13 Mayıs 2012 Pazar

Kablosuz Ağ Güvenliği

Kablosuz ağlar, kablosuz haberleşme yeteneğine sahip (802.11, bluetooth, infrared, GSM vb.) cihazların herhangi bir fiziksel bağlantı olmaksızın birbirleriyle bağlantı kurmalarını sağlayan ağ yapılarıdır.

Kablosuz Haberleşme Teknolojileri
İhtiyaca göre farklılaşmış, farklı frekans bantlarında, değişik standartlara göre çalışan kablosuz
haberleşme teknolojileri bulunmaktadır. Kablosuz haberleşme ağlarını 3 sınıfa ayırabiliriz:

Yerel Alan Ağları
IEEE, 802’yi yerel alan ağı standartlarını, 802.11’i kablosuz yerel alan ağlarını, sonda bulunan a, b, g, n gibi harfler ile de özelleşmiş kablosuz ağ standartlarını tanımlamak için kullanmaktadır. 

IEEE 802.11 b,g: Türkiye’de 2.4 GHz ISM radyo frekans bandında yüksek hızlı veri transferinin mümkün olduğu (802.1b ile 11Mbps, 802.11g ile 54 Mbps), kapsama alanı 10 ila 100 metre arasında değişen (anten, alıcı kazancı, sinyal gücü, ortam gibi değişkenlere bağlı olarak), dizüstü bilgisayar, masaüstü bilgisayar, PDA vb. cihazların bir erişim noktası üzerinden ya da birbirleriyle kurdukları direk bağlantı ile haberleşmelerini sağlayan kablosuz ağ yapılarıdır. Kablosuz Ethernet ya da Wi-Fi olarak da adlandırılmaktadır. 

IEEE 802.11a: Avrupa dışında kullanılan, 802.11b,g standardından farklı olarak 5.0 GHz ISM bandında veri transferine izin veren standarttır. Türkiye’de kullanımına izin verilmemektedir.IEEE 802.11n: Henüz yaygın olarak kullanılmayan, çoklu antenler ve çeşitli protokoller kullanarak maksimum veri transfer hızını 540 Mbps'a çıkaran standarttır.  

Kişisel Alan Ağları 
Bluetooth (IEEE 802.15.1): Cihazların düşük hızda bire bir haberleşmeleri için kullanılan, genellikle kısa menzilli (1 ila 20 metre) kablosuz haberleşme sistemleridir. Bluetooth haberleşmesi 802.11b/g ile aynı frekans bandında (2.4 GHz) gerçekleşmektedir, bu sebeple Bluetooth haberleşmeleri 802.11b/g haberleşmeleri üzerinde gürültü olarak olumsuz etki yapabilmektedir. Bluetooth haberleşmesi için cihazlar arasında direk görüş hattı (Line of Sight - LOS) olması gerekmemektedir. Bluetooth 1.0  ile 720 Kbps, Bluetooth 2.0 ile 3Mbps maksimum veri hızına ulaşılabilmektedir. Bluetooth haberleşmesine örnek olarak 

•  Bilgisayarların düşük hızlı kısa mesafeli haberleşmeleri 
•  Cep telefonları arasında ve PC’ye veri transferi
•  Bluetooth kulaklık
•  Bluetooth ile yazıcı kullanımı verilebilir.

Geniş Alan Ağları 
GSM: Baz istasyonları üzerinden aktarma yöntemiyle uzun mesafeler arasında cep telefonu ile ses ve veri haberleşmesini sağlayan sistemlerdir.

WiMAX [6]:  IEEE 802.16e standardı ile tanımlanmış bir kablosuz geniş bant erişim teknolojisidir. Teorik olarak IEEE 802.16 standardı görüş hattı gerektirmeden 50 km’ye kadar kapsama alanı sağlamak ve maksimum 75 Mbps’lik (yakın mesafelerde) iletim hızını mümkün kılmak üzere tasarlanmıştır. Çeşitli ülkelerde farklılık göstermekle birlikte 2 GHz-11GHz aralığında belirli frekans bantlarının WiMAX Mobil kullanıcılara mekândan bağımsız internet erişimi sunmayı amaçlamakta, ayrıca kablolamanın maliyet ve/veya coğrafi  şartlar sebebiyle elverişli olmadığı bölgelerde alternatif bir olarak düşünülmektedir. Türkiye de pilot uygulamalar yapılmaktadır, fakat henüz etkin olarak kullanılmamaktadır.

Kablosuz Yerel Alan Ağları Tarihçesi
KYAA (WLAN) teknolojileri ilk olarak 1990 yılında 900MHz frekans bandında çalışan,1Mbps veri hızına ulaşan, üreticilerin kendi standartlarını oluşturduğu ürünlerle ortaya çıktı.Bu dönemde kablolu ağların hızı 10 Mbps seviyesindeydi. 1992 yılında 2.4 GHz bandında çalışan ürünler piyasaya çıktı. 1997 yılında IEEE 802.11 kablosuz  Ethernet standardını yayınladı, frekans bandı 2.4 GHz ve veri hızı 1 Mbps’tı. 1999 yılında, IEEE daha yüksek veri hızı, farklı frekans bant kullanımı ve güvenlik özellikleri içeren 802.11a (5 GHz, 54 Mbps) ve 802.11b (2.4 Ghz, 11 Mbps) standartlarını yayınladı. 2003 yılında 2.4 GHz bandında çalışan ve 54 Mbps veri hızı sunan, aynı zamanda da 802.11b standardında çalışan cihazlarla haberleşebilmeyi sağlayan IEEE 802.11g standardı yayınlandı. IEEE 802.11g’den 10 kat hızlı veri iletişimi sağlaması planlanan 802.11n standardının Draft 2.0 versiyonu Mart 2007’de yayınlandı. Standartlaşmamış olmakla birlikte piyasada Ağustos 2007 itibarıyla 70 kadar kablosuz cihaz Draft 2.0 versiyonuna uygunluk sertifikası almış bulunmaktadır. 

