Professional Documents
Culture Documents
Wirelesssecurity 131023063543 Phpapp02
Wirelesssecurity 131023063543 Phpapp02
Wirelesssecurity 131023063543 Phpapp02
Son yllarda ADSL balantlarn her ortama girmesi ve dizst bilgisayarlardaki fiyat d kablosuz
a kullanmn byk oranda arttrd. Yeni alnan ADSL modemlerin ounda kablosuz a zellii de
birlikte geliyor. Kablosuz a kullanm hem pratik hem de kullanl fakat gerekli nlemler alnmazsa
gvenlik noktasnda biraz skntldr. Bu yazda kablosuz alar ve bu alarda gvenlii salayacak
temel bileenler anlatlmtr.
Bir konunun gvenliinin salanabilmesi iin baz temel detaylarn bilinmesi gerekir. Kablosuz alarn
gvenlii konusunun anlalabilmesi iin gvenlii salayacak ya da gvenlik ana sebep olacak
bileenlerin neler olduuna bir gzatalm.
Master Mod: Etraftaki kablosuz a istemcilerine hizmet vermek iin kullanlan mod. Eriim noktas
olarak adlandrlan cihazlarda kablosuz a adaptrleri bu modda alr.
Managed Mod: Bir eriim noktasna balanarak hizmet alan istemcinin bulunduu mod.
Ad-Hoc Mod: Arada bir AP olmakszn kablosuz istemcilerin haberlemesi iin kullanlan mod.
Monitor Mod: Herhangi bir kablosuz aa balanmadan pasif olarak ilgili kanaldaki tm trafiin
izlenmesine olanak salayan mod. Kablosuz alarda gcenlik konusunda sk sk kullanlan bir moddur.
Klasik yaplan hata promiscious mod ve monitor modun kartrlmasdr. Bu iki moda birbirinden
tamamen farkldr.
Monitor mod, bir kablosuz a arabiriminin herhangi bir aa balanmadan o aa ait tm trafii
izleyebilmesine olanak verir. Promiscious mod ise bir aa balanldnda o ada duruma gre- tm
trafii izleyebilmenizi salar.
Kablosuz alarda Wireshark gibi sniffer aralar kullanrken Promiscious mod seili ise bazen hi
paket yakalayamazsnz. Bu kullandnz kalbosuz a adaptrnn ya da srcsnn promiscious
mod desteklemediini gsterir.
Ad-hoc mod, iki kablosuz a cihaznn arada baka bir birletiriciye(AP) ihtiya duymadan
haberleebildii durumdur. Teknik olarak Independed Basic service set olarak da bilinir(IBSS). Ad-hoc
balantlar genellikle evde kiisel ilerimiz iin kullanrz. Mesela, bir evde iki bilgisayar ve birinin
internet balants var, dier bilgisayarda internete karmak istersek nmze iki seenek kyor: ya
iki bilgisayar arasnda bir kablo ekerek iki bilgisayar direk birbirine balayacaz ya da bir hub/switch
alarak iki bilgisayar bu arac cihazlar ile konuturacaz.
Oysa bunlardan baka bir seeneimiz daha var -tabi eer
her iki bilgisayarda kablosuz a adaptr varsa-. Bu iki
cihazn kablosuz a adaptrlerini Ad-hoc modda alacak
ekilde ayarlarsak ve internete kan bilgisayarda balant
paylam yaparsak iki makinede zgr bir ekilde interneti
kullanabilecektir.
Burada makinelerin Linux, Windows ya da Mac. olmas
farketmez. Tanmlanan deerler standartlara uygun olduu
mddete her ilemi kolaylkla yapabiliriz.
Piyasada 20-30 $ dolara bulabileceiniz USB kablosuz a adaptrleri ile ya da kullandnz dizst
bilgisayarn kendi sistemi ile kolaylkla Ad-hoc mod kablosuz a kurulabilir.
Ksaca Ad-hoc mod iin herhangi bir AP'e gerek duymadan kablosuz a cihazlarnn birbirleri arasnda
haberlemesidir diyebiliriz.
Infrastructure mode : Eriim noktas balant yntemi
Infrastructure mode ortamdaki kablosuz a cihazlarnn haberlemesi iin arada AP gibi bir cihaza
ihtiya duyulmasdr. Ad-hoc moda gre biraz daha karmaktr ve zel olarak ayarlamadysak iletim
sistemimiz bu modu kullanacak ekilde yaplandrlmtr. Teknik olarak Basic Service Set olarak da
bilinir(BSS). Infrastructure modda kablosuz a istemcileri birbirleri ile direkt konutuklarn dnrler
fakat tm paketler AP aracl ile iletilir. Burada aa dahil olmayan herhangi bir kablosuz a cihaznn
tm trafii izleme riski vardr. Bu sebeple Infrastructure mod kullanrken genellikle iletiim ifrelenir.
ifreleme amal olarak WEP ya da WPA gibi protokoller kullanlr. ifreli iletiimde aradaki trafik
izlense bile anlalmaz olacaktr.
