Telekom Portal

Kablosuz aÄŸ güvenliÄŸi ile ilgili yazımızın 4. kısmı
Bu bölümde kablosuz ağınızın güvenliÄŸi için yapmanız gereken ayarlar hakkında bilgiler mevcut. Daha önceki bölümleri okumadan bu bölüme geçmeyiniz.

How To Crack WEP – Bölüm 4: Kablosuz ağınızın güvenliÄŸi

Güvenlik uzmanlarının söylediÄŸi gibi mükemmel koruma yoktur. Ä°yi bir güvenlik planı neyin korunacağının önemi ne göre deÄŸiÅŸir, korumanın uygulanma biçimi ve potansiyel riskler iyi belirlenmelidir. BaÅŸka bir deÄŸiÅŸle, tüm defansif tedbirler bilinmeli ve daha ihtiyatlı ve mali olarak mantıklı bir ÅŸekilde planlanmalıdır.

ÖrneÄŸin, kablosuz ağınız ÅŸehrin kalabalık bir yerinde ve tehlikeye açık olabilir. Yakınlara parkedilen kimin olduÄŸu bilinmeyen araçlara dahi dikkat etmek gerekir. Neden bu kadar ÅŸüpheci olmalıyız? Bazılarımız “biz sadece webte geziniyoruz önemli hiçbir iÅŸlem yapmıyoruz ne olabilirki?” diyebilir. Bu soruya birkaç farklı cevap verebiliriz.

1) Ağınız bilinmiyen kişilerin eğlemlerine maruz kalabilir.

Birisi kablosuz olarak sizin ağınıza baÄŸlanabilir bu baÄŸlantı sizin ağınızdaki switch inize baÄŸlı olmanızla aynı ÅŸeydir. AÄŸdaki kullanıcıların yapabilecekleri herÅŸeyi yapabilecektir. Bilgisayarlardaki dosyaları dizinleri kopyalayabilir, daha kötüsü logger programları trojan lar zombie client lar gibi zararlı programları kurabilirler.

2) Tüm aÄŸ trafiÄŸiniz kaydedilip incelenebilir.

DoÄŸru araçlarla, girdiÄŸiniz web siteleri belirlenir ÅŸifreleriniz ele geçirilebilir.

3) Internet baÄŸlantınız illegal iÅŸler için kullanılabilir.

Kablosuz ağınızı dışarıdan kullananlar, çocuk pornosu yayını, servis reddi atakları, spam yaymak gibi bazı kanunsuz iÅŸler için ağınızı kullanılabilirler. Sonuçları ise sizi baÄŸlar.

Saldırganların becerilerine göre yapabileceklerine bir bakalım;
Acemi bir kullanıcı :

Elinde kablosuz aÄŸlara açık bir dizüstü bilgisayarı olan herkes bir ÅŸey bilmesede kapsama alanındayken ağınızı kullanabilecektir. Çünkü kablosuz aÄŸ ekipmanların baÅŸlangıç ayarları müsait access point lere bir ayar gerektirmeden baÄŸlanabilecek ÅŸekilde ayarlanmıştır.

Aşağıdaki tedbir rastgele ağınıza birisinin girmesini engeller. Ancak bu konuda bilgili kişileri engellemeyecektir.

Tedbir 1: BaÅŸlangıç ayarlarını deÄŸiÅŸtirmek

Access point in baÅŸlangıç kullanıcı adı ve administrator pasword unu deÄŸiÅŸtirin. BaÅŸlangıç SSID deÄŸerini deÄŸiÅŸtirin. Çünkü genel olarak SSID lar üreticiler tarafından Access Point in ya da Kablosuz ADSL Router in modeli gibi bir deÄŸerdir. ÖrneÄŸin USRobotics 9106 Kablosuz ADSL router in baÅŸlangıç SSID ının USR9106 olması gibi. Bu konuda biraz tecrübesi olan birisi bunun bir US Robotics ADSL olduÄŸunu ve admin ÅŸifresininde yine admin olduÄŸunu bilir. SSID ı deÄŸiÅŸtirmek otomatikman bu sorunu çözer. SSID verirken ÅŸahsi bir bilgide vermeyin. Sonuçta kablosuz networkunuz bu isimde yayın yapar. Anlamı olmayan bir isim ya da bir sayı verebilirsiniz. Access point in yayın yaptığı kanalıda deÄŸiÅŸtirebilirsiniz.

