömrünü temsil eden sayısal değerdir. TTL hakkında daha ayrıntılı bilgi almak için aşağıdaki yazıma göz atabilirsiniz.
OSPF TTL Security Check, OSPF (Open Shortest Path First) protokolünü korumak amacıyla geliştirilmiş ek bir güvenlik özelliğidir. Varsayılan olarak, OSPF çalışan yönlendirici cihazlar, birbirleriyle haberleşirken kullandıkları OSPF mesajlarını (Hello, LSA, LSR, LSU, DBD) TTL (Time to Live) değeri 1 olarak ayarlayarak gönderirler. Bu durum, yalnızca doğrudan bağlı komşu cihazlardan gelen OSPF paketlerinin kabul edilmesini sağlar. Ancak, bu varsayılan yapı bazı durumlarda güvenlik zafiyetlerine yol açabilir.
Tehdit aktörleri, sahte (spoofed) OSPF paketleri oluşturarak ağdaki yönlendirici cihazlara saldırabilir ve bu cihazların yönlendirme tablolarında istenmeyen değişikliklere neden olabilirler.
Yukarıdaki görselde tehdit aktörü, R2 yönlendiricisini hedef alarak yönlendirme tablosunu bozmayı amaçlamaktadır. Saldırgan, sahte bir OSPF mesajı gönderirken TTL değerini 2 olarak ayarlamaktadır. Bu mesaj ilk olarak R1 yönlendiricisi tarafından alınır; R1, paketin TTL değerini 1 azaltarak mesajı R2 cihazına iletir. R2 ise gelen OSPF mesajının TTL değerinin 1 olduğunu gördüğü için bu mesajı geçerli bir komşudan gelmiş gibi kabul eder. (Bu senaryoda saldırgan, R1 yönlendiricisini taklit ederek R2’ye ulaşabilmektedir.)
İşte bu tür saldırılardan yönlendirici cihazlarımızı korumak için TTL Security Check özelliği kullanılabilir.
Bu özellik OSPF çalışan yönlendiricilerde etkinleştirildiğinde, cihazlar artık birbirleriyle haberleşmek için varsayılan olarak 1 olan TTL değerini 255 olarak ayarlayacaklardır. TTL (Time to Live) değeri, 8 bitlik bir alandır ve maksimum 255 olabilir. Yani saldırgan istese de bu değeri 256 yapamaz. Bu durumda örneğimizi güncelleyip tekrar canlandırdığımızda aşağıdaki gibi bir senaryo ortaya çıkacaktır:
Burada saldırgan, yine R2 cihazını hedef almakta ve yönlendirme tablosunu bozmayı amaçlamaktadır. Bu kez TTL değerini 255 olarak ayarlayıp, R1 üzerinden R2 yönlendiricisini hedeflemektedir. R1 cihazı bu paketi alır, TTL değerini 1 azaltır ve R2’ye doğru iletir. Ancak R2 cihazında TTL Security Check özelliği etkin durumdadır; bu nedenle TTL değeri 255 olmayan hiçbir OSPF mesajı kabul edilmez. Gelen sahte OSPF paketinin TTL değeri 254 olduğundan bu paket doğrudan çöpe atılır. Böylece tehdit aktörü amacına ulaşamaz ve saldırı başarısız olur.
Şimdi de TTL Security Check özelliğini nasıl etkinleştirebileceğimizi görelim. Aşağıdaki komutları kullanarak bu özelliği etkinleştirebiliriz.
Özelliği arayüz altında etkinleştirmek için aşağıdaki komutları kullanabiliriz:
Router# configure terminal
Router(config)# interface ethernet 0/0
Router(config-if)# ip ospf ttl-security
Router(config-if)# end
Router# write memoryBu özelliği, yapınızdaki tüm OSPF yönlendiricilerinde etkinleştirmeniz gerekmektedir. Aksi takdirde, cihazlar birbirleriyle olan komşuluklarını varsayılan olarak 40 saniye (Dead Interval) içerisinde sonlandıracaklardır.
Özelliği global olarak tüm arayüzlerde etkinleştirmek için aşağıdaki komutları kullanabiliriz:
Router# configure terminal
Router(config)# router ospf 1
Router(config-router)# ttl-security all-interfaces
Router(config-router)# end
Router# write memoryDaha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply