802.11x (kablosuz ağ) kullanımı gittikçe yaygınlaşıyor. Kablosuz bağlantı kurabilen donanım satışları da buna paralel olarak artıyor. Hayatımızı kolaylaştırıyor bu kablosuz ağlar. Hele seyahat edenler, işini her daim netten yürütenler için çok faydalı bir teknoloji Wi-Fi.
Geçen gün, bir üniversitenin kafeteryasında oturmuş, oğlunun spor antrenmanının bitmesini bekleyen bir hanımın 1,5 saat kesintisiz olarak şirketine gelen müşteri postalarını cevapladığına şahit oldum. Ne güzel. Belki o wi-fi özellikli dizüstü olmasa şirketten erken çıkamayacak, çıksa bile akşam evinde 1,5 saat vakit kaybedecekti. Bu madalyonun güzel yüzü, çirkin olanı ise gereken donanım, yazılım ve beceriye sahip herkesin o postaları okuyabilecek olmasıdır. Şimdi biraz bu çirkin yüzden bahsedeyim.
Wi-Fi denilen şey esas olarak GHz bandında çalışan bir telsizden başka bir şey değildir. Tek farkı, ses değil belirli bir düzende paketlenmiş veri iletmesidir. Bu veriler tıpkı telsiz dalgaları gibi havadan taşınır. Aynı frekansta çalışan n tane telsiz cihazı nasıl bir biriyle iletişim kurabiliyorsa aynı banttaki n tane bilgisayar da kendine bir IP edinmek şartıyla o şekilde konuşabilir. Ancak, havada bazı farklar da vardır. Bir IP edinmeksizin, bir ağa bağlı bir istemci dinlenebilir. Bu tehlikeye karşı, havadan yapılan paket veri iletimini şifreleme ve meraklı kulaklardan koruma yöntemi geliştirilmiştir. Şimdi biraz bu tehlikelere ve tedbirlere bir göz atalım.
Tehlikenin ölçüsü nedir? Bir şehirde 10 milyon kişi yaşıyorsa belki 10 kişi banka soymaya niyetlenir ve belki ancak 1 kişi soyar. Neden, çünkü banka soyguna karşı önlem alır. Yine de, belki her gün 10 kişi "bu bankayı soyabilir miyim?" diye içeride ve dışarıda araştırma yapar. Bazı pratik tedbirlerle ağınızı korumanız mümkündür. "Korunmaya değer bir şeyim yok" diyorsanız, bundan sonrasını okumanıza gerek yok.
Önce şu basit gerçeği kabullenmekle başlayalım: 802.11x yenilmez değildir. Birisi illa da ağınıza girmeyi kafasına koymuşsa bir yolunu bulup girebilir. Ortalama bir ev kullanıcısının yapması gereken şey; "beni bulmaz" inancından vazgeçmek ve kolay bir hedef olmaktan mümkün olduğunca uzaklaşmaktır.
Birisi ne amaçla sizin ağınıza girmek ister? Bunun iki sebebi olabilir. Birincisi, ağınıza bağlı olan bilgisayara, dolayısıyla da içerisindeki verilere ulaşmak. İkincisi, kendi bilgisayarının İnternete erişimini sağlamak. Bu sayede gece boyunca porno materyal indirebilir ya da resmi kurumlara, kişilere hakaret, tehdit vb. dolu elektronik postalar gönderebilir. Karşı tarafta inceleme yapıldığında trafiğin geldiği IP adresi sizinki olacağından, o suçu bizzat siz işlemiş olursunuz.
