Kablosuz Ağ(wireless) Güvenliği

Gelişen teknoloji ile birlikte hızla yayılan kablosuz ağın zayıflıklarından bahsedicem bu makalede.Döküman ağırlıklı olarak saldırılara karşı savunma içeriğinde olacak,saldırı senaryoları ve uygulamaları için ayrı bir döküman yazmayı planlıyorum.

İnternette neredeyse herkesin diline dolanan wireless şifre kırma sadece ‘wep’ şifreleme ile şifrelenmiş basit şifreleri hedef alır.Halbuki tek saldırı yöntemi bu değildir.Bir paket koklayıcı(sniffer) ile koklanan paketlerden başlık bilgileri okunabilir,saldırı yapılabilir.Şimdi savunma için yapmamız gerekenleri ve nedenlerine geçelim.

1)SSID Gizleme

SSID yi kolay anlamanız için kablosuz ağ ismi diye nitelendirebilirim.Yanii tarama sonucu gördüğünüz kablosuz ağlarda farklı isimler vardır buna SSID denir.Eğer kablosuz şifre kullanmıyorsanız,herhangi biri çift tıklama ile ağınıza dahil olur.Eğer gizlerseniz şifre koymasanız bile,ağınıza bağlanmak isteyen istemciye AP tarafından SSID sorulur ve true cevabı gelmediği sürece bağlantı kurdurmaz.SSID gizlemek ilk güvenlik basamağımız.

2)Modem Default Şifresini Değiştirmek

Birçok kullanıcı modem şifrelerini öntanımlı(default) olarak bırakır.Bu güvenlik açısından riskli bir durumdur.İp adresinize bir şekilde ulaşan saldırgan,modem arayüzünüze erişebilir,adsl bağlantı ayarlarınıza erişebilir.Modemi resetleyebilir,ttnet kullanıcı adınıza ve şifrenize ulaşabilir,bunları değiştirebilir.Bu işlemleri gerçekleştirmek tahmin edilenden çok daha basittir.Modeme erişim şifresi mutlaka değiştirilmelidir.

3)Mac Filtreleme

Mac Adresi ya da fiziksel adres bağlantıda önemli rol oynar.Biz Tcp protokolü olan Mac’i değil filtrelemede kullanılan mac filtreleme işlemini inceleyecez.

Mac adresi her ağ kartına üretici fabrika tarafından atanır ve normal yollarla değiştirilemez ve en önemlisi her ağ kartına farklı bir mac adresi atanır.İşte bu ayrıntı bizim işimize yarıyor.

Güvenlik kısmında mac filtrelemeyi etkin hale getirip,sadece erişimine izin verdiğimiz bilgisayarların mac adreslerini girersek,AP(Access Point[modem]) sadece bu mac adreslerine sahip bilgisayarlara erişim verir.Wireless şifresini doğru giren kişinin mac adresi listede yoksa erişim sağlayamaz.

Teorik olarak çok etkili görülen bu güvenlik önlemi Mac Spoofing ile aşılabilir.Mac Spoofing ile ilgili yazıma burdan ulaşabilirsiniz

Bir diğer wireless security makaleme burdan ulaşabilirsiniz.

Kablosuz Ağ Güvenliği

Günümüzde artık bir yerde kablosuz modemler ve AP’ler kullanılmakta.Çok eski bir tarihi olmayan kablosuz teknoloji ilk çıktığı zamanlarda özellikle şirketlerde çok tutuldu ve kullanılmaya başlandı.Güvenlik kısmına ise her zamanki gibi gereken önem verilmedi.Bu yazımda kablosuz ağ güvenliği hakkında bazı şeyleri belirteceğim.

Kablosuz ağınıza saldırıda bulunacak olan kişileri engelleyebilirsiniz.Ama hiçbir zaman bir garantiniz yoktur.Dolayısı ile mümkün olduğu kada fazla önlem almak iyidir.Şimdi sırasıyla önlemleri ve neden yapmamız gerektiğini,olası saldırı teorilerini yazıcam.

1-)SSID Yayınını Öğrenmek-Gizlemek

AP’ler belirli aralıklar ile işaret fişekleri gönderirler.Bu fişekler ağ kartları tarafından alınır ve bize kablosuz ağ bulundu gibi uyarılar verilir.Kablosuz ağ araması yaptığımızda karşımıza çıkan isimler ise SSID lerdir.Sanırım en basit bu şekilde açıklanır.Solda bir SSID listesi var.

