Kablosuz aglar ve kablosuz ag Güvenligi
IEEE Standartları ve Kablosuz Ağlar:Kablosuz ağlara girmeden önce IEEE nin kablosuz ağlar hakkındaki standartalrını anlamak çok önemlidir
IEEE (The Institute of Electrical and Electronics Engineers) 802
X adı altında; Yerel ağlar (LAN – Local Area Networks), Metropol ağlar (MAN – Metropolitan Area Networks) ve BlueTooth gibi Kişisel ağlar (PAN – Personel Area Networks) için standartlar çıkartmıştır
IEEE nin 802 si, OSI’nin son 2 katmanı olan Ortam Ulaşım Kontrol (MAC – Media Access Control) veya Bağlantı Katmanı (Link Layer) ve Fiziksel Katman (Physical Layer) daki süreç standartlarını ve işlemleri sınırlandırmıştır
IEEE 802 LAN/MAN/PAN standartları komitesi kendi içinde 802
1 den 802
17 ye kadar çalışma gruplarına ayrılmıştır
Böyle ufak çalışma gruplarına ayrılmalarının yararı, her grubun kendi farklı konularını ve geliştirme standartlarını sağlamalarıdır
Bu tanım içindeki en önemli çalışma grupları şunlardır :
- 802
1 – Güvenlik ve diğer konular
- 802
2 – Mantıksal Bağlantı Kontrolleri (LLC – Logical Link Control)
- 802
11 – WLAN’lar için standartlar üretmek (Kablosuz lokal ağlar)
- 802
15 – WPAN’lar için standartlar üretmek (Kablosuz kişisel ağlar)
802
1 ve 802
2, kablosuz lokal ağlar için uygulanmaktadır
Her çalışma grubu kendi içinde görev gruplarına ayrılmışlardır
Bu görev grupları çeşitli ihtiyaçların sağlanması ve standartların geliştirilmesi üzerine çalışmaktadır
Kablosuz ağlar kurmak için şu anda kullanılan ana standart IEEE 802
11 dir
IEEE 802
11 ilk olarak 1999 da yayınlanmıştır ve 2
4 Ghz de 2Mbps (DSL bağlantı gibi) hızında veri iletişimi için tasarlanmıştır
Ayrıca Frequency Hopping Spread Spectrum (FHSS) veya Direct Sequence Spread Spectrum (DSSS) kullanılmak üzere tasarlanmıştır
DSSS in anlamı; belirlenmiş menzil içinde herhangi bir zamanda kullanılmak üzere, verinin uygun değişik frekanslarda küçük paketler halinde yollanılmasıdır
FHSS de ise; veri, değişik frekanslarda kısa ama iri paketler şeklinde tekrarlanan bir biçimde yollanır
FHSS ağlar, diğerleri ile karışmayan aynı fiziksel alanlar için vardır
Bugün, “a” dan “i” ye kadar sınıflandırılan görev grupları değişik metodlar ve 802
11 standartının geliştirilmesi için çalışmaktadır
WLAN lar için 802
11b standardı gelmektedir(Wi-Fi)
Bu standart DSSS kullanmaktadır ve 2
4 Ghz de, 11Mbps (DSL den yüksek bir hızdır) e kadar veri hızına çıkılmaktadır
Tabii ki bu standart sonsuza dek WLAN lar için tek standart olmayacaktır
Fakat daha yüksek hız, güvenlik ve daha iyi kalite için tercih edilecektir
Aynı evrim kablosuz ağ dünyasından tamamen çıkmakta olan kablolu ağ kartları için de gerçekleşmiştir
Bugünkü kablosuz ağ standart hızı 11 Mbps dir, fakat yakın bir gelecekte daha yüksek hızlara ulaşması mümkündür
Kablosuz ağlarda daha yüksek veri hızlarına çıkmak için 2 seçenek vardır
Birincisi zaten bulunmuş ve geliştirilmiştir
Diğer ise henüz geliştirilme aşamasındadır
(Çevirmen Notu: Yazarın bu yazıyı yazdığı tarih aslında çok eski değil
7 ay kadar önce yazılmış bir yazı
Fakat düzeltilmesi gereken bir nokta var ki; artık aynı görev grubu 802
11a standardı üzerine çalışmakta olup 5Ghz de 54 Mbps hızlara ulaşan WLAN ağ cihazlarını bulabilmek mümkündür)
Kablosuz ağlar için, 802
11b standardı içinde 3 adet daha standart geliştirilmiştir :
802
11a – 802
11a standardı 1999 da yayınlanmış olup, OFDM (Orthogonal Frequency Division Multiplexing) kullanmakta ve 5 Ghz de 54 Mbps hızına çıkabilmektedir
Bu standart ile ilgili problem 5 Ghz lik yayının duvar ve diğer objelerden geçerken daha fazla yol kaybna uğramasıdır
