1 Şubat 2015 Pazar
Wi-Fi Şifresine Birkaç Bariyer
Linux grubunda, Kali Linux adında, Backtrack’in tekrar yazılmasıyla oluşturulmuş ve pen-test (penetration testing) yazılımları ile donatılmış ve amacı sistemlerdeki güvenlik açıklarını tespit etmek olan bir dağıtımı alıp, sistemler hakkında hiç bilgisi olmadan, dağıtımdaki uygulamalar vasıtasıyla (ki onların kullanımını da YouTube videolarından izlemeye çalışıyorlar) çevrelerindeki insanların kablosuz şifrelerini çalmaya çalışan veletler türemeye başladı. O yüzden, Wi-fi güvenliğinizi bu tip saldırılardan korumak için ek olarak bazı tedbirlerden bahsedecek bir yazı yazmak geldi aklıma.
İlk olarak modemin wi-fi şifrelemesini WPA2 olarak ayarlayın. İlk tedbir budur. WEP’ten daha güvenlidir.
Ama asıl tedbirinizi, modeminizin wi-fi ayarları kısmından MAC adres filtrelemesini çalıştırarak alabilirsiniz. MAC adresi, wi-fi bağdaştırıcının sisteme tanıtılması için kullanılan 48 bitlik bir adrestir. MAC adresi -atıyorum- 00:2A:00:3F:2A:1C şeklinde bir adrestir.
Modeminizin MAC adres filtrelemesi, wi-fi bağdaştırıcalarının bağlanması için ek bir güvenlik sağlar. İki tipi vardır:
– Blacklist: Belirttiğiniz MAC adreslerine sahip wi-fi bağdaştırıcılarının modeme bağlanmalarına müsade etmez. Bunların dışında kalanlar bağlanabilir.
-Safelist: Sadece sizin belirttiğiniz MAC adresleri modeme erişebilir. Diğerlerine izin verilmez.
Bu ayarı modeminizin web arabiriminden yapabilirsiniz. Modeme göre değişklik gösterecektir. Modeminizin sitesinden ya da kullanma kılavuzundan bulabilirsiniz. Benim Aztech DSL605EW gibi eski modemimde bile var bu ayar. Web tarayıcısının adres satırına, modemin yerel IP’si olan 192.168.1.1 yazıp, modemin web arabirimine erişiyoruz. Buradan Advanced -> Wireless -> Management kısmından “Enable Access List” kutucuğunu işaretleyip, alttaki “Allow” kısmını işaretleyip bir safelist oluşturuyoruz. Alttaki “MAC Address” kısmına ise, erişime izin vermek istediğimiz wi-fi bağdaştırıcılarının MAC adreslerini yazıp “Add” butonun basıyoruz. Adres, yandaki listeye ekleniyor. “Save Settings” deyip de ardından “Restart Access Point” ile kablosuz bağlantıyı yeniden başlattığımızda, ayarlarımız aktif oluyor. Modem artık bizim belirttiğimiz MAC adresleri dışında hiçbir cihazın -kablosuz şifresini doğru girse bile- bağlanmasına izin vermeyecektir.
MAC adresleri değiştirilebilir ve modeme farklı bir adresmiş gibi gösterilebilir, evet. Ama değiştirilse bile, adresin, sizin girdiğiniz adreslerden birisi ile birebir uyuşması gerekir. Yani adresi değiştirmeye çalışan kişinin, bu adreslerden en az birini mutlaka bilmesi gerek. Bunu da şu şekilde ele geçirebilir. Eğer İnternet üzerindeki IP adresinizi tespit edebilir ve bu adresi İnternet tarayıcısının adres satırına yazarsa, az önce 192.168.1.1 ile eriştiğimiz, web arabirimine erişebilir ve modemin kullanıcı arabirimine giriş yapabilir. Bunu önlemek için de modeminizin web arayüzü admin şifresini değiştirmeniz gerekir. Çünkü varsayılan şifreler, modelinize göre bellidir. Genelde “admin”, “0000” ya da boş olurlar. Değiştirmezseniz, internetten bulunabilir. Bu şifreyi de mutlaka değiştirin.
Yani modem wi-fi güvenliği için 4 temel adımımız var:
1- Modem web arabirim erişim şifresini değiştirmek.
2- Wi-fi şifresini, güvenliği en yüksek olan WPA2 ile şifrelemek. Hoş, “handshake” sırasında bu şifre de yakalanabiliyor ama diğerlerine göre çok daha zor. O yüzden bunu kullanmak en iyisi.
3- MAC filtrelemesini aktifleştirerek, bir safelist oluşturmak. bu “safelist”e, modeme erişecek tüm cihazların (tabletler ve akıllı cep telefonları dahil) MAC adreslerini elle girmeniz gerekiyor.
4- WPS-Pin’i ve QoS’u kapatmak. WPS, kullanıcıya kolay kurulum sağlayan bir uygulamadır ve genelde modem üzerinde bir düğme ile sağlanır. Modemin üzerinde bulunan, 8 haneli bir sayı WPS-Pin sayısıdır. Sayı, 4 haneli iki blok sayıdan oluşur. WPS, admin şifresini aşarak, kullanıcıya kolay bir şekilde kablosuz yapılandırma olanağı sağlar. Ama ne yazık ki bu kadar kolaylık, güvenlik açığına sebep olmaktadır. Karşı sistem, 0000’dan başlayıp 9999’a kadar tüm olasılıkları denemekte; ilk bloğu çözünce ikincisine geçmektedir. Kolaylık güzeldir elbette, ama birşey gereğinden fazla kolay olmamalıdır. Benim modemim eski olduğundan zaten WPS özelliği yok. QoS ise, modem trafiğini, uygulamların veri paketlerine, içeriklerine ve uygulamaya göre önceklik vererek, istenilen uygulamaların paketlerinin aktarım hızını arttıran bir servistir. Ancak man-in-the-middle denilen bir saldırı yöntemine zemin hazırlamaktadır. Kullanmak zorunda değilseniz, kapatmanızı tavsiye edeceğim. QoS, varsyılan olarak zaten kapalı geliyor. Bunu, yine web arabirimi üzerinden, Advanced -> Wireless -> Setup bölümünden kontrol ederek “QoS Enable” kutucuğunun boş olduğundan emin olun. Diğer modemler içinse bkz. modem kullanma kılavuzu diyeceğim.
Kablosuz bağdaştırıcınızın MAC adresini ise Linux’ta terminale root olarak girip, ifconfig -a komutunu vererek öğrenebilirsiniz. Kablosuz ağ bölümünde gördüğünüz, “HWaddr” bölümünde yazan sizin kablosuz bağdaştırıcınızın MAC adresidir. Windows ya da MAC’de nasıl yapılacağını bilmiyorum, ama çok zor olmasa gerek. :) Tabletleriniz ya da akıllı telefonlarınızın kılavuzunun teknik özelliklerinde bulabilirsiniz.
Ama tüm platformlar için, modemin kayıtlarına bakabilirsiniz. MAC filtrelemesini kaldırarak, cihazınızı modeme bağlayın. Kayıtlarda beliren MAC adresi cihaza aittir. Modeme eşleştirmek istediğinizi tüm cihazların MAC adreslerini bir yere yazdıktan sonra, MAC filtrelemesini açın ve bu adresleri “safelist” kısmına yazarak, MAC korumasını başlatın.
kaynak : http://acikgunluk.net/wp/2014/12/29/wi-fi-sifresine-birkac-bariyer/#more-3825
Kaydol:
Kayıt Yorumları (Atom)
Hiç yorum yok:
Yorum Gönder