makale - demege

1.Uluslararası 5.Ulusal Meslek Yüksekokulları Sempozyumu
27-29 Mayıs 2009, Selçuk Üniversitesi Kadınhanı Faik İçil Meslek Yüksekokulu, Konya
KABLOSUZ ERİŞİM NOKTALARINDA KULLANILAN
GÜVENLİK STANDARTLARI
THE SECURITY STANDARDS THAT USES AT WIRELESS ACCESS
POINTS
Deniz Mertkan GEZGİN1
Ercan BULUŞ 2
ABSTRACT
Due to the developments of 802.11 wireless networks recently, we use it in more parts of
our life. Eventually the subject of security wireless networks becoming more important.
Regarding the security subject; the companies have been developed different algorithm
cryptography and they have been starting the used on wireless networks. In according to
these all developments, IEEE (Institute of Electrical and Electronically Engineers) has been
started new searching about on security of wireless networks which is named 802.11i
standard. The result of these security searches it has been developed different algorithm
cryptography and accordingly this the qualified systems has been developed. All these
searches are aimed to be more secure area on wireless networks In this study, we will try to
mention security standards on access points which has wireless network device,
cryptography algorithms which are used by the standards and comparing the standards with
each other according to their qualifications.
Key Words: Wireless Network Security,MAC Address Filtering ,Wep,WPA,802.11i
ÖZET
802.11 kablosuz ağlarındaki gelişmeler arttıkça kablosuz ağların kullanım alanları da
artmaktadır. Bunun sonucu olarak kablosuz ağlarda güvenlik konusuda önem kazanmıştır.
Güvenlik konusunda farklı şifreleme algoritmaları geliştirilmiş olup çeşitli kablosuz ağ
uygulamalarında kullanılmaya başlanmıştır. Bu doğrultuda IEEE, 802.11i standardı altında
kablosuz ağlarda güvenlik konusu üzerine çalışmalar başlatmıştır. Bu güvenlik çalışmaları
çerçevesinde çeşitli şifreleme algoritmaları geliştirilmiş, yetersiz algoritmaların yerini daha
kuvvetli algoritmalar almıştır. Böylece kablosuz ağlarda güvenli bir ortam sağlamaya
çalışılmaktadır. Bu çalışmada ise kablosuz ağ cihazı olan erişim noktalarında kullanılan
güvenlik standartları, standartların kullandıkları şifreleme algoritmaları ve bu standartların
birbirlerine olan üstünlükleri ele alınacaktır.
Anahtar Kelimeler: Kablosuz Ağlarda Güvenlik,MAC Adres Filtreleme ,Wep,WPA,802.11i
1
2
Öğretim Görevlisi., Trakya Üniversitesi Teknik Bilimler Meslek Yüksekokulu [email protected]
Yrd.Doç.Dr., Namık Kemal Üniversitesi Çorlu Mühendislik Fakültesi, [email protected]
1. GİRİŞ
Kablosuz Ağlar günümüzde her ortamda yerini almıştır. Kablodan kurtulmanın ve Kablosuz
ağ standartlarındaki performans üzerindeki gelişmelerin buna etkisi fazladır.Kablosuz
ağlardaki gelişmeler ve standartlar arttıkça kullanım alanı da buna paralel olarak genişledi.
Ofisler , Eğlence Yerleri , Otel , Pansiyon gibi ziyaretçisi değişken olan mekanlar ,fabrikalar
ve ev ortamları kablosuz ağların lokal olarakta olsa yaygınlaştığı ortamlardır. Bu ortamlarda
kablosuz ağlara erişmek ,internet paylaşımı veya yerel alan ağı kurmak için kablolu ağlarda
Hub cihazına benzerlikte bir cihaz kullanılır.Bu cihazlara Erişim Noktası (Access Point)
denir. Evlerimizde çeşitli internet sağlayıcılarından yada piyasadan satın alınan Kablosuz
Modem Cihazları ile karıştırılmaktadır. Çünkü Kabosuz Modemlerin bazılarında Access
Point özelliği vardır.Başka bir deyişle Access Point olarak kullanılan Kablosuz Modemler
mevcuttur.Erişim
Noktalarını
birden
çok
senaryo
için
kullanabiliriz.