Bu problemi gidermenin yolu, dhaa fazla veri hızı için daha fazla ulaşım noktası(AP – Access Point) kullanılmasıdır
802
11g – 802-11g standardı 2
4 Ghz de (aynı 802
11b Wi-Fi gibi) ve 22 Mbps hızında OFDM kullanmaktadır
802
11a ile karşılaştırıldığında daha az yol kaybı ve daha ucuz olması gösterilebilir
802
11e – Eğer servis kalitesine bakıyorsanız (QoS – Quality of Service) doğru standarttır
802
11e, bugünkü 802
11 standardını geliştirmek ve servis kalitesi arayan uygulamalara desteğini genişletmek üzere çalışmaktadır
Kablosuz ağlar hem ev hemde iş alanları için uygundur
Her ikiside çoklu ortam (Multimedia) desteği istemektedir (özellikle evlerde)
802
11e buna çare bulmaya çalışmaktadır
Hem kablolu hemde kablosuz ağlarda, veri transferi, bağlantının kesilmesi veya paketlerin tekrar yollanmasının sekteye uğraması ile direkt bağlantılıdır (Birçoğumuzun başına bu birkaç kez gelmiştir sanırım)
Bu kesilmeler düzenli veri akışını isteyen durumlarda problem yaratır
802
11e, zamana hassas uygulamaların daha rahat kullanılabilmesi için kaliteli servis temel dokümanını oluşturmaktadır
IEEE nin kablosuz ağlar standartları ile ilgili bu kısa girişten sonra şimdi bu yazının asıl kısmına gelelim: Kablosuz Ağlar
Şu ana kadar kullanılan bazı terimler Kablusuz ağlara ait sözlükten alınmış olup ilerleyen bölümlerde daha detaylı inceleyeceğiz
Kablosuz Ağ
Giriş
Internet teknolojisinin son birkaç yılı şaşırtıcı ve çok uzun adımlarla ilerlemiştir
Sadece birkaç yıl önce 56Kbps modemleri kullanırken şimdi insanlar şirketlerinin sahip olduğu T1 (2 Mbps) bağlantıyı evlerindeki 6 Mbps bağlantı ile karşılaştırıp beğenmiyorlar
Daha önce bilgiye bedava ve hızlı ulaşım bu seviyede değildi
Internet bağlantı hızları geliştikçe ve insanlar megabit lerce dosya indirme hızına ulaştıkça daha fazla bilgiye aç olacaklar gibi gözüküyor
En çok kullanılan ve tercih edilen servis türü DSL (Digital Subscriber Line) olmaktadır
DSL bant genişliği olarak 384 Kbps den 6 Mbps e kadar olup, herkezin sahip olduğu standart telefon hatları üzerinden ulaşım sağlamaktadır
Bu servis çok ucuz olmayıp aylık 50$ ile 300$ arası ücretlere sahiptir ve ISP ekipmanı gerektirmektedir
Sorulan soru şudur: “Bir şirketin yüksek internet hızlarına sahip olması mı yoksa dolaşıma izin veren ağ ekipmanına sahip olması mı?”
Bu sorunun cevabı WLAN dır
WLAN serbest dolaşıma izin veren ağ ekipmanı üretmektedir
Aynı zamanda ucuz ve yüksek bant genişliği servisinide sağlamaktadır
Kablolu bir ağ tasarlamak için ortaya çıkan maliyet ile kablosuz ağ tasarlandığında arada çok fazla bir fark olmadığı görülecektir
İş dünyasında kablosuz bağlantı, daha fazla dolaşılabilirlik ve internete her zaman bağlı kalabilme gibi özellikler getirmektedir
Bugünlerde 4 tip kablosuz ağ vardır
Bunlar ucuz ve yavaş olandan, pahalı ve hızlı olana doğru sıralanırsa:
- BlueTooth
- IrDA
- HomeRF
- WECA (Wi-Fi)
Bu ağ tipleri ilerleyen kısımlarda açıklanacaktır
WECA, kablosuz ağ kartları uyumluluk ittifakı için kullanılmaktadır ve 802
11 ürünlerine sertifika vermektedir
İlk jenerasyon ürünler WECA tarafından sertifikalanmış ve 802
11b temeline göredir
Bütün ürünler Wi-Fi logoso ile damgalanmış olup, Wi-Fi olarak bilinirler
Sonraki jenerasyon ise 802
11a ürünleridir ve bunlar da Wi-Fi5 logosu ile damgalanmışlardır
Kablosuz Bağlantı Topolojisi
Her kablosuz ağ radyo vericisi ve anten gerektirmektedir
Kablosuz ağ bileşenleri istasyonlar (STA – Stations) veya bağlantı noktaları (AP – Access Point) olarak bilinirler
