Önleminizi alın! Kablosuz ağınıza sızan bir ziyaretçi, suçlu durumuna düşmenize neden olabilir.
Kablosuz
ağını paylaşırken internetinizi kullanarak suç işleyen bir kişinin
başınıza açabileceği dertlerden bahsetmiştik. Kablosuz ağlar yapıları
itibari ile kablolu ağlara oranlara daha korumasız, çünkü veriler son
derece korunaklı bir kablodan değil de erişim noktası (Access Point,
AP) ve W-LAN istemcisi arasında havadan aktarılıyor. Verilerin havadan
aktarılıyor olması, kablosuz ağın sadece büro veya evinizin içinden
değil, komşularınızdan veya sokaktan da erişilebilir olması anlamına
geliyor. Kablolu ağlarda veriler tek bir yöne doğru sadece onlar için
çizilen rotada, yani kablo içinde ilerlerken; kablosuz ağlarda
kaynaktan çıkan veriler, suya atılan bir taşın yaydığı halkalar gibi
çevreye yayılıyor. Halkaların kapsadığı alanda bulunan herkes bir
dizüstü bilgisayar veya W-LAN bağdaştırıcısı ile ağdaki verilere
ulaşabiliyor.
Fazladan bir anten kullanarak, kablosuz ağların
menzilleri 150 metreye kadar çıkartılabiliyor. Bu uzunluk nereden
baksanız bakın, bir sokağın uzunluğu kadar. Bunun yanında kablosuz
ağlarla ilgili bir diğer nokta ev duvarlarının sinyalleri engellediği.
Bu her ne kadar doğru olsada, duvarların sinyalleri tamamen etkisiz
hale getiremedikleri de bir gerçek.
Bir bilgisayar
korsanıysanız, kablosuz bir ağa sızmak kablolu bir ağa sızmaktan çok
daha kolay. Çünkü yapmanız gereken tek şey gerekli donanımla kablosuz
ağın yeterince yakına gelip havadaki veri paketlerini yakalamak.
Kablolu bir ağa sızmak istenildiğindeyse saldırı ancak yönlendirici
(router) veya sunucuya gerçekleştirilebilir. Bunun nedeni veri taşıma
sisteminin tek açık noktalarının buralar olmasıdır.
Risk çok büyük
Maalesef
bilgisayar korsanlarının tek yapabilecekleri kabosuz ağa sızıp verileri
ele geçirmekle sınırlı değil. Korsanlar, ağdaki kaynaklara ulaşıp
onları kendi çıkarları için kullanabilme imkanına da sahipler. Örneğin,
kablosuz ağ DSL üzerinden internete bağlıysa, ağa sızan bir korsan
bedava olarak internete bağlanabilir. Hatta bilgisayar korsanları,
başkalarının kablosuz ağlarını kullanarak dosya paylaşım sitelerine
girip, kopya müzik ve film indirerek yasadışı işlere bulaşabilirler.
Böyle bir durumda polisin gelip bulacağı tek kişi internet
bağlantısının sahibidir. Bütün yasadışı işleri bir bilgisayar
korsanının yaptığını ispat etmek oldukça zor olacaktır. Dahası
korsanlar sizin internetinizi kullanarak birçok kişiye spam posta
(yığın posta) atabilir ve web sunucularına "Denial-of-Service"
saldırıları bile gerçekleştirebilirler.
Tehlikeler korkutucu,
ama tüm bunlardan korunmak da mümkün. Yazımızın konusu olan "tam
koruma" kablosuz ağınızı güvenli hale getireceği gibi, ağınızın üstünde
kendi insiyatifinizin olmasını da sağlayacak.
Bugün hala W-LAN
donanımları üreten birçok firma, ürünlerini güvenlik ayarlarını aktif
hale getirmeden piyasaya sürüyor. Güvenlik açısından alınabilecek çoğu
tedbir, genellikle doğrudan erişim noktasına (AP) yönelik oluyor. Bunun
nedeni kablosuz ağın temelinin erişim noktasında olması. Bunun dışında
tabii ki birkaç özel ayarı, özellikle parola işlemlerini, kablosuz ağa
erişimi olan her bilgisayarda tek tek yapmak gerekiyor.
