Kablosuz Ortam Güvenliği

Tao

Hacı Yatmaz
Banned Member
Joined
Feb 2, 2020
Topics
114
Messages
1,923
Solutions
3
Reaction score
1,203
Location
Tahiti
Website
realitycheats.com
RC Point
0
calmam.png
Hayırlı geceler arkadaşlar,
Bu konumuzda Kablosuz Ortam Güvenliği'nden sizlere bahsetmek istiyorum.

Kablosuz ağ, iki veya daha fazla bilgisayar arasında kablo ile oluşturulan yapısal ağın kablo yerine alıcı ve verici cihazlar arasında radyo dalgaları ile iletişim sağlanan ve daha uzak mesafeler arasında ağ imkanı sunan bir teknoloji bütününün adıdır. Kablosuz yerel ağlar sağlık kurumları, hipermarketler, üretim kuruluşları, fabrikalar, akademik kurumlar ve ambarlar gibi birçok alanda yaygın hale gelmiştir. Günümüzde kablosuz yerel ağlar birçok iş sahasında genel amaçlı bağlantı alternatifi olarak kabul edilmektedir.

Kablosuz ağ da kablosuz ağ bağdaştırıcısı (ağ kartı), kablosuz modem veya kablosuz yönlendirici (router) gibi donanımlar kullanılabilir.

Kablosuz ağlardaki en temel güvenlik problemi verilerin havada transfer edilmesidir. Kablolu ağlarda switch ya da hub kullanarak güvenliği fiziksel olarak sağlanabilir ve switche / hub’a fiziksel olarak bağlı olmayan cihazlardan güvenlik önlemi alınabilir. Kablosuz ağlarda tüm iletişim hava üzerinden kurulur.

1668373652090.png

Kablosuz ağlarda güvenlik açıkları ağa saldırılara neden olabilir. Kablosuz ağa giren saldırgan ağdaki kullanıcıların yapabilecekleri her şeyi yapabilecektir. Bilgisayarlardaki dosyaları dizinleri kopyalayabilir, zararlı programları bilgisayara kurabilir. Tüm ağ trafiğini kaydedilip inceleyebilir. Kablosuz ağı dışarıdan kullananlar, servis reddi atakları, spam yaymak gibi bazı kanunsuz işler için ağı kullanılabilirler. Bu işlerin sonuçları ise kablosuz ağ yetkilisini bağlar.

Kablosuz ağda güvenliği sağlamak için;

Erişim noktasının veya kablosuz modemin arayüz kullanıcı adı şifresi değiştirilebilir. Kablosuz ağda arayüze bağlanmak için tarayıcıya arayüzün adresi yazılır.

1668373821598.png

Arayüzü şifresi değiştirmek için GelişmiĢ Ayarlar sekmesi kullanılarak arayüze giriş için kullanılan kullanıcı adı ve şifresi değiştirilebilir. Erişim noktası veya modem üreticileri firmalarına göre bu ayarın yeri değişiklik gösterilebilir.

1668373877506.png

Erişim noktasının (Access point) veya modemin yazılımı güncellenmelidir. Arayüzü kullanılarak ayarlar sekmesinden yazılımı kullan seçeneği kullanılabilir.
Erişim noktası veya kablosuz modem kullanılmadığı zamanlarda kapatılabilir.
Mac Adresini filtrelemek, kullanıcının Mac adresi ile girilmeyen cihazların erişim noktasına bağlanmasını engeller. Modeminizin ya da erişim noktasının kablosuz ayarlar / güvenlik bölümünde Mac adres filtrelemesi kullanılabilir.

1668373965130.png

Kablosuz ağ güvenliğini sağlamanın bir diğer yolu da güçlü bir şifreleme yapılmasıdır. Kablosuz ağ donanımının kullanıcıya sunduğu en yüksek şifreleme yöntemi ayarlar sekmesinden seçilebilir.

Kablosuz ağda IP havuzu belirlenerek havuzda bulunan IP adreslerinin ağa bağlanması sağlanabilir. Bu yöntem kullanılarak ağ trafiği hızlanabilir.

1668374011483.png

SSID
Hizmet Kümesi Tanıtıcısı (Service Set Identifier / SSID), belirli bir kablosuz ağa verilen addır. Kablosuz ağ adı (SSID) kablosuz yönlendirici üzerinde belirlenir. Kablosuz yönlendirici, atanmış SSID’yi yayınlayacak veya yayınlamayacak şekilde ayarlanabilir. Kablosuz yönlendirici SSID’yi yayınlayacak Ģekilde ayarlanmışsa kablosuz ağ bir yayın yapan ağdır ve saldırganlar tarafından bu ağ adı görüntülenebilir. Kablosuz yönlendirici SSID ’yi yayınlamayacak şekilde ayarlanmışsa, kablosuz ağ bir yayın yapmayan ağdır.

Yayın yapan bir ağ üzerinde kullanılan kablosuz yönlendirici kapsama alanında olan kablosuz bağdaştırıcılara sahip bilgisayarlar ağ SSID’yi algılama ve görüntüleme özelliğine sahiptir. Bu özellik, bağlanılabilecek kullanılabilir kablosuz ağlar aranmasında kullanılabilir.

Yayın yapmayan bir ağ üzerinde kullanılan kablosuz yönlendirici kapsama alanında olan kablosuz bağdaştırıcılara sahip bilgisayarlar ağ SSID’yi algılayabilir, ancak görüntüleyemez. Yayın yapmayan bir ağa bağlanabilmek için, bu ağın SSID’nin bilinmesi gerekir.

SSID adı arayüzde kablosuz sekmesi kullanılarak aktif/pasif konuma getirilebilir.

1668374173926.png

WLAN’a Saldırılar
Kablosuz ağlardaki hızlı yaygınlaşma ve hız artışı, güvenlik önlemlerinin de daha fazla dikkate alınmasını mecburi kılmaktadır. Sistem yöneticilerinin ve ev kullanıcılarının konuyla ilgili olarak bilgi sahibi olmaları ve daha bilinçli davranmaları çok önemlidir. Ev kullanıcılarının konuyla ilgili olarak bilinçlendirilmeleri oldukça zordur. Bu nedenle, ev kullanıcılarını ilk etapta koruma görevi, kablosuz ağ erişim noktası satan ve internet erişimi sağlayan firmalar tarafından verilmesi en uygun yöntem olacaktır.

Kablosuz ağlardaki güvenlik açıklarının bilincinde olan saldırganlar kablosuz ağları saptamak için özel teknikler ve yazılımlar kullanmaktadır. Bu yazılımlar ile ellerindeki kablosuz ağ kartının sürekli frekans taraması yapmasını sağlayarak sinyaline ulaşabildiği kablosuz ağların yerlerini not etmektedir. Araçlarında kablosuz ağ kartı bulunan bir dizüstü bilgisayar veya avuçiçi bilgisayar alarak gezen saldırganlar, bu yöntem ile kablosuz ağların bulunduğu yerleri saptamaktadır. Geçmişte sinyal aldıkları yerleri tebeşir ile işaretleyen saldırganlar, artık GPS cihazları ile kablosuz ağları haritada işaretlemeye başladı. İhtiyaç duydukları anda ise özel yazılımlar kullanarak bu ağlara giriş yapabilmektedir.

Kablosuz ağların yöneticileri, kablosuz ağ saldırılarından en az seviyede etkilenebilmek için kablosuz ağlarında şifreleme protokolünü kullanmalı, en az 128 Bit bir algoritma seçmeli, ayrıca kablosuz ağa girebilecek olan SSID ve MAC adreslerini de filtrelemelidir. Bu önlemlere ek olarak halka açık olması planlanmayan bir kablosuz ağ için bağlantı sinyalinde alt limit belirlemekte ciddi bir güvenlik önlemidir.

Kablosuz ağ saldırılarının bir çeşidi de erişim noktası yanıltma (Spoof) ve MAC Adresi Dinleme (Sniff)dir. Güçlü kimlik formları kullanıldığında Erişim Kontrol Listeleri kabul edilebilir bir güvenlik seviyesi sağlamaktadır. Fakat MAC adresleri için geçerli değildir. MAC adresleri web kullanılabilir durumda iken dahi şifresiz metin olarak saldırgan tarafından kolaylıkla dinlenebilir. Ayrıca, kablosuz ağ kartlarının bir yazılım vasıtası ile MAC adresleri kolaylıkla değiştirilebilir. Saldırgan tüm bu avantajları kullanarak ağa girebilmektedir.

MAC adresini dinlemek çok kolaydır. Paket yakalama yazılımı kullanarak saldırgan kullanılan bir MAC adresini tespit eder. Eğer kullandığı kablosuz ağ kartını izin veriyorsa MAC adresini bulduğu yeni MAC adresine değiştirebilir ve artık hazırdır. Eğer saldırgan yanında kablosuz ağ donanımları bulunduruyorsa ve yakınında bir kablosuz ağ varsa aldatma (spoof) saldırısı yapabilir demektir. Aldatma saldırısı yapabilmek için, saldırgan kendine ait olan erişim noktasını yakınındaki kablosuz ağa göre veya güvenebileceği bir İnternet çıkışı olduğuna inanan bir kurbana göre ayarlamalıdır. Bu sahte erişim noktasının sinyalleri gerçek erişim noktasından daha güçlüdür. Böylece kurban bu sahte erişim noktasını seçecektir. Kurban bir kere iletişime başladıktan sonra, saldırgan onun şifre, ağ erişim ve diğer önemli bütün bilgilerini çalacaktır. Bu saldırının genel amacı aslında şifre yakalamak içindir.

Kablosuz ağa saldırılar öncelikle kablosuz ağın algılanması ile başlamaktadır. Daha sonra ağda şifreleme yapılmışsa bu şifrelemeyi kırmak ve ağa girmeye çalışılacağı da unutulmamalıdır.

WLAN’a Erişimi Sınırlama
Kablosuz ağ güvenliğinde MAC ve IP adresi filtreleme yöntemlerinden farklı olarak erişim noktası sınırlama ayarları mevcuttur. Güvenlik duvarı arkasında bulunan erişim noktaları incelendiğinde zayıf noktaları olarak kablosuz ağ girişleri, konferans odalarındaki ethernet portları, taşınabilir laptoplar ve yetkilendirme yapılmamış diğer uçlar (PC, yazıcı vs) gözü çarpmaktadır. Bu noktalar ağın toplam güvenliği için ciddi risk oluĢturmaktadır.

Kablosuz ağlarda, ağ erişim kontrolü (NAC) de kullanılabilir. NAC kurumların iletişim ağını kullananların, ilgili kurumun güvenlik politikası kurallarına uygunluğunu denetleyen bir güvenlik teknolojisidir. NAC ile sadece şirket ağ politikalarına uyan ve güvenilir olan masaüstü bilgisayar, dizüstü bilgisayar, sunucu ve cep bilgisayarının (PDA) şirket ağına bağlanmasına izin verilmektedir.

Kablosuz ağ kullanıcılarının ağa erişimlerini sınırlama işleminden biri de ağda kullandıkları hizmetlerin (http, ftp, telnet vb.) sınırlandırılmasıdır. Bu hizmetleri sınırlandırmak için erişim noktası (Access Point) ya da modemin arayüzü kullanılarak yönetim sekmesinden erişim denetimi bölümü seçilerek ulaşılabilir.