Temel servis seti (BBS – Basic Service Set) biçimlendirilmişken, 2 veya daha fazla istasyon birbirleri ile ve ağ ile iletişim kurarlar
Genişletilmiş servis seti biçimlendirilmişken, BBS ler (herbiri bir AP içerir) birbirine bağlanmıştır
Standart kablosuz ağlar(802
11) şu 2 moddan biri ile çalışırlar :
* ad-hoc (peer-to-peer / makinadan makinaya)
* infrastructure (altyapı)
ad-hoc modu BBS bağımsız olarak tanımlanabilir
Infrastructure modu ise BBS gibidir
ad-hoc modunda, her kullanıcı ağdaki bir diğeri ile direkt iletişim kurar
Bu mod, birbirleri ile iletişim mesafesinde olan kullanıcılar için tasarlanmıştır
Eğer bir kullanıcı bu tanımlanmış mesafeden dışarıya çıkarak iletişim kurmak isterse, arada bir kullanıcı ağ geçidi ve yönlendirici olarak görev yapmak zorundadır
Infrastructure modunda ise, her istasyon bağlantı isteklerini bağlantı merkezi olarak bilinen (AP – Access Point) merkez istasyona yollar
AP ler bildiğimiz kablolu ağ anahtarları gibi çalışır ve iletişimi kablolu veya diğer bir kablosuz ağa yönlendirir
AP ler ve istasyonlar veri iletişimine başlamadan önce iletişim sağlamalıdırlar
Sadece ve sadece iletişim sağlandıktan sonra veri alış verişi başlar
İletişim kurulması 3 durum içerir:
- Doğrulanmamış ve ilişkilendirilmemiş
- Doğrulanmış ve ilişkilendirilmemiş
- Doğrulanmış ve ilişkilendirilmiş
Durumlar arası geçiş, yönetim çerçeveleri (Management Frames) olarak adlandırılan iletişim alış veriş mesajları ile gerçekleşir
AP ler belli aralıklarla işaret yönetim çerçeveleri yollamak üzere tasarlanmışlardır
AP ile iletişim kurmak ve BBS e girebilmek için, istasyon bu işaret yönetim çerçevelerini dinler ve AP in iletişim mesafesinde olup olmadığını anlar
İstasyon bu işaret çerçevesini (mesajını) aldığı zaman hangi BBS e dahil olacağını seçer
Bütün ağ isimlerini ve servis seti tanımlayıcılarını (SSID – Service Set Identifiers) içerir bu işaret çerçeveleri
Fakat Apple Macintosh larda kullanıcı dahil olmak istediği SSID yi kendisi seçmek zorundadır
İstasyon istenen SSID ile iletişimde olduğu AP ye araştırma istek çerçevesini yollar
İstasyon AP yi tanımladıktan sonra birbirlerine kimlik denetimi için birkaç yönetim çerçevesi yollarlar
Halen 2 standart kimlik tanımlama mekanizması varır : Açık anahtar kimlik tanımlaması ve Ortak anahtar kimlik tanımlaması (Open Key Authentication ve the Shared Key Authentication)
Genellikle kablosuz ağlar birinci mekanizmayı kullanırlar ve bu başlangıç değeri olarak tanımlanmıştır (Güvenlikten yoksun kalınmaması için)
Eğer kimlik tanımlaması sorunsuz giderse, istasyon ikinci adıma geçer: Doğrulanmış ve ilişkilendirilmemiş (authenticated and unassociated)
İstasyon ilişkilendirilme istek çerçevesini yollar ve AP buna cevap verir
Eğer herşey yolunda giderse istasyon son ve 3
adıma geçer: Doğrulanmış ve ilişkilendirilmiş (authenticated and associated)
İstasyon artık ağda bir kullanıcıdır ve veri transferine başlayabilir
Kablosuz Ağ Tipleri
BlueTooth
Bluetooth henüz çok fazla yaygın bir kullanıma sahip değil ve bilgisayarlar arasında yüksek hızlı veri transferinde yer alması beklenmiyor
Bu teknoloji hakkında daha geniş bilgiyi şu linkte bulabilirsiniz:
HowStuffWorks "How Bluetooth Works"IrDA
IrDA, kızıl ötesi direkt ulaşım olarak karşımıza çıkıyor ve iletişimde kızılötesi ışın vurumları kullanan cihazlar için standarttır
IrDA aygıtlar kızılötesi ışınlar kulladığından beri diğeri ile iletişim kurabilmek için aralarında direkt bir görüş açısı bulunmak zorundadır
IrDA kullanan kablosuz ağlar veri taransferi için en fazla 4 Mpbs kullanabilmektedir, fakat direkt bir görüş açısı olması gerektiği için her odada bir AP gerektirmektedir
