Geçtiğimiz günlerde burada yayınladığımız bir haberde, kablosuz ağını paylaşırken internetinizi kullanarak suç işleyen bir kişinin başınıza açabileceği dertlerden bahsetmiştik. Kablosuz ağlar yapıları itibari ile kablolu ağlara oranlara daha korumasız, çünkü veriler son derece korunaklı bir kablodan değil de erişim noktası (Access Point, AP) ve W-LAN istemcisi arasında havadan aktarılıyor. Verilerin havadan aktarılıyor olması, kablosuz ağın sadece büro veya evinizin içinden değil, komşularınızdan veya sokaktan da erişilebilir olması anlamına geliyor. Kablolu ağlarda veriler tek bir yöne doğru sadece onlar için çizilen rotada, yani kablo içinde ilerlerken; kablosuz ağlarda kaynaktan çıkan veriler, suya atılan bir taşın yaydığı halkalar gibi çevreye yayılıyor. Halkaların kapsadığı alanda bulunan herkes bir dizüstü bilgisayar veya W-LAN bağdaştırıcısı ile ağdaki verilere ulaşabiliyor.
Fazladan bir anten kullanarak, kablosuz ağların menzilleri 150 metreye kadar çıkartılabiliyor. Bu uzunluk nereden baksanız bakın, bir sokağın uzunluğu kadar. Bunun yanında kablosuz ağlarla ilgili bir diğer nokta ev duvarlarının sinyalleri engellediği. Bu her ne kadar doğru olsada, duvarların sinyalleri tamamen etkisiz hale getiremedikleri de bir gerçek.
Bir bilgisayar korsanıysanız, kablosuz bir ağa sızmak kablolu bir ağa sızmaktan çok daha kolay. Çünkü yapmanız gereken tek şey gerekli donanımla kablosuz ağın yeterince yakına gelip havadaki veri paketlerini yakalamak. Kablolu bir ağa sızmak istenildiğindeyse saldırı ancak yönlendirici (router) veya sunucuya gerçekleştirilebilir. Bunun nedeni veri taşıma sisteminin tek açık noktalarının buralar olmasıdır.
Risk çok büyük
Maalesef bilgisayar korsanlarının tek yapabilecekleri kabosuz ağa sızıp verileri ele geçirmekle sınırlı değil. Korsanlar, ağdaki kaynaklara ulaşıp onları kendi çıkarları için kullanabilme imkanına da sahipler. Örneğin, kablosuz ağ DSL üzerinden internete bağlıysa, ağa sızan bir korsan bedava olarak internete bağlanabilir. Hatta bilgisayar korsanları, başkalarının kablosuz ağlarını kullanarak dosya paylaşım sitelerine girip, kopya müzik ve film indirerek yasadışı işlere bulaşabilirler. Böyle bir durumda polisin gelip bulacağı tek kişi internet bağlantısının sahibidir. Bütün yasadışı işleri bir bilgisayar korsanının yaptığını ispat etmek oldukça zor olacaktır. Dahası korsanlar sizin internetinizi kullanarak birçok kişiye spam posta (yığın posta) atabilir ve web sunucularına "Denial-of-Service" saldırıları bile gerçekleştirebilirler.
Tehlikeler korkutucu, ama tüm bunlardan korunmak da mümkün. Yazımızın konusu olan "tam koruma" kablosuz ağınızı güvenli hale getireceği gibi, ağınızın üstünde kendi insiyatifinizin olmasını da sağlayacak.
Bugün hala W-LAN donanımları üreten birçok firma, ürünlerini güvenlik ayarlarını aktif hale getirmeden piyasaya sürüyor. Güvenlik açısından alınabilecek çoğu tedbir, genellikle doğrudan erişim noktasına (AP) yönelik oluyor. Bunun nedeni kablosuz ağın temelinin erişim noktasında olması. Bunun dışında tabii ki birkaç özel ayarı, özellikle parola işlemlerini, kablosuz ağa erişimi olan her bilgisayarda tek tek yapmak gerekiyor.
Erişim noktası ayaları
Erişim noktasını (Access point) bilgisayarınıza USB veya ethernet üzerinden bağlayın. Daha sonra erişim noktasının ayarlarının yapıldığı konfigürasyon yazılımını çalışıtırın. Bu yazılıma genellikle web tarayıcınıza yazacağınız bir IP adresi ile ulaşabilirsiniz (örneğin 192.168.1.1).
