Kablosuz Ag (Wireless)

Önce amerikada baslayan kablosuz ag furyasi bütün dünyayi sardi. Türkiye’de de bundan geri kalmadik, neredeyse hepimiz kablosuz ag kullanir olduk. Evde yaklasik 1 yildir kablosuz ag kullaniyorum, laptop kullanicisi iseniz bu özgürlügü yasamak en dogal hakkiniz bence.

Yaklasik 2, 2.5 sene önce abd’de kablosuz ag kullanilma yayginlasma evresindeyken securityfocus taki mailing listlere devamli, “yan komsumun kablosuz agini kullaniyorum”, “karsi komsumun windows paylasimlarini görüyorum” gibi mesajlari geliyordu, tabi o siralar bizde çok yaygin olmadigi için turist ömer modunda izlemekle yetiniyorduk. Artik bizde de yayginlastikça, bilhassa centrino kullanicilari “ya ben arkadasin yanina gittigimda kablosuz aga baglandim” gibi konusmalar artmaya basladi. Eger laptopunuz ve arabaniz varsa sizin de yapabileceginiz küçük bir çalisma öneriyim, sonuçlarini da paylasmaniz belki ileride su anda benim de üyesi bulundugumböyle bir grup ortaminin olusmasi saglayabilir. Bu çalisma çok basit, arabanizla eve giderken laptopunuzu açmak ve bu programi çalistirmak.Örnegin ben isyerinden (kozyatagi) eve giderken laptopu açik biraktim ve atatürk caddesinde McDonaldstan, U çizip carrefourun oraya gelene kadar yaklasik 45 tane kablosuz ag buldum ve bunlarin sadece 1/3’ü WEP kullaniyordu. Eger siz de bu çalismayi yaparsaniz, yer bildirerek comment kismina yazarsaniz çok memnun olurum.

WEP demisken de bu yaziya bakmanizi ve vidyolarda da belirtildigi gibi WEP’in ne kadar kolay kirilabildigini görmenizi tavsiye ederim. Yani WEP kullanarak, bu konularla ilgilenmeyen kisileri engellemis oluyorlar. Ama firmalar için çok ciddi bir güvenlik açigi oldugunu söylemeye bile gerek yok.

Peki güvenligi nasil saglayabiliriz bunun ile ilgili yine ABD hükümetinin halki bilinçlendirmek için hazirladigi web sitesinde bu konuyla ilgili hazirladiklari bir draft var. Burada belirtilenler tabi genel itibariyle üstü kapali ve genele hitap eden ifadeler. Temel olarak birkaç adimda en azindan ev ve kisisel kullanim için biraz kendimi güvende hissetmek istiyorum derseniz:

• Wireless modem veya access pointinizde SSID broadcast’ini kapatmalisiniz.
• WPA kullanmaya baslayin, olmuyorsa en azindan WEP kullanin.
• Kablosuz agi kullanacak makinalari belirleyip MAC adreslerini çikartin, modeminizde MAC filteri aktif edip sadece onlara izin verin

Şimdilik kisaca diyebilecegim bunlar ama kablosuz agi firma bazinda kullanmayi düsünüyorsaniz ve güvenliginizden emin olmak istiyorsaniz airdefense tarzinda profesyonel ürünleri yerlestirmeyi en kisa sürede planlamalisiniz. Kablosuz agin kurulumu çok basit ve ucuz olabilir ama güvenligi saglanmamis bir kablosuz ag size güvenligini saglamak için yapacaginiz masrafin en az 5-10 kati zarar verir.

airdefense demisken, aslinda bu alan (kablosuz ag piyasasi) dünya çapinda güvenlik yününden en çok ürün eksikligi yasanan alan. Kablosuz ag güvenligini saglayacak ürünler ve bu teknolojiyi gelistirecek bilgi birikimine sahip firmalar çok az su anda. Türkiye’de bunun ile ilgili airties üikti ama % kaçi yerli, yabanci ortakligi var mi yeterince bilgim yok. Maalesef yerli diye satilan birçok ürünün patenti yurtdisindan alinip sadece burada markasi veya ismi degistiriliyor. Bitirme projem kablosuz aglarin bir kismiyla ilgili oldugu için (ileriki günlerde detaylarini yazicagim) aslinda temelde kablosuz agda bulunan güvenlik açiklarinin diger alanlara göre daha sinirli oldugunu ve çözümünü gelistirecek alt yapininda çok derinlerde yatmadigini biliyorum fakat bunun ile ilgili yatirimcilarin uyanip, IT güvenligi alemine bir sekilde el atilmasi gerekiyor.