HomeRF
HomeRf ler ortak kablosuz iletişim protokolüne (SWAP – Shared Wireless Access Protocol) göre geliştirilmişlerdir
Temel olarak SWAP aygıtları, saniyede 50 atlama noktası (HPS – hops per second) ve 1 Mbps hızında olup bazen 2 Mbps hızında çalışabilmektedirler
AP, kablo gerektirmezler, 120 aygıta kadar destekleyebilirler (her ne kadar ev kullanıcıları için fazla olsada), veriyi şifreli olarak iletebilirler ve daha birçok özellikleri vardır
Belki hiçbir dezavantajı olmayan bir ağ olarak düşünebilirsiniz, fakat ne yazık ki var
Yukarıda bahsedildiği gibi, veri transfer hızı 1 Mbps dir, menzili ise 23 ile 38 mt arasındadır, hazli hazırda var olan kablolu ağa katmak ise oldukça güçtür ve daha fazlası
Birçok durumda, SWAP tabanlı ağlar ad-hoc modunu kullanırlar, fakat hala bazı üreticiler kablosuz ağların menzillerini arttırmak için AP önerirler
Ev kullanıcıları için kablolu kişisel ağ veya geleneksel ağ kartı ile HomeRF e göre 10 belki 100 kat daha hızlı çalışmak daha iyi olacaktır
Yine de evdeki ağınızda video kullanmayı veya oyun oynamayı düşünmüyorsanız, SWAP hızı sizin için yeterli olacaktır
WECA (Wi-Fi)
Wi-Fi kablosuz ağlar, HomeRF e göre tamamen farklı bir yönde gitmektedir
Wi-Fi ağlar ev kullanıcılarından çok ofis kullanıcılarını hedeflemektedir
Wi-Fi nin IEEE de karşılığı 802
11b dir ve kanlosuz bağlılık (Wireless Fidelity) olarak karşımıza çıkmaktadır
Bu özellik, yüksek veri transfer hızına ulaştığı için DSSS üzerine yoğunlaşmasına sebep olmaktadır
Wi-Fi aygıtlar, eğer mümkünse 11 Mbps hızına ulaşmaktadır
Eğer sinyalde zayıflama veya veri bozulması yaşanırsa aygıt otomatik olarak 5
5 Mbps veya 2 Mbps ve son olarak 1 Mbps hızlarına düşmektedir
Arada sırada bu tür yavaşlamalar ağınızı daha kararlı ve çok güvenilir kılacaktır
Bazı Wi-Fi avantajları:
- Çok hızlı ve 11 Mbps hızına çıkabilmekte
(Çevirmen notu : Daha öncede belirttiğim gibi Wi-Fi5 standartına göre 54 Mbps hızıda mümkün
Bu Wi-Fi teknolojisini daha seçilebilir yapmıyor mu?)
- Kararlı ağ oluşturur
- Yüksek menzile sahip (305 mt açık alanda, 122mt kapalı alanda)
(Çevirmen notu : Kullandığınız cihaza göre bu değişebilmekte
Bu mesafeyi etkileyen diğer etkenler ise kullandığınız antenler ve binanızın yapısal özellikleridir
Mesela çelik bir konstrüksiyon ile beton atasında hatta tuğla bir bina yapısı içinde çalışmak arasında çok fark olacaktır
Fakat genelde gördüğüm mesafeler şu şekildedir : Açık alanda en fazla 30 km
, kapalı alanda ise en az 50mt)
- Bütün DSSS 802
11 aygıtları desteklemektedir
Wi-Fi hala en iyi çözüm gibi gözüksede, onun da dezavantajları var:
- Pahalı (300$ ile 1400$ arası değişmektedir)
(Çevirmen notu : Bu rakamlar amerika rakamları olsa gerek tecrübelerime göre :
En basit bir AP ile sadece bir çalışma grubu (Workgroup) oluşturmak isteseniz size maliyeti 300 ile 700 dolar arası değişiyor
Fakat binalar arası bir sistem kumayı planlıyor iseniz o zaman 3000 dolar civarında olacaktır
Tabii 54 Mbps sistem kurmak daha da maliyetli olacaktır
Bu arada hiçbirinde istasyon için alınacak kablosuz ağ kartını hesaplamadık)
- AP gerektirmektedir
- Kurması zor olabilir
Kablosuz ağların topolojileri hakkında söylenecek çok fazla söz yoktur aslında
2 ana bileşeni vardır; istasyonlar (STA – Stations) ve erişim noktaları (AP – Access Points)
Kablosuz ağlar 2 değişik modda çalışırlar; ad-hoc (peer-to-peer) ve infrastructure
ad-hoc modunda, kullanıcılar ağdaki bir diğer kullanıcı ile direkt olarak iletişimde bulunurlar
Infrastructure modunda ise, her kullanıcı (STA) iletişimi erişim noktası (AP) ile yapar
AP ler kablolu ağlardaki köprü görevi gören ahantarlama ürünleri ile aynı görev ve yapıdadır
Kullanıcı ve erişim noktaları veri transferine başlamadan önce iletişim kurmalıdırlar
Kullanıcı ile erişim noktası arasındaki bu iletişim başlangıcında 3 durum söz konusudur:
1
Doğrulanmamış ve ilişkilendirilmemiş (Unauthenticated and unassociated)
2
Doğrulanmış ve ilişkilendirilmemiş (Authenticated and unassociated)
3
Doğrulanmış ve ilişkilendirilmiş (Authenticated and associated)
Gerçek veri transferi ancak 3
durumda gerçekleşebilir
STA ve AP iletişimde yönetim çerçevelerini kullandıktan sonraki ana kadar
AP ler belli zaman aralıkları ile işaret yönetim çerçeveleri yollarlar
Kullanıcı bu çerçeveyi alır ve kimlik tanımlaması için kimlik tanımlama çerçevesini yollamaya başlar
Başarılı bir şekilde kimlik tanımlaması gerçekleştikten sonra kullanıcı ilişkilendirme çerçevesini yollar ve AP buna yanıt verir
Kablolu Ağlarda Eşdeğer Protokol
Kablolu ağlardaki eşdeğer protocol veya WEP, yazarları tarafından ilk olarak 802
1 standardı olarak tasarlandı
WEP, IPSEC gibi güvenli bir ağ protokolu olma desteği verecek şekilde tasarlanmadı
Fakat eşit seviyede kişisel güvenlik sağlamaktaydı
WEP, radyo dalgaları üzerindeki verilerin şifrelenesini sağlamaktaydı
WEP, kablosuz ağlara izinsiz girişleri engellemek için kullanıldı
WEP normalde başlangıç değeri olarak kullanımda değildir
Eğer kullanıma açılırsa, gönderilen her paket şifreli olarak iletilecektir
WEP protokolü, BBS (Basic Set Service)lerde paylaşılmış olan gizli anahtar mantığına dayalıdır
Bu anahtar veri paketlerini göndermeden önce şifrelemek ve bunların veri bütünlüğünü kontrol etmek için kullanılır
WEP, akış (stream) şifreleme olan RC4 algoritmasını kullanır
Akış şifreleme, kısa anahtardan sonsuz sahte rastgele anahtara (infinite pseudo-random key) genişletilmiştir
WEP Şifreleme Algoritması
- ICV olarak bilinen, Bütünlük algoritması, bütünlük kontrol değerini ürettiği halde şifresiz metin yollanır
CRC-32 nin kullanımına ait özellikler 802
11 standartlarında belirtilmiştir
- Bütünlük kontrol değeri, şifresiz metinin sonuna eklenir
- 24 bit başlangıç durumu vektörü (IV – initialization vector) yaratılır ve gizli anahtar içine sıralanır
Sonra WEP sahte rastgele numara yaratıcısına (PRNG – pseudo-random number generator)kök değer yaratılmak üzere yollanır
- PRNG anahtar sırasını çıkartır
- Veri yaratılan bu anahtar sırası ile XORing tarafından şifrelenir
- IV, şifresiz metnin sonundaki koruma çerçevesini temizler ve yollar
Şifrenin çözülmesindeki karmaşıklık, yukarıdaki algoritmaya bakılarak kolaylıkla görülebilir
IV, gizli ahantarın ömrünü uzatmada kullanılır
WEP 2
IEEE, WEP protocolünü 2001 de değiştirmeyi amaçlıyordu
Birkaç kusurdan sonra orjinal olanı keşfedildi
Yeni uyarlaması, WEP2, IV alanını 24 bit den 128 bit e arttırdı ve Cerberus V desteği sağladı
Sonuçta problemler tekrar başgöstermedi
WEP2 nin bütünü için tamamen bir destek henüz hazırlanmadı
Açık Sistem Kimlik Tanımlaması (Open System Authentication)
Her kablosuz ağ 2 kimlik tanımlama sistemine sahiptir
Açık sistem kimlik tanımlaması ilk olup, 802
11 için başlangıç protokolüdür
Sistem her kimlik tanımlaması isteyene bu kimlik tanımlaması sistemini tavsiye etmektedir
Eğer kullanıma açık ise, belirtilen tecrübelerden dolayı kimlik tanımlama yönetim çerçevelerinin şifresiz metin olarak yollanmasında WEP hiç yararlı değildir
Erişim Kontrol Listesi
Bu güvenlik özelliği 802