IEEE 802.11 Kablosuz Yerel Alan Ağları Bileşenleri
IEEE 802.11 Kablosuz yerel alan ağlarında bulunan temel bileşenler aşağıda sıralanmaktadır: 
Kablosuz  İstemci: En az bir adet 802.11a/b/g kablosuz ağ adaptörüne sahip olan kişisel bilgisayarlar, dizüstü bilgisayarlar, el bilgisayarları, cep telefonları vb. 

Erişim Noktası (EN-Access Point):  İstemcilerin ağa bağlandıkları noktalardır. Hub gibi davranırlar; gelen paketi havaya basarlar  ve tüm istemciler ilgili pakete ulaşabilir.  Erişim noktaları SSID (Service Set ID)’leri ile ayırt edilirler. EN’ler  periyodik olarak beacon paketlerini havaya göndermek suretiyle varlıklarını (SSID bilgilerini) mevcut istemcilere bildirirler. 

Kimlik Doğrulama/Yetkilendirme Sunumcusu (Opsiyonel bileşen): AAA sunucusu olarak ta bilinmektedir. Kablosuz haberleşmede, tasarlı yapıda  (infrastructure mode) kablosuz erişim yapmak isteyen kullanıcıların kimlik doğrulama işleminin yapılacağı sunuculardır.

Kullanıcı bilgilerinin tutulduğu veritabanını kullanır (Ör:  Active Directory), tanımlanmış erişim kontrol listesine göre erişim izni verir/dinamik VLAN ataması yapar vb. Yetkilendirme sunucusuna erişim istekleri Erişim Kontrol Cihazı üzerinden gelir. 802.1x kullanılması durumunda erişim noktaları erişim kontrol cihazı görevi yapar

IEEE 802.11 Çalışma Modları
IEEE 802.11 kablosuz yerel alan ağlarında iki farklı çalışma modu bulunmaktadır:
Tasarlı (Infrastructure) Mod: Kablosuz istemciler bir veya birden çok EN’ye bağlanmakta ve tüm veri trafiği bu EN’ler üzerinden akmaktadır. Tek EN bulunan ağlar Basic Service Set (BSS), çoklu EN bulunan ağlar ise Extended Service Set (ESS) olarak isimlendirilmektedirler.

Tasarsız (Ad Hoc) Mod: Kablosuz istemciler herhangi bir EN’ye bağlanmaksızın direk birbirleriyle bağlantı kurmaktadırlar (Peer-to-Peer bağlantı). Bu tür ağlar aynı zamanda Independent Basic Service Set (IBSS) olarak isimlendirilmektedirler.

KABLOSUZ AĞLARIN TAŞIDIĞI RİSKLER
Kablolu Ağa Sızma
Erişim noktaları, uygun güvenlik önlemleri alınmaması durumunda,  saldırganlar için kablosuz ve kablolu ağa bağlanmak için açık uç sağlar. Kablolu ağdaki mevcut önlemler saldırganın iç ağa direk erişiminin olmadığı, en azından bir güvenlik duvarı üzerinden geleceği varsayımına dayanmaktadır. EN üzerinden iç ağa erişim, geniş alan ağından gelen saldırganları önlemek için kullanılan güvenlik duvarının atlatılması ve güvenlik açığı bulunması muhtemel birçok servise direk erişim sağlanması riskini taşımaktadır.

Trafiğin Dinlenip Verinin Çözülmesi
Erişim noktaları bir hub gibi davranırlar, gelen trafiği ortak transmisyon ortamına, yani havaya
gönderirler ve bu trafik ortamdaki diğer bütün kablosuz cihazlar tarafından dinlenebilir ve kaydedilebilir. Kullanılan şifreleme algoritmasının açıklıklarının bulunması durumunda bu veri paketleri olası saldırganlar tarafından çözülebilir. Örneğin yerel ağda gönderilen Telnet / POP3 / SMTP parolaları, NTLM özetleri saldırganlar tarafından elde edilebilir, yazışmalar, e-postalar, internette sörf yapan kişilerin ilgi alanları konusunda bilgiler açığa çıkabilir.

Ağ Topolojisinin Ortaya Çıkması
Kablolu ağlara yapılan saldırılarda gerçekleştirilen önemli adımlardan biri ağ topolojisinin ortaya çıkarılmasıdır. Kablosuz iletişimde 2. katmanda (Veribağlama katmanı) gönderilen kontrol paketleri  şifresiz olarak gönderilmektedir, bu durum kablosuz ağdaki bütün mevcut istemci ve varsa sunumcuların network bilgilerinin ortada olmasına neden olmaktadır. Ayrıca EN’in kablolu ağa bir hub üzerinden bağlanması durumunda kablolu ağın topolojisinin saldırganlar tarafından öğrenilmesi mümkün olabilmektedir. Kablosuz ağdaki  şifrelemenin kırılması durumunda iç ağ ile yapılacak trafiğin incelenmesi ile iç ağ topolojisi anahtar (switch) cihazı kullanılsa dahi ortaya çıkarılabilir.

İstemcilerin Yetkisiz Erişim Noktalarına Bağlanması
Saldırganlar ortama sahte erişim noktaları yerleştirebilir, ya da kendi dizüstü bilgisayarlarını basit işlemler sonucunda bir EN’ye dönüştürebilir. Yetkili istemciler uygun şekilde konfigüre edilmezlerse, bu sahte erişim noktaları üzerinden farkında olmadan istenilmeyen bağlantı kurulmasına sebep olunabilir, ya da “araya girme (man-in-the-middle)”  türü ataklara maruz kalınabilir. 

İstenmeyen Yerlere Servis Verme
Kablosuz haberleşme ortamının hava olması sebebiyle fiziksel erişim kontrolü mümkün değildir. Yetkisiz istemciler güvenli olmayan yetkilendirme ve  şifreleme önlemlerini aşarak mevcut kablosuz ağın kaynaklarını kendileri için kullanabilirler. 

Servis Dışı Bırakma (DoS)
Kablosuz ağa bağlı istemcilere gönderilecek sahte deauthenticate mesajları ile kablosuz ağa DoS ataklarının yapılması mümkündür. Ayrıca ortamın jam edilmesi (frekans bandının gürültü seviyesinin haberleşme yapılamayacak derecede yükseltilmesi), ya da aynı frekansta hizmet veren başka erişim noktalarının ortama konulması suretiyle de DoS atakları yapılabilir. 

KABLOSUZ AĞ GÜVENLİK STANDARTLARI 
IEEE 802.11 Güvenlik Standardı (WEP)
1999 yılında yayınlanmış olan IEEE 802.11 standardında (WEP – Wired Equivalent Privacy) kimlik doğrulama/yetkilendirme,  şifreleme ve veri bütünlüğü hususlarında uygulanabilecek güvenlik önlemleri belirlenmiştir. 2000 yılından başlayarak açıklıkları tespit edilmeye başlanmış ve ilgili açıklıkları kullanarak güvenlik önlemlerini etkisiz kılan yazılımlar/kodlar internette yayınlanmıştır. Kullanımı tavsiye edilmemektedir.
İlgili standartta kimlik doğrulama için iki seçenek sunulmaktadır:

Açık Sistem Kimlik Doğrulama (Open System Authentication) : Gerçekte herhangi bir kimlik doğrulama yapılmamakta, erişim noktasına bağlanırken kablosuz ağ bağdaştırıcısının MAC adres bilgisi gönderilmektedir. EN bu  bilgiyi kaydederek istemciye kablosuz erişim hakkı verir.

Paylaşılan Anahtar ile Kimlik Doğrulama (Shared Key  Authentication) :   İstemci ve erişim noktasında ortak bir anahtar tutulmaktadır.  İstemci bağlantı kurmak istediğinde EN istemciye rastgele bir mesaj yollar. İstemci bu mesajı ortak anahtarla şifreleyip EN’ye gönderir.

EN mesajın ortak anahtarla  şifrelendiğini doğrularsa istemciye kablosuz erişim hakkı verir. Ortak anahtarın istemci EN’ye nasıl dağıtılacağı ve sonrasında uygulanacak anahtar güncelleme yöntemi WEP standardında belirtilmemektedir. Ayrıca ortak anahtar aynı zamanda şifreleme amaçlı da kullanılmaktadır. Kimlik doğrulama aşamasında kullanılan açık veri – şifrelenmiş veri trafiği kaydedilip kripto analiz yöntemleri ile  şifrelenmiş bilgilerin kısmen ortaya çıkarılabilmesi mümkündür. Kısacası Kimlik doğrulama için kullanılan anahtar aynı zamanda şifreleme için de kullanıldığı için ek güvenlik sağlamamakta, aksine şifreleme kısmı için güvenlik açığı oluşturmaktadır. Bu sebeple WEP kullanılırken Açık Sistem Kimlik Doğrulama seçilmesi daha güvenli kabul edilmektedir.

Şifreleme: Şifreleme için RC4 şifreleme algoritması istemcilerde ve EN üzerinde girilen ortak anahtar ile kullanılmaktadır. Bu yöntemde 

•  RC4 algoritmasının zayıflıkları, 
•  Ortak anahtarlar için herhangi bir anahtar yönetim mekanizması bulunmaması, 
•  24-bit Initialization Vector (IV) kullanımının tekrarlanan  şifreleme dizilerinin kullanımına yol açması sebepleriyle  şifreleme yeterli gizlilik sağlayamamakta, yeterli veri trafiği saldırganlar tarafından kaydedildiğinde paylaşılan anahtar ele geçirilebilmektedir.

Veri Bütünlüğü: 32 bit CRC (Cyclic Redundancy Check)’e dayanan ICV (Integrity Check Value) kullanılmaktadır. Bu yöntemde veri paketinin 32-bit CRC’si oluşturulmakta ve WEP anahtarı ile  şifrelenerek alıcıya gönderilmektedir. ICV kriptografik veri bütünlüğü sunmamaktadır. Bu sebeple bit değiştirme ve tekrarlama saldırılarına karşı konulamamaktadır.

Bit değiştirme saldırısında,  şifrelenmiş mesajın belli bitleri değiştirilip  şifreli ICV’de de karşılık gelen değişiklik ortak anahtar bilinmeden yapılabilmektedir. Tekrarlama saldırısında ise saldırgan tarafından yakalanmış bir paket farklı bir zamanda EN’ye veya istemciye gönderilebilmektedir. Bu sayede kripto analiz için yapay veri trafiği oluşturulabilmektedir (EN tekrarlanan paketlere yanıt paketleri göndermektedir).
Sonuç olarak WEP standardı kimlik doğrulama,  şifreleme ve veri bütünlüğü önlemlerinin hepsinde ciddi açıklıklar bulunmaktadır, bu sebeple kurumsal kablosuz güvenlik standardı olarak kullanımı uygun değildir.

Wi-Fi Protected Access (WPA)
WEP standardında olan açıklıkların ortaya çıkmasıyla birlikte IEEE yeni bir güvenlik standardı
(IEEE 802.11i) oluşturmak amacıyla çalışmalara başlamıştır. Fakat bu standardın çıkmasının
gecikmesi sebebiyle ara çözüm olarak  Wi-Fi Alliance (üretici firmaların oluşturduğu organizasyon) WPA standardını oluşturmuştur. 

Kimlik Doğrulama: WPA kimlik doğrulama/yetkilendirme için iki seçenek sunmaktadır. 

1.  Birincisi ev kullanıcıları, küçük işletmeler için tasarlanmış olan WPA-PSK yapısıdır. WPA-PSK’da kimlik doğrulama için istemciler ve erişim noktası üzerinde girilen bir paylaşılan parola (PSK) kullanılmaktadır. Paylaşılmış anahtar istemcilerin işletim sisteminde tutulmakta, bu sebeple PSK anahtarı çalınma/hacker saldırıları ile başkalarının eline geçme riski taşımaktadır (Örnek: WzCook saldırı yazılımı, üzerinde
çalıştığı işletim sistemindeki anahtarlarını kullanıcıya bildirmektedir.). Kimlik doğrulama trafiğini kaydeden saldırganların sözlük saldırılarına olanak tanıyan bir yapıdır. Tek ortak anahtar kullanımı kullanıcıların ayırt edilebilmesini/ farklı yetkilendirmelerin yapılmasını/ kullanıcı tabanlı kayıt tutulmasını olanaksız kılmaktadır. Ayrıca bir istemci bilgisayarının çalınması durumunda ya da yetkisiz bir erişim olduğunda PSK’nın ele geçmesi muhtemeldir. Kurumsal kablosuz ağlarda kullanımı uygun değildir. 

