Wifi (Kablosuz Ağ) Güvenliği ve Yapılandırılması

irfanGüvenlik0 Yorum30 Mart 2015

Kablosuz ağ güvenliğiGelişen teknoloji ile birlikte hemen her kullanıcı internet erişimi için farklı cihazlar(bilgisayar,tablet,telefon) kullanmaktadır.Gerek bulunduğumuz ortamda gerekse ev ve işyerlerimizde muhakkak adsl bağlantımız vardır.İnternet servis sağlayıcılarıda insanları internete teşvik edebilmek için bir çok kampanya yapıp bu kampanyaya birde kablosuz modemi dahil ediyorlar.Yeni alınan ADSL modemlerin çoğunda kablosuz ağ özelliği de birlikte geliyor. Kablosuz ağ kullanımı hem pratik hem de kullanışlı fakat gerekli önlemler alınmazsa güvenlik noktasında biraz sıkıntılıdır.

Kablosuz Ağ arabirim çalışma modları

Kablosuz ağ adaptörleri kullandıkları sürücüye ve yapacağı işleve bağlı olarak dört farklı modda çalışabilir. Bunlar: Managed, Master(hostap), Ad-hoc ve Monitor mod.

Master Mod: Etraftaki kablosuz ağ istemcilerine hizmet vermek için kullanılan mod. Erişim noktası olarak adlandırılan cihazlarda kablosuz ağ adaptörleri bu modda çalışır.

Managed Mod: Bir erişim noktasına bağlanarak hizmet alan istemcinin bulunduğu mod.

Ad-Hoc Mod: Arada bir AP olmaksızın kablosuz istemcilerin haberleşmesi için kullanılan mod.

Monitor Mod: Herhangi bir kablosuz ağa bağlanmadan pasif olarak ilgili kanaldaki tüm trafiğin izlenmesine olanak sağlayan mod. Kablosuz ağlarda gücenlik konusunda sık sık kullanılan bir moddur.

Kablosuz Ağlarda Güvenlik Önlemleri

Kablosuz ağlardaki en temel güvenlik problemi verilerin havada uçuşmasıdır. Normal kablolu ağlarda switch kullanarak güvenliğimizi fiziksel sağlayabiliyorduk ve switch’e fiziksel olarak bağlı olmayan makinelerden korunmuş oluyorduk. Oysaki kablosuz ağlarda tüm iletişim hava üzerinden kuruluyor  ve veriler gelişigüzel ortalıkta dolaşıyor.

wifi router

Kablosuz ağlarda güvenlik sağlama amaçlı alınacak temel Önlemler 

Erişim noktası Öntanımlı Ayarlarının Değiştirilmesi

Kablosuz ağlardaki en büyük risklerden birisi alınan erişim noktası cihazına ait öntanımlı ayarların değiştirilmemesidir. Öntanımlı ayarlar erişim noktası ismi, erişim noktası yönetim konsolunun herkese açık olması, yönetim arabirimine girişte kullanılan parola ve şifreli ağlarda ağın şifresidir. Yapılan araştırmalarda kullanıcıların çoğunun bu ayarları değiştirmediği görülmüştür.

Kablosuz ağların güvenliğine dair yapılması gereken en temel iş öntanımlı ayarların değiştirilmesi olacaktır.

 Erisim Noktası İsmini görünmez kılma: SSID Saklama

Kablosuz ağlarda erişim noktasının adını(SSID) saklamak alınabilecek ilk temel güvenlik önlemlerinden biridir. Erişim noktaları ortamdaki kablosuz cihazların kendisini bulabilmesi için devamlı anons ederler. Teknik olarak bu anonslara “beacon frame” denir. Güvenlik önlemi olarak bu anonsları yaptırmayabiliriz ve sadece erişim noktasının adını bilen cihazlar kablosuz ağa dahil olabilir. Böylece Windows, Linux da dahil olmak üzere  birçok işletim sistemi etraftaki kablosuz ağ cihazlarını ararken bizim cihazımızı göremeyecektir.

SSID saklama her ne kadar bir önlem olsa da teknik kapasitesi belli bir düzeyin üzerindeki insanlar tarafından rahatlıklar öğrenilebilir. Erisim noktasının WEP ya da WPA protokollerini kullanması durumunda bile SSID’lerini şifrelenmeden gönderildiğini düşünürsek ortamdaki kötü niyetli birinin özel araçlar kullanarak bizim erişim noktamızın adını her durumda öğrenebilmesi mümkündür.