Tekrarlayıcı(repeater),Bridge(köprü) gibi. Bildiride bu özelliklerinden bahsedilcektir. Asıl bu
bildiride ana fikir , Kablsouz ağların kullanımı alanı arttıkça Erişim Noktalarının kullanımıda
fazlalaşmıştır.Bu durumda sisteme giriş yapan çok kullanıcı, istemci ortaya çıkmaktadır.
Bunlardan kimisi izinli kimisede ağa zarar vermek , ağı yavşlatmak yada kablosuz erişim
noktalarını etkisiz hale getirmek isteyen saldırganlardır. Bunu yüksek seviyede engellemek
için Kablosuz ağlarda güvenlik politikaları vardır. En önemliside kullanımı lokal olarak çok
olan Kablosuz Erişim Noktalarında halen kullanılan yada geliştirilen güvenlik politikaları ve
standartlar vardır. Bunların kullanımı güvenlik isteğine göre değişik yapıdadır. Bu bildiride
anlatılmak istenen konu Kablosuz İstemcilerde kullanılan Güvenlik Mekanizmaları ve
stratejilerdir.
2. KABLOSUZ ERİŞİM NOKTASI (ACCESS POINT)
Erişim noktası kısaca AP ya da WAP (Wireless Access Point) adıyla bilinir. Erişim noktası ,
kablolu bir Ethernet ağına kablosuz erişim sağlar. Erişim noktası, hub'a, anahtara veya
kablolu yönlendiriciye takılır ve kablosuz iletişim sinyalleri gönderir. Bu, bilgisayarların ve
aygıtların kablolu ağa kablosuz olarak bağlanmasını sağlar. Erişim noktaları hücresel telefon
kuleleri gibi davranır: bir konumdan diğerine geçebilir ve ağa kablosuz erişiminiz devam
edebilir. Kablolu ağlardaki HUB isimli cihaza karşılık gösterilebilinir. Erişim Noktası
Cihazlarının kendisine ait hafızaları vardır. İçlerinde gömülü yazılım (Firmware)
bulunmaktadır. Bu yazılımlar yeni çıkan standartlara ya da gelişmelere göre güncellenebilir.
Erişim Noktası Cihazları içlerinde güvenlik protokolleri bulundururlar. Bunlardan bazıları
WEP( Wired Equivalent Privacy) ,WPA (Wi-Fi Protected Access) ve WPA2. Erişim
noktaları istemcilere otomatik olarak IP atayabilir .Hemen hemen hepsi DHCP (Dynamic
Host Control Protocol) mekanizmasına sahiptir.Kullanımı çok yaygındır. Kablosuz modem
yada yönlendirici ile karıştırılmamalıdır. Evimizde çoğu zaman internete girdiğimiz kablosuz
modem yada yönlendiriclerdir. Bunun yanında havaalanında, öğrenci pansiyonlarında ,
restoranda ,kampüste veya otelde genel kullanıma açık kablosuz ağ kullanarak Internet'e
kablosuz bağlandığınızda, genellikle bir erişim noktası aracılığıyla bağlanırsınız.
Şekil 1. Kablosuz Erişim Noktası
Kablosuz erişim Noktaları temel olarak 3 özelliğe sahiptir. Bunlar erişim noktası bu
default(varsayılan) modu, diğer ikisi ise Repeater (tekrarlayıcı) modu ve Bridge(köprü)
modudur. Erişim Noktası, almış olduğu veri sinyallerini (internet gibi) kablosuz olarak RF
sinyalleri ile ortama taşır. Bridge(Köprü) ,Kablosuz özelliğe sahip olmayan cihazları (Yazıcı
gibi) kablosuz ağa dâhil eder. Böylece ortak kullanıma yardımcı olur. Repeater (tekrarlayıcı)
, Kablosuz RF sinyallerini güçlendirerek Menzili arttırır.
