1. Ana Sayfa
  2. Siber Güvenlik
  3. Kablosuz Ağlarda Şifreleme, Kimlik Doğrulama ve Güvenlik Önlemleri

Kablosuz Ağlarda Şifreleme, Kimlik Doğrulama ve Güvenlik Önlemleri

ken-friis-larsen-na-474S3EHk-unsplash

Kablosuz Ağlarda Şifreleme, Kimlik Doğrulama ve Güvenlik Önlemleri- Kablosuz ağlar günümüzün vazgeçilmez teknolojilerinden birisi. Peki kablosuz ağlarda kimlik doğrulaması ve şifreleme işlemleri nasıl yapılıyor? Hangi güvenlik önlemlerini alabiliriz? Hadi beraber inceleyelim.

kablosuz ağlarda şifreleme - kimlik doğrulama ve güvenlik önlemleri

Kablosuz Ağlarda Şifreleme ve Kimlik Doğrulama

1-) WEP

Hem şifreleme protokolü hem de kimlik doğrulama işleminin ismidir. İlk başlarda kısıtlamalardan dolayı 64 bitlik WEP key kullanılıyordu. 64 bitin, 24 biti verinin şifrelenmesi ve çözülmesi için kullanılan initialization vector (IV) ve 40 biti ise anahtardan (key) oluşur. Anahtar aslında girilen parola bilgisidir. 40 bitlik bir yer ayrıldığı için parola en fazla 10 alfanumerik karakterden oluşabilir.

Bu 64 bit, RC4 isimli bir algoritmayla işleme sokulur ve başka bir değer elde edilir. Son olarak ilk değer ve en son değer XOR işlemine sokulur. Daha sonradan kısıtlamalar kaldırılmıştır ve 128, 152, 256 bit versiyonları çıkmıştır. Bu versiyonların IV değerleri 24 bittir.

kablosuz ağlarda şifreleme ve kimlik doğrulama

Üretilen her IV’nin benzersiz(unique) olmalıdır. Ancak aktif bir ağda yaklaşık 5000 paketten sonra aynı IV değerinin tekrarlanma olasılığı %50’dir. Bu IV’lerin toplanabilmesi için ARP paketleri ya da TCP paketleri izlenip, kaydedilerek parolanın şifrelenmiş hali elde edilebilir. ARP paketleri AP tarafından broadcast yapıldığı için toplanması kolaydır.

2. WPA / WPA2

WEP üzerindeki ciddi güvenlik zafiyetleri nedeniyle geçici bir çözüm olarak, 2003 yılında TKIP şifreleme metodunu kullanan WPA oluşturulmuştur. 2004 yılında ise AES şifreleme algoritması ve CCMP şifreleme metodunun kullanıldığı Gizli SSID’ye Sahip Kablosuz Ağların KeşfiWPA2 ortaya çıkmıştır. Kimlik doğrulama metodu ise kurumsal ve Preshared Key (PSK) metotları geliştirilmiştir. WPA2 dörtlü el sıkışma (4 way handshake) kullanır.

WPA şifreleme yöntemi olarak TKIP kullanır. AES-CCMP ve WEP’i destekler. WEP’teki zafiyetlere karşı 3 güvenlik önlemi geliştirilmiştir.

1- Anahtar ve IV, kriptografik algoritmaya tabi tutulmadan önce bir fonksiyona sokulur ve o şekilde gönderilir.

2- Paketler için bir sıra numarası (sequence number) koyar. Böylece replay attack (arka arkaya sahte istek gönderilmesi) durumunda AP bu paketleri yok sayacaktır.

3- Paketlerin bütünlüğünün kontrol edilmesi amacıyla 64 bitlik Message Integrity Check (MIC) eklenmiştir. WEP’te içeriği bilinen bir paket, şifre çözülmese dahi değiştirilebilir.

Tüm bu gelişmelere rağmen 2017 yılında yayımlanan Krack zafiyeti ile WPA ve WPA2 protokollerinde handsake arasına girerek şifreleme işlemlerinin geri dönüşümlü olarak yapılmasını mümkün kılmıştır.

3. WPA3

Uzun yıllar boyunca kullanılan WPA2 üzerindeki zafiyetlerin giderilmesi amacıyla 2018 yılında duyurulmuş yeni bir şifreleme protokoldür.

WPA3 ile gelen yenilikler:

– Kaba kuvvet saldırılarına karşı koruma.

