802.11 Kablosuzda Olusan Yedi Guvenlik Problemi:

            Network un (ag sebekesi) nin herhangi bir parcasini cok buyuk bir genisleme veya yayilma surecine hazirlamadan once, dogru dizaynin dogru yerde oldugundan emin olmak gerekir. Iyi bir network dizayni cogu zaman dizayni piyasaya surus bicimi ve musterilerin sikayet seli arasindaki farktir. 

            Bir cok kurulus ve organizasyon su an kablosuz yerel ag kullanim alanini genisletmeyi ve gelistirmeyi dusunmektedir. Ve bu kuruluslar pilot projelere gecmeden once, temel network dizayni uzerinde yogunlasmis durumdalardir. 802.11 network le ilgili bir cok problem baska yerlerde rapor edildi Ancak her zaman oldugu gibi network guvenligi, uzerinde dusunulmesi gereken bir konudur. Network yaraticilari veya mimarlari, su anki bilinen problemler isinginda guvenli bir network dizayni yaratimi sorunuyla yuz yuze geldiler. Bu yazi en cok uzerinde durulan yedi onemli kablosuz yerel ag problemlerinin, ve bu proglemlerin yukselttigi guvenlik risklerini hafifletecek olasi dizaynlarin uzerinde duracak.

Problem 1: Kolay Erisim;
            Kablosuz yerel aglari (LAN) bulmasi gercekten kolaydir. Ama bu kolaylik bir guvenlik tehditi sayilmaz. Cunku muhtemel kullanicilarin network tarafindan saglanan servisleri kullanip, baglanabilmeleri icin,; kablosuz networklerin kolayca varliklarini duyurabilmeleri gerekir. 802.11; Beacons adi verilen cerceveler icinde, kablosuz network un kendisini dunyaya belirli periodlarla, araliklarla duyurmasini gerekli kilar. 

            Ancak, network e katilmak ve kullanmak icin kullanilan bilgi, ayni zamanda network e saldirmak icinde kullanilir. Beacon cerceveleri adini verdigimiz yapilar hic bir ozel veya gizli fonksiyonlarla calistirilmaz. Bu demek oluyorki sizin 802.11 sunucunuz ve onun parametreleri, 802.11 karti olan herkese aciktir. “War Drivers” (savas suruculeri); Beacon cercevelerinin goruntulerini kayit etmet icin, ve GPS kullanarak bu cercevelerin cografi bolgelerini bulmak icin, yuksek alimli veya cekimli antenler ve software lerdan faydalandilar.

            RF sinyallerinin disariya cikmasina izin vermeyen zirhli, cok syki korunan bir ofise bile saklansaniz, bu probleme bir cozum bulamazsiniz. Yapilacak en iyi sey; guclu erisim kontrolu, ve kripto (sifreli yazi) cozumleri kullanarak, kablosuz sebekenin, networke kolay bir giris kapisi olmasini engellemektir. Bence firewall in disinda erisim noktalari olusturun ve yayin, ve VPN lerle hassas trafigi koruyun.

Problem 2; “Rogue” erisim noktalari;
            Kablosuz yerel ag (LAN) a kolay ulasim, kolay dagilimla baglantilidir. Bu iki ozellik eger birlestirilirse, bu network adminlerine bir cok bas agrisi verir. Herhangi biri bir bilgisayar bayiisine gidip bir erisim noktasi satin alip, herhangi bir musterek networke hicbir onay gerekmeden baglanabilir. Eger onay imzali ve izinli bir erisim noktasi almak istiyorsaniz, imzalayan yetkli o kadar yuksek rutbeli olmasa bile, fiyatlar bir hayli yuksektir. Bakanliklar bile daha yuksek devlet kurumlarinin iznine gerek duymadan kendi kablosuz yerel aglarini yayinlayabilir veya pazarlayabilirler. End(?ne manaya geldigini anlamadim) kullanicalari tarafindan yayilan Rogue erisim noktalari cok buyuk guvenlik riski olusturur. End kullanicilari guvenlik uzmanlari degildir ve kablolsuz yerel aglarin olusturdugu rislerden habersiz olabilirler. War drivers (savas suruculeri) tarafindan haritalanan en heyecanli kucuk yayilmalar urun uzerindeki guvenlik ozelliklerini aktiflestirmez, ve bir cok erisim noktasi fabrika ayarlarinda yapilan cok kucuk degisikliklerle yetinmistir. End kullaniclarin buyuk bir musterek networkte daha iyi is yapacaklarina inanmak zordur. 

            Maalesef bu konuya iyi ve kullanisli diyebilecegimiz bir cozum yolu yoktur. NetStumbler gibi araclar, adminlere sistem icinde gezmeyi ve onaysiz erisim kodlarini kolayca bulmayi saglar. Ancak bu binanin (veya sistemde diyebiliriz) icinde uzun sure yeni erisim kodlari bulmak icin gezmek cok pahaliya gelebilir

            Eger ayni kati veya binayi baska kurumlarla paylasiyorsaniz, monitor veya izleme  programlari diger giris kodlarini bulmada yardimci olabilir. Onlarin kullanici noktalari sizin kullanici alaninizda yer kaplayabilir, ama onlarin giris noktalari sizin network unuzle uzlasmaz ve herhangi bir guvenlik alarmina yol acmaz. Belirli araliklarla sirketiniz (bu gercek anlamdada sirket olabilir, mecazi anlamda sistem manasinada gelebilir) icinde yuruyusu cikarak herhangi bir onaysiz yayilmayi onleyebilirsiniz. En azindan network analizcileri bu konuda hem fikir olmaya basladilar, yani butun herseyi siz yapmak zorunda degilsiniz.

Problem 3: Onaysiz Hizmet Kullanimi; 
            Bazi savas suruculerinin son yayinlanan raporlarina gore erisim noktalarinin cok buyuk bir cogunlugu fabrika ayarlarinda yapilan cok dusuk belkide en az degisiklerle hizmete koyuldular. Neredeyse fabrika ayarlariyla calisan butun erisim noktalarinda WEP (Wired Equivalent Privacy) aktif halde degildir veyada butun urunlere genel bir fabrika ayari cekilmistir. WEP olmadanda network e erisim resmen aciktir. 

            Bu cesit acik erisim, iki problemle sonuclanir. Bandwidth cezalarindan baska, bu onaysiz erisim yasal problemlerede yol acabilir. Onaysiz kullanicilar sizin servis sunucusunun kurallarina ve policesine uymayabilir. Ve bir saldirgan kolayca ISP niz ile baglantinizi sonlandirabilir. Onaysiz kullanim her ne kadar bir problemsede, bu yinede servisin hedeflerine baglidir. Kablolu networklerini genisleten musterek kullaniclar icin, kablosuz networke ulasim kabloluya oldugu kadar syki bir bicimde kontrol edilmelidir. Guclu bir resmi onay, networke erisimden once saglanmasi gereken bir zorunluluktur. 

            Eger networkunuzu kablosuz musterilerden korumak icin VPN yerlestirdiyseniz, bu VPN buyuk ihtimalle icinde guclu bir resmi onay kapasitesi bulundurur. Adminler ayrica onaysiz kullanicilardan networklerini korumak icin 802.1x i de secebilirler. 802.1x in diger bir ozelligi ise Tasima tabakasi guvenligi (TLS Transport Layer Security) kullanarak adminlere ust duzey bir resmi onay secenegini secme olanagi tanir. TLS ayni zamanda kullanicilarin onayli erisim noktalarini kullanmalarini saglamaktada kullanilir. 

            Ancak butun networkler tabir yerindeyse demir zirhla kaplanmis kullanici onayina ihtiyac duymaz. Bir zamanlar baglanti saglayicilarinin en buyuk korkusu onemli yerlerde yani otel, ve havaalanlari gibi yerlerde meydana gelen servis hirsizligiydi. Bir muddet sonra is dunyasi bu network erisimini parali yapti. Bunun sebebi onaysiz erisimi engellemekti ve bir muddet sonra onaysiz girisi engellemek bir ticaret zorunlugu haline geldi. MobilStar gibi cok buyuk bir sirketin bu sikintilar yuzunden yok olmasi, pahali yerlerdeki baglanti endustrisini, yeni ticaret modellerini denemeye itti.

