Serbest Çağrışım

Hızlı internet yavaş yavaş hayatımızın bir parçası olurken, notebooklarda neredeyse üçüncü elimiz haline gelmeye başladı. Daha önce masanın üzerinde kablolarla internete bağladığımız notebooklar, üzerlerinde taşıdıkları kablosuz özellikli ağ kartları sayesinde taşınabilirliklerini arttırdı ama hayatımıza giren kablosuz ağlar beraberinde yerel ağlarımıza bir çok güvenlik sorunu da getirdi. Peki bu güvenlik sorunlarıyla ilgili çözümler neler, güvenliği arttırmak için ne yapmak lazım?

MAC Adresi Kilitleme

Ağımızdaki kullanıcıları MAC -fiziksel adres- adreslerine göre ağımıza dahil etme mantığı neredeyse internet kadar eski. Genelde MAC adresleri IP adresleri ile karıştırılıyor, IP adresi sizin bağlandığınız sistemin kendi arasında konuşmak için ürettiği ve sistemleri birbirinden ayırmak için kullanılan sanal bir numaralama sistemi gibi çalışıyor. MAC adresi ise bağlanan bilgisayar veya ağ erişimi bulunan makinanın fiziksel adresi anlamına geliyor, yani aslında ikisi birbirinden tamamen bağımsız yapılar.

Örnek vermek gerekirse; büyük LAN sistemlerde -artık normal ev tipi modemlerde bile- sisteme kabul edilecek olan makinalarla ilgili bir güvenlik önlemi alınıyor, bu da MAC adreslerini IP adreslerine kilitleyerek oluyor, yani IP adresi veritabanımızda kayıtlı değilse IP adresi alınamıyor. Bu uygulama esas olarak mantıklı olsa da kablosuz ağların hayatımıza girmesiyle artık geçerliliği neredeyse bulunmuyor. Nedenine gelince; aircrack isimli bir programla artık erişmeye müsait olduğunuz herhangi bir noktadaki kablosuz ağda modemin ve bağlı kullanıcıların MAC adreslerini okumak çocuk oyuncağı ve ağınıza girmeyi kafasına koymuş olan herhangi birisi sizin ağınıza sizin orada bulunmadığınız bir zaman aralığında sizin MAC adresinizi kendi kablosuz bağlantısına yazarak -evet MAC adresleri fiziksel ama mantıksal olarak değiştirilebiliyor- sanki siz bağlanıyormuşsunuz gibi sisteme bağlanabiliyor. Bu yüzden eğer “Ben MAC adresimi modeme yazdım, daha bir şey olmaz” diyenlerdenseniz sizi şimdiden tebrik ederim.

İletişimi Şifreleme

MAC adresi kilitlemenin yanı sıra şifreleme yaparak güvenliği sağlamak mümkün. Bunun için geliştirilmiş WEP, WPA, WPA2 şifreleme çeşitleri bulunuyor. Bu şifreleme mantıkları ile ilgili bilmeniz gereken en önemli nokta şu; şifreleme teknikleri dışarıdan kimsenin girmesini engellemek için değil, kablosuz ağ üzerinden yapılan iletişimin dinlenememesini sağlamak için geliştirilmiştir, sisteme bağlanılmamasını sağlamak şifreleme sisteminin yan ürünüdür.

Çeşitli şifreleme sistemlerini kabaca güvenlik seviyesi olarak sıraya koymak gerekirse WEP < WPA PSK < WPA2 PSK < WPA RADIUS < WPA2 RADIUS şeklinde sıralanabilir.

Bu sistemler içerisinde en kolay ve hızlı kırılanı WEP’tir. İletişim sisteminin basitliğinden ve sürekli olarak aynı şifreleme anahtarlarını kullanmasından sebep eğer dışarıdan sisteminizi inceleyen birisi herhangi bir ACK (acknowledge, alındı) paketinizi yakalar ve bu paketi bir kaç bin kere sizin MAC adresinizi taklit ederek modeminize gönderirse oluşturduğu kütüphane ile şifrenizi 64 bitlik ise en çok 15 dakika da, eğer 128 bitlik bir şifre koyduysanız en çok 1-1.5 saat içerisinde bulur. Modeme bir kaç bin paketi göndermek ne kadar sürüyor peki diyenler olabilir, kırma süresine paketleri gönderme dahil, yani 15 dakikada paketlerin gönderilmesi ve şifrenin kırılması tamamlanabilir.