Şekil 2. Kablosuz Erişim Noktası Kullanım Modları
3.ERİŞİM NOKTALARINDAKİ GÜVENLİK POLİTİKALARI
Kablosuz ağların yaygınlığı arttıkça gündeme güvenlik sorunları çıkmaya başladı. Kablosuz
Erişim noktaları yâda Modemler broadcast yayın yaptıklarından tüm kablosuz Ethernet yâda
kablosuz erişim olan PC ve notebooklar bu yayını görebilir. Bunu sonucu olarak sisteme izni
olmadan giriş yapacak olan saldırganlar, sistemi yavaşlatmak, sistemde bir güvenlik şifresi
varsa buna erişmek, sonuç olarak sistemi sabote etmek için denemelerde bulunabilirler.
RF(Radyo frekanslarını) dinleyip sistem hakkında bilgi sahibi olabilirler. Bunları engellemek
amaçlı bazı güvenlik standartları ve politikalar geliştirmiştir. Bu bildiride Kablosuz Erişim
Noktalarının içerdiği güvenlik mekanizmaları incelenmektedir.
3.1. SSID Gizleme
SSID(Service set identifiers) yi kolay anlamanız için kablosuz ağ ismi de diyebiliriz. Default
olarak erişim noktalarının adı olarak gelir fakat biz bunu kendi tanımlama ismimizi
verebiliriz. Sonuç olarak tarama sonucu gördüğünüz kablosuz ağlarda farklı isimler vardır
buna SSID denir. Kablosuz erişim noktaları farklı kanallardan yayın yapabilir. Eğer Erişim
Noktasını gizlerseniz sisteme giriş izni olmayan kişiler SSID’yi görmedikleri için bağlantı
kurma isteği gönderemezler. Bu konuda uzaman olan kişiler 3.parti yazılımlar kullanarak
SSID’yi ve hangi kanalda çalıştığını bulabilirler. Ama yinede SSID gizlemek ilk güvenlik
basamağımız olarak karşımıza çıkmaktadır.
SSID ismi
Şekil 3. Gizlenmemiş SSID’li Kablosuz Erişim Noktası Yayını
Yukarıdaki şekilde bir istemcinin kablosuz olarak çekim mesafesindeki Kablosuz Erişim
Noktalarını Windows XP ortamında aradığında çıkan görüntü görülüyor. Böyle açık SSID’li
kablosuz erişim noktalarını DoS(Denial Of Service) atakları yapılabilir. Bunun için
gizlemekte her zaman fayda görülmektedir. Gizleme işlemi Erişim noktasının cihazının iç
yazılımından yapılır.
Şekil 4. SSID Gizleme İşlemi
Gizleme işleminden sonra artık kullanıcılar 3.parti bir yazılım ile kullanmadıkları takdirde ,
Windows Ortamından SSID’yi göremezler. Sisteme izinli kullanıcılar ise SSID ismini
bildiklerinde ve şifrelerini girdikleri takdirde ağa otomatik bağlanabilirler.
3.2.Kablosuz Erişim Noktasının Default Şifresini Değiştirmek
Kablosuz Erişim Noktası satın aldığınızda her firmanın Web arayüzünden cihaza giriş
yaparak manage(yönetim) yapabileceği bir arayüzü vardır. Sisteme izinli olana kişiler yada
şifresiz ağ yapısına sahip olan yerlerde (otel,restoran vb.) kişişler ağ geçidi (gateway)
adresini kullarak arayüze girebilirler. Bu girişi engellemek için Kablosuz Erişim Cihazına
giriş yapılacak şifreyi değiştirmek güvenlik açısından yapılacak hamlelerden bir tanesidir.
Fabrika çıkışı ayarlarda default şifreler vardır. Örnek vermek gerekirse en bilineni
user:admin ,pass:admin’dir. Erişim Noktası cihazını aldığımızda bu şifreyi değiştirmek
gerekmektedir. Değiştirmez isek sisteme giriş izni alan kişiler Erişim noktası cihazı ayarlarını
değiştirebilir.
