Öncelikle şunu söylemek gerekiyor. İnternete bağlı olan hiçbir bilgisayar, saldırılara karşı %100 güvenli değildir. Her kim bunu garanti ediyorsa yalan söylüyordur. Bir bilgisayar internete bağlı olduğu sürece, ne kadar firewall kurulursa kurulsun, sistem ne kadar mükemmel dizayn edilmiş olursa olsun illa ki bir açığı olacaktır.
Şimdi bunları söyledikten sonra güvenlikten bahsetmek biraz tuhaf gelebilir :) Ancak yine de insanın elinden gelen bütün önlemleri alması gerekiyor. Son 1 sene içerisinde ADSL’ in yaygınlaşmasıyla beraber mantar gibi sayıları artan kablosuz ağlar sonucunda çoğu insan koşusunun ya da tanımadığı insanların kablosuz ağlarına bağlanarak internet erişiminden faydalanabiliyor. Şüphesiz ki bu hem izinsiz bağlananlar için hem de farkında olmadan internetini paylaşanlar için büyük tehlike arz ediyor.
Genelde durum şu şekilde, insanlar bir ADSL modem alıyor, kurulumu bir şekilde kafa göz yararak tamamlıyor, internete bağlanıyor ve o andan itibaren modemle ilişkisini kesiyor. Hemen hemen hiçbir güvenlik tedbiri almıyor. Böylelikle uyanık kullanıcılar biraz da haklı olarak kendi kotalarından tüketmek yerine koşularının ağlarının kullanıyor. Hal böyleyken pek çok güvenlik sorunu da yüzeye çıkıyor. En basitinden böyle korunmasız bir ağa bağlanmak demek, kendi bilgisayarınızı o ağdaki bütün bilgisayarlara da bağlamak demektir. Böylelikle o ağ içerisinde avcı konumunda birisi mevcut ise, sizin bilgisayarınıza rahatlıklı sızıp önemli bilgilerinizi, kredi kartı veya banka hesap bilgilerinizi, şifrelerinizi ve hatta MSN konuşmalarınızı bile saniyesi saniyesine dinleyebilir. Öte yandan, tam ters şekilde, güvenliği olmayan bir ağa bağlanan bir avcı, o ağ içerisinde bulunan kablosuz ağ sahibine yine benzer hasarlar verebilir. Hadi hasarı geçtim, onu enayi yerine koyup bi güzel kotasını doldurabilir :)
Bütün bu anlattıklarımı önlemek için bazı güvenlik tedbirleri koymak %100 olmasa da, saldırıların büyük çoğunluğunu engelleyecektir. Bunları sıralayacak olursak;
1. Öncelikle kablosuz modeminizin SSID yayını (broadcast) yapmasına izin vermeyin. SSID yayını demek, Windows üzerinden kablosuz ağları aradığınızda, sizin karşınızda çıkan listede o ağın görünmesi demek. Yani SSID yayınını kapatırsanız, yine kablosuz ağınız olacak, kullanımda hiçbir değişiklik olmayacak, ancak sadece o ağın ismini bilenler o ağı görüp bağlanabilecek. Kablosuz ağınızın güvenliği için atmanız gereken ilk adım bu, zira çoğu “tecrübesiz” atak (ki “atak” derken kablosuz ağınıza bağlanıp internetiniz sömürenlerden bahsediyorum) Windows’ un kablosuz ağ listesinde görünen ağlara yapılır. Yukarıda da dediğim gibi zaten birisi sizin kablosuz ağınıza girmeyi kafasına koyduysa ve bu konuda yeteri kadar bilgi sahibi ise, Windows’ un ağ listesi yerine, tüm ağları gösteren bir program kullanıp sizin SSID’ nizi görecektir.
2. MAC filtrelemesi kullanın. MAC filtrelemesini anlatmadan önce “MAC nedir?” onu anlatmak istiyorum. MAC, “Media Access Control” un kısaltmasıdır. Bütün ağ adaptörlerinin (ethernet kartı, kablosuz ağ kartı vb..) kendine özgü eşsiz bir numarası mevcuttur (MAC Adresi). Bu numaranın içerisinde kartı yapan firmanın da bilgileri mevcuttur ve bu şekilde ilgili MAC adresinin hangi firmanın ürettiği karta ait olduğu bilinebilir. Bu kısa bilgilendirmeden çıkacak sonuç, her ağ kartının kendine özgü bir adrese sahip olduğu (aynı parmak izi gibi) ve bunu kullanarak da bir kimlik doğrulaması yapılabileceğidir. MAC filtresi de işte tam bu noktada işlev görmektedir. Belli bir liste içerisindeki MAC adresleri dışında hiçbir ağ kartının o networke bağlanmasına izin vermez. Bu da ağ şifresiz de olsa ciddi bir koruma sağlar.