– Genel ağ gizliği . Temel olarak parola erişimsiz bir noktaya bağlanılsa bile iletişimin şifreleneceği anlamına geliyor.

– İnternetin güvenliğini sağlama. Ağa katılan her cihaza fazladan bir kimlik doğrulama yöntemi kullanılacak

– Daha güçlü şifreleme. Commercial National Security Algorithm Suite kullanarak 192 bit şifreleme işlemi gereçekleştirilecek. Bu durum kullanıcı güvenliğini arttıracaktır.

4. TKIP

Büyük ölçüde WEP’e benzerlik gösterir. WEP üzerinde yapılan atakların çoğundan etkilenir.

5. CCMP

AES alınarak verilerin şifrelenmesi için tasarlanan şifreleme protokolüdür. CCMP’nin güvenlik için getirdiği yenilikler:

– Veri güvenliği: Sadece yetkili kısımlar tarafından erişilebilir

– Kimlik doğrulama: Kullanıcının ‘gerçekliğini’ doğrulama olanağı verir.

– Erişim kontrolü: Katmanlar arası bağlantı/yönetim gelişmiştir.

6. EAP (Extensible Authentication Protocol)

EAP kimlik denetimi için bir çok farklı yöntem barındırır. En bilinenleri EAP-PSK, EAP-TLS, LEAP, PEAP.

EAP-TLS: Kablosuz ağlarda kimlik doğrulama için standart metottur. Sertifika veya akıllı kart kullanan ağlar için önemlidir.

LEAP: Cisco tarafından geliştirilmiş bir kimlik doğrulama yöntemidir. Zafiyet barındırdığı için yerine EAP-FAST’e bırakmıştır.

PEAP: Yalnızca sunucu taraflı PKI sertifikasına ihtiyaç duyar. Kimlik doğrulama güvenliği için TLS tunel üzerinden bilgilerin iletimi yapılır.

Kablosuz Ağlarda Güvenlik Önlemleri

kablosuz ağlarda güvenlik önlemleri
Photo by Sumanley xulx on Pixabay

Kablosuz ağlardaki en büyük tehlike verilerin iletildiği ortamdır. Çünkü veri havada serbestçe ve menzilinin yettiği yere kadar ulaşabilecek şekilde dolanır.

1. Erişim Noktası Ön Tanımlı Ayarlarının Değiştirilmesi

En büyük risklerden birisidir. Alınan erişim noktası cihazının kurulumundan sonra mutlaka ön tanımlı ayarların değiştirilmesi gerekir. Çünkü bu ayarlar içerisinde erişim noktasının yönetim konsolu parolası genelde standart olarak belirlenir.

2. Erişim Nokta İsmini Görünmez Kılma : SSID Saklama

Kablosuz ağlarda SSID saklamak günümüze kadar bir güvenlik yöntemi olarak görülse de farklı bir saldırıya maruz kalındığına da işaret eden bir durum olabilir. Risk değerlendirmesi yapılırken kurumda böyle bir saldırıya maruz kalındığı düşünülebilir. Ayrıca SSID her ne kadar gizlense de yeterli bilgisi olanlar bulabilirler.

3. Erişim Kontrolü

Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarına bir şekilde sahip olan herkes ağa dahil olabilir. Bu durum ağ güvenliğini riske eder.

3.1 MAC Tabanlı Erişim Kontrolü

Ağa dahil olması istenilen cihazların MAC adreslerinin AP üzerinde tanımlanarak istenilmeyen cihazların uzak tutulması amaçlanır. Fakat ağ üzerinde böyle bir kontrol olduğunu farkeden saldırgan ağa bağlı cihazlardan birisinin MAC adresini kopyalama yoluna da gidebileceği için çok güvenilir bir yöntem olmaktan çok bir duvar gibi düşünülebilir.

3.2 NAC (Network Access Control)

NAC teknolojisi hem kullanıcı bazlı hem de cihaz bazlı erişim denetlemesi yapılmasını mümkün kılar. Böylece MAC ve parola korumasının temelde amaçladıklarını gerçekleştirir. Temelde 4 işlem ile ağ güvenliğinin sağlanmasını amaçlar.

1- Kimlik doğrulama

2- Yetkilendirme

3- Güvenlik Taraması

4- İyileştirme

Yorum Yap

Yorum Yap

Yorumlar (7)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir