Kablosuz Ağları Güvenli Hale Getirme

[GokhanK]

Kablosuz Ağları Güvenli Hale Getirme
Kablosuz ağlar çok popüler firmalar tarafından kullanılmaya başlandı, çünki bu tip ağlar kullanıcılarının rahatça binada dolaşarak ağda kalmalarını ve internete çıkmalarını sağlamaktadır. Yeni teknolojiler iyi güvenlik seviyesinde başarısızlardır. Kablosuz iletişim de bunun dışında değildir. Bu bölümde kablosuz ağlarda güvenliği arttırmanın en bilinen yöntemlerini anlatacağım.
MAC Adres Filtreleme
Bu metod, AP ile iletişim kurmaya izin verilmiş kullanıcıların kablosuz ağ kartlarının MAC adreslerinin listelenmesi ve kullanılmasıdır. Eğer birkaç AP varsa, bu listeler kullanıcının iletişimde bulunacağı bütün AP lerde tanımlanmalıdır. Sistem sorumluları bu listeleri güncelleme konusunda çok dikkatli olmalıdır. Yine de bu metod bir korunmasızdır (yukarıda anlatıldığı gibi) ve güvenli kablosuz ağlar için yaygın bir şekilde kullanılmaktadır.
WEP
Yukarıda anlatılan duruma göre, WEP, AP ile kullanıcı arasındaki iletişim için kesin bir veri şifreleme sağlamaktadır. Fakat WEP mutlaka kullanıma açılmalıdır, çünki saldırgan için daha rahat girilebilecek bir ağ yaratmaya ihtiyacımız yok. Tekrar söylemek gerekirse, bu metod da değişik saldırılar ile geçilebilir.
SSID (Ağ Kimliği – Network ID)
Geüvenli kablosuz ağlarda ilk kullanım denemesi Ağ Kimliğidir (SSID). Kablosuz kullanıcı AP ile iletişim kurma başlangıcında iken SSID gönderilmektedir. SSID 7 digit ve hem rakam hemde harflerden oluşan, hem AP hemde kullanıcı kablosuz ağ kartlarına zor kodlanabilen bir kimliktir. SSID nin kullanımı ise, AP tarafından iletişime izin verilen doğru Ağ Kimliği taşıyan kullanıcılar tarafından gerçekleşir. WEP in kullanıma açılması ile, SSID şifreli bir şekilde yollanır, fakat eğer saldırgan fiziksel olarak aygıta ulaşabiliyorsa, SSID yi bulabilir çünki şifresiz metn olarak saklanmaktadır.
SSID saldırgan tarafında bir kere ele geçirilirse, sistem sorumlusu yeni bir SSID yi elle tanımlamak zorundadır.
Ateş Duvarları
Ateş Duvarı kullanımı kablosuz ağlarda izinsiz girişleri engellemek için muhtemelen tek güvenlik özelliğidir. Aşağıda bahsedildiği gibi, ağa ulaşım sadece IPSec, Güvenli Kabuk (Secure Shell) veya VPN ile sağlanmalıdır. Böylece ateş duvarı sadece IPSec veya Güvenli Kabuk trafiğine göre ayarlanabilir. Kablosuz ağlardan kablolu ağlara erişimi örneklemek gerekirse:
1. Kablosuz kullanıcıya kimlik tanımlaması yapılmıl olmalı ve AP ile iletişimi sağlanmalıdır. Daha iyi güvenlik için, AP lerde MAC adres filtrelemesi uygulanmalıdır.
2. AP ler IP isteklerini DHCP sunucuya yollar. Sunucu kullanıcıya bir adres ataması yapar. Adres ataması yapıldıktan sonra, kablosuz kullanıcı kablosuz ağa dahil olur. Eğer bu kullanıcı kablolu ağa girmek isterse IPSec VPN tüneli veya Güvenli Kabuk’ran biri uygulanmalıdır.
Ateş duvarının sadece güvenli bağlantıları kabul etmesi çok önemlidir, diğer tüm bağlantı isteklerine kapalı olmalıdır.
Erişim Noktaları (AP – Access Point)
Erişim noktaları MAC adres filtrelemeye olanak sağlarlar ve öyle de konfigüre edilmelidirler zaten. Bunun yanında MAC adresleri dinlenebilir (Yukarıya bakınız). Sistem sorumluları AP lerin güvenli bir noktada olmasına dikkat etmelidirler, ki izinsiz fiziksel erişim sağlanamasın.
AP ler telnet, web tarayıcı veya SNMP ile konfigüre edilebilir. Size sadece telnet ile konfigüre etmenizi ve iğer tüm yolları kapatmanızı tavsiye ederiz.
Tasarımda Dikkat Edilecekler (Design Considerations)
Güvenli kablosuz ağlar gerçekleştirmeden önce ağı doğru tasarlamak çok önemlidir. Doğru tasarlanmış ağlar bazı kablosuz ağ risklerini azaltacaktır.
Bazı doğru tasarım ipuçları:
1. Kablosuz ağınızı VPN ve ACL ile koruyunuz
2. Eğer WEP kullanıma açık değilse erişim noktalarınızı (AP) asla kablolu ağınıza bağlamayınız
3. Erişim noktalarınızı (AP) asla ateş duvarının arkasına koymayınız

Alıntıdır..