ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Kablosuz Ağlar Ve Güvenlik

 

Son yıllarda ADSL bağlantıların her ortama girmesi ve dizüstü bilgisayarlardaki fiyat düşüşü kablosuz ağ kullanımını büyük oranda arttırdı. Yeni alınan ADSL modemlerin çoğunda kablosuz ağ özelliği de birlikte geliyor. Kablosuz ağ kullanımı hem pratik hem de kullanışlı fakat gerekli önlemler alınmazsa güvenlik noktasında biraz sıkıntılıdır. Bu yazıda kablosuz ağlar ve bu ağlarda güvenliği sağlayacak temel bileşenler anlatılmıştır.

 

 

Bir konunun güvenliğinin sağlanabilmesi için bazı temel detayların bilinmesi gerekir. Kablosuz ağların güvenliği konusunun anlaşılabilmesi için güvenliği sağlayacak ya da güvenlik açığına sebep olacak bileşenlerin neler olduğuna bir göz atalım.

Kablosuz Ağ arabirim çalışma modları

 

Kablosuz ağ adaptörleri kullandıkları sürücüye ve yapacağı işleve bağlı olarak  dört farklı modda çalışabilir. Bunlar: Managed, Master(hostap), Ad-hoc ve Monitor mod.

Master Mod:  Etraftaki kablosuz ağ istemcilerine hizmet vermek için kullanılan mod. Erişim noktası olarak adlandırılan cihazlarda kablosuz ağ adaptörleri bu modda çalışır.

Managed Mod: Bir erişim noktasına bağlanarak hizmet alan istemcinin bulunduğu mod.

Ad-Hoc Mod: Arada bir AP olmaksızın kablosuz istemcilerin haberleşmesi için kullanılan mod.

Monitor Mod: Herhangi bir kablosuz ağa bağlanmadan pasif olarak ilgili kanaldaki tüm trafiğin izlenmesine olanak sağlayan mod. Kablosuz ağlarda güvenlik konusunda sık sık kullanılan bir moddur.

Promiscious mod ve monitor mod farkı

 

Klasik yapılan hata promiscious mod ve monitor modun karıştırılmasıdır. Bu iki moda birbirinden tamamen farklıdır.

Monitor mod, bir kablosuz ağ arabiriminin herhangi bir ağa bağlanmadan o ağa ait tüm trafiği izleyebilmesine olanak verir. Promiscious mod ise bir ağa bağlanıldığında o ağda –duruma göre- tüm trafiği izleyebilmenizi sağlar.

Kablosuz ağlarda Wireshark gibi sniffer araçları kullanırken Promiscious mod seçili ise bazen hiç paket yakalayamazsınız. Bu kullandığınız kablosuz ağ adaptörünün ya da sürücüsünün promiscious mod desteklemediğini gösterir.

Yaygın Kablosuz Ağ Yöntemleri

 

Kablosuz ağlar temelde iki modda çalışır: bunlardan biri Ad-hoc diğeri de Infrastructure mod olarak adlandırılmıştır. Genellikle, kablosuz ağı kullanım amacımıza göre bu iki mod’dan birini seçme durumunda kalırız.

Ad-hoc Mode:  Bilgisayardan bilgisayara bağlantı Yöntemi:

 

Ad-hoc mod, iki kablosuz ağ cihazının arada başka bir birleştiriciye(AP) ihtiyaç duymadan haberleşebildiği durumdur. Teknik olarak Independed Basic service set olarak da bilinir(IBSS). Ad-hoc bağlantıları genellikle evde kişisel işlerimiz için kullanırız.  Mesela, bir evde iki bilgisayar ve birinin internet bağlantısı var, diğer bilgisayarı da internete çıkarmak istersek önümüze iki seçenek çıkıyor: ya iki bilgisayar arasında bir kablo çekerek iki bilgisayarı direk birbirine bağlayacağız ya da bir hub/switch alarak iki bilgisayarı bu aracı cihazlar ile konuşturacağız.

