Kablosuz ağınızı güvenceye alın

Kablosuz ağınızı güvenli hale getirmek için kullanabileceğiniz yöntemleri bu yazımızda ele alıyoruz.

Kablosuz ağ casusları tehlikeli hacker’lar olarak bilinirler fakat komşularınız da sizin için bir o kadar tehlike oluşturuyor. Kablosuz ağınıza sinsice girmek istiyorlar ama genellikle kapı zaten ardına kadar açık duruyor. Zira birçok kablosuz ağ sahibi kablosuz verilerini şifrelemiyor.

Artık günümüzde korumasız ağları tespit etmek için sistematik olarak caddeleri dolaşan kablosuz ağ casusları kablosuz ağlar için tek başına bir tehlike oluşturmuyor. Hatta asıl tehlikeyi kanepesinde oturan komşunuz oluşturuyor diyebiliriz. Bunun sebebi ise şifresiz ağınızdan sürekli yararlanabilme imkânı diyebiliriz. Kaldı ki ağ kaynağı yakınsa sinyaller yönlendiricinizden (Router) komşunuza çok net gidecektir. Ayrıca kablosuz ağınız bir internet bağlantısına da sahipse, komşunuz sizin ödediğiniz faturalar üzerinden ücretsiz sörfün keyfini çıkartmaya çoktan başlamıştır.

Bu güvenlik açığının nedeni kablosuz ağların kolay kurulumundan kaynaklanıyor.
Kablosuz ağ yönlendiricisi (W-LAN Router) ilk kez açıldığında “Ben ‘varsyılan’ isimli ağ şebekesiyim” diye yayın yapıp bağlanacak kullanıcıları bekliyor. Dizüstü bilgisayardaki ağ kartı da hazır bulunan bağlantıdaki bu başvuruyu kapıp ve hemen gerekli IP-adreslerini yönlendiriciden alıyor. Siz de birkaç ince ayar yaparak ağınızı mükemmel güvenli hale getirebilirsiniz.

Veri trafiğini WPA ile güvenceye alın

Kablosuz ağınızı güvenceye almak için en alışılmış yol şüphesiz verilerin şifrelenmesidir. Böyle yaptığınız takdirde sizden başka kimse ne kablosuz ağınızdan bir şey aşırabilir ne de parola olmadan ağınıza bağlanabilir. Eğer daha da fazla güvenlik istiyorsanız eskimiş WEP’den uzak durmalısınız. