İstenmeyen misafirlere geçiş izni vermeyinÖnleminizi alın! Kablosuz ağınıza sızan bir ziyaretçi, suçlu durumuna düşmenize neden olabilir.
Kablosuz ağlar yapıları itibari ile kablolu ağlara oranlara daha korumasız, çünkü veriler son derece korunaklı bir kablodan değil de erişim noktası (Access Point, AP) ve W-LAN istemcisi arasında havadan aktarılıyor. Verilerin havadan aktarılıyor olması, kablosuz ağın sadece büro veya evinizin içinden değil, komşularınızdan veya sokaktan da erişilebilir olması anlamına geliyor. Kablolu ağlarda veriler tek bir yöne doğru sadece onlar için çizilen rotada, yani kablo içinde ilerlerken; kablosuz ağlarda kaynaktan çıkan veriler, suya atılan bir taşın yaydığı halkalar gibi çevreye yayılıyor. Halkaların kapsadığı alanda bulunan herkes bir dizüstü bilgisayar veya W-LAN bağdaştırıcısı ile ağdaki verilere ulaşabiliyor.
Fazladan bir anten kullanarak, kablosuz ağların menzilleri 150 metreye kadar çıkartılabiliyor. Bu uzunluk nereden baksanız bakın, bir sokağın uzunluğu kadar. Bunun yanında kablosuz ağlarla ilgili bir diğer nokta ev duvarlarının sinyalleri engellediği. Bu her ne kadar doğru olsada, duvarların sinyalleri tamamen etkisiz hale getiremedikleri de bir gerçek.
Bir bilgisayar korsanıysanız, kablosuz bir ağa sızmak kablolu bir ağa sızmaktan çok daha kolay. Çünkü yapmanız gereken tek şey gerekli donanımla kablosuz ağın yeterince yakına gelip havadaki veri paketlerini yakalamak. Kablolu bir ağa sızmak istenildiğindeyse saldırı ancak yönlendirici (router) veya sunucuya gerçekleştirilebilir. Bunun nedeni veri taşıma sisteminin tek açık noktalarının buralar olmasıdır.
Risk çok büyükPAROLALAMA: Sunulan parola yöntemlerinden birini etkinleştirin. Eğer erişim noktanız ve ağdaki sistemler destekliyorsa WPA veya WPA2'yi seçmelisiniz.Maalesef bilgisayar korsanlarının tek yapabilecekleri kabosuz ağa sızıp verileri ele geçirmekle sınırlı değil. Korsanlar, ağdaki kaynaklara ulaşıp onları kendi çıkarları için kullanabilme imkanına da sahipler. Örneğin, kablosuz ağ DSL üzerinden internete bağlıysa, ağa sızan bir korsan bedava olarak internete bağlanabilir. Hatta bilgisayar korsanları, başkalarının kablosuz ağlarını kullanarak dosya paylaşım sitelerine girip, kopya müzik ve film indirerek yasadışı işlere bulaşabilirler. Böyle bir durumda polisin gelip bulacağı tek kişi internet bağlantısının sahibidir. Bütün yasadışı işleri bir bilgisayar korsanının yaptığını ispat etmek oldukça zor olacaktır. Dahası korsanlar sizin internetinizi kullanarak birçok kişiye spam posta (yığın posta) atabilir ve web sunucularına "Denial-of-Service" saldırıları bile gerçekleştirebilirler.
Tehlikeler korkutucu, ama tüm bunlardan korunmak da mümkün. Yazımızın konusu olan "tam koruma" kablosuz ağınızı güvenli hale getireceği gibi, ağınızın üstünde kendi insiyatifinizin olmasını da sağlayacak.
Bugün hala W-LAN donanımları üreten birçok firma, ürünlerini güvenlik ayarlarını aktif hale getirmeden piyasaya sürüyor. Güvenlik açısından alınabilecek çoğu tedbir, genellikle doğrudan erişim noktasına (AP) yönelik oluyor. Bunun nedeni kablosuz ağın temelinin erişim noktasında olması. Bunun dışında tabii ki birkaç özel ayarı, özellikle parola işlemlerini, kablosuz ağa erişimi olan her bilgisayarda tek tek yapmak gerekiyor.
Erişim noktası ayalarıErişim noktasını (Access point) bilgisayarınıza USB veya ethernet üzerinden bağlayın. Daha sonra erişim noktasının ayarlarının yapıldığı konfigürasyon yazılımını çalışıtırın. Bu yazılıma genellikle web tarayıcınıza yazacağınız bir IP adresi ile ulaşabilirsiniz (örneğin 192.168.1.1).
Erişim noktasındaki ayarları herhangi biri değiştiremesin diye, erişim noktanızı parola koruması altına almalısınız ki zaten çoğu donanımda bu özellik bulunuyor. Burada parola korumasını aktif hale getirip kolay tahmin edilemeyecek bir parola girin. Asla erişim noktasının üzerinde gelen ilk parolayı, örneğin "administrator" veya "admin" gibi, kullanmayın. Çünkü bilgisayar korsanları erişim noktalarının standart parolalarını biliyorlar ve böylece erişim noktanızı kolayca ele geçirebilirler.
