Kablosuz Ağlarda Güvenlik

Son yıllarda evlerimize giren kablosuz (wireless) networkler, hayatımızı kolaylaştırmakla birlikte birtakım güvenlik risklerini de beraberinde getirdi. Çünkü data OSI fiziksel katmanı ethernet üzerinden değil yeni bir fiziksel katman olan Wi-Fi ile omnidirectional (360 derece küre şeklinde) olarak havaya yayılıyor. (OSI katmanlarını başka bir yazıda detaylı incelemeyi düşünüyorum)

Bu da tıpkı telsiz görüşmeleri gibi, bilginin, kötü niyetli insanlar tarafından yakalanıp görülebilmesini mümkün kılıyor. Kablolu networklerde sniffing (networkdeki paketleri yakalayarak içeriğini görmek) ancak o network’e bir bilgisayar ile ağa dahil olmak suretiyle mümkün olurken, kablosuz erişimde kendi evinden otururken sniffing yapmak mümkün oluyor. Bu da gönderdiğiniz bir e-mail’in ya da MSN görüşmelerinizin, daha da kötüsü şifrelerinizin ve e-ticaret işlemlerinizin kötü amaçlı insanlar tarafından yakalanarak okunabilmesi anlamına geliyor.

Bu gibi riskleri bertaraf etmek için kablosuz ağlarda güvenlik konusunu işleyeceğiz. Aslında yapmanız gereken işlemler basit fakat ciddi manada güvenliği arttırıyor. Bu konuyu madde madde ele alalım.

1 – Varsayılan olarak gelen yönetici adınızı ve şifrenizi mutlaka değiştirin.

Kablosuz erişim noktası ya da Kablosuz ADSL modem satın aldınız. Gerekli bağlantıları yaptıktan sonra AP (access point – erişim noktası) ve ADSL modem’ini yapılandırmanız gerekiyor. Bu yapılandırma işlemi aslında basit bir kaç ayardan ibâret. Fakat tüm işlemlerden önce yapmanız gereken önemli bir güvenlik ayarı var: O da AP ya da ADSL modeminizin fabrika ayarı olarak gelen yönetici parolası ve ismi. Eğer bu parolayı değiştirmeden olduğu gibi bırakırsanız, bütün cihazların varsayılan ayarları hemen hemen aynı olduğu için, herkes tahmin yoluyla cihazınızın yönetici paneline girebilir ve tüm yapılandırmanızı bozabilirler. Mesela çoğu cihazın yönetici adı admin şifresi de ya boştur yani direkt “enter”layarak girebilirsiniz ya da şifresi de admin dir.

Varın siz düşünün güvenliği. Acilen değiştirin!

2 – Wireless şifreleme algoritmaları kullanın.

Satın aldığımız yeni cihazlar artık tüm şifreleme algoritmalarını destekliyor. Elbette hepsini destekliyor diye gidip eski bir kriptolama metodunu kullanmayacağız. Kullancağımız protokol WPA2 TKIP olmalıdır. (TKIP-Temporary Key Integrity Protocol demektir)

Peki neden bahsediyoruz biraz açıklayalım. WEP dediğimiz eski kriptolama metodu gönderdiğimiz bilgileri bizim belirlediğimiz bir anahtarla şifreliyordu.

Mesela şifremiz otobüs olsun. Gönderdiğimiz bilgi de “kablosuz ağlarda güvenlik” olsun. Bizim bilgimiz şifrelendiğinde ortaya şöyle bir şey çıkıyordu:

Kab-o-lo-to-suz-büs ağ-o-lar-to-da-büs gü-o-ven-to-lik-büs.

Sizin de çözdüğünüz gibi her hecenin arasına otobüs kelimesinin hecelerini birer birer serpiştirdim. Elbette bu oldukça basit bir örnek. Gerçek hayatta WEP belirlenen şifreyle kelimeyi direkt irtibata sokmaz. Daha karmaşık bir algoritması vardır. Sadece mantığı anlamamız açısından bu örneği verdim. WEP algoritmasındaki bir anahtar oluşturup bu anahtarı sadece ağa dahil olmasını istediğimiz kişilere verme mantığı kısa zamanda çöktü. Çünkü yukarıdaki örneğe benzer arka arkaya 20 cümle kursanız insanlar sizin bir şifreleyle konuştuğunuzu anlarlar, hatta kolaylıkla böyle basit bir şifreyi de çözerler. Wireless hacker’ları havaya yolladığınız bilgileri capture ederek (yakalayarak) belli bir algoritmayla kriptolanmış veriyi bilgisayarlarına indirdiler. Veriyi basit bilgisayar programlarıyla peşpeşe dizip algoritmayı kısa sürede çözer duruma geldiler. Bunun üzerine Wireless Alliance ( kablosuz ağların kural koyucusu 🙂 ), WPA şifreleme algoritmasını geliştirdi.