1668374605777.png

WLAN’da Kimlik Doğrulama
Kablosuz ağ standardı kimlik doğrulama için iki adet mekanizma sunar bunlar, açık kimlik doğrulama ve paylaşılmış anahtar kimlik doğrulamasıdır. Standart dâhilinde olmayana ancak sıkça kullanılan diğer iki yöntem de SSID (Service Set Identifier) ve MAC (Media Access Control) değerlerinin kimlik doğrulamada kullanılmasıdır. SSID değerinin kullanılması aslında ağın mantıksal olarak bölümlere ayrılmasını sağlar ve bir kimlik doğrulama mekanizması olarak düşünülmüş bir yöntem değildir ancak güvenliği artırıcı ek bir önlem olarak değerlendirilebilir. Her hangi bir istemcinin ağdan hizmet alabilmesi için doğru SSID değeri ile yapılandırılmış olması gerekir.

Kimlik doğrulamadaki en önemli şeylerden biri de doğrulamanın kesinlikle kullanıcı tabanlı olmaması ve yalnızca cihazın kimlik doğrulamasının yapılmasıdır. Bu da her iki yöntem için bir zayıflık olarak görülebilir.

Kimlik doğrulaması temelde şu adımlardan oluşur;
İstemci tüm kanalları kullanarak bir mesaj çerçevesi gönderir.
Ulaşılabilen erişim noktaları bir mesaj çerçevesi ile cevap verir.
İstemci hangi erişim noktasına bağlanacağına karar verir ve bir kimlik doğrulama isteği yollar.
Erişim noktası ise bir kimlik doğrulama mesajı yollar.
Başarılı bir kimlik doğrulamanın ardından istemci bir ilişki istek çerçevesi yollar
Erişim noktası bir ilişki cevap çerçevesi yollar.
Bu adımdan sonra artık istemci veri gönderme ve veri alma işlemini gerçekleştirebilir.

1668375680983.png

WLAN’da Şifreleme
Kablosuz ağların güvenliğinin sağlanması için ağların şifrelenmesi yöntemi geliştirilmiştir. Kablosuz ağlarda trafiğin başkaları tarafından izlenmemesi için alınması gereken teme önlemlerden biri de trafiği şifrelemektir. Kablosuz ağlarda şifreleme WEP (Wired Equivalent Privacy) ve WPA (Wi-Fi Protected Access) olarak adlandırılan iki protokol üzerinden yapılır. Her iki protokol de ek güvenlik önlemleri alınmazsa günümüzde güvenilir kabul edilmez.

WEP
802.11 standardı, kablosuz alan ağlarında ortaya çıkan haberleşmelerin tanımlandığı bir standarttır. WEP (Wired Equivalent Privacy) algoritması her türlü haricî saldırıdan kablosuz haberleşmeyi korumak için kullanılır. WEP’in ikinci fonksiyonu ise kablosuz ağa yetkisiz erişimleri engellemektir. WEP bir mobil cihaz istasyonu ve erişim noktası arasındaki kablosuz haberleşme kurmak ve paylaşımda bulunabilmek için bir şifreye ihtiyaç duyar. Bu şifre ya da güvenlik anahtarı veri paketlerini göndermeden önce onları şifrelemek ve gönderim sonrasında değişikliğe uğrayıp uğramadıklarını için diğer bir ifadeyle doğruluk kontrolü yapmak amacıyla kullanılır.

WEP, 802.11 standardıyla beraber geliştirilmiş olan temel güvenlik birimidir. Kablosuz düğümler arasındaki iletimde şifreleme ve veri bütünlüğünü sağlama işlemlerini gerçekleştirmeye çalışır. WEP şifreleme için kullanıcı ve erişim sağlayıcı tarafında 40 bitlik statik bir anahtar tanımlanır. Ayrıca WEP, akış şifresini elde etmek için 24 bitlik bir ilklendirme vektörü (Initialization Vector-IV) kullanılır.

WEP’in çalışması şu şekildedir:
Veri bütünlüğünü sağlamak amacıyla, veri bir doğrulama algoritmasına (integrity check) tabi tutularak, doğrulama bitleri (ICV-Integrity Check Value) elde edilir.
Bu doğrulama bitleri verinin sonuna eklenir.
24 bitlik IV statik anahtarın başına eklenir; 64 bitlik paket oluşturulur.
64 bitlik bu paket RC4 (rastgele sayı üretici-PseudoRandom Number GeneratorPRNG) algoritması ile şifrelenir.
2. adımda elde edilen veri ile 4. adımda elde edilen veri bir XOR işleminden geçer.
Elde edilen bu verinin başına tekrar IV eklenir ve iletilecek şifreli veri elde edilir. Elde edilen bu verinin başına, alıcı ve vericinin MAC adresi eklenerek kablosuz ortama gönderilir.
Şifreli veri, karşı tarafta aynı işlemler tersi yönde uygulanarak açılır.

Kablosuz ağa WEP şifresi verebilmek için erişim noktasının ya da modemin arayüzüne girerek kablosuz sekmesinden güvenlik bölümüne tıklanır.

1668376905268.png

WPA
WPA kablosuz ağlar için geliştirilmiş bir şifreleme standardıdır. Bu standart daha önceki WEP (Wired Equivalent Privacy-Kabloya EĢ Güvenlik) sisteminin yetersizliğine karşılık geliştirilmiştir. WPA, veri şifreleme ve kullanıcı kimlik denetimi alanlarında bilgi güvenliği sunmaktadır. WPA, veri şifreleme işlemini geliştirmek için bu konuda yeni bir yöntem sunarak şifreleme anahtarlarını otomatik olarak dağıtır. Bir bit veri bile şifreleme anahtarlarıyla korunur. Bu çözüm aynı zamanda, veri üzerinde bütünsel bir kontrol yaparak, verileri ele geçirmek isteyen kişilerin bilgileri değiştirmesini engeller. WPA, kurumsal kullanıcıların korunması için, ağ üzerindeki her bir kullanıcıya kimlik denetimi uygularken, bu kullanıcıları veri hırsızlığı amacıyla düzenlenmiş ağlara geçişini de engeller. Aynı zamanda WPA ile 48 bitlik bir şifreleme yapılır.

Kablosuz ağa WPA şifresi verebilmek için erişim noktasının ya da modemin ara yüzüne girerek kablosuz sekmesinden güvenlik bölümüne tıklanır.

1668377393679.png

WLAN’da Trafik Filtreleme
WLAN’a kimlerin erişim kazanacağının ve iletilen verileri kimlerin kullanabileceğinin denetlenmesinin yanı sıra WLAN üzerinden iletilen trafik türünün de denetlenmesi yararlıdır. Trafik filtrelemesi kullanılarak bu gerçekleştirilir.


Trafik filtrelemesi, istenmeyen trafiğin kablosuz ağa girmesini veya kablosuz ağdan çıkmasını engeller. Trafik, erişim noktası üzerinden geçerken erişim noktası tarafından filtreleme yapılır. Belirli bir MAC veya IP adresinden trafiği kaldırmak ya da belirli bir MAC veya IP adresine trafiği hedeflemek için filtreleme yapılabilir. Bu işlev, belirli uygulamaları da bağlantı noktası numaralarına göre engelleyebilir. İstenmeyen ve şüpheli trafik ağdan kaldırılarak, önemli trafiğin hareketine daha fazla bant genişliği adanır ve WLAN’ın başarımı artırılır. Örneğin, kimlik doğrulama sunucusu gibi belirli bir makineyi hedefleyen tüm telnet trafiğini engellemek için trafik filtreleme kullanılabilir. Kimlik doğrulama sunucusuna yönelik telnet girişimleri şüpheli olarak değerlendirilir ve engellenir.
 
Top