Erişim noktası ayaları
Erişim
noktasını (Access point) bilgisayarınıza USB veya ethernet üzerinden
bağlayın. Daha sonra erişim noktasının ayarlarının yapıldığı
konfigürasyon yazılımını çalışıtırın. Bu yazılıma genellikle web
tarayıcınıza yazacağınız bir IP adresi ile ulaşabilirsiniz (örneğin
192.168.1.1).
Erişim noktasındaki ayarları herhangi biri
değiştiremesin diye, erişim noktanızı parola koruması altına
almalısınız ki zaten çoğu donanımda bu özellik bulunuyor. Burada parola
korumasını aktif hale getirip kolay tahmin edilemeyecek bir parola
girin. Asla erişim noktasının üzerinde gelen ilk parolayı, örneğin
"administrator" veya "admin" gibi, kullanmayın. Çünkü bilgisayar
korsanları erişim noktalarının standart parolalarını biliyorlar ve
böylece erişim noktanızı kolayca ele geçirebilirler.
SSID'yi değişitirin ve gizli tutun
İstemcinin
erişim noktası üzerinden kablosuz ağa bağlanabilmesi için, erişim
noktasının ağ üzerindeki adını (buna SSID veya ESSID deniyor) bilmesi
gerekir. Çoğu erişim noktasında standart olarak SSID ayarları
yapılmıştır ve genellikle erişim noktasının ağ üzerindeki adı basitçe
"SSID", donanım üreticisinin veya donanımın adı olarak belirlenmiştir.
Bu adlar korsanlar tarafından kolayca tahmin edilebildikleri için
güvenlik açısından tehlike oluşturur, çünkü korsanlar örneğin donanımın
markasını SSID olarak gördükeri anda hangi marka bir erişim noktasını
ele geçirmeye uğraştıklarını hemen anlarlar. Bu yüzden SSID seçerken
soyadınızı veya firma isminizi ya da sözlükte bulunabilecek kelimeleri
seçmemeye özen göstermelisiniz.
Maalesef sadece SSID'yi
değiştirmek güvenlik için yeterli değil. Bütün erişim noktaları
yaydıkları sinyallerle menzillerindeki bilgisayara SSID'lerini
ulaştırırlar. Bunun nedeni, menzile giren bir bilgisayarın kablosuz ağı
kolayca görmesini ve bağlantı kurabilmesini sağlamak. Tabii menzile
giren bilgisayarın dost bir bilgisayar olduğunun garantisi olmadığı
için, bu durum tehlike oluşturuyor.
Tehlikeyi önlemek için "SSID-Broadcast" (SSID yayınlama) fonksiyonunu kapatmanızı öneriyoruz.
Parola korumasını etkinleştirin
PAROLA
OLUŞTURMA: W-LAN trafiğinin şifreleneceği ve deşifreleneceği parolayı
girereken tahmin edilmesi zor bir parola seçmelisiniz.
Buraya
kadar anlattığımız güvenlik önlemleri, yeterli zamanı ve aletleri olan
bir saldırgan için sorun oluşturmaz. Kablosuz ağ üzerinden gerçekleşen
veri trafiğini parola ile koruma altına almak tek ve gerçek korunma
yöntemidir. Saldırgan kablosuz ortamda taşınan verileri yakalayıp
bilgisayarına alabilir ama parolayı bilmediği için verileri
görüntüleyemez ve erişemez.