WPA (Wi-Fi Protected Access) yukarıda bahsettiğim TKIP protokolüyle erişim esnasında belirli geçici anahtarlar üretiyor. Ağa dahil olan makineler de belli bir zaman diliminde değişen bu anahtarı bilgisayarlarına kaydediyorlar. Yani yöneticinin yaptığı ayarlara göre şifreleme anahtarı sürekli değişiyor. WPA-2 ise kullanılan WPA algoritmasının geliştirilmiş hali.

Yani kablosuz ağ kuracaksak kesinlikle WPA-2 TKIP protokolünü kullanarak veriyi şifreliyoruz.

3 – Varsayılan SSID nizi değiştirin.

Üreticilerin varsayılan SSID’si genelde kendi isimleridir. Mesela Airties marka bir erişim noktasının SSID si airties, Linksys markasının da linksys olarak gözükür. SSID demek dizüstü bilgisayarınızda ‘wireless’ düğmesine bastığınızda listede gördüğünüz kablosuz ağların adıdır. Yani diğer kullanıcılar tarama yaptıklarında buldukları ağ isimleri SSID’leri ifade eder.

Bu çözüm başlı başına güvenlik sağlamaz, fakat dördüncü madde ile birlikte kullanılğında kesinlikle başarılı bir çözümdür.

4 – SSID broadcast’ini engelleyin.

Efendim ne demeye çalıştığımızı biraz açıklayalım. Şimdi evinize bir kablosuz ağ kurdunuz ve adına ‘homenetwork’ dediniz. Sonra internetin çok yavaşladığını farkettiniz. Modeminizin arabirimini açtığınızda, sizden başka insanların da ağınıza bağlandığını gördünüz. Bunun sebebi ağ isminizin, yani SSID nizin broadcast’le yayınlanmasıdır. Bilgisayarında ‘Wireless’ düğmesine basan insanlar sizin ağınızı listede görüyor ve hele bir de şifresizse, bedavadan kullanıyorlar. Bunun önüne geçmek için ağınızın SSID isim yayını yapmasını, yani broadcast’i kapatıyoruz. Böylece her tarama yapan kişi değil, sadece ağınızın adını bilen arkadaşlarınız sisteme girebileceklerdir. Zaten bir önceki maddede bahsettiğim varsayılan SSID’yi değiştirmenizin gerekliliği böylece ortaya çıkıyor.

Sonuç olarak ağımızın ismini değiştireceğiz ve isim yayını yapmasını engelleyeceğiz.

5 – MAC filtrelemesi uygulayın.

Günümüz networklerinin ve internetin temel protokolü TCP/IP’dir. TCP verinin taşınma prosedürünü, IP ise adresleme protokolünü ifade eder. Ethernet ortamında her network cihazının bir IP’si olmak zorundadır. İnsanlar cihazlara adres verirler ve bunu akıllarında tutarlar. Fakat makine ortamında asıl haberleşme iki IP’nin birbiriyle haberleşmesinden sonra MAC adresleri vasıtasıyla yapılır. Yani her cihazın bir benzersiz (unique) MAC adresi vardır. Kendi bilgisayarınızın veya bağlanmasını istediğiniz diğer bilgisayarların MAC adreslerini öğrenip kablosuz erişim noktanıza bildirirsiniz. Bunun dışındaki tüm MAC adresleri için erişimi engelle seçeneğini işaretlerseniz, sizden başkası giremez. Bununla birlikte insanların sizin MAC adresinizi öğrenmesi hiç de zor değildir. Bu yüzden MAC filtering işlemi tek başına bir çözüm değildir. Fakat yine de güvenlikte önemli bir basamaktır. Kendi MAC adresinizi öğrenmek için başlat > çalıştır > cmd yazın. Komut satırına ipconfig /all yazın. Çıkan sonuçtaki fiziksel adres sizin MAC adresinizdir.

6 – Statik IP atayın.

Network’ünüzü kullanacak cihazlara statik IP verirseniz, yani her cihazın IP adresini manuel olarak elle yapılandırırsanız, güvenlikte bir basamak daha ilerlemiş olacaksınız. DHCP servisi, yani otomatik IP dağıtan servis, kablosuz ağınıza tarama yapıp erişmek isteyen kişilere de otomatik IP dağıtır. Tabi önceki basamakta belirtilen MAC filtreleme uygulaması yapmak bu durumun istisnasıdır. Eğer kablosuz ağınızda genelde sabit makineleriniz varsa ve ağınıza sürekli yeni makineler ilave etmiyor ya da çıkarmıyorsanız DHCP servisini devre dışı bırakın. Bilgisayarlarınızın IP atamasını elinizle ayarlayın.

Tüm bu ayarlardan birkaçını birden uyguladığınızda kablosuz ağınız gerçek güvenlik standartlarına ulaşacak. Benim tavsiyem yukarıdaki ayarlardan tümünü uygulamanız. Tabi ki bazı ayarları uygulamak ihtiyaca göre değişebilir. Mesela kamuya açık bir alanda SSID broadcast’ini engellemek ağınıza dahil olmaya çalışanlara zor anlar yaşatacaktır.

Sözün özü, kablosuz ağlar doğru ayarlar uygulandığında tahmin edildiğinden daha güvenlidir.