Şekil 5. WEB arayüzü ile Erişim Noktasına Giriş İşlemi
Şekil 6. Kablosuz Erişim Noktasının Default Şifresini Değiştirme İşlemi
3.3. Mac Adres Filtreleme (MAC Filtering)
MAC kelimesi Ortam Erişim Yönetimi anlamına gelir ve kısaltma terimini de İngilizce olarak
yazılan anlamının yani Media Access Control baş harflerinden almıştır. Fiziksel adres
diyedebilinir. MAC adresi her ağ kartına üretici fabrika tarafından atanır .Normal yollarla
değiştirilemez ve en önemlisi her ağ kartına farklı bir MAC adresi atanır. MAC adresleri 48
bitlik şifrelere yazılır ve her donanımın ayrı bir MAC adresi vardır, yani şu anda
kullandığımız bilgisayarın ağ kartında ve modeminde kendine özel bir MAC numarası vardır.
Bu yüzden bir ağ kartları bir diğer ağ kartına veriyi yollarken alıcıyı diğerlerinden ayırmak
için MAC adresinden faydalanır. Her ne kadar birbirine denk gelmesi muhtemel iki donanım
olsa da, 48 bit çatısı altında üretilen numara, 2 üzeri 48 değerinde yani
281.474.976.710.656 çeşit ağ kartını tanımlamak mümkündür ve bu kadar değer arasında
birbirine denk gelmesi muhtemel görülmemektedir. Erişim Noktaları da bu MAC
adreslerinden yararlanıp, sisteme giriş yapan istemcilere(client) MAC adresine göre
filtreleyerek bir nevi ya dur ya geç der. Bunu için güvenlik kısmında MAC filtrelemeyi etkin
hale getirip, sadece erişimine izin verdiğimiz bilgisayarların MAC adreslerini girmeliyiz.
Böylece Erişim Noktası sadece bu MAC adreslerine sahip bilgisayarlara erişim verir.
Wireless şifresini doğru giren kişinin MAC adresi listede yoksa erişim sağlayamaz. Bir Mac
adresi 01-23-45-67-89-ab olarak gösterilebilir.
Şekil 7. MAC Adres Filtreleme İşlemi
3.4. WEP Şifrelemesi
WEP, 802.11 kablosuz ağ güvenlik standartlarındandır. Kablolu ağlarda eşdeğer
protokolü(Wired Equivalent Privacy) geliştiricileri tarafından 802.1 olarak tanımlandı. Tam
anlamıyla değişmez Eşdeğer gizliliği olarak ta adlandırılabilir. WEP ‘in görevi de radyo
dalgaları üzerindeki verilerin şifrelenmesini sağlamaktır. Geleneksel kablolu ağ gizliliği ile
rekabet edebilmek için tasarlanan WEP, Eylül 1999’da 802.11 standardının parçası olarak
onaylandı. WEP gizlilik için Ron Rivest tarafından bulunan RC4 şifreleme algoritmasını ve
bütünlük için CRC–32 sağlama toplamını kullanır. WEP’ te kullanılan anahtar genişliği
olarak 40 yada 104 bittir. WEP ‘te doğrulama yöntemleri iki tanedir.
1. Açık anahtar kimlik doğrulaması: Herhangi bir istemci WEP anahtarlarına aldırmayarak
kendi kendine doğrulama yapıp, ağa dâhil olabilir.
2. Ortak anahtar kimlik doğrulması: Paylaşımlı Anahtar Doğrulamasında, WEP doğrulama
için kullanılır. Bu iletişimde istek ve cevap içi 4 yol vardır.
Şekil 8. WEP Kimlik Doğrulaması (WEP Authencation)
Şekil 9. WEP Kimlik Doğrulaması (WEP Authencation)
Wep’te şifreleme için RC4 şifreleme algoritması istemcilerde ve Erişim Noktası üzerinde
girilen ortak anahtar ile kullanılmaktadır. Fakat günümüzde Linux yada Windows ortamında
bazı yazılımlar ile Ortak anahtar elde ediliyor. Bunun sebebi olarakta RC4 algoritmasının
zayıflıkları, Ortak anahtarlar için herhangi bir anahtar yönetim mekanizması bulunmaması,
24-bit Initialization Vector (IV) kullanımının tekrarlanan şifreleme dizilerinin kullanımına yol
açması sebepleriyle şifreleme yeterli gizlilik sağlayamamakta, yeterli veri trafiği saldırganlar
tarafından kaydedildiğinde paylaşılan anahtar ele geçirilebilmektedir.