WPA ve WPA2 ise temelde aynıdır sadece şifreleme algoritmaları farklıdır. WPA ya da WPA2 bir sisteme bağlanırken sistem yöneticisi bit metin parçası vererek 256 bitlik bir şifre üretilmesini sağlar. Access Point veya modeme bağlanan herhangi bir bilgisayar bu metin parçasını bilmek zorundadır ve şifreyi girdiği zaman kendi tarafında da 256 bitlik bir şifre üretilir ama her iki şifre de iletişimin parçası olarak kullanılmaz, bunun yerine bu 256 bitlik şifre kullanılarak üretilmiş başka bir şifre iletişim için kullanılır ve yapılmış olan ayara göre her 300 saniyede bir iletişim için kullanılan bu şifre yenilenir ve iletişimin güvenliği ve devamlılığı sağlanır. Bu sistem genel olarak WPA PSK (Pre-Shared Key) veya WPA2 PSK olarakta bilinir.

WPA RADIUS ve WPA2 RADIUS ise daha çok WPA Enterprise ve WPA2 Enterprise olarak bilinmektedir. Normalden farkı ise şifreleme sisteminin çalışma mantığından kaynaklanır. Bağlanacak olan kullanıcılara şifre yanında bir de kullanıcı adı verilir ve Access Point bu kullanıcı adı ve şifreyi alarak RADIUS sunucu olarak bilinen bir sunucuya göndererek kontrolünü ister. Eğer kontrol olumlu ise sunucu 256 bitlik şifreyi üreterek Access Pointe yollar ve iletişim başlar, eğer kullanıcı adı ve şifre bilinmiyorsa güvenlik sisteminin agresifliğine bağlı olarak ya misafirler için ayrılmış IP grubundan bir IP verilebilir veya sistem yöneticisinin müdahalesine kadar bağlanmaya çalışan bilgisayarın MAC adresi sistemden yasaklanır. Bu sistem daha çok işletmelerde kullanılan bir güvenlik sistemi olup ekstra bir sunucu ihtiyacından dolayı verdiği güvenlik hizmetinin kalitesi gibi maliyeti de daha yüksektir.

Ne Yapmak Lazım?

Eğer bir ev kullanıcısı iseniz güvenlik sizin için çok önemli olmayabilir, ama bir gün aylarca üzerinde çalıştığınız dosyalarınızdan birini veya msn’de eşinizle/sevgilinizle yaptığınız tüm konuşmaları bir gün internette bulma ihtimalini göz ardı etmemek gerekir.

İşletmeler için ise güvenlik çok daha ön planda olmalıdır, artık muhasebe programlarının tek noktadan kullanılmadığı ve birden fazla kullanıcının eş zamanlı olarak ağ üzerinden muhasebe programlarını kullandığı bir ortamda muhasebe bilgilerinin veri akarken kaydedilmesinin veya dosya paylaşım sunucularında bulunan şirkete ait üretim planları veya kullanılan parçalara ait çizimlerin çalınmasının kimsenin hoşuna gideceğini zannetmiyorum.

Ayrıca unutmamak gerekir ki sisteminize giriş yapmış birisi eğer sizin IP adresiniz üzerinden herhangi bir sunucu veya sisteme saldırı düzenlerse siz yapmamış olsanız dahi IP adresi size ait olduğu için sorumluluğu da size ait olur.

Güvenliği sağlamak için yapmanız gereken şeyler ise gerçekten çok basit, bunlardan en kolayı eğer kablosuz ağınızı sadece siz kullanıyorsanız kablosuz ağ adını yayınlamasını engelleyin, dışarıdan bakan birisi sadece kablosuz bir ağ olduğunu görecek ama adını bilemediği için bağlanma girişimlerinin çoğu sonuçsuz kalacaktır. Diğer bir kolay çözüm ise şifrelerinizi sık sık değiştirmek. En doğru ve mantıklı korunma yöntemi budur ve emin olun sizi bir çok dertten kurtarır.