Erişim noktasındaki ayarları herhangi biri değiştiremesin diye, erişim noktanızı parola koruması altına almalısınız ki zaten çoğu donanımda bu özellik bulunuyor. Burada parola korumasını aktif hale getirip kolay tahmin edilemeyecek bir parola girin. Asla erişim noktasının üzerinde gelen ilk parolayı, örneğin "administrator" veya "admin" gibi, kullanmayın. Çünkü bilgisayar korsanları erişim noktalarının standart parolalarını biliyorlar ve böylece erişim noktanızı kolayca ele geçirebilirler.
SSID'yi değişitirin ve gizli tutun
İstemcinin erişim noktası üzerinden kablosuz ağa bağlanabilmesi için, erişim noktasının ağ üzerindeki adını (buna SSID veya ESSID deniyor) bilmesi gerekir. Çoğu erişim noktasında standart olarak SSID ayarları yapılmıştır ve genellikle erişim noktasının ağ üzerindeki adı basitçe "SSID", donanım üreticisinin veya donanımın adı olarak belirlenmiştir. Bu adlar korsanlar tarafından kolayca tahmin edilebildikleri için güvenlik açısından tehlike oluşturur, çünkü korsanlar örneğin donanımın markasını SSID olarak gördükeri anda hangi marka bir erişim noktasını ele geçirmeye uğraştıklarını hemen anlarlar. Bu yüzden SSID seçerken soyadınızı veya firma isminizi ya da sözlükte bulunabilecek kelimeleri seçmemeye özen göstermelisiniz.
Maalesef sadece SSID'yi değiştirmek güvenlik için yeterli değil. Bütün erişim noktaları yaydıkları sinyallerle menzillerindeki bilgisayara SSID'lerini ulaştırırlar. Bunun nedeni, menzile giren bir bilgisayarın kablosuz ağı kolayca görmesini ve bağlantı kurabilmesini sağlamak. Tabii menzile giren bilgisayarın dost bir bilgisayar olduğunun garantisi olmadığı için, bu durum tehlike oluşturuyor.
Tehlikeyi önlemek için "SSID-Broadcast" (SSID yayınlama) fonksiyonunu kapatmanızı öneriyoruz.
Parola korumasını etkinleştirin
Buraya kadar anlattığımız güvenlik önlemleri, yeterli zamanı ve aletleri olan bir saldırgan için sorun oluşturmaz. Kablosuz ağ üzerinden gerçekleşen veri trafiğini parola ile koruma altına almak tek ve gerçek korunma yöntemidir. Saldırgan kablosuz ortamda taşınan verileri yakalayıp bilgisayarına alabilir ama parolayı bilmediği için verileri görüntüleyemez ve erişemez.
Günümüzde parolalar için üç farklı seçenek bulunuyor: WEP, WPA ve WPA2. Bunların arasında WEP en güvensiz olanı iken, WPA2 ise en güvenli parola çeşidi. Eğer kablosuz ağdaki bütün istemciler WPA2'yi destekliyorsa, kesinlikle bu parola yöntemini kullanmalısınız. Tabii kablosuz ağınızda eski model dizüstü bilgisayarlar veya WLAN bağdaştırıcıları varsa o zaman WEP kullanmaktan veya yeni WPA2 destekli bağdaştırıcılar satın almaktan başka çareniz kalmayacaktır. Çünkü her kablosuz ağ sadece tek bir parola yöntemi ile koruma altına alınabilir, aynı anda hem WEP hem de WPA2 yöntemlerini kullanmak maalesef mümkün değil.
Bazı erişim noktalarında WEP parolasını 64 ile 128 Bit arasında değiştirmek mümkün olabiliyor. Eğer böyle bir opsiyon bulunmuyorsa, normalde parola WEP 128 Bit'tir. Seçenek olduğu durumlarda WEP 128'i seçmenizi öneriyoruz, çünkü WEP 64'e göre ele geçirilmesi daha zordur.
Parolayı etkileştirmek için, verilerin şifreleneceği ve alıcı bilgisayarda deşifreleneceği parolayı girin. Parolanızı seçerken yine çok kolay tahmin edilememesine ve sözlük ataklarına karşı dirençli olmasına özen gösterin. Mümkünse parolanızda büyük - küçük harfler, rakamlar ve özel işaretler kullanın. WEP parolaları tam olarak 13 karakterden oluşurken, WPA ve WPA2 parolaları 8 ile 63 karakter arasında bir uzunluğa sahip olabilir. WEP parolaları ASCII veya Hex formatında girilebilir (Hex formatında uzunluk WEP 128 için 26 karakterdir).
Kablosuz ağı parola koruması altına aldıktan sonra, ağa erişimi olan istemcilere de parolayı girmek gerekiyor. Bu noktada size tavsiyemiz, parolayı e-posta yoluya istemcilere göndermemeniz ve olabildiğince gizli tutmanız.
