Kablosuz Ağ Güvenliği: Saklayamazsın! Korunman Lazım


Kritik yerlerdeki kablosuz ağlar konusunda akla gelen ilk güvenlik yaklaşımlarından birisi kablosuz ağları “görünmez” yapmaktır. Bazı ağ yöneticilerine sorarsanız; kablosuz ağın adının gizlenmesi onu saldırganların gözünde “görünmez” yapmakta ve böylece kimse “göremediği bir şeye saldıramayacağı için” kablosuz ağ güvendedir. 

Herhangi bir şeyin “görünmediği” için güvende olduğu varsayımı port kullanımı konusunda da karşımıza çıkmaktadır. Bir web uygulaması veya web servisini standart olmayan bir porttan çalıştırıldığını ve sadece bu nedenle “güvende” olduğunun varsayıldığı pek çok durumla karşılaştım.
Evet, web uygulaması denilince aklımıza önce 80 ve 443 numaralı portlar gelir. Web uygulamalarını hedef alacak bir saldırganın da öncelikle bu portlarla ilgilenmesi belli ölçüde anlamlıdır. 

Ne yazık ki saldırganların sadece bu portlara bakıp “burada bir şey yokmuş, başka IP adresine bakayım” dediği bir dünyada yaşamıyoruz. Bu nedenle gizlemenin veya saklamanın bir güvenlik unsuru olarak düşünülmesi gerçekçi değildir. 
Kablosuz ağların temel güvenlik sorunu her şeyin havadan ve her yöne gidiyor olmasıdır. Normal şartlarda kuruluş ağımıza bağlı bir Ethernet kablosunu Istanbul’da Taksim meydanına veya Ankara’da Kızılay meydanına kadar uzatıp ucunu boşta bırakmayız. Konu kablosuz ağ olunca ne yazık ki durum biraz bu şekilde gelişiyor. Bu nedenle kablosuz ağın güvenliğini sağlamak sadece “gizleyerek” mümkün olmuyor.  

Aşağıdaki ekran görüntüsünde civardaki kablosuz ağlar görülebilir. Bunların bazılarının ismi görünürken, bazılarının ismi “gizli”. İşletim sistemlerine bağlı olarak “normal” kullanıcılar bu ağları görmeyebilir ancak kuruluşunuzu hedef alacak bir saldırgan bunları görebilir. En azından o kanalda bir kablosuz ağ erişim noktasının var olduğunu görebilir. 



<length:  0> olarak görünen kablosuz ağ erişim noktaları isimlerini yayınlamayacak şekilde kurulmuştur. 


Yukarıda görülebileceği gibi bir saldırganın bu kablosuz ağ erişim noktasının adını kolayca görebilecektir. 

Kablosuz ağ erişim noktalarını kablosuz ağ ismini yayınlamayacak şekilde ayarladığımızda aslında ismin sadece kablosuz ağ erişim noktasının (wireless Access point veya Access point) tarafından gönderilen paketlerde görünmesi engellenir. Kablosuz ağ erişim noktasına bağlı bir istemci (laptop, el terminali, telefon veya tablet) olması halinde bu cihazından çıkan paketlerde erişim noktasının adı görünecektir. 
Saldırganın yapması gereken tek şey ortamı dinleyerek bir istemcinin bu kablosuz ağ erişim noktasına bağlanmasını beklemektir. 
Bu neredeyse hiç dikkat çekmeyecek bir yöntemdir ve saldırganın belli ölçüde sabırlı olmasını gerektirebilir. 
Saldırganın daha aceleci olduğu durumlarda ise kullanılan teknik “deauth” adı verilen bağlantı kesme paketlerini gönderdiğini görüyoruz. Bu durumda saldırganın amacı mevcut istemcilerin bağlantılarını kopartarak yeniden bağlanmalarını sağlamaktır. Bu bağlantı tekrar kurulurken, yine istemcinin göndereceği paketlerden kablosuz ağ erişim noktasının adını öğrenebilir. 

Kablosuz ağ erişim noktalarını tanımlayan 3 temel değer vardır; MAC adresi, erişim noktası adı (kablosuz ağ adı) ve yayın yaptığı kanal. Bu 3 değere sahip bir saldırgan kablosuz ağ erişim noktasının bir “ikizini” oluşturup “evil twin attack” (kötü kalpli ikiz) olarak adlandırılan bir saldırı gerçekleştirip istemcilerin kendine bağlanmasını sağlayabilir. 

Bu tür bir saldırıya karşı kendimizi korumak için yapabileceğimiz bazı şeyler şunlardır;
  • Kafe veya otel gibi herkese açık bir kablosuz ağa bağlanırken ilk denemede parolayı bilerek yanlış girin. Buna rağmen bağlanmanıza izin veriyorsa muhtemelen kötü niyetli bir ağ erişim noktasıyla karşı karşıyasınız.
  • "Bu ağı hatırla" veya "otomatik bağlan" gibi seçenekleri devre dışı bırakın. Bu sayede bilgisayarınız veya tabletiniz tanıdığını zannettiği bir erişim noktası bulduğunda otomatik olarak bağlanmaya çalışmayacaktır. 
  • Aynı kablosuz ağa bağlı olarak uzun süre çalışacaksanız belli aralıklarla bağlantıyı kesip yeniden bağlanmayı deneyin (önce yanlış parolayla) böylece hala doğru ağ erişim noktasına bağlı olduğunuzu teyit etmiş olursunuz.
  • Düzenli aralıklarla kuruluş içerisinde bulunan ağ erişim noktalarını tarayın (katları ve ortak alanları gezin) ve tanımadığınız, fazla veya sonradan ortaya çıkmış ağ erişim noktalarını tespit edin.
  • Kablosuz ağ trafiğinizi izleyip çok sayıda deauth paketi gönderen istemcileri tespit edecek bir mekanizma kurun. Bunun için herhangi bir şey satınalmanıza gerek yok, basit bir kaç betikle yapılabiliyor. 
  • Halka açık kablosuz ağlarda mutlaka güvendiğiniz bir VPN kullanın.

Comments