Professional Documents
Culture Documents
Wireless access point: kablosuz ağı genişletme özelliğine sahip cihazdır. -layer2
cihazıdır.
Wireless Antennas: eksta bir kapsam alanı için fazladan anten kullanılabilir.
Wireless Nic: masaüstü bilgisayarlarda wifi özelliği kazandırmak için kullanılan usb.
1. ad-hoc : iki veya daha fazla cihazı arada bir kablosuz cihaz kullanmadan kablosuz
şekilde konuşturma. bir cihazı master seç diğer cihazları slave seç bu şekilde bir
iletişim olur.
2. infastrect : arada bir access point veya wireless router kullanıyorsak bu modu
seçmeliyiz.
kanallar arasındaki fark 5 mhz dir. kanallar birbirleri ile bu fark nedeni ile çakışabilir.
bu çakışmayı önlemek için birbirleri ile interfrance olmayan doğru kanlları
kullanmalıyız bu kanallar 1-6-11 dir.
eğer tek bir acc point varsa ve etrafımızdaki kullanıcılar fazlalıklar 1-6-11
kullanıyorsa ara kanallar tercih edilebilir.
WLAN-kanal seçimi 1
eş zamanlı olarak birden fazla kanaldan bilgi göndermek mümkündür. bu teknoloji
sayesinde wifi bant genişlikleri artmıştır. 2.4ghz de bu nadir görülür ancak 5ghz
bandında bu kaçınılmazdır.
WLAN-kanal seçimi 2
kanal birleştirme durumu ağ izleme programında açıkça gözükmekte.
WLAN-kanal seçimi 3
WLAN-802.11*
wlan hub larda olduğu gibi half dublex olarak haberleşir. bu nedenle 802.11* deki
teorik hızlar gerçekte mümkün değildir. örneğin 802.11n 600mbps teorik hızları
verirken kullanıcı bu hızların yarısını dahi göremez.
WLAN-802.11* 1
802.11ax ile bu half dublex i minimalize eden bir özellik tanıtılmıştır. bir uç cihaz ağ
cihazı ile konuşuyor ancak trafiği kullandığı kanal aralığını doldurmuyorsa boş kalan
frekansa farklı bir cihaz paket gönderimi yapar bu sayede beklme en aza inmiş olur.
böyle bir özellik 802.11ax öncesi hiçbir teknolojide yoktur.———- multi user -MIMO —-
bu teknoloji 4g ile hayatımıza girmişti wlan a 802.11ax de girdi.
WLAN-802.11* 2
WLAN-access point
2. controller-based APs: bu AP de bir tane controller bulunur diğer AP ler buna bağlıdır
yapılandırmalarını burdan alır. çok basit bir yapılandırma ile ayağa kalkar.→swport
trunk, native vlan gibi yapılandırmaları yapmak sadece
WLAN-access point 1
WLAN-bss/ess
BSS: tüm wireless cihazlarının tek bir cihaza bağlanmasıdır. bu örnekte iki farklı BSA
var
WLAN-bss/ess 1
ESS: iki veya daha fazla bss birleştirilerek ortak bir alana alınmasıdır. farklı bss leri birbi
ile konuşturmak için distrubite network cihazı kullanılır. kapsama alanı sw ile
birleştrilerek genişletildi artık iki farklı bss deki cihazlar birbiri ile konuşabilir.
ROAMİNG-gezici: iki farklı bss deki cihazlar farklı bss deki ACCESS POİNT ile iletişim
kurmalı örneğin laptop0 wirelless router 1 ilede iletişime geçebilmeli. bu mobilite için
gerekli bir özelliktir. networkdeki kesintisiz internet için çok önemli. peki bukadar fazla
AP yi nasıl kimlik doğrulamasını yapacak? bu durumda önceki bölümlerde gördüğümüz
AP controller ile yönetim sağlanmalı.