Ancak yine dediğim gibi bu da aşılamayacak bir koruma yöntemi değildir. Fakat sıradan kullanıcıların çok büyük bir çoğunluğu MAC filtrelemesinin nasıl kırılacağını bilmez ve yapamaz. Bu sebeple eğer etrafınızda bilgisayar manyağı aşmış ipini koparmış bir düşmanınız yoksa bu yöntem çok ama çok işe yarayacaktır.
3. DHCP’ yi kapatın. Yine bir terimle karşılaştıkü bu nedenle önce “DHCP nedir?” sorusunu yanıtlayalım :) DHCP, Dynamic Host Configuration Protocol’ ün kısaltmasıdır, yani Dinamik Sunucu Konfigurasyon (Yapılanış) Protokolü. Türkçesi ise şöyle; normalde genellikle bilgisayarların ağ kartları otomatik olarak IP adresi almaktadır. İşte bu otomatik kısmı havadan değil DHCP’ den kaynaklanır. Bilgisayar sunucuya bağlanır, bizim örneğimizde kablosuz erişim noktası, ve sunucu o bilgisayara bir IP adresi atar. Bu şekilde her bilgisayar bir IP adresine sahip olur. Bir IP adresine sahip olmayan bilgisayar ise ağa bağlansa da kimsenin IP adresini bilmediğinden paket gönderemeyecek ve ağdan faydalanamayacaktır. Tabi bu noktada atlanan detaylara değinecek olursak, ağa bağlanacak kişiler kendi IP adresi yapılandırmalarını elle yapmalıdırlar. Mümkünse klasik IP adresleri yerine tahmini zor olan bir IP adresi ailesi seçerlerse (10.0.0.x veya 192.168.0.x gibi klasikler yerine 10.234.179.20x) güvenliklerini bir ölçüde daha fazla arttırmış olurlar.
4. Ve işte geldik kablosuz ağımıza şifre koymaya. Öncelikle şu anda mevcut olan şifreleme tekniklerini yazacak olursak: WEP, WPA ve WPA2. WEP kırılması kolay, ve artık “ayağa düşmüş” bir şifreleme sistemi, asla ve asla kullanılmamalı. WPA şifrelemesi güçlü ir şifre ile kullanılırsa hala güçlü sayılabilir ancak yine de WPA2 destekleme konusunda bir sorun varsa tercih edilmeli. (Zayıf şifre örnekleri: 01234, bilgisayar, ahmet, qwertyu, whiskey ) (Güçlü şifre örnekleri: werF14Pa, VamVekato5M, !b4XaO1?) İşin içine büyük küçük harfler, sayılar ve hatta semboller girince şifrenin kırılması imkansıza doğru yaklaşır, halbuki bunların yerine ardışık harfler, rakamlar veya anlamlı kelimeler seçilirse şire oldukça zayıflar. Son olarak WPA2′den bahsedecek olursak, WPA2 piyasadaki en güncel ve en güçlü şifreleme standardıdır. Geriye uyumluluk konusunda problem yoksa ve ağ kartları da destekliyorsa WPA2′ den başka bir şifreleme kullanılmamalıdır. Unutmayın ki, şifreniz ne kadar uzun ve karmaşık olursa o kadar güçlü olacaktır.
5. Belki de ilk yazmam gerekiyordu ama sona kaldı. Kablosuz erişim noktanızın ayarlarını yaptığınız ekrana ulaşmak için mutlaka ama mutlaka iyi bir şifre seçin. Ne yazık ki şu sıralar etrafımızdaki çoğu erişim noktasının şifreleri ya yoktur ya da üretici tarafından belirlenen standart şifreleri mevcuttur. Eğer bu şifreyi düzgün seçmez veya belirlemezseniz, yukarıda anlatılan ve yapmanız önerilen ayarların hepsi ama hepsi boşa gider. Çünkü saldırdan direk olarak erişim noktasının ayarlarına ulaşıp her istediğini yapabilir. Hatta erişim noktasına ulaşma imkanınız sınırlıysa, kendi bir şifre belirleyip sizin erişiminizi engelleyebilir. Bu her ne kadar kendini ele vermek gibi aptalca bir sonuca yol açsa da, erişim noktası sahibini ciddi anlamda hem korkutacaktır hem de sinirlendirecektir.
En başta da dediğim gibi, bütün bu önlemleri alsanız da %100 güvenlik sağlamak hiçbir zaman mümkün olmayacaktır. Ancak yukarıda sayılan yöntemleri uygularsanız %99 ihtimalle hiçbir güvenlik problemi yaşamadan kablosuz ağınızı kullanacaksınız.
