Kablosuz iletişim bileşenleri

Wireless router: Evde kullandığımız modem bu cihaza örnektir.

accessPoint+switch+router özelliklerinin tümünü birleşik olarak bize verir. —layer 3
cihazıdır.

Wireless access point: kablosuz ağı genişletme özelliğine sahip cihazdır. -layer2
cihazıdır.

Wireless Antennas: eksta bir kapsam alanı için fazladan anten kullanılabilir.

Wireless Nic: masaüstü bilgisayarlarda wifi özelliği kazandırmak için kullanılan usb.

Kablosuz iletişim bileşenleri 1

 accesspoint ile ağ genişletme işleminde aynı kanal kullanırsak ilk şekildeki gibi olur
buna co-channel denir. farklı kanallar kullanarak 2. şekli oluşur. buna overlapping denir
verimsiz bir durum oluşturur.

Kablosuz iletişim bileşenleri 2

 Wireless topoloji modları
3 farklı topoloji modu bulunmaktadır.

1. ad-hoc : iki veya daha fazla cihazı arada bir kablosuz cihaz kullanmadan kablosuz
şekilde konuşturma. bir cihazı master seç diğer cihazları slave seç bu şekilde bir
iletişim olur.

bu komutlar ile slave cihazların bağlanacağı master yaratmış olduk.

2. infastrect : arada bir access point veya wireless router kullanıyorsak bu modu
seçmeliyiz.

3. tethering : mobil cihazı modem gibi kullanarak bu cihaza bağlananları internete

çıkarması.

Wireless topoloji modları 1

 WLAN-kanal seçimi

kanallar arasındaki fark 5 mhz dir. kanallar birbirleri ile bu fark nedeni ile çakışabilir.
bu çakışmayı önlemek için birbirleri ile interfrance olmayan doğru kanlları
kullanmalıyız bu kanallar 1-6-11 dir.

eğer tek bir acc point varsa ve etrafımızdaki kullanıcılar fazlalıklar 1-6-11
kullanıyorsa ara kanallar tercih edilebilir.

WLAN-kanal seçimi 1
 eş zamanlı olarak birden fazla kanaldan bilgi göndermek mümkündür. bu teknoloji
sayesinde wifi bant genişlikleri artmıştır. 2.4ghz de bu nadir görülür ancak 5ghz
bandında bu kaçınılmazdır.

WLAN-kanal seçimi 2
 kanal birleştirme durumu ağ izleme programında açıkça gözükmekte.

WLAN-kanal seçimi 3
 WLAN-802.11*

wlan hub larda olduğu gibi half dublex olarak haberleşir. bu nedenle 802.11* deki
teorik hızlar gerçekte mümkün değildir. örneğin 802.11n 600mbps teorik hızları
verirken kullanıcı bu hızların yarısını dahi göremez.

WLAN-802.11* 1
 802.11ax ile bu half dublex i minimalize eden bir özellik tanıtılmıştır. bir uç cihaz ağ
cihazı ile konuşuyor ancak trafiği kullandığı kanal aralığını doldurmuyorsa boş kalan
frekansa farklı bir cihaz paket gönderimi yapar bu sayede beklme en aza inmiş olur.
böyle bir özellik 802.11ax öncesi hiçbir teknolojide yoktur.———- multi user -MIMO —-
bu teknoloji 4g ile hayatımıza girmişti wlan a 802.11ax de girdi.

WLAN-802.11* 2
 WLAN-access point

2 farklı access point türü vardır.

1. autonomous APs: bu tür AP ler birbirinden bağımsızdır her birinin yapılandırmasını

tek tek yapmak gerkir bu zahemtli bir iştir.

2. controller-based APs: bu AP de bir tane controller bulunur diğer AP ler buna bağlıdır
yapılandırmalarını burdan alır. çok basit bir yapılandırma ile ayağa kalkar.→swport
trunk, native vlan gibi yapılandırmaları yapmak sadece

WLAN-access point 1
 WLAN-bss/ess

BSS: tüm wireless cihazlarının tek bir cihaza bağlanmasıdır. bu örnekte iki farklı BSA
var

WLAN-bss/ess 1
 ESS: iki veya daha fazla bss birleştirilerek ortak bir alana alınmasıdır. farklı bss leri birbi
ile konuşturmak için distrubite network cihazı kullanılır. kapsama alanı sw ile
birleştrilerek genişletildi artık iki farklı bss deki cihazlar birbiri ile konuşabilir.