SSID'yi değişitirin ve gizli tutunSSID MODİFİKASYONU: Erişim noktalarında standart olarak etkin olan "SSID Broadcast" (SSID Yayınlama) özelliğini devre dışı bırakın.İstemcinin erişim noktası üzerinden kablosuz ağa bağlanabilmesi için, erişim noktasının ağ üzerindeki adını (buna SSID veya ESSID deniyor) bilmesi gerekir. Çoğu erişim noktasında standart olarak SSID ayarları yapılmıştır ve genellikle erişim noktasının ağ üzerindeki adı basitçe "SSID", donanım üreticisinin veya donanımın adı olarak belirlenmiştir. Bu adlar korsanlar tarafından kolayca tahmin edilebildikleri için güvenlik açısından tehlike oluşturur, çünkü korsanlar örneğin donanımın markasını SSID olarak gördükeri anda hangi marka bir erişim noktasını ele geçirmeye uğraştıklarını hemen anlarlar. Bu yüzden SSID seçerken soyadınızı veya firma isminizi ya da sözlükte bulunabilecek kelimeleri seçmemeye özen göstermelisiniz.
Maalesef sadece SSID'yi değiştirmek güvenlik için yeterli değil. Bütün erişim noktaları yaydıkları sinyallerle menzillerindeki bilgisayara SSID'lerini ulaştırırlar. Bunun nedeni, menzile giren bir bilgisayarın kablosuz ağı kolayca görmesini ve bağlantı kurabilmesini sağlamak. Tabii menzile giren bilgisayarın dost bir bilgisayar olduğunun garantisi olmadığı için, bu durum tehlike oluşturuyor.
Tehlikeyi önlemek için "SSID-Broadcast" (SSID yayınlama) fonksiyonunu kapatmanızı öneriyoruz.
Parola korumasını etkinleştirinPAROLA OLUŞTURMA: W-LAN trafiğinin şifreleneceği ve deşifreleneceği parolayı girereken tahmin edilmesi zor bir parola seçmelisiniz.Buraya kadar anlattığımız güvenlik önlemleri, yeterli zamanı ve aletleri olan bir saldırgan için sorun oluşturmaz. Kablosuz ağ üzerinden gerçekleşen veri trafiğini parola ile koruma altına almak tek ve gerçek korunma yöntemidir. Saldırgan kablosuz ortamda taşınan verileri yakalayıp bilgisayarına alabilir ama parolayı bilmediği için verileri görüntüleyemez ve erişemez.
Günümüzde parolalar için üç farklı seçenek bulunuyor: WEP, WPA ve WPA2. Bunların arasında WEP en güvensiz olanı iken, WPA2 ise en güvenli parola çeşidi. Eğer kablosuz ağdaki bütün istemciler WPA2'yi destekliyorsa, kesinlikle bu parola yöntemini kullanmalısınız. Tabii kablosuz ağınızda eski model dizüstü bilgisayarlar veya WLAN bağdaştırıcıları varsa o zaman WEP kullanmaktan veya yeni WPA2 destekli bağdaştırıcılar satın almaktan başka çareniz kalmayacaktır. Çünkü her kablosuz ağ sadece tek bir parola yöntemi ile koruma altına alınabilir, aynı anda hem WEP hem de WPA2 yöntemlerini kullanmak maalesef mümkün değil.
Bazı erişim noktalarında WEP parolasını 64 ile 128 Bit arasında değiştirmek mümkün olabiliyor. Eğer böyle bir opsiyon bulunmuyorsa, normalde parola WEP 128 Bit'tir. Seçenek olduğu durumlarda WEP 128'i seçmenizi öneriyoruz, çünkü WEP 64'e göre ele geçirilmesi daha zordur.
Parolayı etkileştirmek için, verilerin şifreleneceği ve alıcı bilgisayarda deşifreleneceği parolayı girin. Parolanızı seçerken yine çok kolay tahmin edilememesine ve sözlük ataklarına karşı dirençli olmasına özen gösterin. Mümkünse parolanızda büyük - küçük harfler, rakamlar ve özel işaretler kullanın. WEP parolaları tam olarak 13 karakterden oluşurken, WPA ve WPA2 parolaları 8 ile 63 karakter arasında bir uzunluğa sahip olabilir. WEP parolaları ASCII veya Hex formatında girilebilir (Hex formatında uzunluk WEP 128 için 26 karakterdir).
Kablosuz ağı parola koruması altına aldıktan sonra, ağa erişimi olan istemcilere de parolayı girmek gerekiyor. Bu noktada size tavsiyemiz, parolayı e-posta yoluya istemcilere göndermemeniz ve olabildiğince gizli tutmanız.
Perş. 22 Ocak 2009, 21:17 tarafından Afacanhelboy