Erişim Kontrolü

Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarını bilen herkes kablosuz ağa dahil olabilir. Kullanıcılarınızdan birinin WEP anahtarını birine vermesi/çaldırması sonucunda WEP kullanarak güvence altına aldığımız kablosuz ağımızda güvenlikten eser kalmayacaktır. Zira herkeste aynı anahtar olduğu için kimin ağa dahil olacağını bilemeyiz. Dolayısı ile bu tip ağlarda 802.1x kullanmadan tam manası ile bir güvenlik sağlanamayacaktır.

MAC tabanlı erişim kontrolü

Piyasada yaygın kullanılan erisim noktası(AP) cihazlarında güvenlik amaçlı konulmuş bir özellik de MAC adresine göre ağa dahil olmadır. Burada yapılan kablosuz ağa dahil olmasını istediğimiz  cihazların MAC adreslerinin belirlenerek erisim noktasına bildirilmesidir. Böylece tanımlanmamış MAC adresine sahip cihazlar kablosuz ağımıza bağlanamayacaktır.

Yine kablosuz ağların doğal çalışma yapısında verilerin havada uçuştuğunu göz önüne alırsak ağa bağlı cihazların MAC adresleri -ağ şifreli dahi olsa- havadan geçecektir, burnu kuvvetli koku alan bir hacker bu paketleri yakalayarak izin verilmiş MAC adreslerini alabilir ve kendi MAC adresini kokladığı MAC adresi ile değiştirebilir.

Linux altında MAC adresi değiştirmek bize bir komut kadar uzaktadır.

# ifconfig eth1 hw ether 00:10:09:AA.54:09:56

Ya da mac-changer ile MAC adresi değişimi yapılabilir.

Şifreleme  Kullanma

Kablosuz ağlarda trafiğin başkaları tarafından izlenmemesi için alınması gereken teme önlemlerden biri de trafiği şifrelemektir. Kablosuz ağlarda şifreleme WEP(wired equivalent privacy) ve WPA(Wi-Fi Protected Access) olarak adlandırılan iki protokol üzerinden yapılır. Her iki protokol de ek güvenlik önlemleri alınmazsa günümüzde güvenilir kabul edilmez. Internette yapılacak kısa bir arama ile Linux altında uygun bir kablosuz ağ adaptörü kullanılarak tek komutla WEP korumalı ağlara nasıl sızıldığı izlenebilir. Bugüne kadar WEP kullananlara hep WPA’ya geçmeleri ve uzun karmaşık parola seçmeleri önerilirdi.

Zira WPA, WEP’in zayıf kaldığı noktaları güçlendirmek için yazılmış bir protokoldü . Fakat 2008’in son aylarında iki üniversite öğrencisinin yaptığı çalışma pratikte WPA’nın ~15 dakika da kırılabileceğini ispat etmiş oldu. Aslında çalışma WPA’da değil WPA’nın kullandığı TKIP(emporal Key Integrity Protocol) bileşenindeki açıklıktan kaynaklanıyordu. Dolayısı ile WPA ve AES şifreleme kullanarak gerçek manada güvenlik elde etmek mümkün.

Sonuç olarak ;

  • Erişim noktalarının öntanımlı ayarları mutlaka değiştirilmeli
  • Şifreleme olmadan güvenlik olmaz
  • AP ile İstemci arasındaki MAC adresleri her durumda açık bir şekilde gider
  • MAC adreslerini değiştirmek oldukça kolay
  • WEP/WPA ile korunmuş ağlar ek güvenlik önlemleri alınmazsa güvenli değildir.

Katmanlı güvenlik anlayışı gereğince yukarıda anlatılan yöntemlerin uygulanması güvenliğinizi bir adım daha arttıracaktır.

Konu hakkında daha geniş ve kapsamlı bilgiyi Bilişim Güvenliği Uzmanı Huzeyfe ÖNAL Hocanın yazmış olduğu wireless security adlı makaleden alabilirsiniz.

Etiketler: , , , ,

Wifi (Kablosuz Ağ) Güvenliği ve Yapılandırılması Hakkında Yorum Yaz

Yorum yapmak için giriş yapmalısınız.

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
WannaCry Nedir , Nasıl Engellenir?

WannaCry Nedir , Nasıl Engellenir?

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici

irfan0 Yorum14 Mayıs 2017
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar