Kablosuz ağ güvenliği ile ilgili yazımızın 4. kısmı
Bu bölümde kablosuz ağınızın güvenliği için yapmanız gereken ayarlar hakkında bilgiler mevcut. Daha önceki bölümleri okumadan bu bölüme geçmeyiniz.

How To Crack WEP – Bölüm 4: Kablosuz ağınızın güvenliği

Güvenlik uzmanlarının söylediği gibi mükemmel koruma yoktur. İyi bir güvenlik planı neyin korunacağının önemi ne göre değişir, korumanın uygulanma biçimi ve potansiyel riskler iyi belirlenmelidir. Başka bir değişle, tüm defansif tedbirler bilinmeli ve daha ihtiyatlı ve mali olarak mantıklı bir şekilde planlanmalıdır.

Örneğin, kablosuz ağınız şehrin kalabalık bir yerinde ve tehlikeye açık olabilir. Yakınlara parkedilen kimin olduğu bilinmeyen araçlara dahi dikkat etmek gerekir. Neden bu kadar şüpheci olmalıyız? Bazılarımız “biz sadece webte geziniyoruz önemli hiçbir işlem yapmıyoruz ne olabilirki?” diyebilir. Bu soruya birkaç farklı cevap verebiliriz.

1) Ağınız bilinmiyen kişilerin eğlemlerine maruz kalabilir.

Birisi kablosuz olarak sizin ağınıza bağlanabilir bu bağlantı sizin ağınızdaki switch inize bağlı olmanızla aynı şeydir. Ağdaki kullanıcıların yapabilecekleri herşeyi yapabilecektir. Bilgisayarlardaki dosyaları dizinleri kopyalayabilir, daha kötüsü logger programları trojan lar zombie client lar gibi zararlı programları kurabilirler.

2) Tüm ağ trafiğiniz kaydedilip incelenebilir.

Doğru araçlarla, girdiğiniz web siteleri belirlenir şifreleriniz ele geçirilebilir.

3) Internet bağlantınız illegal işler için kullanılabilir.

Kablosuz ağınızı dışarıdan kullananlar, çocuk pornosu yayını, servis reddi atakları, spam yaymak gibi bazı kanunsuz işler için ağınızı kullanılabilirler. Sonuçları ise sizi bağlar.

Saldırganların becerilerine göre yapabileceklerine bir bakalım;
Acemi bir kullanıcı :

Elinde kablosuz ağlara açık bir dizüstü bilgisayarı olan herkes bir şey bilmesede kapsama alanındayken ağınızı kullanabilecektir. Çünkü kablosuz ağ ekipmanların başlangıç ayarları müsait access point lere bir ayar gerektirmeden bağlanabilecek şekilde ayarlanmıştır.

Aşağıdaki tedbir rastgele ağınıza birisinin girmesini engeller. Ancak bu konuda bilgili kişileri engellemeyecektir.

Tedbir 1: Başlangıç ayarlarını değiştirmek

Access point in başlangıç kullanıcı adı ve administrator pasword unu değiştirin. Başlangıç SSID değerini değiştirin. Çünkü genel olarak SSID lar üreticiler tarafından Access Point in ya da Kablosuz ADSL Router in modeli gibi bir değerdir. Örneğin USRobotics 9106 Kablosuz ADSL router in başlangıç SSID ının USR9106 olması gibi. Bu konuda biraz tecrübesi olan birisi bunun bir US Robotics ADSL olduğunu ve admin şifresininde yine admin olduğunu bilir. SSID ı değiştirmek otomatikman bu sorunu çözer. SSID verirken şahsi bir bilgide vermeyin. Sonuçta kablosuz networkunuz bu isimde yayın yapar. Anlamı olmayan bir isim ya da bir sayı verebilirsiniz. Access point in yayın yaptığı kanalıda değiştirebilirsiniz.

Tedbir 2: Acces Point in firmware ini güncelleyin.