Oysa bunlardan başka bir seçeneğimiz daha var -tabi eğer her iki bilgisayarda kablosuz ağ adaptörü varsa-. Bu iki cihazın kablosuz ağ adaptörlerini Ad-hoc modda çalışacak şekilde ayarlarsak ve internete çıkan bilgisayarda bağlantı paylaşımı yaparsak iki makinede özgür bir şekilde interneti kullanabilecektir.

clip_image002

Burada makinelerin Linux, Windows ya da Mac. olması fark etmez. Tanımlanan değerler standartlara uygun olduğu müddetçe her işlemi kolaylıkla yapabiliriz.

Piyasada 20–30 $ dolara bulabileceğiniz USB kablosuz ağ adaptörleri ile ya da kullandığınız dizüstü bilgisayarın kendi sistemi ile kolaylıkla Ad-hoc mod kablosuz ağ kurulabilir.

Kısaca Ad-hoc mod için herhangi bir AP'e gerek duymadan kablosuz ağ cihazlarının birbirleri arasında haberleşmesidir diyebiliriz.

Infrastructure mode: Erişim noktası bağlantı yöntemi

clip_image004

Infrastructure mode ortamdaki kablosuz ağ cihazlarının haberleşmesi için arada AP gibi bir cihaza ihtiyaç duyulmasıdır. Ad-hoc moda göre biraz daha karmaşıktır ve özel olarak ayarlamadıysak işletim sistemimiz bu modu kullanacak şekilde yapılandırılmıştır. Teknik olarakBasic Service Set” olarak  da bilinir(BSS). Infrastructure modda kablosuz ağ istemcileri birbirleri ile direkt konuştuklarını düşünürler fakat tüm paketler AP aracılığı ile iletilir. Burada ağa dahil olmayan herhangi bir kablosuz ağ cihazının tüm trafiği izleme riski vardır. Bu sebeple Infrastructure mod kullanırken genellikle iletişim şifrelenir. Şifreleme amaçlı olarak WEP ya da WPA gibi protokoller kullanılır. Şifreli iletişimde aradaki trafik izlense bile anlaşılmaz olacaktır.

Kablosuz Ağlarda Güvenlik Önlemleri

 

Kablosuz ağlardaki en temel güvenlik problemi verilerin havada uçuşmasıdır. Normal kablolu ağlarda switch kullanarak güvenliğimizi fiziksel sağlayabiliyorduk ve switch’e fiziksel olarak bağlı olmayan makinelerden korunmuş oluyorduk. Oysaki kablosuz ağlarda tüm iletişim hava üzerinden kuruluyor ve veriler gelişigüzel ortalıkta dolaşıyor.

Kablosuz ağlarda güvenlik sağlama amaçlı alınacak temel Önlemler

 

Erişim noktası Öntanımlı Ayarlarının Değiştirilmesi

Kablosuz ağlardaki en büyük risklerden birisi alınan erişim noktası cihazına ait öntanımlı ayarların değiştirilmemesidir. Öntanımlı ayarlar erişim noktası ismi, erişim noktası yönetim konsolunun herkese açık olması,  yönetim arabirimine girişte kullanılan parola ve şifreli ağlarda ağın şifresidir. Yapılan araştırmalarda kullanıcıların çoğunun bu ayarları değiştirmediği görülmüştür.

Kablosuz ağların güvenliğine dair yapılması gereken en temel iş öntanımlı ayarların değiştirilmesi olacaktır.

Erisim Noktası İsmini görünmez kılma: SSID Saklama

Kablosuz ağlarda erişim noktasının adını(SSID) saklamak alınabilecek ilk temel güvenlik önlemlerinden biridir. Erişim noktaları ortamdaki kablosuz cihazların kendisini bulabilmesi için devamlı anons ederler. Teknik olarak bu anonslara “beacon frame” denir. Güvenlik önlemi olarak bu anonsları yaptırmayabiliriz ve sadece erişim noktasının adını bilen cihazlar kablosuz ağa dâhil olabilir. Böylece Windows, Linux da dâhil olmak üzere birçok işletim sistemi etraftaki kablosuz ağ cihazlarını ararken bizim cihazımızı göremeyecektir. 

SSID saklama her ne kadar bir önlem olsa da teknik kapasitesi belli bir düzeyin üzerindeki insanlar tarafından rahatlıklar öğrenilebilir. Erişim noktasının WEP ya da WPA protokollerini  kullanması durumunda bile  SSID’lerini şifrelenmeden gönderildiğini düşünürsek ortamdaki kötü niyetli birinin özel araçlar kullanarak bizim erişim noktamızın adını  her durumda öğrenebilmesi mümkündür.