11 standardında tanımlanmamıştır
Fakat üreticiler tarafından kullanılarak standart güvenlik önlemlerine ek olarak daha iyi bir güvenlik sağlamaktadır
Erişim Kontrol Listeleri, kullanıcının sahip olduğu kablosuz ağ kartındaki MAC adrelerine göre yapılır
AP ler kullanıcının ağı kullanmasını bu erişim kontrol listelerine göre sınırlandırırlar
Eğer kullanıcının MAC adresi listede varsa ve ağa ulaşım için izin verilmişse erişime izin verilir
Diğer halde erişim engellenecektir
Kapalı Ağ Erişim Kontrolü (Closed Network Access Control)
Bu özellik sistem sorumlusunun ister kapalı ister açık ağda kullanımına izin verir
Açık ağ demek, herkezin ağa girişine izin verilmiş olması demektir
Ağ kapalı iken, sadece SSID si veya ağ ismi bilinen kullanıcılar katılabilir
Ağ ismi paylaşımlı anahtar görevi görecektir
Kablosuz Ağlarda Saldırı
Bir çoğunuz bu bölümü daha ilginç bulacaksınız, çünki bu bölümde kablosuz ağ ile uzlaşabilmek, bant genişliğini çalabilmek ve sadece eğlence amaçlı olan en yaygın saldırı teknikleri anlatılacaktır
Eğer yakınınızda bir kablosuz ağ varsa veya geniş bir kablosuz ağ kullanımı olan bir yerde çalışıyorsanız, açıklanacak olan bu saldırı tiplerinin %98 i başarıyla sonuç verecektir
Saldırganların saldırıda bulundukları kablosuz ağların %95 i tamamen korunmasızdır
Yürürlükteki standarda göre (802
11b) bant genişliği 11 Mbps e kadardır
Eğer saldırılan ağ başlangıç değerlerini kullanıyor ise, saldırgan bütün bant genişliğini kullanabilecektir
Çok inandırıcı bir örneği aşağıdaki linkte bulabilirsiniz:
http://neworderboxsk/newsreadphp?newsid=3899# AP Yanıltma (Spoof) ve MAC Adresi Dinleme (Sniff)
Güçlü kimlik formları kullanıldığında ALC (Erişim Kontrol Listeleri) ler kabul edilebilir bir güvenlik seviyesi sağlamaktadırlar
Ne yazık ki aynı şey MAC adresleri için geçerli değildir
MAC adresleri WEB kullanılabilir durumda iken dahi şifresiz metin olarak saldırgan tarafından kolaylıkla dinlenebilir
Ayrıca, kablosuz ağ kartlarının bir yazılım vasıtası ile MAC adresleri kolaylıkla değiştirilebilir
Saldırgan tüm bu avantajları kullanarak ağa nüfuz edebilmektedir
MAC adresini dinlemek çok kolaydır
Paket yakalama yazılımı kullanarak saldırgan kullanılan bir MAC adresini tespit eder
Eğer kullandığı kablosuz ağ kartını izin veriyorsa MAC adresini bulduğu yeni MAC adresine değiştirebilir ve artık hazırdır
Eğer saldırgan yanında kablosuz ağ ekipmanı bulunduruyorsa ve yakınında bir kablosuz ağ varsa, artık aldatma (spoof) saldırısı yapabilir demektir
Aldatma saldırısı yapabilmek için, saldırgan kendine ait olan AP yi yakınındaki kablosuz ağa göre veya güvenebileceği bir internet çıkışı olduğuna inanan bir kurbana göre ayarlamalıdır
Bu sahte AP nin sinyalleri gerçek AP den daha güçlüdür
Böylece kurban bu sahte AP yi seçecektir
Kurban bir kere iletişime başladıktan sonra, saldırgan onun şifre, ağ erişim ve diğer önemli bütün bilgilerini çalacaktır
Bu saldırının genel amacı aslında şifre yakalamak içindir
WEP Saldırıları
Şifresiz Metin Saldırıları
Bu saldırıda saldırgan şifreli ve şifresiz metinleri ikisinede sahiptir
Ortada olmayan tek şey anahtardır
Anahtarı elde edebilmek için saldırgan hedef sisteme küçük bir veri parçası yollar ve buna karşılık yollanan veriyi yakalar
Bu verinin ele geçirilmiş olması demek IV nin ele geçirilmiş olması demektir
Şimdi saldırgan sözlük kullanarak (brute-force) anahtarı bulacaktır
Başka bir şifresiz metin saldırısı basit bir şekilde XOR kullanarak sistem akış ahantarınının çalınmasdır
Eğer saldırgan şifresiz ve şifreli metne sahipse, şifreli metne XOR kullanarak anahtarı elde edebilir