Kablosuz alardaki en temel gvenlik problemi verilerin havada uumasdr. Normal kablolu alarda
switch kullanarak gvenliimizi fiziksel salayabiliyorduk ve switche fiziksel olarak bal olmayan
makinelerden korunmu oluyorduk. Oysaki kablosuz alarda tm iletiim hava zerinden kuruluyor
ve veriler geliigzel ortalkta dolayor.
Kablosuz alarda gvenlik salama amal alnacak temel nlemler
Kablosuz alarda eriim noktasnn adn(SSID) saklamak alnabilecek ilk temel gvenlik nlemlerinden
biridir. Eriim noktalar ortamdaki kablosuz cihazlarn kendisini bulabilmesi iin devaml anons
ederler. Teknik olarak bu anonslara beacon frame denir. Gvenlik nlemi olarak bu anonslar
yaptrmayabiliriz ve sadece eriim noktasnn adn bilen cihazlar kablosuz aa dahil olabilir. Bylece
Windows, Linux da dahil olmak zere birok iletim sistemi etraftaki kablosuz a cihazlarn ararken
bizim cihazmz gremeyecektir.
SSID saklama her ne kadar bir nlem olsa da teknik kapasitesi belli bir dzeyin zerindeki insanlar
tarafndan rahatlklar renilebilir. Erisim noktasnn WEP ya da WPA protokollerini kullanmas
durumunda bile SSIDlerini ifrelenmeden gnderildiini dnrsek ortamdaki kt niyetli birinin
zel aralar kullanarak bizim eriim noktamzn adn her durumda renebilmesi mmkndr.
Eriim Kontrol
Standart kablosuz a gvenlik protokollerinde aa giri anahtarn bilen herkes kablosuz aa dahil
olabilir. Kullanclarnzdan birinin WEP anahtarn birine vermesi/aldrmas sonucunda WEP
kullanarak gvence altna aldmz kablosuz amzda gvenlikten eser kalmayacaktr. Zira herkeste
ayn anahtar olduu iin kimin aa dahil olacan bilemeyiz. Dolays ile bu tip alarda 802.1x
kullanmadan tam manas ile bir gvenlik salanamayacaktr.
ifreleme Kullanma
Kablosuz alarda trafiin bakalar tarafndan izlenmemesi iin alnmas gereken teme nlemlerden
biri de trafii ifrelemektir. Kablosuz alarda ifreleme WEP(wired equivalent privacy) ve WPA(Wi-Fi
Protected Access) olarak adlandrlan iki protokol zerinden yaplr. Her iki protokol de ek gvenlik
nlemleri alnmazsa gnmzde gvenilir kabul edilmez. Internette yaplacak ksa bir arama ile Linux
altnda uygun bir kablosuz a adaptr kullanlarak tek komutla WEP korumal alara nasl szld
izlenebilir. Bugne kadar WEP kullananlara hep WPAya gemeleri ve uzun karmak parola semeleri
nerilirdi. Zira WPA, WEPin zayf kald noktalar glendirmek iin yazlm bir protokold . Fakat
2008in son aylarnda iki niversite rencisinin yapt alma pratikte WPAnn ~15 dakika da
krlabileceini ispat etmi oldu. Aslnda alma WPAda deil WPAnn kulland TKIP(emporal Key
Integrity Protocol) bileenindeki aklktan kaynaklanyordu. Dolays ile WPA ve AES ifreleme
kullanarak gerek manada gvenlik elde etmek mmkn.
Sonu olarak ;
Katmanl gvenlik anlay gereince yukarda anlatlan yntemlerin uygulanmas gvenliinizi bir
adm daha arttracaktr.
Kablosuz alarda keif, Pasif ve aktif olmak zere ikiye ayrlr. Adndan da anlalaca gibi aktif
keiflerde keif yapan kendisini belirtir ve aktif cihazlar aradn anons eder. Pasif keif trnde ise
tam tersi bir durum sz konusudur. Pasif keif gerekletiren cihaz kesinlikle ortama herhangi birey
anons etmez, sadece ortamdaki anonslar dinleyerek aktif ama gizli cihazlar belirlemeye alr.
Aktif keif aralarna en iyi rnek NetStumbler verilebilir. cretsiz olarak kullanlabilen Netstumbler
altrldnda kapsama alannda anons yapan tm aktif cihazlar bularak bunlar raporlar.
Netstumblerin almas ya da bir erisim noktasn kefetmesi iin erisim noktasnn kendisini anons
etmesi lazmdr. Yani basit gvenlik nlemi olarak aldmz SSID saklama ilemi Netstumbleri
artacaktr.
Pasif keif arac olarak kullanlabilen Kismet ise Netstumblera gre olduka fazla zellik ierir ve kt
niyetli birinin elinde tam donanml gizli bir silaha dnebilir.
Kismet, kablosuz a adaptrlerine zel bir modda altrarak(monitor mode) etrafta olan biteni izler
ve kaydeder. Bylece bulunduu ortamdaki tm trafii grerek aktif, pasif eriim noktas cihazlarn
tm zellikleri ile birlikte belirler. Sadece eriim noktas cihazlarn belirlemekle kalmaz, bu cihazlara
bal tm istemci cihazlar ve zeliklerini de belirleyebilir daha da tesinde ifreleme kullanlmyorsa
tm trafii dinler. Yeteri kadar korkutucu deil mi? irket anzda kullandnz makinelerin IP
bilgileri vs yabanc ellere gitmesini ister miydiniz?