WLAN-bss/ess 2
WLAN- 802.11 frame yapısı
AC etrafa sürekli beacon framleri yayınlar bu framlerin içinde *ssıd *güvenlik bilgileri
gibi bilgileri yayınlar ve bu framleri saniyede 10 kez olacak şekilde etrafa gönderir.
bağlantı için client discover mesajı ile AC keşfeder ve bağlanmak istediğini söyler bir kimlik doğrulama
işleminden geçer sonra associate adımında ssıd password network modu güvenlik modu ve kanal
uyumluluğu gibi bilgilerin eşleşip eşleşmediği kontrol edilir eğer uyumluysa bağlantı başlatılır.
WLAN-client/AP bağlantısı(associate) 1
ilk probe request ile client AC ye bağlantı isteğinde bulunur. AC cevap olarak probe request döndürür.
client kimlik doğrulama talep eder. AC bu isteği kimlik doğrulama serverına gönderir.(ev kullanıcılarında
bu özellik kapalı.) gelen cevabı cliente iletir. daha sonra kimlik doğrulama uygunsa assocation
adımındaki bilgilerin eşleşip eşleşmediği kontrol edilir eşleşiyorsa bağlantı başlatılır.
WLAN-client/AP bağlantısı(associate) 2
WLAN- güvenliği
2. wireless ıntruders: ıntruders ağa yetkisiz şekilde sızmış kullanıcıları ifade eder. bu
saldırıdan korunmak için 3. parti uygulamalar ile ağımızı tarayıp tanımadığımız
kullanıcıları öğrenip filtreleyebiliriz. çözümü authentication ile kimlik denetimidir.
3. DOS: hizmet reddi anlamına gelen dos saldırgan tarafından kullandığımız hizmetin
kısıtlanması anlamına gelir. saldırganın deauth paketleri ile kullanıcıları ağdan
düşürmesi buna örnektir. bu saldırıyı önlemek için WIDS WIPS gibi ağı dinleyen
teknolojiler kullanılmalı. bu teknolojiler pasif olarak çalışır. networkde tüm paketlerin
geçeceği bir yere yerleştirilir. span tekniği ile tüm trafik klonlanır ve bizim loglayarak
trafiği raporlarız. dezavantajı bişeylerin yolunda gitmediğini görürüz ancak
müdahale edemeyiz bunun için WIPS kullanmalıyız.
WLAN- güvenliği 1
4. rogue APs: şeytani ikiz saldırısı ile hedef ssıd nin birebir aynısı yapılabiliyordu rogue
saldırıları bu tür saldırılardır. kullancıyı bizim sahte olarak ürettiğimiz AP üzerinden
geçirerek izlenmesidir. buna çözüm olarak donanımlar üretilmiştir.
5. ManInTheMıdle attacks: saldırgan sahte bir wifi yaparka mıtm saldırısı yapabildiği
gibi ARP tablosu zehirlemesi ilede bu saldırıyı yapabilir. (daha çok fazla mıtm saldırı
yöntemi vardır-paket injection - dns spoof) bu saldırıdan korunmak için AAAA adı
verilen güvenlik protokolünü kullanmalıyız.
WLAN- güvenliği 2
WLAN-kimlik doğrulama
şimdiye kadar ssıd gizleme ve mac adresi filtrelemeyi görmüştük bu yöntemler bir
güvenlik sağlıyor gibi gözüksede hacker için hiçbirşey ifade etmez. saldırgana karşı
daha iyi önlemler alınması gerekli bu önlemler:
2.1-shared key/
AP bağlanmak isteyen cliente açık bir mesaj gönderir ve şifrelenmiş bir şekilde clientin
göndermesini bekler. client kendi key i ile bu mesajı şifreleyerek şifrelenmiş mesajı AP
ye gönderir. AP kendi anahtarı ile bu mesajı açabiliyorsa cihazın bağlantısına izin verir.
2.2-psk auth.
WLAN-kimlik doğrulama 1
hem kablolu hem kablosuz networkde kullanılan bir kimlik doğrulama yöntemidir.
1. ilk durumda PMK denilen bir anahtar vardır. bu anahtar yukarıdaki parametrelerin
birleştirlmesi ile oluşur. PMK yı hem AP hem bağlanacak cihaz gerçekten bu bilgileri
WLAN-kimlik doğrulama 2
biliyorsa oluşturabilir.