Kablosuz ag ülkemizde de yayginlasmaya basladi bilhassa istanbulda, bir sokaktan geçerken 4-5 tane wireless modem yada access pointe denk gelmemek isten degil. Yalniz güvenlik konusunda çok gerilerde oldugumuz için, henüz kisisel bilgisayarimizin güvenligini saglayamazken (worm,trojan,virus,spyware,adware) bide kullandigimiz ag yapisinin güvenligini saglamak çikti basimiza.

Kisaca kablosuz ag güvenligi denince akliniza ilk gelenin “siz konustugunuzda sesinizin ulasacagi yerlerdeki herkesin sizi duyacagi” olmalidir. Topluluk içinde bir arkadasiniza seslendiginiz zaman sizi sadece o arkadasinizin duyacagini zannetmediginizden eminim. Aynisi kablosuz aglar için de geçerli, ortam “hava” olunca, havanin ilettigi noktaya kadar sizin verileriniz iletilir. Eger verileriniz sifreli de degilse vay halinize bütün verilerinizi ortaliga saçiyorsunuz demektir.

Kablosuz ag güvenligi için ortaya ilk atilan WEP’in neredeyse hiçbir geçerliliginin olmadigi herkesçe dile getiriliyor. WEP’in açilimi Wired Equivalent Privacy yani “kabloluya esdeger gizlilik”, tabi yalan. Neden mi? WEP’te siz bir anahtar belirliyorsunuz ve bunu o baglantiyi kullanacak bütün kullanicilara veriyorsunuz. Tabi kullanilan anahtar tek ve herkeste ayni oldugu için bir yerden sonra yalama oluyor. WEP’te baglanti kurulmadan önce WEP key denilen baglantinin sifrelenmesi için gerekli anahtar yollanir ve ondan sonra bütün görüsme o anahtarla sifrelenerek devam eder. Verilerin sifrelenmesi fikri güzel ve gerekli ama hep ayni anahtarin kullanilmasi bir süre sonra konusulan konularin etraftakilerce anlasilmasina sebep oluyor. Basit bir örnek olacak fakat türk filmlerinde gördügümüz sa-ga-ni-gi tarzi konusma sifrelemesine benzer bir durum ortaya çikacak, bir süre sonra sizin konusmalarinizda kullandiginiz küçük kodlar etraftakiler tarafindan anlasilir hale gelecek.

Adamlar (The Wi-Fi Alliance) oturup bunun için bir düzenleme yapalim diye düsünürken, iletisimde kullanilan anahtarlarin siklikla degistirilmesi fikrinin çok daha iyi olacaginda karar kilmislar. Böylelikle WPA dogmus. WEP’ten temel farklilik olarak WPA’de yapilan TKIP (Temporal Key Integrity Protocol) kullanarak belirlenen zaman araliklarinda yeni anahtarlar üretmek ve iletisimi onlarla devam ettirmek.

Eger halen WEP kullaniyorsaniz kesinlikle en yakin zamanda WPA (Wi-Fi Protected Access) ‘e geçmenizi tavsiye ederim. Eger WPA’in varligini ilk defa benden duyduysaniz zarari yok hemen WPA 2 nin çiktigini da söyliyeyim. Temelde WPA’in getirdiklerine bagli kalmasina ragmen kullanabilmemiz için maalesef kullandigimiz donanimlari degistirmemiz gerekiyor. Aslinda mevcut donanimlarda eger AES destegi varsa yazilim güncellemesi yapilarak WPA2 kullanilabilir hale geliyor fakat bu destek yoksa WPA2 ile gelen sifreleme versiyonundan(RC4 ve AES) dolayi donanimin yenilenmesi gerekiyor.

WPA2 ile WPA arasindaki temel fark, kullanilan sifreleme algoritmalarinin degistirilmesi. WPA2’de AES kullanim sarti geliyor böylelikle FIPS (Federal Information Processing Standard) standartlarina uyum saglanmis oluyor. FIPS standartlarina uymak demek kablosuz agin devlet kurumlari (ABD) tarafindan kullanilabilir hale gelmesi demek oluyor. Tabi ülkemizde o tür zorunluluklar pek olmadigi için biraz yabanci gelebilir ama ABD’de eger bir devlet kurumu kablosuz ag kullanmak istiyorum derse, verilerin sifrelemesini AES kullanarak saglamak zorunda su ana kadar bu sifreleme WEP yada WPA’in üzerinde VPN kullanarak saglaniyordu. Artik WPA2 kullanarak standartlara uyumlu hale gelinmis oluyor.

WPA2 için windowsun destegi var mi diye soruyorsaniz, bu linke bakmanizi öneririm.
Ayrica WEP-WPA ve WPA2 ile ilgili ayrintili bilgi almak için wikipediain sayfasina bakabilirsiniz.