Kablosuz ağ güvenliği nasıl sağlanır

İsimli konu WH 'Yazılım Genel' kategorisinde, MaSMaVi üyesi tarafından 29 Ekim 2008 tarihinde yazılmıştır. Konu Özeti: Kablosuz ağ güvenliği nasıl sağlanır. Güvenlik uzmanlarının söylediği gibi mükemmel koruma yoktur. İyi bir güvenlik planı neyin korunacağının önemi ne göre değişir, korumanın uygulanma biçimi... KABLOSUZ AĞ kablosuz ağ ...

  1. Güvenlik uzmanlarının söylediği gibi mükemmel koruma yoktur. İyi bir güvenlik planı neyin korunacağının önemi ne göre değişir, korumanın uygulanma biçimi ve potansiyel riskler iyi belirlenmelidir. Başka bir değişle, tüm defansif tedbirler bilinmeli ve daha ihtiyatlı ve mali olarak mantıklı bir şekilde planlanmalıdır.

    Örneğin, kablosuz ağınız şehrin kalabalık bir yerinde ve tehlikeye açık olabilir. Yakınlara parkedilen kimin olduğu bilinmeyen araçlara dahi dikkat etmek gerekir. Neden bu kadar şüpheci olmalıyız? Bazılarımız “biz sadece webte geziniyoruz önemli hiçbir işlem yapmıyoruz ne olabilirki?” diyebilir. Bu soruya birkaç farklı cevap verebiliriz.

    1) Ağınız bilinmiyen kişilerin eğlemlerine maruz kalabilir.

    Birisi kablosuz olarak sizin ağınıza bağlanabilir bu bağlantı sizin ağınızdaki switch inize bağlı olmanızla aynı şeydir. Ağdaki kullanıcıların yapabilecekleri herşeyi yapabilecektir. Bilgisayarlardaki dosyaları dizinleri kopyalayabilir, daha kötüsü logger programları trojan lar zombie client lar gibi zararlı programları kurabilirler.

    2) Tüm ağ trafiğiniz kaydedilip incelenebilir.

    Doğru araçlarla, girdiğiniz web siteleri belirlenir şifreleriniz ele geçirilebilir.

    3) Internet bağlantınız illegal işler için kullanılabilir.

    Kablosuz ağınızı dışarıdan kullananlar, çocuk pornosu yayını, servis reddi atakları, spam yaymak gibi bazı kanunsuz işler için ağınızı kullanılabilirler. Sonuçları ise sizi bağlar.

    Saldırganların becerilerine göre yapabileceklerine bir bakalım;
    Acemi bir kullanıcı :

    Elinde kablosuz ağlara açık bir dizüstü bilgisayarı olan herkes bir şey bilmesede kapsama alanındayken ağınızı kullanabilecektir. Çünkü kablosuz ağ ekipmanların başlangıç ayarları müsait access point lere bir ayar gerektirmeden bağlanabilecek şekilde ayarlanmıştır.

    Aşağıdaki tedbir rastgele ağınıza birisinin girmesini engeller. Ancak bu konuda bilgili kişileri engellemeyecektir.

    Tedbir 1: Başlangıç ayarlarını değiştirmek

    Access point in başlangıç kullanıcı adı ve administrator pasword unu değiştirin. Başlangıç SSID değerini değiştirin. Çünkü genel olarak SSID lar üreticiler tarafından Access Point in ya da Kablosuz ADSL Router in modeli gibi bir değerdir. Örneğin USRobotics 9106 Kablosuz ADSL router in başlangıç SSID ının USR9106 olması gibi. Bu konuda biraz tecrübesi olan birisi bunun bir US Robotics ADSL olduğunu ve admin şifresininde yine admin olduğunu bilir. SSID ı değiştirmek otomatikman bu sorunu çözer. SSID verirken şahsi bir bilgide vermeyin. Sonuçta kablosuz networkunuz bu isimde yayın yapar. Anlamı olmayan bir isim ya da bir sayı verebilirsiniz. Access point in yayın yaptığı kanalıda değiştirebilirsiniz.

    Tedbir 2: Acces Point in firmware ini güncelleyin.

    Access point üreticileri sürekli yazılımlarını geliştirirler. Access point inizin firmware ini güncellemek güvenlik açıklarını engelleyeceği gibi yeni geliştirilmiş güvenlik seçeneklerinide kullanmanızı sağlayabilir. Bazı yeni access pointlerde menusundeki bir seçeneğe tıklayarak firmware güncellenebilmektedir. Ayrıca access point ya da kablosuz adsl modem tercihlerinizi yaparkende bu tip ayrıntılara dikkat etmelisiniz. WPA2 yi destekleyen modemleri tercih etmelisiniz.

    Tedbir 3: SSID yayınlanmasını engelleme

    Birçok access point ya da kablosuz adsl modem in menusünde disable SSID broadcating (SSID yayınını engelle) seçeneği mevcuttur. Bunu seçerek SSID yayınını engelleyin. Şayet SSID yayınını yapmanız gerekiyorsa başlangıç ismini değiştirin. Modemlerin hemen hemen hepsinde başlangıç SSID değeri modemin markası ya da modelidir. Buda saldırganlara modemin başlangıç kullanıcı adı ve şifresi konusunda fikir verir. Örneğin USRobotics 9106 kablosuz adsl modemin başlangıç SSID değeri USR9106 dır buda saldırgana bu modemin başlangıç kullanıcı adının admin şifresininde admin olduğunu anlatır. Bu bilgilere tüm üreticilerin web sitelerinin destek (support) bölümlerinden elde etmek mümkündür.

    Tedbir 4: Kapatmak

    Kablosuz modeminizi gece kullanılmadığı saatlerde kapatın. Eğer internet bağlantısını kapatmamanız gerekiyorsa kablosuz özelliğini kapatın. Bazı modemlerde kablosuz özellikleri başlangıç olarak açıktır. Siz modemi kablosuz olarak kullanmasanız bile bu özelliği açık olabilir wireless configuration (kablosuz ayarları) bölümünden bu özelliği disable (kullanılamaz) seçin.

    Tedbir 5: MAC Adres Filitreleme

    Mac Adresini filitrelemek, sizin mac adresini girmediğiniz cihazların access point e bağlanmasını engeller. Modeminizin ya da access point inizin wireless (kablosuz) ayarlar bölümünde Mac adres filitrelemesi olabilir. Buraya girince aşağıdakine benzer bir ekran vardır. Her ağ kartının bir MAC adresi vardır. Kablosuz ağ kartınızın mac adresini öğrenmek için komut satırında “ipconfig /all” komutunu vererek fiziksel adres satırında görebilirsiniz. Ya da aygıt yöneticisine girip burdanda öğrenilebilir. Bu ekranda filitrelemeyi açıp kapatabilirsiniz. Listeye ağınızdaki kablosuz cihazların mac adreslerini ekleyip bunların dışındaki cihazların bağlantısını engelleyebilirsiniz. Ya da tam tersini yapabilirsiniz.

    Tedbir 6: Yayın gücünü azaltmak

    Bazı access point lerde bu özellik vardır. Apartman gibi ortamlarda bu özellik işe yarayabilir. Sinyal gücünü düşürüp başkalarının modeminize erişimini engelleyebilirsiniz.

    Şimdide elinde bazı network uygulamaları bulunan saldırganlara karşı yapılabileceklere bir göz atalım;

    Elinde burda anlattığımız uygulamar bulunan saldırganlara karşı yukarda anlattığımız tedbirler işe yaramaz. Bu durumda sadece şifreleme ve kimlik doğrulama tedbirleri uygulanabilir.

    Tedbir 7: Şifreleme

    Kablosuz ağ sahipleri güçlü bir şifreleme yapmalıdır. Kablosuz ağ donanımızın size sunduğu en yüksek şifrelemeyi seçebilirsiniz. Sırasıyla WEP, WPA, WPA2 gibi.