Tedbir 2: Acces Point in firmware ini güncelleyin.

Access point üreticileri sürekli yazılımlarını geliÅŸtirirler. Access point inizin firmware ini güncellemek güvenlik açıklarını engelleyeceÄŸi gibi yeni geliÅŸtirilmiÅŸ güvenlik seçeneklerinide kullanmanızı saÄŸlayabilir. Bazı yeni access pointlerde menusundeki bir seçeneÄŸe tıklayarak firmware güncellenebilmektedir. Ayrıca access point ya da kablosuz adsl modem tercihlerinizi yaparkende bu tip ayrıntılara dikkat etmelisiniz. WPA2 yi destekleyen modemleri tercih etmelisiniz.

Tedbir 3: SSID yayınlanmasını engelleme

Birçok access point ya da kablosuz adsl modem in menusünde disable SSID broadcating (SSID yayınını engelle) seçeneÄŸi mevcuttur. Bunu seçerek SSID yayınını engelleyin. Åžayet SSID yayınını yapmanız gerekiyorsa baÅŸlangıç ismini deÄŸiÅŸtirin. Modemlerin hemen hemen hepsinde baÅŸlangıç SSID deÄŸeri modemin markası ya da modelidir. Buda saldırganlara modemin baÅŸlangıç kullanıcı adı ve ÅŸifresi konusunda fikir verir. ÖrneÄŸin USRobotics 9106 kablosuz adsl modemin baÅŸlangıç SSID deÄŸeri USR9106 dır buda saldırgana bu modemin baÅŸlangıç kullanıcı adının admin ÅŸifresininde admin olduÄŸunu anlatır. Bu bilgilere tüm üreticilerin web sitelerinin destek (support) bölümlerinden elde etmek mümkündür.

Tedbir 4: Kapatmak

Kablosuz modeminizi gece kullanılmadığı saatlerde kapatın. EÄŸer internet baÄŸlantısını kapatmamanız gerekiyorsa kablosuz özelliÄŸini kapatın. Bazı modemlerde kablosuz özellikleri baÅŸlangıç olarak açıktır. Siz modemi kablosuz olarak kullanmasanız bile bu özelliÄŸi açık olabilir wireless configuration (kablosuz ayarları) bölümünden bu özelliÄŸi disable (kullanılamaz) seçin.

Kablosuz özelliÄŸini kapatmak

Tedbir 5: MAC Adres Filitreleme

Mac Adresini filitrelemek, sizin mac adresini girmediÄŸiniz cihazların access point e baÄŸlanmasını engeller. Modeminizin ya da access point inizin wireless (kablosuz) ayarlar bölümünde Mac adres filitrelemesi olabilir. Buraya girince aÅŸağıdakine benzer bir ekran vardır. Her aÄŸ kartının bir MAC adresi vardır. Kablosuz aÄŸ kartınızın mac adresini öÄŸrenmek için komut satırında “ipconfig /all” komutunu vererek fiziksel adres satırında görebilirsiniz. Ya da aygıt yöneticisine girip burdanda öÄŸrenilebilir. Bu ekranda filitrelemeyi açıp kapatabilirsiniz. Listeye ağınızdaki kablosuz cihazların mac adreslerini ekleyip bunların dışındaki cihazların baÄŸlantısını engelleyebilirsiniz. Ya da tam tersini yapabilirsiniz.

Mac adres filitreleme

Tedbir 6: Yayın gücünü azaltmak

Bazı access point lerde bu özellik vardır. Apartman gibi ortamlarda bu özellik iÅŸe yarayabilir. Sinyal gücünü düÅŸürüp baÅŸkalarının modeminize eriÅŸimini engelleyebilirsiniz.

Åžimdide elinde bazı network uygulamaları bulunan saldırganlara karşı yapılabileceklere bir göz atalım;

Elinde burda anlattığımız uygulamar bulunan saldırganlara karşı yukarda anlattığımız tedbirler işe yaramaz. Bu durumda sadece şifreleme ve kimlik doğrulama tedbirleri uygulanabilir.

Tedbir 7: Åžifreleme

Kablosuz aÄŸ sahipleri güçlü bir ÅŸifreleme yapmalıdır. Kablosuz aÄŸ donanımızın size sunduÄŸu en yüksek ÅŸifrelemeyi seçebilirsiniz. Sırasıyla WEP, WPA, WPA2 gibi.