2.  İkinci seçenek ise 802.1x kullanımıdır. IEEE 802.1x, port tabanlı ağ erişim kontrol mekanizmasıdır ve uzaktan erişim, VPN, anahtarlama cihazı vb. uygulama/birimlerin kimlik doğrulama/yetkilendirme yöntemi olarak kablolu ağlarda kullanılmaktadır.  

a.  802.1x’te PEAP (kullanıcı hesap bilgileri kullanılarak), EAP-TLS (Sertifika tabanlı), EAP-MD5 (şifre kullanılarak) vb. protokoller kullanılarak kimlik doğrulama işlemi gerçekleştirilebilmektedir.

b.  802.1x ile çift yönlü kimlik doğrulama mümkündür, istemciler ve RADIUS/TACACS sunumcu karşılıklı olarak kimlik doğrulama işlemi gerçekleştirebilirler, böylece istemcilerde doğru ağa bağlandıklarını kontrol edebilirler. 

c.  802.1x ile yetkilendirmede erişim politikaları tanımlanabilmekte, ait olduğu etki alanı, kullanıcı grubu, bağlantı türü, bağlantı zamanı, bağlandığı erişim noktası vb. kriterlere göre yetkilendirme yapılabilmektedir. 

d.  802.1x erişim kontrolünde yer alan bileşenler: istemci (laptop, PDA, cep telefonu, PC vb.), erişim noktası ve RADIUS/TACACS erişim kontrol sunumcusudur. İstemciler bağlantı isteklerini erişim noktasına bildirirler, erişim noktası isteği RADIUS/TACAS sunumcuya yöneltir ve kimlik doğrulama/yetkilendirme işlemini RADIUS/TACACS sunumcu gerçekleştirerek sonucu erişim noktası ve istemciye bildirir. Sonuca göre erişim noktası istemciye bağlantı için sanal bir port açar. Bu işlemler sonucunda ek olarak erişim noktası ve istemci arasındaki şifreli haberleşmelerde kullanılacak şifreleme anahtarları oluşturulur.
Şifreleme: 802.1x kimlik doğrulama/yetkilendirme işlemi sonucunda haberleşme için kullanılacak  şifreleme anahtarı istemci ve RADIUS/TACACS sunumcu tarafından karşılıklı olarak oluşturulur ve erişim noktasına RADIUS/TACACS sunumcu tarafından iletilir. Şifreleme için Temporal Key Integrity Protocol (TKIP) kullanılmaktadır. TKIP yapısında,WEP’te kullanılan  şifreleme algoritması RC4 kullanılmakta, fakat WEP’ten farklı olarak her bir pakette  şifreleme anahtarını değiştirilmekte (per packet keying) ve IV uzunluğu 24 bit yerine 48 bittir. TKIP, WEP’in bilinen zayıflıklarını kapatmak üzere geliştirilmiş bir yapıdır, WEP’ten TKIP’a donanım değişikliği olmadan geçişe imkan verebilmek amacıyla zayıf bir şifreleme algoritması olan RC4 kullanımına devam edilmiştir. Erişim noktaları ve istemci ağ bağdaştırıcılarının yeni nesil  şifreleme algoritması olan AES’in donanımsal olarak desteklemediği durumlarda kullanılabilecek en güvenli  şifreleme seçeneğidir. Kurumsal kablosuz ağlarda 802.1x ile birlikte kullanımı gereklidir, WPA-PSK ile kimlik doğrulama yapılması durumunda  şifreleme anahtarlarının oluşturulduğu yöntemdeki zayıflık  şifreleme yapısının sağladığı gizliliği ortadan kaldırabilir.

Veri bütünlüğü: WPA, WEP yapısından farklı olarak basit CRC hesaplaması yerine kriptografik veri bütünlüğü kontrolü yapılmasına olanak sağlamaktadır. Tekrarlama, bit değiştirme saldırılarına karşı WEP’in taşıdığı zayıflıkları taşımaz. Veri bütünlüğü için Michael olarak adlandırılan, paketlerin veri kısmı özetinin (hash) TKIP ile  şifrelenmesi yöntemi kullanılmaktadır. Veri bütünlüğü için kullanılan anahtar, veri  şifreleme anahtarından farklıdır ve 802.1x kimlik doğrulama aşamasında oluşturulmaktadır.

Windows WPA Desteği 
Aşağıda belirtilen Windows işletim sistemi sürümlerinde WPA konfigürasyonu desteklenmektedir: 
•  Windows Vista •  Windows XP SP2 •  Windows Server 2003 SP1-SP2 •  Windows Server "Longhorn"
•  Windows XP SP1 ve Windows Server 2003 (SP1-SP2 yüklenmemiş)’te http://support.microsoft.com/?kbid=826942 adresinde bulunan güncellemenin yüklenmesi
gerekmektedir.
•  Windows 2000, Windows XP (SP yüklenmemiş) ve daha eski Windows işletim sistemlerinde WPA konfigürasyonu desteklenmemektedir. Ağ bağdaştırıcısı üretici firmalarının sağlayacağı konfigürasyon yazılımları ile WPA konfigürasyonu yapılabilir. Ayrıca Windows 2000 Server SP4 ve Windows 2003 Server SP1 etki alanı kontrolcüleri üzerinden grup politikası ile ilgili istemcilerin WPA güvenlik ayarları yapılabilmektedir.