Günümüzde parolalar için üç farklı
seçenek bulunuyor: WEP, WPA ve WPA2. Bunların arasında WEP en güvensiz
olanı iken, WPA2 ise en güvenli parola çeşidi. Eğer kablosuz ağdaki
bütün istemciler WPA2'yi destekliyorsa, kesinlikle bu parola yöntemini
kullanmalısınız. Tabii kablosuz ağınızda eski model dizüstü
bilgisayarlar veya WLAN bağdaştırıcıları varsa o zaman WEP kullanmaktan
veya yeni WPA2 destekli bağdaştırıcılar satın almaktan başka çareniz
kalmayacaktır. Çünkü her kablosuz ağ sadece tek bir parola yöntemi ile
koruma altına alınabilir, aynı anda hem WEP hem de WPA2 yöntemlerini
kullanmak maalesef mümkün değil.
Bazı erişim noktalarında WEP
parolasını 64 ile 128 Bit arasında değiştirmek mümkün olabiliyor. Eğer
böyle bir opsiyon bulunmuyorsa, normalde parola WEP 128 Bit'tir.
Seçenek olduğu durumlarda WEP 128'i seçmenizi öneriyoruz, çünkü WEP
64'e göre ele geçirilmesi daha zordur.
Parolayı etkileştirmek
için, verilerin şifreleneceği ve alıcı bilgisayarda deşifreleneceği
parolayı girin. Parolanızı seçerken yine çok kolay tahmin edilememesine
ve sözlük ataklarına karşı dirençli olmasına özen gösterin. Mümkünse
parolanızda büyük - küçük harfler, rakamlar ve özel işaretler kullanın.
WEP parolaları tam olarak 13 karakterden oluşurken, WPA ve WPA2
parolaları 8 ile 63 karakter arasında bir uzunluğa sahip olabilir. WEP
parolaları ASCII veya Hex formatında girilebilir (Hex formatında
uzunluk WEP 128 için 26 karakterdir).
Kablosuz ağı parola koruması
altına aldıktan sonra, ağa erişimi olan istemcilere de parolayı girmek
gerekiyor. Bu noktada size tavsiyemiz, parolayı e-posta yoluya
istemcilere göndermemeniz ve olabildiğince gizli tutmanız.
MAC filtersini açın
Davetsiz
misafirlerin kablosuz ağınıza sızmasını engellemenin bir diğer yolu,
MAC filtrelemesidir. Çünkü her ağ elemanı sadece kendine özgü olan bir
MAC adresine (MAC: Media Access Control) sahiptir ve bu adres üzerinden
tanınır. Erişim noktanızı sadece izinli, yani bilindik donanımlardan
veri paketleri alacak şekilde ayarlayabilirsiniz. Bunun için erişim
noktanızda MAC filtreleme özelliğini etkinleştirmeniz gerekiyor.
Kablosuz
ağa erişim hakkı olacak bütün bilgisayarların ve diğer ağ aygıtlarının
MAC adreslerini temin etmelisiniz. Bu adresleri aygıtların veya
bilgisayarların üzerindeki etiketlerde bulabilirsiniz. Eğer
bulamıyorsanız Windows işletim sistemine sahip bilgisayarlarda MS-DOS
pencersinde "ipconfig / all" komutunu girerek adresi
görüntüleyebilirsiniz.
WLAN'a erişim izni olacak MAC adreslerini
erişim noktasındaki filtre tablosuna tek tek girmeniz gerekiyor. Ağa
bağlanmasını kesinlikle istemediğiniz bir ağ aygıtının MAC adresini
biliyorsanız, bu adresi tek başına izni olmayanlar listesine
girebilirsiniz.
MAC filtresi tek başına güvenlik için yeterli
değil, çünkü eğer kablosuz ağınızı parola ile koruma altına almazsanız,
MAC adresleri kablosuz ortamda gezinen veri paketlerinin içinde açık
seçik olarak görünür. Bu veri paketlerini ele geçiren bir korsan, MAC
adresini öğrenip adı "spoofing - software" olan bir yazılımla erişim
noktanızın sanal bir kopyasını oluşturup ona sizden öğrendiği MAC
adresini verebilir. Dolayısı ile ağa kolayca bağlanıp amacına ulaşır.