            Ticaret dunyasina yeni girmis pazarlama oyunculari, ticaret modellerini bedava kablosuz network dagitiminin yeni kullanicilar ve sirketler cekecegi teorisine dayandirmis durumdalar. Yani bedava kablosuz networkle musteri cekmeye calisiyorlar. Bu yeni ticaret modelinde, kullanici resmi onayi sadece mesuliyetten kurtulmak icin vardir. Internet araciligiyla resmi onay kodu tamamen kabul edilebilinir bir cozum yoludur, cunku bu oturumlari tanimlamaniza izin verir, ve ayrica ozellestirilmis musteri software i veya 802.11 network arabiriminin ozel bir versiyonunu gerektirmez.

Problem 4: Servis ve performans kisitlamalari 
            Kablosuz yerel aglar kisitli iletim kapasitesine sahiptir. 802.11 e bagli networkler 11 mph oranina sahip ve 802.11 in yeni versiyonlarina dayali networkler 54 mph oranina kadar yukselelbilirler. Bu kapasite erisim notasini kullanabilen butun kullanicilar tarafindan paylasilir. Bu tur limitli bir kapasiteyi, yerel uygulamalarin (application) larin ne kadar cabuk yorup, donturabilecegini kestirmek hicte zor degildir. Ve bu aciktan bir saldirgan ‘hizmet inkar atagi’ ni kullanarak saldirabilir.

            Radyo kapasitesi bir cok yolla bunaltilabilir veya tikandirabilinir. Kablolu network tarafindan, radio kanalinin kaldirabileceginden daha fazla bir oranla gonderilen trafik; radyo kapasitesini yerle bir edebilir.

            Eger saldirgan hizli bir internet saglayicisindan ‘ping flood’ yapmaya calisirsa, bu cok kolay bir sekilde erisim noktasini (access point) yorabilir. Ping flood un ulasma yeri olarak bir radyo yayin adresi kullanilirsa birden fazla erisim noktasini tikamak mumkun olabilir.

            Kablosuz erisim noktasina saldirmadan, saldirgan radyo networkune trafik enjekte edebilirler. 802.11 Mac leri birden fazla networkun ayni kullanim alani ve ayni radyo kanalini kullanmasina izin verecek sekilde dizayn edilmistir. Butun kablosuz network u ortadan kaldirmak isteyen bir saldirgan, kendi trafigini ayni radyo istasyonuna gonderebilir. Ve hedef network standart CSMA/CA mekanizmasini kullanarak bu yeni gonderilen trafige mumkun oldugunca uymaya calisacaktir.

            Herhangi bir network muhendisininde dogrulayabilecegi gibi, buyuk trafik yogunlugu sadece kotu niyetli olarak yaratilmak zorunda degildir. Buyuk dosya transferleri veya cok karisik musteri veye server sistemleri, musterilere islerinde yardim etmek icin network uzerinden cok genis bilgiler transfer edebilir. Eger yeteri kadar kullanici ayni anda ayni erisim noktasindan bilgi (data) izleri surerek bilgi edinmeye calisirsa network o kutuplardaki her seyi yutan girdaplara doner.

            Problemlerle ilgilenme, onlari izleme ve kesfetmeyle olur. Bir cok erisim noktalari SNMP yoluyla istatistik raporlari verirler ama bu raporlar son kullanicin performansi hakkindaki sikayetlerini detayli bir bicimde gostermez veya bu bilgilerden bir anlam cikartilmaz. Kablosuz network analizcileri bir kalite sinayali ve belli bir yerdeki network un saglikli calismasiyla ilgili rapor yapabilir, ama kablosuz network te adminleri icin dizayn edilen araclar yeni yeni belirmeye basladi.