IEEE 802.11i
IEEE 802.11i çalışma grubu tarafından WEP’in zayıflıklarını tümüyle ortadan kaldırmak amacıyla oluşturulmuş güvenlik standardıdır. WPA2 veya Robust Security Network (RSN) olarak da bilinmektedir.  Advanced Encryption Standard (AES)  şifreleme algoritmasının Counter Mode with Cipher Block Chaining  Message Authentication Code Protocol (CCMP) modunda  şifreleme ve veri bütünlüğü kontrolü için ve 802.1x’in kimlik doğrulama/yetkilendirme için kullanımını önermektedir.
Kimlik Doğrulama/ Yetkilendirme: WPA ile aynı yapıyı, 802.1x’i kullanmaktadır.

Şifreleme: Advanced Encryption System (AES)  şifreleme algoritması  Counter Mode modunda kullanılmaktadır. Bu yöntemle WEP ve TKIP’ta kullanılan IV ve TKIP’te uygulanan per packet keying mekanizmasına ihtiyaç kalmaksızın şifreleme anahtarı tekrarını önleyen bir yapı oluşturulmuştur. AES  şifreleme algoritması RC4 algoritmasına göre daha güçlü bir şifreleme algoritmasıdır ve bilinen herhangi bir zayıflık içermemektedir. AES kullanımını desteklemeyen donanımlara yönelik uyumluluk için RC4 şifreleme algoritması kullanan TKIP yapısı da IEEE 802.11i standardında bulunmaktadır. Kablosuz ağ’larda kritik bilgi taşıyan kurumlarda 802.11i AES kullanımı tavsiye edilmektedir.

Veri Bütünlüğü: WPA veri bütünlüğü kontrolünden farklı olarak paketlerin veri kısmı özetleri AES  Cipher Block Chaining Message Authentication Code Protocol (CBC-MAC) ile şifrelenmektedir. WPA veri bütünlüğü şemasına göre daha güçlü bir yapıdır.

Windows 802.11i (WPA2) Desteği 
Aşağıda belirtilen Windows işletim sistemi sürümlerinde WPA2 konfigürasyonu
desteklenmektedir: 
•  Windows Vista
•  Windows XP SP2, ek olarak http://support.microsoft.com/?kbid=917021, adresinde bulunan güncelleme
•  Windows Server "Longhorn"
Ayrıca Windows 2003 Server SP2 ve Windows Server Longhorn etki alanı kontrolcüleri üzerinden grup politikası ile ilgili istemcilerin WPA2 güvenlik ayarları yapılabilmektedir.

TAVSİYE EDİLEN GÜVENLİK KONFİGÜRASYONLARI
Aşağıda kurumsal kablosuz ağlarda kullanımı önerilen güvenlik standartları(sırasıyla şifreleme
ve kimlik doğrulama) güçlüden zayıfa doğru sıralanan şekilde verilmiştir:
•  WPA2/AES ve EAP-TLS
•  WPA2/AES ve PEAP-MS-CHAP v2
•  WPA/TKIP ve EAP-TLS
•  WPA/TKIP ve PEAP-MS-CHAP v2

Kullanımı sadece WPA2 veya WPA’ya geçiş aşamasında tavsiye edilen güvenlik standartları (sırasıyla şifreleme ve kimlik doğrulama) güçlüden zayıfa doğru sıralanan şekilde:
•  WPA2/AES ve WPA2-PSK
•  WPA2/TKIP ve WPA2-PSK
•  WPA/TKIP ve WPA2-PSK

Kesinlikle kullanılmaması gereken güvenlik standartları ise:
•  WPA-PSK
•  WEP ve Açık Kimlik Doğrulama
•  WEP ve Paylaşılmış Anahtarlı Kimlik Doğrulama
•  Hiçbir güvenlik önleminin alınmadığı durum

Aşağıda kablosuz ağ güvenlik konfigürasyonlarının Windows etki alanı bulunan bir yapıda nasıl uygulanacağı örnek bir konfigürasyonla anlatılmaktadır. Bu kısımda kurum ağında Windows 2003 SP2 yüklü bir etki alanı sunumcusu olduğu ve kullanıcıların Windows XP SP2 yüklü ve WPA2 güncellemesi yapılmış istemci bilgisayarlarından ilgili etki alanına ait kullanıcı hesapları kullanarak kablosuz ağa bağlanacakları kabul edilmiştir

 Mimari Topoloji
•  Ağda domain yapısı kurulması gereklidir. 
•  Sunumcuların kablolu ağ bölümünde bulunması gereklidir. 
•  Erişim noktaları ile kablosuz ağ arasında bir güvenlik duvarı olması gereklidir.
•  İnternet açılan güvenlik duvarı ve yönlendirici üzerinde gerekli güvenlik önlemlerinin alınmış olması gerekmektedir.
•  Kablolu ağda bulunan sunumcularda  ve kablolu kablosuz ağ arasındaki güvenlik duvarında gerekli güvenlik ayarları yapılmalıdır.
•  Aşağıda örnek bir ağ şeması verilmiştir. 
Gerekli Bileşenler:
•  Etki alanı kontrolcüsü (Windows 2003 SP2) : 
•  RADIUS Sunumcusu – Microsoft Internet Authentication Service (IAS).
•  Sunumcu Sertifikası (Kurum sertifikasyon makamından ya da bir sertifika sağlayıcılardan alınmış)
•  İstemci bilgisayarları (Windows XP SP2, WPA2 güncellemesi yapılmış)
•  Erişim Noktaları (WPA2 destekleyen)

Etki Alanı Kullanıcı Hesapları ve Grup Ayarları:
•  Windows 2003 etki alanı kontrolcüleri kullanılıyor ise Service Pack 2 yüklenir
•  “Kablosuz Kullanicilar” kullanıcı grubu (universal ya da  global group) yaratılır, gerekli kullanıcılar eklenir.
•  Kablosuz Bilgisayarlar bilgisayar grubu(universal ya da global group) yaratılır, ilgili bilgisayar hesapları eklenir.
•  Kablosuz bağlantı yapılacak bilgisayarlar etki alanına üye yapılır.
•  İlgili kullanıcı ve bilgisayar hesapları için:

Active Directory Users  and Computers snap-in >  İlgili Kullanıcı/Bilgisayar Hesabı > Properties > Dial-in tab > Remote Access Permission (Dial-in or VPN) : Allow access veya Control access through Remote Access Policy seçilir.  