 Erişim Kontrolü

Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarını bilen herkes kablosuz ağa dâhil olabilir. Kullanıcılarınızdan birinin WEP anahtarını birine vermesi/çaldırması sonucunda WEP kullanarak güvence altına aldığımız kablosuz ağımızda güvenlikten eser kalmayacaktır. Zira herkeste aynı anahtar olduğu için kimin ağa dâhil olacağını bilemeyiz. Dolayısı ile bu tip ağlarda 802.1x kullanmadan tam manası ile bir güvenlik sağlanamayacaktır.

MAC tabanlı erişim kontrolü

Piyasada yaygın kullanılan erisim noktası(AP) cihazlarında güvenlik amaçlı konulmuş bir özellik de MAC adresine göre ağa dâhil olmadır. Burada yapılan kablosuz ağa dâhil olmasını istediğimiz cihazların MAC adreslerinin belirlenerek erişim noktasına bildirilmesidir. Böylece tanımlanmamış MAC adresine sahip cihazlar kablosuz ağımıza bağlanamayacaktır. Yine kablosuz ağların doğal çalışma yapısında verilerin havada uçuştuğunu göz önüne alırsak ağa bağlı cihazların MAC adresleri  -ağ şifreli dahi olsa-  havadan geçecektir, burnu kuvvetli koku alan bir hacker bu paketleri yakalayarak izin verilmiş MAC adreslerini alabilir ve kendi MAC adresini kokladığı MAC adresi ile değiştirebilir.

Linux altında MAC adresi değiştirmek bize bir komut kadar uzaktadır.

# ifconfig eth1 hw ether 00:10:09:AA.54:09:56

Ya da mac-changer ile MAC adresi değişimi yapılabilir.

Şifreleme Kullanma

Kablosuz ağlarda trafiğin başkaları tarafından izlenmemesi için alınması gereken teme önlemlerden biri de trafiği şifrelemektir. Kablosuz ağlarda şifreleme WEP(wired equivalent privacy) ve WPA(Wi-Fi Protected Access) olarak adlandırılan iki protokol üzerinden yapılır. Her iki protokol de ek güvenlik önlemleri alınmazsa günümüzde güvenilir kabul edilmez. Internette yapılacak kısa bir arama ile Linux altında uygun bir kablosuz ağ adaptörü kullanılarak tek komutla WEP korumalı ağlara nasıl sızıldığı izlenebilir. Bugüne kadar WEP kullananlara hep WPA’ya geçmeleri ve uzun karmaşık parola seçmeleri önerilirdi. Zira WPA, WEP’in zayıf kaldığı noktaları güçlendirmek için yazılmış bir protokoldü . Fakat 2008’in son aylarında iki üniversite öğrencisinin yaptığı çalışma pratikte WPA’nın ~15 dakika da kırılabileceğini ispat etmiş oldu. Aslında çalışma WPA’da değil WPA’nın kullandığı TKIP(emporal Key Integrity Protocol) bileşenindeki açıklıktan kaynaklanıyordu. Dolayısı ile WPA ve AES şifreleme kullanarak gerçek manada güvenlik elde etmek mümkün.

Sonuç olarak;

        Erişim noktalarının öntanımlı ayarları mutlaka değiştirilmeli

        Şifreleme olmadan güvenlik olmaz

        AP ile İstemci arasındaki MAC adresleri her durumda açık bir şekilde gider

        MAC adreslerini değiştirmek oldukça kolay

        WEP/WPA ile korunmuş ağlar ek güvenlik önlemleri alınmazsa güvenli değildir.

Katmanlı güvenlik anlayışı gereğince yukarıda anlatılan yöntemlerin uygulanması güvenliğinizi bir adım daha arttıracaktır.

Kablosuz Ağlarda Keşif

 

Kablosuz ağlarda keşif yakın çevrede bulunan erişim noktalarının tespitidir. İşi abartıp WLAN araçlarını arabalarına alarak ya da yaya olarak yol boyunca etrafta bulunan kablosuz ağları keşfetmeye yönelik çalışmalara Wardriving, erişim noktalarının özelliklerine göre(şifreleme desteği var mı? Hangi kanalda çalışıyor vs) bulundukları yerlere çeşitli işaretlerin çizilmesine ise WarChalking deniyor.