            Baslica ticari kablosuz analiz suruculeri ayni kablolu sirketlerin kablosuz urunleridir. Ornegin Air Magnet analiz araci bayagi iddiali bir urun. Simdiye kadar hic isletme tipi bir kablosuz network yonetim sistemi uretilmedi. Network un omiriligi diyebilecegimiz bir yere baglanti yapan kablosuz yerel aga (LAN) bir trafik sekillendirici yerlestirilerek bazi performans sikayetleri ulastirilabilinir. Bu hizmet inkar atagini onleyemez, ancak agir kullanicilarin radyo kaynaklarini tekellemeye calismalarini engelleyebilir.

Problem 5: Mac le hile yapma ve oturumu ele gecirme;
802.11 networkleri sistem icindeki cercevelere (frame) lere onay vermez. Her cercevenin bir adres kaynagi vardir, ama cerceveyi gonderen istasyonun gercekten o cerceveyi yayinladi, yani o sinyalin onlardan ciktigini garanti etmek imkansizdir. Ayni geleneksel Ethernet networkleri gibi, cerceve kaynak adresinin degistirilme ihtimaline karsi bir koruma yontemi yoktur.

            Saldirgan bozuk veya hilelendirilmis cerceveler kullanarak trafigin yonunu degistirebilir, ve hatta ARP table larini yerle bir edebilir. Daha basit bir seviyede, saldirgan network icinde kullanimda olan MAC adreslerini gozlemleyebilir ve bu adresleri kotu niyetli nakiller veya sizdirmalar icin kullanabilir. Bu tip saldirilardan korunmak icin, 802.11 networklerinde kullanici resmi onay mekanizmasi gelistirilmistir. Potansiyel kullanicilar tarafindan zorunlu kilinan onay kodu, izinsiz kullanicilarin network e ulasimini engeller. (hizmet inkar atagi kullanmak bu durumda hala mumkundur, cunku saldirganin radyo tabakasina ulasmasini engellemek imkansizdir.)

            Kullanici resmi onay mekanizmasinin temeli haziran 2001 yilinda olusturulan 802.1x tir. Bu olusum network e ulasmak icin gerekli olan kullanici resmi onay mekanizmasini bir zorunluluk haline getirir. Yani giris icin onay ister, ancak kablosuz networkun gerekli gordugu butun ‘anahtar yonetim fonksiyonlarini’ karsilamak icin 802.1x in extra ozelliklerle donatilmis olmasi gerekir. Bu extra ozellikler Task Group 1 tarafindan sabitlenmis ve sonunda 802.1i versiyonunda yer almistir.

            Saldirgan hilelendirilmis cerceveleri aktif saldirilardada kullanabilirler. Oturumu ele gecirmektende ote, saldirgan sistemin icinde onay kodu mekanizmasini barindirmayan erisim noktalarinida aciga cikartabilir. Erisim noktalari Beacon cerceveleri adi verilen sinyalleri yayinlama bicimleriyle tanimlanabilir. Bir erisim noktasi oldugunu iddia eden ve dogru hizmet tanimlayici sinyaller yayinlayan her istasyon onlayli ve izinden gecmis bir networkun parcasidir. Ancak 802.11, hic bir erisim noktasinin gercekten o erisim noktasi olup olmadigini sormadigindan dolayi, saldirganlar kendilerine bir erisim noktasi susu vererek yine istediklerini yaparlar. Bu noktada saldirgan kimlik kartlarini (credentials) calabilir, ve (a man-in-the-middle (MITM) attack.) “ortadaki adam” saldirisini kullanarak networke erisim saglayabilir.

            Cok sukurki 802.1x de resmi onay mekanizmasini zorunlu kilan protokoller vardir. TLS yontemi kullanmak sartiyla musteriler kendi resmi onay kimliklerini vermeden once, erisim noktalasi kendini tanimlamak zorunda kalacaktir. Ve bu tur onay kimlikleri havada radyo sinyalleri olarak gelis gidislerini surdururlurken cok guclu sifreleyici kriptolarla korunurlar.

            Oturumu kapatma veya ele gecirme gibi saldiri yontemlerini; 802.11 MAC ‘her cerceve icin onay kodu’ methoduna gecmedigi surece hala bir problem olarak kalacaktir. Eger sizde bu sorunlardan dolayi muzdaripseniz 802.11 in uzerine bir kripto sifre protokolu olusturarak cozumu bulabilirsiniz.

Problem 6: Trafik analizi ve gizli dinleme yontemi;
            Pasif bir sekilde sadece trafigi izlemek amaciyla yapilan saldirilara karsi 802.11 in bir korumasi yoktur. Ana risk bu 802.11 in gecis halindeki bilgilerin gizli dinleme yolu (eavesdropping)ile kullanilmasina karsi korumasi yoktur. Cerceve basliklari her zaman acik , kablosuz network analizcisi olan herkesin gorebilecegi sekildedir. Bu soruna karsi cozum Wired Equivalent Privacy (WEP) tarafindan saglanmaliydi. Wep teki aciklarla ilgili bir cok sey yazildi. Wep sadece belli basil network le alakali seyleri ve kullanici bilgi cerceverlirini koruyor. Yonetim ve kontrol cerceveleri WEP tarafindan ne sifreleniyor need onay kodu soruluyor. Buda saldirganlara hilelendirilmis cerceve yontemi kullanarak bilgi alisverisini kesme ve rahatsiz etme gibi ozellikler veriyor. 

            Ilk wep uygulamalari AirSnort ve WEPcrack gibi crack araclarina karsi cok hassastilar ama son cikartilan surumleri butun bilinen saldirilara karsi korumalidirlar. En son versiyonlari bir adim daha ileri giderek anahtar yonetim protokolleri kullanarak WEP anahtarlarini her 15 dakikada bir degistiriler. En mesgul ve yaygin kablosuz yerel aglar bile 15 dakikada anahtari tamir edecek kadar bilgi uretemez. Tamamen WEP e guvenseniz veyada WEP uzerine sifreleyici bir program yukleyip kullansaniz bile, butun olay cok buyuk bir risk yonetimidir. En son cikan versiyonlarin simdiye kadar ortaya cikan bir aciklari olmamistir. Bu sizi rahatlatsada, 2001 temmuzunda piyasaya cikan WEP crack araclari icinde ayni sey soylenmisti. Eger sizin kablosuz yerel aginiz cok hassas bilgiler icin kullaniliyorsa, ihtiyaclarinizi karsilama acisindan WEP cok yetersiz kalabilir. Guclu sifreleyici programlar (SSH, SSL, ve IPSec gibi) halka acik yerlerde bile guvenli bilgi transferinde kendilerini kanitlamislardir, ve daha guvenilirlerdir.

Problem 7: Ileri duzeyde Saldirilar;
            Saldirgan kablosuz network e bir erisim sagladimi, bu network u diger sistemlere bir saldiri noktasi olarak kullanabilirler. Bir cok network un cok titizlikle korunan ve devamli izlemeye tabi tutulan bir dis kabugu vardir. Ama bu kabugun ici cok hassas ve saldirilar icin goz alicidir.

            Kablusuz yerel aglar (LAN) lar eger hassas omirilik kismina direkt baglanti icerisindeyse, yayilmasi cok daha kolay olur. Ama bu network u saldiri yapmak icin aciga cikartir. Halihazirdaki perimeter(cevre veya cember) guvenligine bagli olarak, bu mekanizma diger networkleride saldiri icin ortaya cikartir. Ve eger network unuz dunyadaki diger networklere saldiri duzenleyen bir merkez haline gelirse basiniz cok belaya girer. Buna cozum icin teori sudur; kablosuz network e guvenlik cevresinin disindaymis gibi davran, ama network un icine ozel bir ulasim yolu yarat. Bunu yapmak cok zaman alsada baska careniz yok.

Sonuc:
            Uzerindeki baskidan dolayi kablosuz yerel ag guvenligi zor gozuksede, bir cok tehlikeler onceden alinan onlemlerle engellenebilir. Network dizaynlari elbette musteri istekleri ve gelisen yeni teknolojiden etkilenecektir.

            Kablosuz network le ilgili bir sonraki yeni dalga tasinabilirlik olacaktir. Ama bu konuyu ileriki gunlere ve gelisen teknolojiye birakiyorum.