3.5. WPA Şifrelemesi
WEP standardında RC4 algoritmasının açıklarını kapatmak için Wi-Fi Alliance (üretici
firmaların oluşturduğu organizasyon) ara geçiş olarak WPA standardını oluşturmuştur.
WPA, TKIP'yi desteklemektedir ve TKIP(Temporal Key Integrity Protocol- Tekli
şifrelemede Geçici Anahtar Bütünlüğü Protokolü) güçlü bir şifreleme sistemi olarak WEP in
yerini almıştır. TKIP şifreleme işlemlerini gerçekleştirmek için varolan kablosuz aygıtların
hesaplama olanaklarını kullanan yeni bir şifreleme algoritması kullanır. TKIP ayrıca şifreleme
anahtarları belirlendikten sonra güvenlik yapılandırmasının doğrulanması, her çerçeve için
tek noktaya yayın şifreleme anahtarının eşzamanlı olarak değiştirilmesi, önceden paylaşılan
her anahtar kimlik doğrulamasının benzersiz olarak başlatılmasının belirlenmesi gibi
özellikleri de sağlar.WPA’da Anahtar uzunluğu olarak 128 bit kullanılır. WPA’da anahtar
her oturum ve her paket için değişir, dolayısıyla daha yüksek bir güvenlik elde edilmiş olur.
WPA’da anahtar yönetimi için 802.1x kullanılır. Kimlik doğrulama için WPA ,802.1x EAP
ile güçlü bir yöntem kullanılmıştır. WEP’ te veri bütünlüğü ICV ile sağlanırken, WPA’ da
daha güçlü olan MIC(Message Integraty Code) mekanizması ile sağlanır.WPA kimlik
doğrulama/yetkilendirme için iki seçenek sunmaktadır
3.5.1.WPA-PSK yapısı.
Ev kullanıcıları ve küçük işletmeler için tasarlanmıştır. 8-63 karakter arası bir şifre belirlenir.
Bu anahtarın Erişim Noktası tarafında ve istemci tarafında girilmesi gerekmektedir. Buna
pre-shared yani paylaşılmış anahtar denilir. Kablosuz ağ bağlantıları özelliklerinden
authentication(kimlik doğrulama) metodu olarak WPA-PSK seçeriz. Kurumsal kablosuz
ağlarda kullanımı uygun değildir.
Şekil 10. WPA-PSK Yapısı
3.5.2. 802.1x yapısı.
IEEE 802.1x, port tabanlı ağ erişim kontrol mekanizmasıdır ve uzaktan erişim, VPN,
anahtarlama cihazı vb. uygulama/birimlerin kimlik doğrulama/yetkilendirme yöntemi olarak
kablolu ağlarda kullanılmaktadır. 802.1x erişim kontrolünde yer alan bileşenler: istemci
(laptop, PDA, cep telefonu, PC vb.), erişim noktası ve RADIUS/TACACS erişim kontrol
sunumcusudur. İstemciler bağlantı isteklerini erişim noktasına bildirirler, erişim noktası isteği
RADIUS/TACAS sunumcuya yöneltir ve kimlik doğrulama/yetkilendirme işlemini
RADIUS/TACACS sunumcu gerçekleştirerek sonucu erişim noktası ve istemciye bildirir.
Sonuca göre erişim noktası istemciye bağlantı için sanal bir port açar. Bu işlemler sonucunda
ek olarak erişim noktası ve istemci arasındaki şifreli haberleşmelerde kullanılacak şifreleme
anahtarları oluşturulur.
