Kritik yerlerdeki
kablosuz ağlar konusunda akla gelen ilk güvenlik yaklaşımlarından birisi
kablosuz ağları “görünmez” yapmaktır. Bazı ağ yöneticilerine sorarsanız;
kablosuz ağın adının gizlenmesi onu saldırganların gözünde “görünmez” yapmakta
ve böylece kimse “göremediği bir şeye saldıramayacağı için” kablosuz ağ
güvendedir.
Herhangi bir
şeyin “görünmediği” için güvende olduğu varsayımı port kullanımı konusunda da
karşımıza çıkmaktadır. Bir web uygulaması veya web servisini standart olmayan
bir porttan çalıştırıldığını ve sadece bu nedenle “güvende” olduğunun
varsayıldığı pek çok durumla karşılaştım.
Evet, web uygulaması denilince
aklımıza önce 80 ve 443 numaralı portlar gelir. Web uygulamalarını hedef alacak
bir saldırganın da öncelikle bu portlarla ilgilenmesi belli ölçüde anlamlıdır.
Ne yazık ki
saldırganların sadece bu portlara bakıp “burada bir şey yokmuş, başka IP
adresine bakayım” dediği bir dünyada yaşamıyoruz. Bu nedenle gizlemenin veya
saklamanın bir güvenlik unsuru olarak düşünülmesi gerçekçi değildir.
Kablosuz ağların
temel güvenlik sorunu her şeyin havadan ve her yöne gidiyor olmasıdır. Normal
şartlarda kuruluş ağımıza bağlı bir Ethernet kablosunu Istanbul’da Taksim
meydanına veya Ankara’da Kızılay meydanına kadar uzatıp ucunu boşta bırakmayız.
Konu kablosuz ağ olunca ne yazık ki durum biraz bu şekilde gelişiyor. Bu
nedenle kablosuz ağın güvenliğini sağlamak sadece “gizleyerek” mümkün olmuyor.
Aşağıdaki ekran
görüntüsünde civardaki kablosuz ağlar görülebilir. Bunların bazılarının ismi
görünürken, bazılarının ismi “gizli”. İşletim sistemlerine bağlı olarak “normal”
kullanıcılar bu ağları görmeyebilir ancak kuruluşunuzu hedef alacak bir saldırgan
bunları görebilir. En azından o kanalda bir kablosuz ağ erişim noktasının var
olduğunu görebilir.
<length: 0> olarak görünen kablosuz ağ erişim
noktaları isimlerini yayınlamayacak şekilde kurulmuştur.
Yukarıda
görülebileceği gibi bir saldırganın bu kablosuz ağ erişim noktasının adını
kolayca görebilecektir.
Kablosuz ağ
erişim noktalarını kablosuz ağ ismini yayınlamayacak şekilde ayarladığımızda aslında
ismin sadece kablosuz ağ erişim noktasının (wireless Access point veya Access point)
tarafından gönderilen paketlerde görünmesi engellenir. Kablosuz ağ erişim
noktasına bağlı bir istemci (laptop, el terminali, telefon veya tablet) olması
halinde bu cihazından çıkan paketlerde erişim noktasının adı görünecektir.
Saldırganın
yapması gereken tek şey ortamı dinleyerek bir istemcinin bu kablosuz ağ erişim
noktasına bağlanmasını beklemektir.
Bu neredeyse hiç
dikkat çekmeyecek bir yöntemdir ve saldırganın belli ölçüde sabırlı olmasını
gerektirebilir.
Saldırganın daha
aceleci olduğu durumlarda ise kullanılan teknik “deauth” adı verilen bağlantı
kesme paketlerini gönderdiğini görüyoruz. Bu durumda saldırganın amacı mevcut istemcilerin
bağlantılarını kopartarak yeniden bağlanmalarını sağlamaktır. Bu bağlantı
tekrar kurulurken, yine istemcinin göndereceği paketlerden kablosuz ağ erişim
noktasının adını öğrenebilir.
Kablosuz ağ erişim noktalarını tanımlayan 3 temel
değer vardır; MAC adresi, erişim noktası adı (kablosuz ağ adı) ve yayın yaptığı
kanal. Bu 3 değere sahip bir saldırgan kablosuz ağ erişim noktasının bir “ikizini”
oluşturup “evil twin attack” (kötü kalpli ikiz) olarak adlandırılan bir saldırı
gerçekleştirip istemcilerin kendine bağlanmasını sağlayabilir.
Bu tür bir saldırıya karşı kendimizi korumak için yapabileceğimiz bazı şeyler şunlardır;
- Kafe veya otel gibi herkese açık bir kablosuz ağa bağlanırken ilk denemede parolayı bilerek yanlış girin. Buna rağmen bağlanmanıza izin veriyorsa muhtemelen kötü niyetli bir ağ erişim noktasıyla karşı karşıyasınız.
- "Bu ağı hatırla" veya "otomatik bağlan" gibi seçenekleri devre dışı bırakın. Bu sayede bilgisayarınız veya tabletiniz tanıdığını zannettiği bir erişim noktası bulduğunda otomatik olarak bağlanmaya çalışmayacaktır.
- Aynı kablosuz ağa bağlı olarak uzun süre çalışacaksanız belli aralıklarla bağlantıyı kesip yeniden bağlanmayı deneyin (önce yanlış parolayla) böylece hala doğru ağ erişim noktasına bağlı olduğunuzu teyit etmiş olursunuz.
- Düzenli aralıklarla kuruluş içerisinde bulunan ağ erişim noktalarını tarayın (katları ve ortak alanları gezin) ve tanımadığınız, fazla veya sonradan ortaya çıkmış ağ erişim noktalarını tespit edin.
- Kablosuz ağ trafiğinizi izleyip çok sayıda deauth paketi gönderen istemcileri tespit edecek bir mekanizma kurun. Bunun için herhangi bir şey satınalmanıza gerek yok, basit bir kaç betikle yapılabiliyor.
- Halka açık kablosuz ağlarda mutlaka güvendiğiniz bir VPN kullanın.
No comments:
Post a Comment