UPnP saldırılarını engelleyin
Bazı
erişim noktları Universal Plug & Play (UPnP) ile uzakten erişime
izin veriyor. Bu arayüz sayesinde UPnP destekli yazılımların ayarları
değiştirilebiliyor. Örneğin yurtdışından internet bağlantısı sayesinde
erişim noktanızın ayarlarını değiştirmek zorundaysanız bu özellik
işinize yarayabilir. Tabii bunun yanında UPnP aynı zamanda potansiyel
bir güvenlik açığı. Önerimiz normal zamanlarda bu özelliği devre dışı
bırakmanız.
Güvenlik duvarını etkinleştirin
Çoğu erişim
noktası aynı zamanda güvenlik duvarına (Firewall) sahip olan bir
donanımın parçasıdır. Kablosuz ağ üzerindeki istemci bilgisayarlarda
yazılımsal bir güvenlik duvarı yüklü olsa da, erişim noktasındaki
güvenlik duvarını etkileştirmelisiniz. Güvenlik duvarlarının çoğu
internetle olan veri alışverişiniz üzerinde tam bir kontrol oluşturma
imkanı sunar. Örneğin Siemens Gigaset'te güvenlik duvarı ayarlarını
"Güvenlik Duvarı / Hacker koruması" altında bulabilirsiniz. Sadece
gerekli olan veri trafiğine izin vermeniz bu noktada çok önemli.
"UDP"'ye Domain Name System (DNS), Streaming uygulamaları, Voice over
IP, Bittorent ve çevrimiçi oyunlar için ihtiyacınız olacağını
unutmayın. Ayrıca "H.323" de VOIP ve video konferanslar için gerekli.
Sinyal seviyesini düşürün
Erişim
noktanızla ilgili iki ipucu daha : Onu cam ve evinizin dışarıya bakan
duvarlarının yanına koymayın, evinizin veya ofisinizin ortasına
yerleştirmekte yarar var. Aksi halde davetsiz misafirler yüksek sinyal
seviyesinden yararlanabilirler. Ayrıca erişim noktasının sinyal
seviyesini her zaman en yüksek konumda tutmanıza gerek yok. Kablosuz
ağdaki en uzak istemcinin yeterli miktarda sinyal alabileceği bir ayar
yeterli olacak ve güvenliği artıracaktır.
İstemci ayarları
İlk
tavsiyemiz, eğer eski bir W-LAN bağdaştırıcısı kullanıyorsanız üretici
firmanın web sitesine girip yeni çıkmış bir sürücü olup olmadığına göz
atmanızda büyük yarar var. Çünkü yeni sürücüler, yeni parola
yöntemlerine izin veriyor olabilir. Böyle bir imkan varsa, yeni
sürücüyü indirip derhal kurmalısınız.
Kablosuz ağ
bağdaştırıcısının konfigürasyonu için, ilgili yazılımı çalıştırmanız
gerekiyor. Yazılım üzerinden erişim noktasında kullandığınız parola
yönteminin aynısını istemcide de etkinleştirmeli ve erişim noktasında
oluşturduğunuz parolayı girmelisiniz. Bağlantı kurulur kurulmaz
bağdaştırıcı üzerinde yeşil bir ışık göreceksiniz, ayrıca genellikle
yazılım üzerindeki yeşil bir alan bağlantının başarıyla kurulduğunu
size gösterecektir.
Sürekli farklı kablosuz ağlara
bağlanıyorsanız, örneğin dizüstü bilgisayarınızı hem evde hem de iş
yerinde kullanıyorsanız, her seferinde yeniden ayar yapmamak için
ayarları kaydedebilirsiniz.
Kablosuz ağı kapatın
Kablosuz
ağınızı belli bir zaman kullanmayacaksanız (örneğin haftasonu
işyerinizde veya tatilde) erişim noktasını tamamen kapatmanızıçalışmaya
devam ediyor.