War driving için çeşitli programlar kullanılabilir fakat bunlardan en önemlileri ve iş yapar durumda olanları Windows sistemler için Netstumbler , Linux sistemler için Kismet’dir. Kismet aynı zamanda Windows işletim sisteminde monitor mode destekleyen kablosuz ağ arabirimleri ile de çalışabilmektedir.

Kablosuz ağlarda keşif, Pasif ve aktif olmak üzere ikiye ayrılır. Adından da anlaşılacağı gibi aktif keşiflerde keşif yapan kendisini belirtir ve aktif cihazları aradığını anons eder. Pasif keşif türünde ise tam tersi bir durum söz konusudur. Pasif keşif gerçekleştiren cihaz kesinlikle ortama herhangi birşey anons etmez, sadece ortamdaki anonsları dinleyerek aktif ama gizli cihazları belirlemeye çalışır.

Aktif keşif araçlarına en iyi örnek NetStumbler verilebilir. Ücretsiz olarak kullanılabilen Netstumbler çalıştırıldığında kapsama alanında anons yapan tüm aktif cihazları bularak bunları raporlar.

Netstumblerin çalışması ya da bir erişim noktasını keşfetmesi için erişim noktasının kendisini anons etmesi lazımdır.  Yani basit güvenlik önlemi olarak aldığımız SSID saklama işlemi Netstumbler’i şaşırtacaktır.

Pasif keşif aracı olarak kullanılabilen Kısmet ise Netstumbler’a göre oldukça fazla özellik içerir ve kötü niyetli birinin elinde tam donanımlı gizli bir silaha dönüşebilir.

Kısmet, kablosuz ağ adaptörlerine özel bir modda çalıştırarak(monitor mode) etrafta olan biteni izler ve kaydeder. Böylece bulunduğu ortamdaki tüm trafiği görerek aktif, pasif erişim noktası cihazlarını tüm özellikleri ile birlikte belirler. Sadece erişim noktası cihazlarını belirlemekle kalmaz, bu cihazlara bağlı tüm istemci cihazları ve özeliklerini de belirleyebilir daha da ötesinde şifreleme kullanılmıyorsa tüm trafiği dinler.  Yeteri kadar korkutucu değil mi?  Şirket ağınızda kullandığınız makinelerin IP bilgileri vs yabancı ellere gitmesini ister miydiniz?

Kablosuz Ağları Dinleme

 

Kablosuz ağlarda veriler havada uçuştuğu için dinleme yapmak kablolu ağlara göre daha kolaydır. Amaca uygun kullanılan bir dinleme aracı ile bir kablosuz ağdaki trafik ağa dahil olmadan rahatlıkla izlenebilir. Linux sistemlerde kablosuz ağ trafiği dinlemek için Kısmet adlı program tercih edilir.

Kısmet, monitoring (rfmon) mod destekleyen kablosuz ağ arabirimleri için düşünülmüş 802.11b, 802.11a ve 802.11g protokolleri  ile uyumlu  kablosuz ağlarda pasif dinleme yapmaya yarayan bir araçtır. Aynı zamanda kablosuz ağlar için pasif keşif aracı olarak ve basit manada saldırı tespit sistemi olarak da kullanılabilir.

Kısmet ile dinleme yapılırken etraftaki erişim noktaları ya da istemciler rahatsız edilmez. Tamamen pasif modda bir dinleme yapıldığı için kablosuz ağları korumaya yönelik bazı saldırı tespit sistemleri kolaylıkla aldatılabilir.  Özellikle şifresiz bir iletişim yöntemi tercih edilmişse Kısmet bu noktada kablosuz ağdaki tüm her şeyi görebilir.

Kısmet ve ek bir iki araç kullanılarak MAC adres tabanlı güvenlik önlemi alınmış kablosuz ağlara kolaylıkla giriş yapılabilir.

clip_image006

Kısmet aynı zamanda kablosuz ağlarda izinsiz giriş tespiti içinde kullanılabilir. Ağa erişim izni olmayıp da giriş deneyiminde bulunan kullanıcılar Kısmet tarafından rahatlıkla belirlenerek raporlanacaktır.