Saldırgan doğru IV ile akış anahtarını kullanabilir ve paketlere kimlik tanımlaması olmayan kablosuz ağ bilgisi enjekte ederek erişim noktasına yollar
Şifreli Akışın Yeniden Kullanımı (Cipher Stream Reuse)
Bu problem saldırganın WEP paketindeki (şifreli paket) akış anahtarını bulmasını sağlar
WEP şifreleme algoritması başlangıç durumuna getirme vektörünü küçük alanlar halinde bildirir
Bu akış şemasında saldırgan sisteme çeşitli IV paketleri göndererek akış anahtarını yakalar
Saldırgan şifresiz mesaj ile XORing kullanarak şifreli mesajı şifresiz duruma getirir
(Not: saldırı hem şifreli hemde şifresiz metin içermelidir) Sonra, ağdaki kimlik tanımlaması veri trafiği sırasında, saldırgan araya girebilir ve akış anahtarını kullanarak bunu şifresiz metine çevireilir
Fluhrer-Mantin-Shamir Araştırması (Fluhrer-Mantin-Shamir Research)
Bu araştırma projesi Ağustos 2001 de Cisco firmasından Scott Fluhrer, “Computer Science Department of The Weizmann Institute in Israel” den Itsik Mantin ve Adi Shamir tarafından yayınlandı
Proje RC4 deki Anahtar Zamanlama Algoritmasındaki (KSA – Key Scheduling Algorithm) zayıflıklar hakkındadır
Bu grup KSA de 2 zayıflık keşfetmişlerdir
Bu grubun proje sayfalarında açıklanan saldırı tekniği hem WEP (24 bit) hemde WEP2 (128 bit) anahtarlarını kırmaktadır
Adam Stubblefield veya Rice Üniversitesi ve AT&T laboratuvarlarından John Loannidis ve Aviel Rubin bu saldırı tekniğini onayladılar
Saldırı onaylandıktan sonra 2 yeni yazılım kullanıma sunuldu (AirSnort ve WEPCrack)
Bunların kaynak kodu asla yayınlanmadı
Ortadaki Adam Saldırısı (Man-in-the-middle)
Bu kategorideki birçok saldırı ARP zehirlemesine (ARP poisoning) veya önbellek zehirlenmesine (Cache poisoning) dayanmaktadır
Temel olarak, ARP aldatması (ARP Spoofing), IP ve Ethernet protokollerinin kesintiye uğratılması metodudur
Bundan dolayı bu kısım ARP protokolleri veya ARP saldırıları ile alakalı değildir
Bu kısımda kısaca saldırılar ve amaçlarına değineceğiz
Saldırgan, hedef ağdaki AP ile aynı tipteki bir özel sanal ağ sunucusunu birleştirir
Kullanıcı gerçek sunucuya ulaşmak istediğinde, aldatılmış olan sunucu cevap verir, böylece kullanıcı sahte sunucuya bağlanır
Bu tipteki saldırılar bu yazıda anlatılamayacak kadar karmaşıktır
Fakat daha fazla bilgi için
wwwebcvgcom adresinden ARP zehirlenmesi hakkındaki dökümanlara bakabilirsiniz
Kısa-süreli fırsat (Low-Hanging Fruit)
Kablosuz ağlara saldırı yapan saldırganlar kuvvetle muhtemel bu saldırı ile başlayacaklardır
Çünki birçok ağ tamamen korumasızdır ve WEP başlangıç değeri olarak kullanıma açık değildir
Bütün saldırganlar saldırı için kablosuz ağ kartı ve tarama yazılımları gibi (yazının sonunda bu konuda bazı linkler vereceğim) araçlara ihtiyaç duyar
Saldırganlar tarama yaparak bağlantıya açık AP ler bulmayı ve bağlanmayı amaçlarlar
Bunu bedava internet ulaşımı veya bu ağ üzerinden saldırı yapabilmek için yaparlar
Asıl saldırıyı yapacağı ağa başka bir ağ üzerinden saldırması onun yakalanma riskini ortadan kaldırır
Kablosuz Ağları Güvenli Hale Getirme
Kablosuz ağlar çok popüler firmalar tarafından kullanılmaya başlandı, çünki bu tip ağlar kullanıcılarının rahatça binada dolaşarak ağda kalmalarını ve internete çıkmalarını sağlamaktadır
Yeni teknolojiler iyi güvenlik seviyesinde başarısızlardır
Kablosuz iletişim de bunun dışında değildir
Bu bölümde kablosuz ağlarda güvenliği arttırmanın en bilinen yöntemlerini anlatacağım
MAC Adres Filtreleme
Bu metod, AP ile iletişim kurmaya izin verilmiş kullanıcıların kablosuz ağ kartlarının MAC adreslerinin listelenmesi ve kullanılmasıdır