IAS Sunumcu Ayarları:
•  Aşağıda belirtilen adımların uygulanması için sunumcuya  “domain administrator” haklarına sahip bir kullanıcı ile bağlanılması gerekmektedir.
•  İlk adım olarak IAS sunumcusunun sunumcu sertifikasının yüklenmesi işlemi gerçekleştirilir.
o  Etki alanında kurulu bir CA bulunuyorsa Otomatik (autoenrollment) olarak,IAS sunumcusu  Certificates snap-in üzerinden yeni bilgisayar sertifikası talebinde bulunarak (Request New Certificate) CA üzerinde oluşturulmuş sertifika IAS sunumcuya Certificates snap-in üzerinden Import edilerek.
o  Ticari sertifika (Verisign vb.) kullanımı durumunda alınmış sertifika IAS sunumcu Certificates snap-in üzerinden Import edilir.
•  IAS servisi kurulur. 
Add Remove Programs > Windows Components > Optional Networking Components > Internet Authentication Service
•  IAS servisi etki alanı kontrolcüsü üzerine kurulmadı ise, IAS servisinin etki alanındaki kullanıcı ve bilgisayar hesapları bilgilerine erişim izni verilmesi gerekmektedir.
o  Start > Administrative Tools > Internet Authentication Service snap-in >Internet Authentication Service(Local) > “Register Server in Active Directory” seçilir. 
o  “Register Internet Authentication Service in Active Directory” penceresinde “OK” tıklanır. 



Analiz ve olay sonrası güvenlik incelemeleri için bağlantı istekleri hakkında kayıt tutulması:
o  Internet Authentication Service snap-in > Internet Authentication Service(Local) > Properties > General sekmesi altında: “Rejected Authentication Requests” ve  ”Successful Authentication
Requests” seçenekleri seçili konumda olmalıdır.
o  Internet Authentication Service snap-in > Remote Access Logging altında istenilen (Local File veya SQL veritabanı) kayıt saklama yöntemi seçilir ve konfigüre edilir. Örneğin  Local File’a tıklanır,  Settings sekmesi altında ve “Accounting Requests, Authentication requests, Periodic Status” seçenekleri seçilir.


Log File sekmesi altında kayıt dosyalarının tutulacağı yer, yeni kayıt dosyası yaratma sıklığı ve sabit diskin dolması durumunda yapılacak işlem ayarları yapılabilmektedir.
•  Bir sonraki aşamada  “RADIUS Clients” altında IAS tarafından isteklerine cevap verilecek erişim noktaları ile ilgili ayarlar yapılacaktır. Her bir erişim noktası için aşağıda belirtilen ayarlar yapılmalıdır.
o  RADIUS Clients > New RADIUS Client seçilir

o  Erişim noktasını tanımlayıcı bir isim (SSID olabilir), IP ve Erişim noktası ile IAS sunumcunun birbirini doğrulamak ve trafiği  şifrelemek için kullanacağı şifre  “Shared Secret”  bilgileri girilir.  Şifre büyük, küçük harf, sayı ve diğer karakterlerden oluşmalı, en az 22 karakter uzunluğunda olmalıdır.  Client-Vendor kısmına biliniyorsa ve listede varsa EN üreticisinin ismi girilir, bilinmiyorsa RADIUS Standard olarak bırakılır. Ayrıca eğer EN,  Message Authentication Code özelliğini desteklemiyor ya da bilinmiyorsa  Request must contain Message Authentication Code seçeneği seçilmemiş olmalıdır.
IAS ve EN’ler arasındaki RADIUS mesaj trafiğinin gizliliği, bütünlüğü ve kimlik kontrolü için IPSec kullanımı tavsiye edilmektedir.

•  EN’lerden gelecek kimlik doğrulama/yetkilendirme isteklerinin hangi kriterlere göre değerlendireceğini Remote Access Policy’ler belirlemektedir. IAS kurulumu ile 2 adet politika gelmektedir. Bu politikalar tüm istekleri reddedecek  şekilde ayarlanmıştır. Politikalar listedeki sıralarına göre uygulanırlar, en üstteki ilk uygulanan politikadır. Bir istek politikada belirtilen kriterlere uyuyorsa diğer tanımlanmış politikalar o istek için uygulanmaz. Yeni bir politika yaratmak için:

o  Internet Authentication Service snap-in > Remote Access Policies > New Remote Access Policy > New 
Remote Access Policy Wizard
o  Politika ismi girilir, Next’e tıklanır.
o  Access Method olarak Wireless seçilir.
o  User or Group Access kısmında Group seçilir ve Kablosuz Kullanicilar grubu eklenir
o  Authentication Methods  kısmında  Extensible Authentication Protocol‘e tıklanır ve  Type listesinden  Protected EAP (PEAP) seçilir. Type olarak seçilebilecek bir başka seçenek  Smart  Card and other certificates (EAP-TLS)’tir. Fakat o durumda tüm kablosuz olarak bağlanacak tüm bilgisayarlara sertifika dağıtma gereksinimi vardır. Eğer etki alanında bir Sertifikasyon Makamı kurulmuş ise ve kurum politikası olarak sadece sertifika yüklenmiş, kuruma ait bilgisayarların kablosuz ağ bağlantısı yapması isteniyorsa  type olarak Smart Card and other certificates  seçilir ve tüm istemcilere sertifika yüklenmesi sağlanır. Örneğimize PEAP seçilmiş olarak devam ediyoruz. MS-CHAPv2 seçili olarak kalır ve Next’e tıklanır. 


Policy Encryption Level EN ile ISA sunumcunun  RADIUS mesajlaşma trafiğinin güvenliğini sağlamak için kullandıkları  şifrelemenin gücünü belirtir. EN’lerin bunlardan hangilerini desteklediğini bilmiyorsak hepsi seçili olarak bırakılır ve  Finish’e tıklanır. Eğer destekleniyorsa  Strongest Encryption seçeneği seçilir.

o  Politika tanımlama işlemi tamamlandıktan sonra  Remote Access Policies altında  Wireless politikasının birinci sırada yer aldığı görülür, yani ilk uygulanacak politikadır, mevcut tüm istekleri reddeden politikalar  Wireless politikasına uyan istekler için uygulanmayacaktır.  Wireless politikasında Remote Access Policy Wizard’la yaptığımız ayarlara ek ayarlar yapılabilmektedir. Politika üzerine çift tıklanarak yapılabilecek ayarlar görülebilir. Edit Profile’a tıklanarak birçok detaylı ayar yapılabilir. 