MAC filtersini açın
Davetsiz misafirlerin kablosuz ağınıza sızmasını engellemenin bir diğer yolu, MAC filtrelemesidir. Çünkü her ağ elemanı sadece kendine özgü olan bir MAC adresine (MAC: Media Access Control) sahiptir ve bu adres üzerinden tanınır. Erişim noktanızı sadece izinli, yani bilindik donanımlardan veri paketleri alacak şekilde ayarlayabilirsiniz. Bunun için erişim noktanızda MAC filtreleme özelliğini etkinleştirmeniz gerekiyor.
Kablosuz ağa erişim hakkı olacak bütün bilgisayarların ve diğer ağ aygıtlarının MAC adreslerini temin etmelisiniz. Bu adresleri aygıtların veya bilgisayarların üzerindeki etiketlerde bulabilirsiniz. Eğer bulamıyorsanız Windows işletim sistemine sahip bilgisayarlarda MS-DOS pencersinde "ipconfig / all" komutunu girerek adresi görüntüleyebilirsiniz.
WLAN'a erişim izni olacak MAC adreslerini erişim noktasındaki filtre tablosuna tek tek girmeniz gerekiyor. Ağa bağlanmasını kesinlikle istemediğiniz bir ağ aygıtının MAC adresini biliyorsanız, bu adresi tek başına izni olmayanlar listesine girebilirsiniz.
MAC filtresi tek başına güvenlik için yeterli değil, çünkü eğer kablosuz ağınızı parola ile koruma altına almazsanız, MAC adresleri kablosuz ortamda gezinen veri paketlerinin içinde açık seçik olarak görünür. Bu veri paketlerini ele geçiren bir korsan, MAC adresini öğrenip adı "spoofing - software" olan bir yazılımla erişim noktanızın sanal bir kopyasını oluşturup ona sizden öğrendiği MAC adresini verebilir. Dolayısı ile ağa kolayca bağlanıp amacına ulaşır.
UPnP saldırılarını engelleyin
Bazı erişim noktları Universal Plug & Play (UPnP) ile uzakten erişime izin veriyor. Bu arayüz sayesinde UPnP destekli yazılımların ayarları değiştirilebiliyor. Örneğin yurtdışından internet bağlantısı sayesinde erişim noktanızın ayarlarını değiştirmek zorundaysanız bu özellik işinize yarayabilir. Tabii bunun yanında UPnP aynı zamanda potansiyel bir güvenlik açığı. Önerimiz normal zamanlarda bu özelliği devre dışı bırakmanız.
Güvenlik duvarını etkinleştirin
Çoğu erişim noktası aynı zamanda güvenlik duvarına (Firewall) sahip olan bir donanımın parçasıdır. Kablosuz ağ üzerindeki istemci bilgisayarlarda yazılımsal bir güvenlik duvarı yüklü olsa da, erişim noktasındaki güvenlik duvarını etkileştirmelisiniz. Güvenlik duvarlarının çoğu internetle olan veri alışverişiniz üzerinde tam bir kontrol oluşturma imkanı sunar. Örneğin Siemens Gigaset'te güvenlik duvarı ayarlarını "Güvenlik Duvarı / Hacker koruması" altında bulabilirsiniz. Sadece gerekli olan veri trafiğine izin vermeniz bu noktada çok önemli. "UDP"'ye Domain Name System (DNS), Streaming uygulamaları, Voice over IP, Bittorent ve çevrimiçi oyunlar için ihtiyacınız olacağını unutmayın. Ayrıca "H.323" de VOIP ve video konferanslar için gerekli.
Sinyal seviyesini düşürün
Erişim noktanızla ilgili iki ipucu daha : Onu cam ve evinizin dışarıya bakan duvarlarının yanına koymayın, evinizin veya ofisinizin ortasına yerleştirmekte yarar var. Aksi halde davetsiz misafirler yüksek sinyal seviyesinden yararlanabilirler. Ayrıca erişim noktasının sinyal seviyesini her zaman en yüksek konumda tutmanıza gerek yok. Kablosuz ağdaki en uzak istemcinin yeterli miktarda sinyal alabileceği bir ayar yeterli olacak ve güvenliği artıracaktır.
İstemci ayarları
İlk tavsiyemiz, eğer eski bir W-LAN bağdaştırıcısı kullanıyorsanız üretici firmanın web sitesine girip yeni çıkmış bir sürücü olup olmadığına göz atmanızda büyük yarar var. Çünkü yeni sürücüler, yeni parola yöntemlerine izin veriyor olabilir. Böyle bir imkan varsa, yeni sürücüyü indirip derhal kurmalısınız.