Eğer birkaç AP varsa, bu listeler kullanıcının iletişimde bulunacağı bütün AP lerde tanımlanmalıdır
Sistem sorumluları bu listeleri güncelleme konusunda çok dikkatli olmalıdır
Yine de bu metod bir korunmasızdır (yukarıda anlatıldığı gibi) ve güvenli kablosuz ağlar için yaygın bir şekilde kullanılmaktadır
WEP
Yukarıda anlatılan duruma göre, WEP, AP ile kullanıcı arasındaki iletişim için kesin bir veri şifreleme sağlamaktadır
Fakat WEP mutlaka kullanıma açılmalıdır, çünki saldırgan için daha rahat girilebilecek bir ağ yaratmaya ihtiyacımız yok
Tekrar söylemek gerekirse, bu metod da değişik saldırılar ile geçilebilir
SSID (Ağ Kimliği – Network ID)
Geüvenli kablosuz ağlarda ilk kullanım denemesi Ağ Kimliğidir (SSID)
Kablosuz kullanıcı AP ile iletişim kurma başlangıcında iken SSID gönderilmektedir
SSID 7 digit ve hem rakam hemde harflerden oluşan, hem AP hemde kullanıcı kablosuz ağ kartlarına zor kodlanabilen bir kimliktir
SSID nin kullanımı ise, AP tarafından iletişime izin verilen doğru Ağ Kimliği taşıyan kullanıcılar tarafından gerçekleşir
WEP in kullanıma açılması ile, SSID şifreli bir şekilde yollanır, fakat eğer saldırgan fiziksel olarak aygıta ulaşabiliyorsa, SSID yi bulabilir çünki şifresiz metn olarak saklanmaktadır
SSID saldırgan tarafında bir kere ele geçirilirse, sistem sorumlusu yeni bir SSID yi elle tanımlamak zorundadır
Ateş Duvarları
Ateş Duvarı kullanımı kablosuz ağlarda izinsiz girişleri engellemek için muhtemelen tek güvenlik özelliğidir
Aşağıda bahsedildiği gibi, ağa ulaşım sadece IPSec, Güvenli Kabuk (Secure Shell) veya VPN ile sağlanmalıdır
Böylece ateş duvarı sadece IPSec veya Güvenli Kabuk trafiğine göre ayarlanabilir
Kablosuz ağlardan kablolu ağlara erişimi örneklemek gerekirse:
1
Kablosuz kullanıcıya kimlik tanımlaması yapılmıl olmalı ve AP ile iletişimi sağlanmalıdır
Daha iyi güvenlik için, AP lerde MAC adres filtrelemesi uygulanmalıdır
2
AP ler IP isteklerini DHCP sunucuya yollar
Sunucu kullanıcıya bir adres ataması yapar
Adres ataması yapıldıktan sonra, kablosuz kullanıcı kablosuz ağa dahil olur
Eğer bu kullanıcı kablolu ağa girmek isterse IPSec VPN tüneli veya Güvenli Kabuk’ran biri uygulanmalıdır
Ateş duvarının sadece güvenli bağlantıları kabul etmesi çok önemlidir, diğer tüm bağlantı isteklerine kapalı olmalıdır
Erişim Noktaları (AP – Access Point)
Erişim noktaları MAC adres filtrelemeye olanak sağlarlar ve öyle de konfigüre edilmelidirler zaten
Bunun yanında MAC adresleri dinlenebilir (Yukarıya bakınız)
Sistem sorumluları AP lerin güvenli bir noktada olmasına dikkat etmelidirler, ki izinsiz fiziksel erişim sağlanamasın
AP ler telnet, web tarayıcı veya SNMP ile konfigüre edilebilir
Size sadece telnet ile konfigüre etmenizi ve iğer tüm yolları kapatmanızı tavsiye ederiz
Tasarımda Dikkat Edilecekler (Design Considerations)
Güvenli kablosuz ağlar gerçekleştirmeden önce ağı doğru tasarlamak çok önemlidir
Doğru tasarlanmış ağlar bazı kablosuz ağ risklerini azaltacaktır
Bazı doğru tasarım ipuçları:
1
Kablosuz ağınızı VPN ve ACL ile koruyunuz
2
Eğer WEP kullanıma açık değilse erişim noktalarınızı (AP) asla kablolu ağınıza bağlamayınız
3
Erişim noktalarınızı (AP) asla ateş duvarının arkasına koymayınız
AlapliForum » Bilgisayar & Elektronik » Bilgisayar » Network Ve İnternet (Moderatörler: Yargıç, SonOsmanlı, kanuni67, Kanca67, BLEDA)Konu: 
Kablosuz aglar ve kablosuz ag Güvenligi....
Konu: Kablosuz aglar ve kablosuz ag Güvenligi.... (Okunma sayısı 267 defa)
Ağustos 29, 2006, 07:59:05 ÖS