Connection Request Processing kısmında  Proxy IAS sunumcular kullanılması durumunda yapılması gereken ayarlar bulunmaktadır. Varsayılan politika gelen isteklerin mevcut IAS sunumcu tarafından değerlendirilmesidir, bu ayar değiştirilmeyecektir.

Erişim Noktası Konfigürasyonu:
Erişim noktalarının konfigürasyonu üretici firmalara  ve EN’nin modeline göre farklılıklar
gösterebilmektedir. Genel olarak yapılacak işlemler şunlardır:
•  Erişim noktası SSID (Service Set ID, kablosuz istemcilerin kablosuz ağ ayarlarında bağlanmak istedikleri EN’yi belirtmek için girdikleri isim) girilir. Disable Broadcast SSID seçeneği seçilerek Güvenlik için SSID bilgisinin EN  Beacon paketlerinde yayınlanması engellenir. SSID yönetim kolaylığı açısından sistem yöneticilerine EN’nin konumu hakkında bilgi veren bir isim olabilir, fakat saldırganların dikkatini
çekecek, kurum adı vb. bilgiler içeren isimlerden kaçınılmalıdır.
•  Şifreleme için WPA2/AES seçilir. WPA2/AES desteklenmiyorsa, TKIP seçilir.
•  Kimlik doğrulama için  WPA/802.1x seçilir,  RADIUS/IAS sunumcunun IP, Port (varsayılan değerler kabul edilir, UDP 1812, 1645), Shared Secret bilgileri girilir.

•  Erişim noktalarının yönetimi sadece konsol ya da kablolu ağ üzerinden yapılabilmeli, kablosuz arayüzden yönetim için erişim engellenmelidir.
•  Erişim noktalarının yönetiminde  ssh, htpps gibi  şifreli haberleşme protokolleri kullanılmalıdır.
•  Erişim noktalarına yönetim için kullanılan kullanıcı ismi ve  şifresi varsayılan değerinden farklı olmalı, şifre karmaşık olmalıdır. 
Bu örnek senaryoda bir adet Cisco EN’ye sahip olduğumuzu kabul edeceğiz:

•  Express Setup seçilir.
•  Server Manager kısmına girilir. 
o  Corporate Servers bölümünde IAS sunumcusunun IP adresi girilir.
o  Shared Secret olarak IAS üzerinde girilen en az 22 karakter uzunluğundaki şifre girilir. Apply’a basılarak 
•  SSID Manager kısmına girilir.
o  Radio Service Set ID (SSID) kısmına kablosuz istemcilerin göreceği EN ismi girilir. 
o  VLAN değeri “1” girilir
o  Authentication Key Management altında,  "Key Management" değeri "Mandatory" olarak seçilir ve WPA’e tıklanır. Apply’a basılır.
•  Encryption Manager kısmında Cipher ve TKIP seçilir. Apply’a basılır.

Kablosuz Ağ (802.11) Grup Politikası Ayarları:
Çok sayıda kablosuz ağ kullanıcısının olduğu durumlarda, kullanıcı bilgisayarlarında kablosuz
ağ bağlantı ve güvenlik ayarlarının her bir bilgisayar için elle yapılması mümkün olmayabilir.
Daha da önemlisi kablosuz ağ güvenlik ayarlarının kullanıcılar tarafından değiştirilebiliyor olması tüm ağ için büyük risk doğurmaktadır. Kullanıcıların yapılan güvenlik ayarlarını zayıflatmasını engellemek ve tüm kablosuz bilgisayarlarda standart ayarları merkezi olarak yapabilmek için Windows etki alanı grup politikaları kullanılabilmektedir. Etki alanına üye olmayan bilgisayarların ayarları ise elle yapılacaktır.
•  Windows 2003 Server etki alanı kontrolcüsü üzerinde  Active Directory Users and Computers MMC snap-in’i açılır.
•  Etki alanına üzerine sağ tıklanıp Properties seçilir ve Grup politikası sekmesi açılır. 

New’e tıklanarak Kablosuz Ağ Politikası ismiyle yeni bir grup politikası yaratılır.
•  Kablosuz Ağ Politikası > Properties’e tıklanır, General sekmesinde  Disable User Configuration Settings seçilir ve uyarı mesajında YES tıklanır


Kablosuz Ağ Politikası >  Edit’e tıklanır ve  \Computer Configuration\Windows Settings\Security Settings\Wireless Network (IEEE 802.11) Policies açılır.
•  Action menüsünden  Create Wireless Network Policy  seçilir. “Kablosuz istemci konfigurasyonu”  ismi verilir ve Finish’e tıklanır.
•  “Kablosuz istemci konfigurasyonu”’na çift tıklanır. Açılan pencerede  Networks to Access kısmında Access Point (infrastructure) Networks only seçilir.


Preferred Networks sekmesinde Add’e tıklanarak bağlanılması istenen erişim noktası SSID ve güvenlik ayarları girilir.
Network Properties  sekmesinde ssid bilgisi girilir. Network Authentication için WPA2, Data Encryption için AES seçilir.


o  IEEE 802.1X sekmesinde Protected EAP seçilir, settings’e tıklanır.


Trusted Root Certificate Authorities kısmında IAS sunumcu sertifikasını düzenleyen CA seçilir. Finish’e tıklanır.


Kablosuz İstemci Ayarları:
Etki alanı üyesi olmayan fakat kablosuz ağa bağlanacak bilgisayarlarda şu ayarlar yapılır:
•  Windows kablosuz bağlantı ayarları açılıp, Change Advanced Settings’e tıklanır. 


Açılan Wireless Network Connection Properties penceresinde Wireless Networks sekmesine tıklanır ve Add’e basılır. SSID ismi, Network Authentication için WPA ve Data Encryption için TKIP seçilir.