Bu nedenle, dikkat etmeniz gereken iki husus var:
1. istemci (bu hekır oluyor) ve sizin router arasındaki trafiği emniyete almak,
2. Hekırın sizin router üzerinden LAN/İnternete erişimini emniyete almak.
İstemci - Router arasında neler olup biter?:
Kablosuz router (modem demek istiyorum) ile istemciler (örneğin; sizin ve evdeki ikinci dizüstü bilgisayar) arasında bir noktaya konuşlanan bir hekır gelip giden trafiği dinleyebilir. Eğer şifreleme kullanmıyorsanız bütün eposta, URL'ler, forum şifreleriniz, vb. bilgi her yerde bulunabilecek yazılımlarla kolayca kaydedilip okunabilir. Dahası, kararlı bir hekır bu trafiği yeteri kadar uzun bir süre dinlerse ve uygun yazılım araçlarına da sahipse, bu dediklerimi şifre kullansanız bile yapabilir. Buna rağmen kablosuz iletişiminizi şifreli hale getirmeniz önemlidir. Bu sayede, yukarıdaki banka soygunu örneğinde verdiğim gibi, potansiyel hekırların %98'ini bir çırpıda elemiş olursunuz.
Hekır - LAN/İnternet arasında neler olup biter?:
Kendini kablosuz ağa dahil ederek paylaşımdaki dosyalarınıza ve İnternete erişim kazanan hekır, artık sizin özel ağınızın resmi bir kullanıcısı olmuş demektir. Onun davranışlarından doğrudan o ağa ait IP'nin sahibi, yani siz, sorumlusunuzdur. Interneti kullanarak bant genişliğinizi tüketir, kotalı kullanıcı iseniz kotanızı doldurur. Sokakta dolaşan hiç tanımadığınız birini eve alıp onu günlük aile yaşantınızın ve paylaşımlarınızın bir parçası yapmaktan bir farkı yoktur bu eylemin.
Şimdi güvenlik adına yapılabileceklere bakalım:
İLK AŞAMA:
802.11x kablosuz router modemlerin büyük çoğunluğu güvenlik en alt seviyede ayarlı olarak gelir evinize. Bunun sebebi, cihazı fazla uğraşmadan hemen kullanmaya başlayabilmenizi sağlamaktır. Yapılacak ilk iş fabrikasyon ayarlı (kullanıcı:marka/model şifre:admin veya tersi veya bunların kombinasyonu) olarak gelen router-modem erişim şifresini değiştirmektir. Her marka ve modelin olağan şifre ayarları İnternette bulunur ve başkasının ağına erişim sağlamanın ilk ve sıkça kullanılan bir yöntemidir. Hele ki kablosuz modeminiz SSID sinyalinde kendi marka ve modelini de yayınlıyorsa bunun; "gel beni hek et" diye bağırmaktan pek bir farkı yoktur. İlk adımda yapılacaklar arasında, ilk konfigürasyonu yaparken router-modeminize kablosuz olarak değil, Ethernet üzerinden kabloyla bağlanmak olmalıdır. Böylelikle, şifre konusunda bir yanlışlık yaparsanız kendinizi dışarıda kilitlememiş olursunuz.
Olağan kullanıcı adlarını veya en azından şifreyi hemen değiştirin (12345 olarak değil, tabii). Varsa, uzaktan yönetim seçeneğini de devre dışı bırakın. Böylelikle, kablosuz bir cihazla ağınıza yaklaşan bir hekır güvenlik duvarının önünde değil arkasında kalacaktır. Bu seçenek açık kalırsa ve şifreniz de hala "admin" ise, WAN üzerinden ağınıza giren bir hekır router-modeminizin yeni sahibi olur.
SSID SİNYALİNİ KAPATIN:
SSID (Service Set Identifier) açık ağlarda servis sağlayıcının kendisini istemcilere tanıtmak amacıyla yaydığı bir sinyaldir. Pek etkili bir güvenlik yöntemi sayılmasa da bu SSID sinyalini kapatmanız önerilir. Neticede özel ağlarda kablosuz alıcı ve vericinin birbirlerini görmek için SSID sinyaline ihtiyacı yoktur. O halde "ben buradayım" diye, üstelik modeminizin marka ve modelini de belirterek bağırmaya ne gerek var? Eşeğin (komşularınızın ) aklına karpuz kabuğunu getirmekten başka bir işe yaramaz bu sinyal.
***ALINTIDIR***