    WEP (Wired Equivalent Privacy) Kabloluya eşdeğer gizlilik. Bazı kablosuz donanımlar (voip cihazları gibi) 802.11b protokolünü destekler. Böyle donanımları olan kablosuz ağ sahipleri eğer bu donanımların üreticileri firmware yazılımlarını WEP ten WAP a guncellememişlerse WEP şifreleme yapmak zorundadır.

    WPA ( Wi-Fi Protected Access) Wi-fi korumalı erişim. Ya da WPA2 geliştirilmiş şifreleme standartları olan kablosuz güvenlik sunar. WPA2 AES destekler (Advanced Encryption Standard) Yani gelişmiş şifreleme standardı sunar. Bazı WPA etiketli ürünler de WPA - AES, WPA - TKIP, WPA - PSK, WPA Radius gibi seçenekler sunarlar.

    WEP / WPA-PSK ***** yapabilenlere karşı neler yapabiliriz;

    Tedbir 8: Kimlik doğrulama eklemek

    802.11x protokolü wep wpa, wpa2 şifreleme sistemleri birkaç EAP (extensible Authentication Protocol- Geliştirilebilir kimlik doğrulama protokolleri) destekler. Bu konuyla ilgili ayrıntıları George Ou’ nun yazdigi excellent article on Authentication Protocols makalesini (Understanding the updated WPA and WPA2 standards | George Ou | ZDNet.com) adresinden ingilizce olarak inceleyebilirsiniz.

    Uzman *****er lar için neler yapabiliriz?

    Bu noktaya kadar bazı tedbirlerden bahsettik. Fakat uzman *****er lar için bu tedbirler yeterli olmayabilir.

    Bu durumda ne yapabiliriz? Bazı kablolu ve kablosuz ağlara izinsiz girişleri bulan ve engelleyen uygulamalar vardır. Fakat bunların hedefleri büyük ağları ve uygulamalarını korumak içindir ve yüksek bedelleri vardır. Aynı zamanda açık kaynak kodlarıyla yazılmış çözümlerde mevcuttur. Fakat kullanıcı dostu yazılımlar değildirler. Bu yazılımlarıda ilerde inceleyip açıklamayı düşünüyorum.

    Tedbir 9: Genel ağ güvenliği

    Genel ağ güvenliğini artırmak için aşağıdaki tedbirleri uygulayın.

    1) Ağ kaynaklarına erişim için kimlik doğrulaması isteyin

    Paylaşıma açılmış klasörleri şifreleyin, hiçbir zaman hardiskinizin tamamını paylaşıma açmayın.

    2) Ağınızı parçalara ayırın

    Ağınızdaki bazı kullanıcıları olmaması gereken yerlerden uzak tutabilirsiniz. Bazı nat tabanlı routerlar internet erişimine izin verirken aynı zamanda firewall ile ağın bazı bölümlerini koruyabilirler. Vlan özellikli switch ler ağ kullanıcılarını ayırabilirler. Ancak bu akıllı ve yönetibilebilir switchler biraz pahalıdır.

    3) Yazılım tabanlı korumalar

    En azından güncel bir antivirus yazılımı kullanın. Kişisel firewall yazılımları kullanın ZoneAlarm, BlackICE gibi. Webroot Software’s Spy Sweeper ve Sunbelt Software’s CounterSpy gibi antispyware gibi yazılımları kullanabilirsiniz. Bu yazılımları ağınızdaki tüm bilgisayarlara yüklemeniz gerekir.

    4) Dosyalarınızı şifreleyin

    Dosyalarınıza bulunması zor şifreler verebilirsiniz. Windows XP kullananlar windows Encrypted File System (EFS) yi kullanabilirler.

    Sonuç

    Kablosuz ağlar çok kullanışlıdır. Fakat onları iyi korumamız gerekir. Saldırganlara karşı kullanılabilecek birçok yöntem vardır. Ancak ağınızı korumak, risklerini bilmek, açıkları engellemek için sürekli bilgi sahibi olmalısınız.