Authentication sekmesinde Protected EAP seçilir, Properties’e tıklanır.  Trusted Root Certificate Authorities kısmında IAS sunumcu sertifikasını düzenleyen  CA seçilir. Finish’e tıklanır.
•  Kablosuz ağa bağlanacak kullanıcı bilgisayarlarında aşağıda belirtilen  şartların sağlanması gerekmektedir:
o  İşletim sistemi yamalarının güncel olması, 
o  Antivirüs yazılımın güncel virüs tanımları yüklü olarak çalışıyor konumda olması,
o  Güvenlik duvarının aktif olması

KABLOSUZ AĞLARDA ALINACAK GÜVENLİK ÖNLEMLERİ
Güvenlik Politikası
•  Kullanıcıların kullanılan güvenlik önlemleri konusunda bilgilendirilerek belli güvenlik önlemlerini yanlışlıkla kapatmaları önlenmelidir.
•  Kullanıcı bilgisayarlarında; kablosuz bağlantı sırasında, ethernet ara yüzünden kablolu ağa bağlanılmamalıdır. Aksi takdirde kullanıcı bilgisayarı kablosuz ağ ile kablolu ağ arasında köprü (bridge) işlevi görebilir.
•  Erişim noktaları, kablosuz köprü cihazları çalıntı veya müdahaleye olanak tanımayacak şekilde yerleştirilmelidir.
•  Kayıp veya çalınmış dizüstü bilgisayarlar ve kablosuz ağ adaptörleri en kısa zamanda bildirilmelidir.
•  Bina yakınlarında güçlü antenler kullanılarak kablosuz ağın dinlenilmesi mümkün olabilir, bu sebeple tesis güvenliğinden sorumlu personelin bu hususta bilgilendirilmesi gereklidir. 
•  Kullanıcıların bilgisayarlarına donanım eklemeleri ya da yazılım yüklemeleri engellenmelidir.
•  Kullanıcıların ağ ayarlarını değiştirmemelidir
•  Kablosuz Ad-Hoc bağlantıya izin verilmemelidir

EK GÜVENLİK ÖNLEMLERİ
Erişim Noktası Fiziksel Güvenliği
Birçok erişim noktası üzerinde olası kurtarma / geri alma eylemleri için yönetim konsol bağlantı arayüzü bulunmaktadır. Bu tür bağlantı bulunmayan erişim noktalarında ise  reset düğmesi bulunmaktadır. Bunların her ikisine de yetkisiz erişim sonucu kötü niyetli eylemler gerçekleştirilebilir. Bu sebeple erişim noktasının konumlandırılacağı yerin kararı verilirken bu durum değerlendirilmelidir. Erişim noktasını güvenlik kameralarının görüş alanına yerleştirmek, erişim noktasının antenini harici olarak kullanarak erişim noktasının görünür bölgeden uzaklaştırılması (alçaltılmış tavanda bulundurulması) alınabilecek önlemler arasında sayılabilir.

VPN Uygulaması
Her ne kadar AES-CCMP güvenlik çözümünün uygulanması WEP ve TKIP’a oranla yüksek seviyede güvenlik sağlıyorsa da, AES-CCMP’nin kullanımında ortaya çıkabilecek olası aksamalara (kablosuz ağ bağdaştırıcısı ya da erişim noktası donanımın AES  şifrelemeyi desteklememesi, işletim sisteminde ayar yapılamaması, etki alanı seviyesinin grup ilkeleri ile güvenlik ayarı yapmaya elverişli olmaması vb.) karşı önlem olarak VPN ile ikinci bir güvenlik katmanının gerçekleştirilmesi tavsiye edilmektedir. VPN uygulaması, istemciler ile erişim noktalarının arkasında bulunacak bir VPN konsantratör arasında olacaktır.

Saldırı Tespit ve Önleme Sistemleri
Şifreleme, yetkilendirme, protokol filtreleme vb. güvenlik tedbirleri önleyici faaliyetler olmakla birlikte uygulanan güvenlik tedbirlerinde çıkabilecek yeni güvenlik açıklıklarının
kötüye kullanılması suretiyle sisteme saldırılar mümkün olabilmekte, güvenlik önlemlerinin yanlışlıkla ya da bilinçli olarak devreden çıkarılabilmektedir. Ayrıca alınan güvenlik tedbirleri kuruma ait olmayan erişim noktalarının ortamda bulunmasını önlememektedir. Bu tür tehditlerin fark edilmesi ve zamanında müdahale edilmesi, kablosuz erişimin gerçekleştiği ortamı sürekli monitör eden, bilinen saldırı çeşitlerinin gerçekleşmesi durumunda alarm veren, yetkisiz erişim noktalarını ve istemcileri tespit eden bir gerçek zamanlı saldırı tespit sisteminin bulunmasını gerektirmektedir

Ayrıca kablosuz ağa yapılan yetkisiz erişimleri tespit edip, kurulan bağlantıları koparma (de-authentication) veya buna benzer işlemleri gerçekleştirebilecek bir saldırı önleme sistemi kullanılmalıdır.

Periyodik Testler
Sistem kullanılmaya başlanmadan önce sinyal güç analizini kapsama alanı analizi ve güvenlik testleri mümkünse bağımsız uzman kuruluş/kişilere yaptırılmalıdır. İlgili testlerin periyodik hale getirilmesi tavsiye edilmektedir.

TAVSİYELER
Bu raporda belirtilen güvenlik önlemleri belirtilen güvenlik protokollerinde ilerleyen dönemlerde ortaya çıkabilecek yeni açıklıklarla risklerin karşılanmasında yetersiz kalabilir, bu yeni çıkan açıklıkların takibi ve kurulacak sistemin periyodik testlerle denetlenmesi tavsiye edilmektedir. Ayrıca burada kullanılacak ürünler ve yazılımlar konusunda herhangi bir tavsiyede bulunulmamaktadır, ilgili ürünlerin olası güvenlik açıklıkları dikkate alınmalıdır.

Hiç yorum yok:

Yorum Gönder