Kablosuz alarda veriler havada uutuu iin dinleme yapmak kablolu alara gre daha kolaydr.
Amaca uygun kullanlan bir dinleme arac ile bir kablosuz adaki trafik aa dahil olmadan rahatlkla
izlenebilir. Linux sistemlerde kablosuz a trafii dinlemek iin Kismet adl program tercih edilir.
Kismet, monitoring (rfmon) mod destekleyen kablosuz a arabirimleri iin dnlm 802.11b,
802.11a ve 802.11g protokolleri ile uyumlu kablosuz alarda pasif dinleme yapmaya yarayan bir
aratr. Ayn zamanda kablosuz alar iin pasif keif arac olarak ve basit manada saldr tespit sistemi
olarak da kullanlabilir.
Kismet ile dinleme yaplrken etraftaki eriim noktalar ya da istemciler rahatsz edilmez. Tamamen
pasif modda bir dinleme yapld iin kablosuz alar korumaya ynelik baz saldr tespit sistemleri
kolaylkla aldatlabilir. zellikle ifresiz bir iletiim yntemi tercih edilmise Kismet bu noktada
kablosuz adaki tm hereyi grebilir.
Kismet ve ek bir iki ara kullanlarak MAC adres tabanl gvenlik nlemi alnm kablosuz alara
kolaylkla giri yaplabilir.
Kismet ayn zamanda kablosuz alarda izinsiz giri tespiti iinde kullanlabilir. Aa eriim izni olmayp
da giri deneyiminde bulunan kullanclar Kismet tarafndan rahatlkla belirlenerek raporlanacaktr.
Halka Ak Kablosuz Alardaki Tehlikeler
Kablosuz alarn belki de en ie yarar olduu durumlar halka ak olanlardr. Hemen hemen tm
byk alveri merkezlerinde, lokanta ve kafelerde bu tip alara rastlayabiliriz. Bazlar eriim iin
kullanc ad / parola istese de yukarda anlattm yntemler kullanlarak bu tip alar rahatlkla
kandrlabilir. Gelelim bu tip alardaki risklere;
ncelikle ayn eriim noktasna bal tm istemcilerin trafii ifrelenmemi bir ekilde havada
dolaacaktr. Bunun iinde MSN grmeleriniz, e-postalarnz ve ziyaret ettiiniz siteler de dahil.
Ortama dahil olan birisi basit MITM ataklar ile tm trafii zerinden geirip ieriini inceleyebilir,
tesinde deitirebilir.
Baka kimlikte biraz daha paranoyak bir saldrgan gelip aa dahil olmadan yine tm trafii monitor
modda izleyebilir hatta eer bu ortamda Hotmail, Yahoo, Gmail ya da https kullanan sistemlerinize
eriiyorsanz saldrgan da kiisel giri parolanz bilmeden ilgili sitelerin size gnderdii cookieleri
alarak ayn sistemlere eriebilir.
Dier bir tehlike de saldrgann trafik izleme iin zahmete girmeden ortamda bulunan eriim
noktalarndan birinin ismini taklit ederek sahte eriim noktas oluturmasdr. Bylece baz kullanclar
aslyla ayni isme sahip belki daha iyi eken sahte eriim noktasna balanacak ve buradan ilemlerini
yapacaktr. Bu da bir saldrgan iin ana balanan tm istemciler zerinde mutlak hakimiyet kurmas
manasna gelir.
Ksacas halka ak kablosuz alarda internet kullanmak buzda dansa benzer. Dolays ile dikkatli
olmak ve gvenli srf iin uygun aralar kullanmak gerekir. Bu tip alarda internete girmeniz
gerekiyorsa ya VPN zerinden ya da TOR benzeri ifreli iletiim salayan networkler zerinden
girmeniz trafiinizin bakalar tarafndan izlenmesini nleyecektir.
Bu durumda son are olarak yeni bir donanm almak kalyor. Dier bir yntem de bir adet USB
zerinden alan kablosuz a adaptor alp Vmware ierisinden bu adaptr kullanmaktr. Bylece
hem mobil bir APe sahip olacaksanz hem de kablosuz alarda gvenlik testi yaparken Windowsun
kstlayc zelliklerine taklmadan Linux zerinden istediiniz ilemleri yapabileceksiniz. Bylece
istediinizde sanal bir APye istediinizde de Linux altnda test yapmak iin kullanabileceiniz kablosuz
bir a adaptrne ulam olacaksnz.
Gercek isletim sisteminizde kullandiginiz wireless kartlari Vmware altinda da ayni ozelliklerde
kullanmak ne yazik ki mumkun olmuyor. Vmwareden arabirim modunu bridge , nat yaplarak wifi
kartnzn yararland baglant Vmware makineye saglnabilir fakat bu vmware uzerinde wireless bir
kart olarak algilanmaz. Siradan bir
ethernet karti gibi Vmwarein kendi
suruculerini kullanarak islem yaplr.