    Kurulumdan sonra ilk yapılması gerekenler:

    İlk önce kablosuz adsl router ınızın administrator arayüzünü şifreleyin.
    Modemler ilk alındığında fabrika ayaları ile gelir ve administrator arayüzünün şifreleri bellidir. Kitapçığında yazdığı gibi internetten modem üreticilerinin sitelerinin destek bölümlerinden ya da diğer kaynaklardan bu modemlerin şifreleri öğrenilebilir. Bunu modemin yönetim panelinden girerek değiştirin. Modemin şifresini unutursanız yönetim paneline erişemessiniz ve erişmek için modemi resetlemeniz gerekir.

    Modeminizin SSID yayınını kaldırın.
    Birçok access point ya da kablosuz adsl modem in menusünde disable SSID broadcating (SSID yayınını engelle) seçeneği mevcuttur. Bunu seçerek SSID yayınını engelleyin. Şayet SSID yayınını yapmanız gerekiyorsa başlangıç ismini değiştirin. Modemlerin hemen hemen hepsinde başlangıç SSID değeri modemin markası ya da modelidir. Buda saldırganlara modemin başlangıç kullanıcı adı ve şifresi konusunda fikir verir. Örneğin USRobotics 9106 kablosuz adsl modemin başlangıç SSID değeri USR9106 dır buda saldırgana bu modemin başlangıç kullanıcı adının admin şifresininde admin olduğunu anlatır. Bu bilgilere tüm üreticilerin web sitelerinin destek (support) bölümlerinden elde etmek mümkündür.

    WEP şifreleme; (Wired Equivalency Privacy - Kabloluya eşdeğer gizlilik), 64 bit ve 128 bit wep şifeleme vardır. Ağınızda sadece web şifrelemeyi destekleyen cihazlar (pda, dvr, gelişmiş satellite receiver lar gibi) bulunabilir bu durumda zorunlu olarak web şifreleme kullanılır. Wep şifrelemede kullanabileceğiniz şifre karakterleri 0-9 arası rakam ve A-F arası harf olabilir ve sık sık değiştirmekte yarar vardır. Çok etkili olmasada wep şifreleme şifrelemesi olmayan bir kablosuz ağdan daha güvenlidir.

    WPA şifreleme; (Wifi Protected Access- Wifi korumalı erişim), WPA windows servis paketi II ile beraber desteklenen bir şifrelemedir. Piyasada güncel satılan tüm kablosuz cihazlarda şuan WPA WPA2 şifreleme sistemlerini destekliyor. Ancak WPA2 kullanmak için işletim sisteminizi bununla ilgili güncellemeniz gerekebilir. WPA şifrelemede wep şifrelemedeki gibi karekter sınırlaması yoktur. Daha güçlü bir algoritma kullanır ve kırılması güçtür. Eğer cihazlarınız buna olanak tanıyorsa bu şifrelemeyi kullanmanızı öneriyoruz.

    MAC Filtreleme; (Media Access Control - Medya erişim kontrolü), Her ağ cihazı (adsl router, kablosuz erişim noktası, pcmcia ağ kartı, pci ağ kartı gibi) benzersiz bir mac adresine sahiptir. Adsl modemlerde mac filtrelemesi menusunde bu cihazların mac adreslerini ekleyerek bu cihazların modeme erişimine onay verebilirsiniz. Mac filtre listesinde olmayan bir ağ kartına sahip bilgisayarlar bu modeme erişemezler. Ağınıza erişmesine izin vereceğiniz tüm pc lerin mac adreslerini öğrenip bu listeye eklemeniz gerekir. Mac filtremenin bu konuda uzman kişiler tarafından aşılabileceğini unutmayın.

    Kaynak:

    Özkan SUBAŞI
    29 Ekim 2008
    #1
  2. Güzel paylaşım...TeşekkürleR...!
    29 Ekim 2008
    #2
  3. >Teşekkürler::..
    1 Kasım 2008
    #3
soru sor