Kablosuz Ağ (WiFi) Güvenliği: Tehditler ve Korunma Yolları

Kablosuz Ağ Güvenliği

Kablosuz ağlar (Wi-Fi), kablolu ağlara kıyasla farklı güvenlik gereksinimleri ve tehditler barındırır. Veriler havada iletildiği için güçlü şifreleme ve kimlik doğrulama şarttır. Bu bağlamda Wi-Fi güvenliği için geliştirilen temel standartlar ve kavramlar şunlardır:

WPA2 & WPA3

Wi-Fi Protected Access protokollerinin ikinci ve üçüncü neslidir.WPA2, 2004 yılında tanıtılmış olup AES şifreleme algoritmasını ve CCMP adı verilen mesaj bütünlük protokolünü kullanır. Eski WEP’in zayıflıklarını gidermiştir ve uzun yıllar güvenli kabul edilmiştir.

• WPA2-PSK (Pre-Shared Key): Ev modunda tüm kullanıcılar aynı şifreyi paylaşır.

• WPA2-Enterprise: 802.1X tabanlı kimlik doğrulama ile kullanıcı başına ayrı kimlik doğrulama sağlar.

CCMP (AES) desteği zorunludur. TKIP sadece geriye dönük destek için opsiyoneldir; AES-CCMP, eski TKIP/WEP’e kıyasla çok daha güvenlidir.

WPA3, 2018’de duyurulmuş ve WPA2’nin yerine gelen protokoldür.Geliştirmeleri arasında:

• Kişisel modda bireysel şifreleme

• Parola doğrulamada SAE (Simultaneous Authentication of Equals)

• Sözlük saldırılarına karşı direnç

• KRACK saldırısı gibi zafiyetlerin kapatılması

• WPA3-Enterprise’da 192-bit güvenlik modu

Geçiş sürecinde birçok ağ, cihaz uyumluluğu nedeniyle WPA2/WPA3 karma modunda çalışmaktadır.

EAP (Extensible Authentication Protocol)

802.1X çerçevesinde kimlik doğrulama için kullanılan esnek bir protokol çerçevesidir.WPA2-Enterprise ve WPA3-Enterprise gibi kurumsal ortamlarda, istemciler bir RADIUS sunucusu üzerinden kimlik doğrulaması yapar.

EAP türleri:

• EAP-TLS (sertifika tabanlı, karşılıklı doğrulama)

• PEAP

• EAP-TTLS

• EAP-MSCHAPv2

EAP, ağ bağlantılarında sık kullanılan bir kimlik doğrulama iskeletidir.Kurumsal ağlarda, kullanıcı adı/parola veya sertifika ile güvenli bağlantı sağlar.WPA-Personal modunda kullanılan paylaşılan parolalar, büyük ölçekte güvenlik ve yönetim zorlukları doğurur.

TKIP & CCMP

TKIP (Temporal Key Integrity Protocol), WPA1'de WEP’in açıklarını kapatmak için geliştirilmiş geçici bir çözümdü.RC4 algoritmasını dinamik anahtarlarla kullanarak sabit anahtar sorunlarını çözmeye çalışsa da, zamanla zafiyetleri ortaya çıkmıştır ve artık güvenli kabul edilmez.

CCMP (Counter Mode CBC-MAC Protocol), WPA2 ile zorunlu hale gelen, AES tabanlı bir şifreleme ve bütünlük protokolüdür.

• 128-bit AES şifreleme ile veri gizliliği

• CBC-MAC ile mesaj bütünlüğü

• WPA2 = AES-CCMP (opsiyonel TKIP)

• WPA = TKIP (opsiyonel WEP)

WPA3 ise AES’in Galois/Counter Mode (GCM) varyantını kullanır ve güvenliği daha da artırır.Tüm Wi-Fi ağlarında yalnızca AES/CCMP modunun kullanılması, TKIP desteğinin devre dışı bırakılması önerilir.

Rogue AP & Evil Twin

Bu kavramlar daha önce saldırı türleri arasında detaylandırılmıştır, burada kablosuz bağlamda özetlenmektedir.

• Rogue AP (İzinsiz Erişim Noktası): Kurum içinde izinsiz yerleştirilmiş veya bağlanmış bir erişim cihazıdır. Güvenlik politikaları dışında çalıştığı için şifreleme olmayabilir veya log kaydı tutulmaz.

• Evil Twin: Meşru bir Wi-Fi ağı taklit edilerek saldırgan tarafından kurulan sahte erişim noktasıdır. Kullanıcılar SSID’yi tanıdık sanıp bağlandığında, tüm trafik saldırganın eline geçebilir. Kimlik bilgileri çalınabilir, oturumlar ele geçirilebilir.

Savunma önlemleri:

• WIDS/WIPS (Wireless Intrusion Detection/Prevention System) ile ortamda kurum dışı AP’leri tespit etmek

• EAP-TLS gibi yöntemlerle yalnızca meşru sertifikalı erişim noktalarına bağlantıya izin vermek

• Çalışanlara halka açık ağlarda VPN kullanımı önerilmelidir

Sonuç ve Güvenlik Notları

Kablosuz güvenliğin temeli; WPA2/WPA3 şifrelemesi ve kurumsal kimlik doğrulama altyapısına dayanır.Kablolu ağlarda fiziksel erişim gerektiren tehditler, kablosuzda radyo sinyalleri üzerinden uzaktan gerçekleştirilebilir.Bu yüzden:

• Güçlü şifreleme protokollerinin kullanımı

• RF izleme

• Sinyal gücü kontrolü

• Misafir ağlarının segmentasyonu

gibi çok katmanlı savunmalar kritik öneme sahiptir.