3. AP ürettiği rastgele sayıyı ilk mesaj ile cliente bildirir. bu mesaj PMK ile şifreli gelir.
4. client gelen rastgele sayı ve diğer bilgiler ile PTK adında yeni bir key üretir.
6. PTK ikisinin ürettiği rastgele sayılardan oluştuğu için her ikiside şimdi bu PTK yı
hesaplayabiliyor. PTK herkesin bildiği bir algoritmasan geçirilerek GTK adı verilen
yeni bir anahtar üretilir.
8. client elindeki GTK ile bunu açar ve bir ARK paketi göndererek bağlantıyı başarılı
bir şekilde sonlandırır.
belli bir süre geçtikten sonra bu konuşmalar yenilenerek dinamik olarak yeni
anahtarlar oluşturulur.
3- 802.1x/EAP auth.
EAP ile client bağlantı isteğinde bulunduğunda kimlik kontrolü için farklı bir sunucu
kullanılır.
802.1x bir protokoldür ve bu protokol içerisinde pek çok paket bulunur EAP bu
paketlerden sadece birisidir.
EAP ile uzunca bir konuşma sonucunda kimlik doğrulaması yapılır. oldukça
güvenlidir ve enterprise ağlarda kullanılır.
WLAN-kimlik doğrulama 3
WLAN-kriptolama yöntemleri
bu yöntemelr hem kimlik doğrulama hemde veri şifreleme yöntemleridir.
WEP-WPS
WLAN-kriptolama yöntemleri 1
WLAN-kriptolama yöntemleri 2
WLAN -port yönlendirme
normal şartlardak bir ağa dışarıdan erişim mümkün değildir. ağa geldiğinde router
tarafından düşürülüp içeri girilmesi engellenir. ancak dışarıdan ağ içindeki cihazlara
erişmek durumunda kalabiliriz.-ör. uzaktan evdeki bilgisayara erişmek, bir
bilgisayarda arka kapı açtığımızda bize gelen bilgileri dinleyebilmek gibi pek çok
gereksinim olabilir.
işte bize gelen istekleri dinleyebilmek için port yönlendirmesi yapmamız gerekli
port yönlendirmesinin mantığı bağlanacak kişi destination port olarak ortak
kararlaştırılan bir porta bağlanır. bizde modem arayüzünden bu porta gelen
paketleri bu bilgisayara yönlendir deriz. bu sayede uzaktaki cihaz global ip: port
girerek bir bağlantı kurmaya çalıştığında bu istekler bize gelir.
daha önceden nat ile iç ağımızdaki bir web sunucusunu bir ip yi tamamen web
server için kullanarak dünyaya açmıştık. şimdi herkesin kullandığı ip ve port
yönlendirmesi kullanarak bu işlemi daha az masraf ile yapabiliriz.
controller ve AP arasındaki konuşma CAPWAP adı verilen bir tünel ile yapılır.
WLC-wriless controller 1
FLEX CONNECT AP
WLC-wriless controller 2
şirketin merkezinden diğer şublerdeki AP leri kontrol etmemize olanak tanır.
standalone mode : tünelde bir sorun olduğunda AP lere erişimin mümkün olmadığı
durumda geçilen moddur. konfigürasyonu nv-rame yüklenmiştir. bağlantıda bir
kopma olup bu moda geçtiğinde nv-ramde ki conf rame aktarılır ve buradan yürütme
işlemi devam eder.
WLC-wriless controller 3
→ flexConnect için bir AP ayrılır ve bu görev verilmiş olur.
CAPWAP
controllerAP ile lwAP ler arasındaki oturumu iletişimi yöneten protokoldür. IEEE
protokolüdür. 802.11 headerı AP den geçtikten sonra 802.H protokolüne dönüşür.
alıcıya gideceği AP de tekrar 802.11 e dönüşür.(aynı 802.1q da olduğu gibi encapsule
edilir.)
WLC-wriless controller 4
WLC-wriless controller 5
WLAN-mesh network
yapılandırması
ilk görsel geleneksel wlan yapılandırmasını ifade ederken ikinci görsel mesh
yapısını ifade eder.