Şekil 11. WPA-Enterprise (RADIUS Server)
3.6. WPA-2 Şifrelemesi (IEEE 802.11i)
IEEE 802.11i çalışma grubu tarafından WEP’in zayıflıklarını tümüyle ortadan kaldırmak
amacıyla oluşturulmuş güvenlik standardıdır. WPA2 veya Robust Security Network (RSN)
olarak da bilinmektedir. Advanced Encryption Standard (AES) şifreleme algoritmasının Counter
Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP) modunda
şifreleme ve veri bütünlüğü kontrolü için ve 802.1x’in kimlik doğrulama/yetkilendirme için
kullanımını önermektedir. WPA ile aynı yapıyı, 802.1x’i kullanmaktadır. Advanced Encryption
System (AES) şifreleme algoritması Counter Mode modunda kullanılmaktadır. Bu yöntemle
WEP ve TKIP’te kullanılan IV ve TKIP’te uygulanan per packet keying mekanizmasına ihtiyaç
kalmaksızın şifreleme anahtarı tekrarını önleyen bir yapı oluşturulmuştur. AES şifreleme
algoritması RC4 algoritmasına göre daha güçlü bir şifreleme algoritmasıdır ve bilinen herhangi
bir zayıflık içermemektedir. AES kullanımını desteklemeyen donanımlara yönelik uyumluluk için
RC4 şifreleme algoritması kullanan TKIP yapısı da IEEE 802.11i standardında bulunmaktadır.
Şekil 12. WPA2-Enterprise (RADIUS Server)
4.SONUÇLAR
Kablosuz Ağlardaki güvenlik standartları ve politikalar her duruma göre değişebilir. Bir ev
kullanıcısının kullandığı metot ile güvenliğin kuvvetli olması gereken şirketlerde metot
farklıdır. SSID gizlemek tam bir güvenlik yöntemi olmasada acemi saldırganlar için işe
yarayabilir.Wep ile Mac Filtreleme beraber kullanıldığında biraz daha güvenlik arttırılmış
olur. Fakat genel olarak bakıldığında WPA2 performans açısından biraz sisteme yük bindirse
de AES şifrelemesi kullandığı için ve AES’in şuana kadar bir açığının bulunmamasından
dolayı en güçlü yapı olarak ortaya çıkmaktadır. WEP’te RC4’e dayanan zayıflıklar, WPA’da
desteklenen TKIP’in yine RC4 temellerine dayanması bu standartlardaki kullanılan anahtarın
kolay ele geçmesini sağlamaktadır. 802.1X kimlik doğrulama metodu RADIUS Server
kullanımı da güvenliği daha arttırmaktadır. Sonuç olarak WPA2 ve 802.1X tavsiye edilen
güvenlik standardıdır.
Şekil 13. Kablosuz Ağ Güvenlik Düzeyi
KAYNAKLAR
David Johansson , Alexander Sandström Krantz , “Practical WLAN Security”, TDDC03
Projects, Spring 2007
G.Zeynep Gürkaş, Şafak Durukan, A.Halim Zaim, Azer Demir, M.Ali Aydın, “
802.11b Kablosuz Ağlarda Güvenliğin Ağ Trafiği Üzerindeki Etkilerinin Analizi”, II.
Mühendislik Bilimleri Genç Araştırmacılar Kongresi , MBGAK 2005 ,İstanbul
,Kasım 2005
Deniz M. Gezgin, E. Buluş, “Kablosuz Erişim Noktalarına Yapılan DOS Saldırıları”,
Akademik Bilişim 2008, Çanakkale 30 Ocak-1 Şubat 2007
Deniz M. Gezgin, E. Buluş , H. N. Buluş, “The Technical Analysis of the Comparison of
802.11n Wireless Network Standard”, International Scientific Conference ,21 – 22
November 2008, Gabrovo
Borsc, M., Shinde, H., “Personal Wireless Communications, 2005. ICPWC 2005. 2005
IEEE International Conference on”, 0-7803-8964-6, 23-25 Jan. 2005
Battal Özdemir (2008), “ Kablosuz Yerel Alan Ağı Güvenliği Klavuzu” ,BGT-6001
IEEE Std 802.11i™-2004, “Wireless LAN Medium Access Control (MAC) and Physical
Layer (PHY) specifications ,Medium Access Control (MAC) Security Enhancements”
WPA and WPA2 Implementation White Paper “ Deploying Wi-Fi Protected Access
(WPA™) and WPA2™ in the Enterprise”, March 2005
http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
http://www.bidb.itu.edu.tr/?d=468