Halka Açık Kablosuz Ağlardaki Tehlikeler

 

Kablosuz ağların belki de en işe yarar olduğu durumlar halka açık olanlarıdır. Hemen hemen tüm büyük alışveriş merkezlerinde, lokanta ve kafelerde bu tip ağlara rastlayabiliriz. Bazıları erişim için kullanıcı adı / parola istese de yukarıda anlattığım yöntemler kullanılarak bu tip ağlar rahatlıkla kandırılabilir. Gelelim bu tip ağlardaki risklere; 

Öncelikle aynı erişim noktasına bağlı tüm istemcilerin trafiği şifrelenmemiş bir şekilde havada dolaşacaktır. Bunun içinde MSN görüşmeleriniz, e-postalarınız ve ziyaret ettiğiniz siteler de dahil. Ortama dâhil olan birisi basit MITM atakları ile tüm trafiği üzerinden geçirip içeriğini inceleyebilir, ötesinde değiştirebilir.

Başka kimlikte biraz daha paranoyak bir saldırgan gelip ağa dahil olmadan yine tüm trafiği monitor modda izleyebilir hatta eğer bu ortamda Hotmail, Yahoo, Gmail ya da https kullanan sistemlerinize erişiyorsanız saldırgan da  kişisel giriş parolanızı bilmeden ilgili sitelerin size gönderdiği cookieleri çalarak  aynı sistemlere erişebilir.

Diğer bir tehlike de saldırganın trafik izleme için zahmete girmeden ortamda bulunan erişim noktalarından birinin ismini taklit ederek sahte erişim noktası oluşturmasıdır. Böylece bazı kullanıcılar aslıyla ayni isme sahip belki daha iyi çeken sahte erişim noktasına bağlanacak ve buradan işlemlerini yapacaktır. Bu da bir saldırgan için ağına bağlanan tüm istemciler üzerinde mutlak hâkimiyet kurması manasına gelir.

Kısacası halka açık kablosuz ağlarda internet kullanmak buzda dansa benzer. Dolayısı ile dikkatli olmak ve güvenli sörf için uygun araçlar kullanmak gerekir. Bu tip ağlarda internete girmeniz gerekiyorsa ya VPN üzerinden ya da TOR benzeri şifreli iletişim sağlayan networkler üzerinden girmeniz trafiğinizin başkaları tarafından izlenmesini önleyecektir.

Kablosuz Ağ Güvenlik Testleri için Ortam oluşturma

 

Kablosuz Ağlarda güvenlik konusu pratiği zor olan bir konudur. Bunun temelde iki sebebi vardır. Birincisi kablosuz ağ adaptörleri sürücü eksikliğinden genelde Windows altında test yapacak fonksiyonlara sahip değildir. Bu gibi testler için Linux kullanılması çok daha pratik olacaktır.  Diğer bir konu da başkalarının kablosuz ağları üzerinden yapılacak testler etik olmayacağı için kendi kablosuz ağ ortamınızda çalışmalar yapmanız gerektiğidir.  Eğer kullanılan Erişim Noktası(Access Point) paylaşımlı ise yapacağınız testlerden diğer kullanıcılar etkilenecektir.

Bu durumda son çare olarak yeni bir donanım almak kalıyor. Diğer bir yöntem de bir adet USB üzerinden çalışan kablosuz ağ adaptorü alıp Vmware içerisinden bu adaptörü kullanmaktır. Böylece hem mobil bir AP’e sahip olacaksanız hem de kablosuz ağlarda güvenlik testi yaparken Windows’un kısıtlayıcı özelliklerine takılmadan Linux üzerinden istediğiniz işlemleri yapabileceksiniz. Böylece istediğinizde sanal bir AP’ye istediğinizde de Linux altında test yapmak için kullanabileceğiniz kablosuz bir ağ adaptörüne ulaşmış olacaksınız.

Vmware ile Kablosuz Ağ adaptörlerini Kullanma

 

Gerçek işletim sisteminizde kullandığınız wireless kartları Vmware altında da ayni özelliklerde kullanmak ne yazık ki mümkün olmuyor.  Vmware’den arabirim modunu bridge, nat yapılarak wifi kartınızın yararlandığı baglantı Vmware makineye sağlanabilir. Fakat bu vmware üzerinde wireless bir kart olarak algılanmaz. Sıradan bir ethernet karti gibi Vmware’in kendi sürücülerini kullanarak işlem yapılır.

clip_image008

  Bu durumda  Wireless ağlara bağlanıp analiz yapma imkânımız yok. USB bir wifi kartı alıp bunu Vmware’e tanıtarak kullanacaksınız. (Gerçek sisteminizin Windows, Vmware’deki sisteminiz Linux ise ) USB wireless kartınızı Vmware altında gerçek özellikleri kullanabilmek için  Vmware surumu 6.x, Vmware player kullanıyorsanız güncel sürümü olmalı. Bundan sonrası Vmware’in menülerinden usb cihazi Vmware’e wireless kart olarak tanıtmak ve sürücünün sağladığı wireless özelliklerini kullanmaya kalıyor.

Not: Vmware’in kullanacağı usb wireless kartı gerçek işletim sisteminin tanıması gerekmez.

Vmware’de usb wireless kartını aktif etme

 

clip_image010

Türkiye’de Kablosuz Ağ Kullanımı Ve Güvenlik Araştırması

 

Yaklaşık bir ay önce Türkiye’de kablosuz ağların güvenlik açısından durumunu incelemek için bir çalışma başlattık. Bu çalışma kablosuz ağ kullanımında kullanıcıların güvenlik açısından ne durumda olduğunu belirlemek. Çıkan sonuçlar net durumu tam olarak yansıtmasa da Türkiye’deki kablosuz ağ kullanıcılarının ortalama durumunu gösterir nitelikte.

Çalışmanın şifreli ağ kullanımı ile ilgili sonuçları:

clip_image012

Yorumlar

 

Hakan UZUNER

Eline sağlık hocam

Eylül 26, 2009 02:27
 

seven7

teşekkürler.elinize sağlık hocam

Eylül 26, 2009 08:47
 

Serhat AKINCI

Teşekkürler

Eylül 26, 2009 10:07
 

Savas Demir

Elinize sağlık.Güzel ve öğretici bir makale.

Eylül 26, 2009 11:03
 

Ugur DEMIR

Elinize sağlık Hocam.Sizin yazılarının burada görmek çok güzel.Daha çok yazılarınızı okumak ümidiyle.

Eylül 26, 2009 11:30
 

Anonymous

Huzeyfe hocam elinize sağlık. Sizi buralarda görmek çok güzel. Değerli katılımlarınızın devamı dileği ile.

Eylül 26, 2009 12:48
 

Hüseyin ERTUGRUL

Huzeyfe bey değerli makalelerinizle çözümparkta sizi görmek sevindirici, yazılarınızın devamını bekliyoruz..

Eylül 26, 2009 16:15
 

Aykut Sinan ES

Teşekkürler.

Eylül 27, 2009 20:07
 

burakderin

Tesekkurler hocam

Eylül 28, 2009 06:38
 

mustafatotan

teşekürler.hocam

Eylül 28, 2009 10:03
 

ferdisakiroglu

Çok yararlı bir makale olmuş hocam.Emeğinize sağlık..

Eylül 28, 2009 11:17
 

Tuncay Güven

teşekkürler

Eylül 28, 2009 15:39
 

Nurullah Çelik

teşekkürler

Ekim 2, 2009 22:13
 

Mustafa KASIKCI

Teşekkürler hocam, Elinize sağlık

Ekim 7, 2009 09:25
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Huzeyfe ONAL

Bilgisayar mühendisliği eğitiminin ardından 2002 yılından itibaren çeşitli firmalarda UNIX sistem yöneticisi, Ağ güvenliği yöneticisi,yolda Bilgi güvenliği denetim uzmanı, adli bilişim analiz uzmanı olarak görev alan Huzeyfe ÖNAL halihazırda bir GSM firmasında penetrasyon testleri ve alternatif ağ güvenliği çözümleri üzerine çalışmaktadır.
http://www.lifeoverip.net adresinden çeşitli güvenlik konuları üzerine güncel yazılarına ulaşılabilir.

Bu Kategori

Hızlı aktarma

Etiketler