Kablosuz ağ bağdaştırıcısının konfigürasyonu için, ilgili yazılımı çalıştırmanız gerekiyor. Yazılım üzerinden erişim noktasında kullandığınız parola yönteminin aynısını istemcide de etkinleştirmeli ve erişim noktasında oluşturduğunuz parolayı girmelisiniz. Bağlantı kurulur kurulmaz bağdaştırıcı üzerinde yeşil bir ışık göreceksiniz, ayrıca genellikle yazılım üzerindeki yeşil bir alan bağlantının başarıyla kurulduğunu size gösterecektir.
Sürekli farklı kablosuz ağlara bağlanıyorsanız, örneğin dizüstü bilgisayarınızı hem evde hem de iş yerinde kullanıyorsanız, her seferinde yeniden ayar yapmamak için ayarları kaydedebilirsiniz.
Kablosuz ağı kapatın
Kablosuz ağınızı belli bir zaman kullanmayacaksanız (örneğin haftasonu işyerinizde veya tatilde) erişim noktasını tamamen kapatmanızı öneririz. Böylece yokluğunuzda kimse kablosuz ağınıza giremez, verilerinizi çalmaya kalkışamaz. Bazı pratik erişim noktalarında sadece kablosuz ağ fonksiyonu devre dışı bırakılabiliyor. Sadece W-LAN'ı kapattığınızda aygıtın diğer fonksiyonları, örneğin telefon tesisatı veya telesekreter gibi fonksiyonlar çalışmaya devam ediyor.
Sonuç: Tamamen güvenli bir kablosuz ağ kurmanın önündeki en büyük engel, saldırganların her bir güvenlik önlemini atlatabilecek silahlara sahip olmaları. Örneğin SSID yayınlanmasa bile, ağınıza girmek isteyen biri özel analiz yazılımları ile havadaki veri trafiğini denetleterek sonuca ulaşabilir. Tanınmadık bilgisayarların kablosuz ağa erişimini yasaklamak için MAC filtresini etkliştirebilirsiniz ama bu sefer de saldırganlar MAC-Spoofing yazılımları ile ağdaki herhangi bir istemcinin MAC adresini ele geçirip sanal olarak bir kopyasını oluşturabilirler.
En etkili korunma yöntemiyse daha önceden de bahsettiğimiz gibi parolalama. Burada da WEP parolalama yönteminin çok güçlü olmaması bir güvenlik açığı olarak karşımıza çıkıyor. Saldırgan eğer yeterli bilgi ve donanıma sahipse ve yeterli miktarda ağ trafiğini kayıt altına alabiliyorsa, WEP parolasını kırabilir.
Diğer iki parola yöntemi, WPA ve WPA2 ise daha güçlüler. Bugüne kadar WPA ve WPA2 parolaların kırılmasını sağlayan herhangi bir metod geliştirilemedi. Tabii ki bunun imkansız olduğunu söylemek de zor: Parola güçsüz ve kolay tahmin edilebilir olduğunda, WPA2 parolası bile ele geçirilebilir.
İPUCU: WPA için güvenli parolayı bulmak
İnternette kablosuz ağların parola güvenliği hakkında araştırma yapacak biri, WPA'nın bile kırılabileceği gerçeğini hemen anlayacaktır. Bu bilgi doğru bir bilgi ama temelde WPA ile bir ilgisi yok. Çünkü her şifreleme yöntemi (buna WPA, WPA2 ve AES'de dahil) ancak ve ancak kullanılan parola kadar güvenlidir.
Bir saldırgan ilk olarak sözlük ataklarıyla parolayı kırmaya çalışacaktır. Eğer kolay tahmin edilebilir bir parola belirlemişseniz (örneğin isminizi, soyadınızı ve şirket ismini) korsan çok fazla çaba sarfetmeden bunu tahmin edebilir.
Güvenlik uzmanları WPA parolaları üzerinde yaptıkları araştırmalarda, saldırganların 20 karakterden kısa ve sözlük ataklarına karşı dirençsiz parolaları daha kolay kırabildikleri sonucuna ulaşmışlar. Parolayı kırmak için tek yapılması gereken, erişim noktası ile istemci arasındaki parola değiş tokuşuna kulak misafiri olmak. Parola değişimi bağlantının ilk kurulduğu sırada yapıldığı için, korsanlar bağlantıyı koparıp tekrar kurulmasını sağlayarak parolayı ele geçirebilirler. WPA2'de ise bu güvenlik açığı bulunmuyor.
Bu yüzden, kendinize 20 karakterden uzun bir WPA parolası seçin ve parolada rakamlar, harfler ve özel işaretler olmasına dikkat edin. Sözlüklerde bulunabilecek kelimeleri hem WPA hem de WPA2 için seçmeyin.