ROAMİNG-gezici: iki farklı bss deki cihazlar farklı bss deki ACCESS POİNT ile iletişim
kurmalı örneğin laptop0 wirelless router 1 ilede iletişime geçebilmeli. bu mobilite için
gerekli bir özelliktir. networkdeki kesintisiz internet için çok önemli. peki bukadar fazla
AP yi nasıl kimlik doğrulamasını yapacak? bu durumda önceki bölümlerde gördüğümüz
AP controller ile yönetim sağlanmalı.

WLAN-bss/ess 2
 WLAN- 802.11 frame yapısı

frame control: frame in tipini belirtir. magement frame gibi..

duration: bir sonraki frami almak için kalan süre 0 dediğine göre başka frame yok.
address1: genellikle alıcının adresi
address2:alıcının adresi
address3:distrubeded sistemde AP routera bağlı ise routerın gateway adresini yazar.

sequence control: fragmente olmuş paketin sıra numarası

WLAN- 802.11 frame yapısı 1

 CSMA/CA -çakışmayı önleyen
yapı
Wlan half dublex yapıdadır.

yani aynı anda veri gönderip alınması mümkün değildir.

half dublex çalışan yapılarda collesion(çakışma görülür) bu çakışmaları azaltmak

için csma/ca teknolojileri kullanılır. 2. katmanda çalışan bir mekanimadır.(data link-
veri güvenirliği)

CSMA/CA -çakışmayı önleyen yapı 1

CSMA/CA -çakışmayı önleyen yapı 2
CSMA/CA -çakışmayı önleyen yapı 3
 pasif-aktif keşif modu /cihazların
ap bulması
probing: AC tarama işlemi.
authantication : AC ile kimlik doğrulama adımı.
assocation: AC ile bağlantı kurma işlemi.

pasif keşif modu—

AC etrafa sürekli beacon framleri yayınlar bu framlerin içinde *ssıd *güvenlik bilgileri
gibi bilgileri yayınlar ve bu framleri saniyede 10 kez olacak şekilde etrafa gönderir.

kullanıcıların gündelik hayattaki manuel olarak arayüzden girip bağlantı kurma

işlemi pasif bağlantıya örnektir.

aktif keşif modu—

clientin bu AC ye bağlanmak istiyorum diye probe request göndermesidir. içinde

*ssıd * -standartlar vs. var.

AC probe requeste karşı bir probe response cevabı gönderilir.

aktif mode ssıd yayınlamasının durdurulmuş olduğu AC lere bağlanmak için

kullanılır. yine client bu gizli ssid olmasına rağmen ben bu ssid biliyorum ve
bağlanmak istiyorum demesi ile bağlantı aktif mod ile yapılır.

pasif-aktif keşif modu /cihazların ap bulması 1

 WLAN-client/AP
bağlantısı(associate)

bağlantı için client discover mesajı ile AC keşfeder ve bağlanmak istediğini söyler bir kimlik doğrulama
işleminden geçer sonra associate adımında ssıd password network modu güvenlik modu ve kanal
uyumluluğu gibi bilgilerin eşleşip eşleşmediği kontrol edilir eğer uyumluysa bağlantı başlatılır.

BAĞLANTI GERÇEKLEŞTİRME ADIMLARI —-

WLAN-client/AP bağlantısı(associate) 1
 ilk probe request ile client AC ye bağlantı isteğinde bulunur. AC cevap olarak probe request döndürür.
client kimlik doğrulama talep eder. AC bu isteği kimlik doğrulama serverına gönderir.(ev kullanıcılarında
bu özellik kapalı.) gelen cevabı cliente iletir. daha sonra kimlik doğrulama uygunsa assocation
adımındaki bilgilerin eşleşip eşleşmediği kontrol edilir eşleşiyorsa bağlantı başlatılır.

WLAN-client/AP bağlantısı(associate) 2
 WLAN- güvenliği

saldırgan ağdaki kullanıcılara 5 farklı şekilde saldıreabilir bu 5 saldırı yöönteminden de

korunmak veya etkisini azaltmak mümkündür.

1. ınterception of data: ağımıza sızmış olan saldırgan bizim gönderdiğimiz paketleri

yakalayıp bu paketlerin içeriğini kuyabilir ancak biz güçlü şifreleme algoritmaları ile
uygulama katmanında bir şifreleme yaparsak bu saldırıdan kurtuluruz. ör:http yerine
https.. telnet yerine SSH gibi protokollerin secure olanlarını kullanmalıyız.

2. wireless ıntruders: ıntruders ağa yetkisiz şekilde sızmış kullanıcıları ifade eder. bu
saldırıdan korunmak için 3. parti uygulamalar ile ağımızı tarayıp tanımadığımız
kullanıcıları öğrenip filtreleyebiliriz. çözümü authentication ile kimlik denetimidir.