WEP (Wired Equivalent Privacy) Kabloluya eÅŸdeÄŸer gizlilik. Bazı kablosuz donanımlar (voip cihazları gibi) 802.11b protokolünü destekler. Böyle donanımları olan kablosuz aÄŸ sahipleri eÄŸer bu donanımların üreticileri firmware yazılımlarını WEP ten WAP a guncellememiÅŸlerse WEP ÅŸifreleme yapmak zorundadır.

WPA ( Wi-Fi Protected Access) Wi-fi korumalı eriÅŸim. Ya da WPA2 geliÅŸtirilmiÅŸ ÅŸifreleme standartları olan kablosuz güvenlik sunar. WPA2 AES destekler (Advanced Encryption Standard) Yani geliÅŸmiÅŸ ÅŸifreleme standardı sunar. Bazı WPA etiketli ürünler de WPA – AES, WPA – TKIP, WPA – PSK, WPA Radius gibi seçenekler sunarlar.

Netgear AP ÅŸifreleme

WEP / WPA-PSK Crack yapabilenlere karşı neler yapabiliriz;

Tedbir 8: Kimlik doÄŸrulama eklemek

802.11x protokolü wep wpa, wpa2 ÅŸifreleme sistemleri birkaç EAP (extensible Authentication Protocol- GeliÅŸtirilebilir kimlik doÄŸrulama protokolleri) destekler. Bu konuyla ilgili ayrıntıları George Ou’ nun yazdigi excellent article on Authentication Protocols makalesini (http://blogs.zdnet.com/Ou/?p=67) adresinden ingilizce olarak inceleyebilirsiniz.

Uzman Cracker lar için neler yapabiliriz?

Bu noktaya kadar bazı tedbirlerden bahsettik. Fakat uzman cracker lar için bu tedbirler yeterli olmayabilir.

Bu durumda ne yapabiliriz? Bazı kablolu ve kablosuz aÄŸlara izinsiz giriÅŸleri bulan ve engelleyen uygulamalar vardır. Fakat bunların hedefleri büyük aÄŸları ve uygulamalarını korumak içindir ve yüksek bedelleri vardır. Aynı zamanda açık kaynak kodlarıyla yazılmış çözümlerde mevcuttur. Fakat kullanıcı dostu yazılımlar deÄŸildirler. Bu yazılımlarıda ilerde inceleyip açıklamayı düÅŸünüyorum.

Tedbir 9: Genel aÄŸ güvenliÄŸi

Genel aÄŸ güvenliÄŸini artırmak için aÅŸağıdaki tedbirleri uygulayın.

1) AÄŸ kaynaklarına eriÅŸim için kimlik doÄŸrulaması isteyin

Paylaşıma açılmış klasörleri ÅŸifreleyin, hiçbir zaman hardiskinizin tamamını paylaşıma açmayın.

2) Ağınızı parçalara ayırın

Ağınızdaki bazı kullanıcıları olmaması gereken yerlerden uzak tutabilirsiniz. Bazı nat tabanlı routerlar internet eriÅŸimine izin verirken aynı zamanda firewall ile ağın bazı bölümlerini koruyabilirler. Vlan özellikli switch ler aÄŸ kullanıcılarını ayırabilirler. Ancak bu akıllı ve yönetibilebilir switchler biraz pahalıdır.

3) Yazılım tabanlı korumalar

En azından güncel bir antivirus yazılımı kullanın. KiÅŸisel firewall yazılımları kullanın ZoneAlarm, BlackICE gibi. Webroot Software's Spy Sweeper ve Sunbelt Software's CounterSpy gibi antispyware gibi yazılımları kullanabilirsiniz. Bu yazılımları ağınızdaki tüm bilgisayarlara yüklemeniz gerekir.

4) Dosyalarınızı şifreleyin

Dosyalarınıza bulunması zor şifreler verebilirsiniz. Windows XP kullananlar windows Encrypted File System (EFS) yi kullanabilirler.

Sonuç

Kablosuz aÄŸlar çok kullanışlıdır. Fakat onları iyi korumamız gerekir. Saldırganlara karşı kullanılabilecek birçok yöntem vardır. Ancak ağınızı korumak, risklerini bilmek, açıkları engellemek için sürekli bilgi sahibi olmalısınız.

Özkan SUBAÅžI
IT specialist
www.telekom.com.tr