Access point üreticileri sürekli yazılımlarını geliştirirler. Access point inizin firmware ini güncellemek güvenlik açıklarını engelleyeceği gibi yeni geliştirilmiş güvenlik seçeneklerinide kullanmanızı sağlayabilir. Bazı yeni access pointlerde menusundeki bir seçeneğe tıklayarak firmware güncellenebilmektedir. Ayrıca access point ya da kablosuz adsl modem tercihlerinizi yaparkende bu tip ayrıntılara dikkat etmelisiniz. WPA2 yi destekleyen modemleri tercih etmelisiniz.

Tedbir 3: SSID yayınlanmasını engelleme

Birçok access point ya da kablosuz adsl modem in menusünde disable SSID broadcating (SSID yayınını engelle) seçeneği mevcuttur. Bunu seçerek SSID yayınını engelleyin. Şayet SSID yayınını yapmanız gerekiyorsa başlangıç ismini değiştirin. Modemlerin hemen hemen hepsinde başlangıç SSID değeri modemin markası ya da modelidir. Buda saldırganlara modemin başlangıç kullanıcı adı ve şifresi konusunda fikir verir. Örneğin USRobotics 9106 kablosuz adsl modemin başlangıç SSID değeri USR9106 dır buda saldırgana bu modemin başlangıç kullanıcı adının admin şifresininde admin olduğunu anlatır. Bu bilgilere tüm üreticilerin web sitelerinin destek (support) bölümlerinden elde etmek mümkündür.

Tedbir 4: Kapatmak

Kablosuz modeminizi gece kullanılmadığı saatlerde kapatın. Eğer internet bağlantısını kapatmamanız gerekiyorsa kablosuz özelliğini kapatın. Bazı modemlerde kablosuz özellikleri başlangıç olarak açıktır. Siz modemi kablosuz olarak kullanmasanız bile bu özelliği açık olabilir wireless configuration (kablosuz ayarları) bölümünden bu özelliği disable (kullanılamaz) seçin.

Kablosuz özelliğini kapatmak

Tedbir 5: MAC Adres Filitreleme

Mac Adresini filitrelemek, sizin mac adresini girmediğiniz cihazların access point e bağlanmasını engeller. Modeminizin ya da access point inizin wireless (kablosuz) ayarlar bölümünde Mac adres filitrelemesi olabilir. Buraya girince aşağıdakine benzer bir ekran vardır. Her ağ kartının bir MAC adresi vardır. Kablosuz ağ kartınızın mac adresini öğrenmek için komut satırında “ipconfig /all” komutunu vererek fiziksel adres satırında görebilirsiniz. Ya da aygıt yöneticisine girip burdanda öğrenilebilir. Bu ekranda filitrelemeyi açıp kapatabilirsiniz. Listeye ağınızdaki kablosuz cihazların mac adreslerini ekleyip bunların dışındaki cihazların bağlantısını engelleyebilirsiniz. Ya da tam tersini yapabilirsiniz.

Mac adres filitreleme

Tedbir 6: Yayın gücünü azaltmak

Bazı access point lerde bu özellik vardır. Apartman gibi ortamlarda bu özellik işe yarayabilir. Sinyal gücünü düşürüp başkalarının modeminize erişimini engelleyebilirsiniz.

Şimdide elinde bazı network uygulamaları bulunan saldırganlara karşı yapılabileceklere bir göz atalım;

Elinde burda anlattığımız uygulamar bulunan saldırganlara karşı yukarda anlattığımız tedbirler işe yaramaz. Bu durumda sadece şifreleme ve kimlik doğrulama tedbirleri uygulanabilir.

Tedbir 7: Şifreleme

Kablosuz ağ sahipleri güçlü bir şifreleme yapmalıdır. Kablosuz ağ donanımızın size sunduğu en yüksek şifrelemeyi seçebilirsiniz. Sırasıyla WEP, WPA, WPA2 gibi.