Bir saldırganın ilk yapması gereken hedef belirlemektir.Bu bağlamda SSID gizlemek akılcı bir çözümdür.Tabii ki bu işlem işini bilen saldırganları engelleyemez.

Saldırganlara yardımcı olan bazı kablosuz araçlar,programlar vardır.Bu programlardan “netstumbler” adı verilen araç çevrede bulunan access pointleri algılar ve size bu AP’ler hakkında ayrıntılı bilgiler verir.Sinyal gücü,şifreleme türü,SSID,hangi kanaldan yayın yaptığı,sinyalleri,gürültü oranı,SNR,Flags gibi bilgileri sizlere verir.

Saldırıda 2. adım hedef hakkında bilgi toplamaktır.Netstumbler bu bilgi toplama işinin başlangıç kısmını yapar.

Netstumbler ekran görüntüsü

2-)Mac Adresi ve Mac Filtresi

Öncelikle mac adres nedir ona bakalım.Mac adresi ethernet network cihazlarına, tanınabilmeleri için verilen, hexadecimal ve dünyada bir eşi daha olmayan seri numaralarıdır.Bu numaralar, üretici firmalar tarafından fabrikada verilmektedir.6 byte uzunluğundadırlar ve hexadecimal olarak yazılırlar. 52:B8:AX:84:25:AS bir mac adrestir.ilk 3 byte üretici firmanın kodlarıdır.

Mac adresi terminal filtrelemede kullanılan açık sistem doğrulamasıdır.Ev kullanıcıları modem arayüzündeki Kablosuz Güvenlik kısmından Mac Filtrelemeyi etkinleştirebilir.Bu sayede AP belirlenen mac adresleri dışındaki bilgisayarların erişimini engeller.Ne yazık ki bu da tam olarak bir çözüm değildir.Çünkü saldırgan kendi mac adresini,engelli olmayan listedeki mac adresi ile değiştirebilir.Bu sayede erişimi yine de sağlayabilir.Filtrelemede iletişim şu şekle dönüşür;

# İlk olarak kablosuz ağ istemcisi kimlik bilgisini Ap’ye gönderir.

#AP gelen kimlik bilgisini kendisine önceden kaydedilmiş olan Mac Adres ve PSK anahtarı ile karşılaştırır ve eğer tutarsa erişim sağlanır.

3)Statik IP Tanımlamak

Statik Ip’yi güvenliğinizi sağlayacak şekilde tanımlamak size ek güvenlik sağlayacaktır.Yapmanız gerekenler;

#AP’nin DHCP özelliğini kapatın

#IP blok genişliğini ağdaki bilgisayar sayısı ile kısıtlayın

#Farklı,kolay tahmin edilemeyecek bir Ip atayın

Statik Ip atamanın bizi koruması sniffing yapan saldırganın AP’den çıkan ham verileri yakalamasın rağmen sizin IP adresinizi elde edememesidir.Bu da sizin kişisel bilgisayar güvenliğinizi arttırmış olacaktır.Ayrıca ağda 4 bilgisayar erişimine izin verilmişse ve 4 bilgisayar bağlı ise,cracker kıçını da yırtsa bağlantı sağlayamaz.

4)Düzgün Bir Şifreleme Methodu Kullanmak

Biliyorsunuz kablosuz ağı şifrelemek artık yeterince bir güvenlik sağlayamamaktadır.WEP türü şifreleme sniffing ile 60 dakikada kırılabilmektedir.Bunun sebepleri arasında simetrik şifreleme kullanılması gibi birçok sebep vardır.Dolayısı ile WEP şifreleme kullanmamanız şiddetle tavsiyedir.

WPA ise kırılamaz gibi düşünülse de dictionary attack dediğimiz ataklara mağruz bırakılarak wordlist e göre kırılabilir.Dolayısı ile koyduğunuz şifrenin komplex olmasını sağlayınız.

Sizlere önerim WPA2 şifreleme kullanmanızdır.Ama burada da önümüzde olan engel eski  bazı ağ kartlarının wpa2 şifrelemesini desteklememesi yüzünden bağlantı problemi oluşturmasıdır.Böyle bir durumda sağlam bir WPA şifresi sizi yüksek güvenlikte tutacaktır.