3. DOS: hizmet reddi anlamına gelen dos saldırgan tarafından kullandığımız hizmetin
kısıtlanması anlamına gelir. saldırganın deauth paketleri ile kullanıcıları ağdan
düşürmesi buna örnektir. bu saldırıyı önlemek için WIDS WIPS gibi ağı dinleyen
teknolojiler kullanılmalı. bu teknolojiler pasif olarak çalışır. networkde tüm paketlerin
geçeceği bir yere yerleştirilir. span tekniği ile tüm trafik klonlanır ve bizim loglayarak
trafiği raporlarız. dezavantajı bişeylerin yolunda gitmediğini görürüz ancak
müdahale edemeyiz bunun için WIPS kullanmalıyız.

WLAN- güvenliği 1
 4. rogue APs: şeytani ikiz saldırısı ile hedef ssıd nin birebir aynısı yapılabiliyordu rogue
saldırıları bu tür saldırılardır. kullancıyı bizim sahte olarak ürettiğimiz AP üzerinden
geçirerek izlenmesidir. buna çözüm olarak donanımlar üretilmiştir.

5. ManInTheMıdle attacks: saldırgan sahte bir wifi yaparka mıtm saldırısı yapabildiği
gibi ARP tablosu zehirlemesi ilede bu saldırıyı yapabilir. (daha çok fazla mıtm saldırı
yöntemi vardır-paket injection - dns spoof) bu saldırıdan korunmak için AAAA adı
verilen güvenlik protokolünü kullanmalıyız.

WLAN- güvenliği 2
 WLAN-kimlik doğrulama
şimdiye kadar ssıd gizleme ve mac adresi filtrelemeyi görmüştük bu yöntemler bir
güvenlik sağlıyor gibi gözüksede hacker için hiçbirşey ifade etmez. saldırgana karşı
daha iyi önlemler alınması gerekli bu önlemler:

1-open system authentication

hiç şifre girmeden interneti kullanma şeklidir ancak interneti kullanan kişinin bir
kimliğinin alınması gereklidir. bu denetim telefon numarası tc numarası gibi bilgiler
alınarak bu denetim yapılır. clientler kendi güvenliğinden kendi sorumludur.

2.1-shared key/
AP bağlanmak isteyen cliente açık bir mesaj gönderir ve şifrelenmiş bir şekilde clientin
göndermesini bekler. client kendi key i ile bu mesajı şifreleyerek şifrelenmiş mesajı AP
ye gönderir. AP kendi anahtarı ile bu mesajı açabiliyorsa cihazın bağlantısına izin verir.

2.2-psk auth.

WLAN-kimlik doğrulama 1
 hem kablolu hem kablosuz networkde kullanılan bir kimlik doğrulama yöntemidir.

dinamik olarak anahtar üretilir diğer yöntemlerde anahtar değişmezken bu

yöntemde anahtar dinamik olarak değişebilir.

1. ilk durumda PMK denilen bir anahtar vardır. bu anahtar yukarıdaki parametrelerin
birleştirlmesi ile oluşur. PMK yı hem AP hem bağlanacak cihaz gerçekten bu bilgileri

WLAN-kimlik doğrulama 2
 biliyorsa oluşturabilir.

2. hem AP hem client birer rastgele sayı üretir.

3. AP ürettiği rastgele sayıyı ilk mesaj ile cliente bildirir. bu mesaj PMK ile şifreli gelir.

4. client gelen rastgele sayı ve diğer bilgiler ile PTK adında yeni bir key üretir.

5. bu rastgele sayıyı AP de olduğu gibi şifreleyerek karşıya ulaştırır.

6. PTK ikisinin ürettiği rastgele sayılardan oluştuğu için her ikiside şimdi bu PTK yı
hesaplayabiliyor. PTK herkesin bildiği bir algoritmasan geçirilerek GTK adı verilen
yeni bir anahtar üretilir.

7. 3. mesajda AP GTK ile şifreleyerek mesaj gönderir.

8. client elindeki GTK ile bunu açar ve bir ARK paketi göndererek bağlantıyı başarılı
bir şekilde sonlandırır.

belli bir süre geçtikten sonra bu konuşmalar yenilenerek dinamik olarak yeni
anahtarlar oluşturulur.

3- 802.1x/EAP auth.
EAP ile client bağlantı isteğinde bulunduğunda kimlik kontrolü için farklı bir sunucu
kullanılır.
802.1x bir protokoldür ve bu protokol içerisinde pek çok paket bulunur EAP bu
paketlerden sadece birisidir.

EAP ile uzunca bir konuşma sonucunda kimlik doğrulaması yapılır. oldukça
güvenlidir ve enterprise ağlarda kullanılır.

kablolu ve kablosuz olarak kimlik doğrulaması yapılır.

WLAN-kimlik doğrulama 3
 WLAN-kriptolama yöntemleri
bu yöntemelr hem kimlik doğrulama hemde veri şifreleme yöntemleridir.

WEP-WPS

WLAN-kriptolama yöntemleri 1
WLAN-kriptolama yöntemleri 2
 WLAN -port yönlendirme
normal şartlardak bir ağa dışarıdan erişim mümkün değildir. ağa geldiğinde router
tarafından düşürülüp içeri girilmesi engellenir. ancak dışarıdan ağ içindeki cihazlara
erişmek durumunda kalabiliriz.-ör. uzaktan evdeki bilgisayara erişmek, bir
bilgisayarda arka kapı açtığımızda bize gelen bilgileri dinleyebilmek gibi pek çok
gereksinim olabilir.

işte bize gelen istekleri dinleyebilmek için port yönlendirmesi yapmamız gerekli
port yönlendirmesinin mantığı bağlanacak kişi destination port olarak ortak
kararlaştırılan bir porta bağlanır. bizde modem arayüzünden bu porta gelen
paketleri bu bilgisayara yönlendir deriz. bu sayede uzaktaki cihaz global ip: port
girerek bir bağlantı kurmaya çalıştığında bu istekler bize gelir.

daha önceden nat ile iç ağımızdaki bir web sunucusunu bir ip yi tamamen web
server için kullanarak dünyaya açmıştık. şimdi herkesin kullandığı ip ve port
yönlendirmesi kullanarak bu işlemi daha az masraf ile yapabiliriz.

bu işlemi yapabilmek için modem arayzünden 80 portuna gelen istekleri bu ip li

cihaza yönlendir demeliyiz.

WLAN -port yönlendirme 1

WLAN -port yönlendirme 2
 WLC-wriless controller
AP leri controller ile tek bir noktadan yönetilebiliyordu. şimdiye kadar hep autonomous
APleri görmüştük wlc ile controller ile yönetimi yapacağız.

controller ve AP arasındaki konuşma CAPWAP adı verilen bir tünel ile yapılır.

WLC-wriless controller 1
 FLEX CONNECT AP

WLC-wriless controller 2
 şirketin merkezinden diğer şublerdeki AP leri kontrol etmemize olanak tanır.

şubede ve merkezde routerlar birbirleri ile haberleşsin şubedeki AP ler sw lerde

toplanıp bu sw ler de routera bağlı olsun herhangibi AP controller olmasın. bu AP
leri yönetecek controller şirket merkezinde olsun. bu sw ler CAPWAP tüneli adı
verilen bir tünel ile uzak noktadaki AP leri kontrol etmemize olanak tanıyacaktır. (flex
connect AP)

connected mode: CAPWAP tunelinde bir sorun olamdığındaki moddur.

standalone mode : tünelde bir sorun olduğunda AP lere erişimin mümkün olmadığı
durumda geçilen moddur. konfigürasyonu nv-rame yüklenmiştir. bağlantıda bir
kopma olup bu moda geçtiğinde nv-ramde ki conf rame aktarılır ve buradan yürütme
işlemi devam eder.

WLC-wriless controller 3
 → flexConnect için bir AP ayrılır ve bu görev verilmiş olur.

WLC üzerinde SNMP YAPILANDIRMAK

CAPWAP
controllerAP ile lwAP ler arasındaki oturumu iletişimi yöneten protokoldür. IEEE
protokolüdür. 802.11 headerı AP den geçtikten sonra 802.H protokolüne dönüşür.
alıcıya gideceği AP de tekrar 802.11 e dönüşür.(aynı 802.1q da olduğu gibi encapsule
edilir.)

30 saniyede bir gönderilen CAPWAP paketleri ile oturumu yönetir.

WLC-wriless controller 4
WLC-wriless controller 5
 WLAN-mesh network
yapılandırması

ilk görsel geleneksel wlan yapılandırmasını ifade ederken ikinci görsel mesh
yapısını ifade eder.

mesh yapısı çok yükek bir kablo yedekliliği sağlar.

ayrıca genişleme açısından çok daha pratiktir.

WLAN-mesh network yapılandırması 1

 bu örnekte wireless router 1 dhcp si kapatılıp ip adresi wireless router 1 ağından bir
ip adresi verilip kablo ile birbirine bağlandığında router özelliğinden çıkıp mesh
yapıdındaki bir AP ye dönüştü ve ona bağlı olan cihazlara wireless router 0 dhcp ile
ip atayıp tüm ağın birbiri ile haberleşmesi sağlanmış oldu.

WLAN-mesh network yapılandırması 2