WEP (Wired Equivalent Privacy) Kabloluya eşdeğer gizlilik. Bazı kablosuz donanımlar (voip cihazları gibi) 802.11b protokolünü destekler. Böyle donanımları olan kablosuz ağ sahipleri eğer bu donanımların üreticileri firmware yazılımlarını WEP ten WAP a guncellememişlerse WEP şifreleme yapmak zorundadır.

WPA ( Wi-Fi Protected Access) Wi-fi korumalı erişim. Ya da WPA2 geliştirilmiş şifreleme standartları olan kablosuz güvenlik sunar. WPA2 AES destekler (Advanced Encryption Standard) Yani gelişmiş şifreleme standardı sunar. Bazı WPA etiketli ürünler de WPA – AES, WPA – TKIP, WPA – PSK, WPA Radius gibi seçenekler sunarlar.

Netgear AP şifreleme

WEP / WPA-PSK Crack yapabilenlere karşı neler yapabiliriz;

Tedbir 8: Kimlik doğrulama eklemek

802.11x protokolü wep wpa, wpa2 şifreleme sistemleri birkaç EAP (extensible Authentication Protocol- Geliştirilebilir kimlik doğrulama protokolleri) destekler. Bu konuyla ilgili ayrıntıları George Ou’ nun yazdigi excellent article on Authentication Protocols makalesini (http://blogs.zdnet.com/Ou/?p=67) adresinden ingilizce olarak inceleyebilirsiniz.

Uzman Cracker lar için neler yapabiliriz?

Bu noktaya kadar bazı tedbirlerden bahsettik. Fakat uzman cracker lar için bu tedbirler yeterli olmayabilir.

Bu durumda ne yapabiliriz? Bazı kablolu ve kablosuz ağlara izinsiz girişleri bulan ve engelleyen uygulamalar vardır. Fakat bunların hedefleri büyük ağları ve uygulamalarını korumak içindir ve yüksek bedelleri vardır. Aynı zamanda açık kaynak kodlarıyla yazılmış çözümlerde mevcuttur. Fakat kullanıcı dostu yazılımlar değildirler. Bu yazılımlarıda ilerde inceleyip açıklamayı düşünüyorum.

Tedbir 9: Genel ağ güvenliği

Genel ağ güvenliğini artırmak için aşağıdaki tedbirleri uygulayın.

1) Ağ kaynaklarına erişim için kimlik doğrulaması isteyin

Paylaşıma açılmış klasörleri şifreleyin, hiçbir zaman hardiskinizin tamamını paylaşıma açmayın.

2) Ağınızı parçalara ayırın

Ağınızdaki bazı kullanıcıları olmaması gereken yerlerden uzak tutabilirsiniz. Bazı nat tabanlı routerlar internet erişimine izin verirken aynı zamanda firewall ile ağın bazı bölümlerini koruyabilirler. Vlan özellikli switch ler ağ kullanıcılarını ayırabilirler. Ancak bu akıllı ve yönetibilebilir switchler biraz pahalıdır.

3) Yazılım tabanlı korumalar

En azından güncel bir antivirus yazılımı kullanın. Kişisel firewall yazılımları kullanın ZoneAlarm, BlackICE gibi. Webroot Software's Spy Sweeper ve Sunbelt Software's CounterSpy gibi antispyware gibi yazılımları kullanabilirsiniz. Bu yazılımları ağınızdaki tüm bilgisayarlara yüklemeniz gerekir.

4) Dosyalarınızı şifreleyin

Dosyalarınıza bulunması zor şifreler verebilirsiniz. Windows XP kullananlar windows Encrypted File System (EFS) yi kullanabilirler.

Sonuç

Kablosuz ağlar çok kullanışlıdır. Fakat onları iyi korumamız gerekir. Saldırganlara karşı kullanılabilecek birçok yöntem vardır. Ancak ağınızı korumak, risklerini bilmek, açıkları engellemek için sürekli bilgi sahibi olmalısınız.

Özkan SUBAŞI
IT specialist
www.telekom.com.tr