Sonuç: Tamamen güvenli bir kablosuz ağ kurmanın
önündeki en büyük engel, saldırganların her bir güvenlik önlemini
atlatabilecek silahlara sahip olmaları. Örneğin SSID yayınlanmasa bile,
ağınıza girmek isteyen biri özel analiz yazılımları ile havadaki veri
trafiğini denetleterek sonuca ulaşabilir. Tanınmadık bilgisayarların
kablosuz ağa erişimini yasaklamak için MAC filtresini
etkliştirebilirsiniz ama bu sefer de saldırganlar MAC-Spoofing
yazılımları ile ağdaki herhangi bir istemcinin MAC adresini ele geçirip
sanal olarak bir kopyasını oluşturabilirler.
En etkili korunma
yöntemiyse daha önceden de bahsettiğimiz gibi parolalama. Burada da WEP
parolalama yönteminin çok güçlü olmaması bir güvenlik açığı olarak
karşımıza çıkıyor. Saldırgan eğer yeterli bilgi ve donanıma sahipse ve
yeterli miktarda ağ trafiğini kayıt altına alabiliyorsa, WEP parolasını
kırabilir.
Diğer iki parola yöntemi, WPA ve WPA2 ise daha
güçlüler. Bugüne kadar WPA ve WPA2 parolaların kırılmasını sağlayan
herhangi bir metod geliştirilemedi. Tabii ki bunun imkansız olduğunu
söylemek de zor: Parola güçsüz ve kolay tahmin edilebilir olduğunda,
WPA2 parolası bile ele geçirilebilir.
öneririz. Böylece
yokluğunuzda kimse kablosuz ağınıza giremez, verilerinizi çalmaya
kalkışamaz. Bazı pratik erişim noktalarında sadece kablosuz ağ
fonksiyonu devre dışı bırakılabiliyor. Sadece W-LAN'ı kapattığınızda
aygıtın diğer fonksiyonları, örneğin telefon tesisatı veya telesekreter
gibi fonksiyonlar İPUCU: WPA için güvenli parolayı bulmak
İnternette
kablosuz ağların parola güvenliği hakkında araştırma yapacak biri,
WPA'nın bile kırılabileceği gerçeğini hemen anlayacaktır. Bu bilgi
doğru bir bilgi ama temelde WPA ile bir ilgisi yok. Çünkü her şifreleme
yöntemi (buna WPA, WPA2 ve AES'de dahil) ancak ve ancak kullanılan
parola kadar güvenlidir.
Bir saldırgan ilk olarak sözlük
ataklarıyla parolayı kırmaya çalışacaktır. Eğer kolay tahmin edilebilir
bir parola belirlemişseniz (örneğin isminizi, soyadınızı ve şirket
ismini) korsan çok fazla çaba sarfetmeden bunu tahmin edebilir.
Güvenlik
uzmanları WPA parolaları üzerinde yaptıkları araştırmalarda,
saldırganların 20 karakterden kısa ve sözlük ataklarına karşı dirençsiz
parolaları daha kolay kırabildikleri sonucuna ulaşmışlar. Parolayı
kırmak için tek yapılması gereken, erişim noktası ile istemci
arasındaki parola değiş tokuşuna kulak misafiri olmak. Parola değişimi
bağlantının ilk kurulduğu sırada yapıldığı için, korsanlar bağlantıyı
koparıp tekrar kurulmasını sağlayarak parolayı ele geçirebilirler.
WPA2'de ise bu güvenlik açığı bulunmuyor.
Bu yüzden, kendinize
20 karakterden uzun bir WPA parolası seçin ve parolada rakamlar,
harfler ve özel işaretler olmasına dikkat edin. Sözlüklerde
bulunabilecek kelimeleri hem WPA hem de WPA2 için seçmeyin.
Mesaj Sayısı
Nerden
Yaş
Konu: Kablosuz Ağ Güvenliği 
Perş. Ağus. 12, 2010 11:20 pm
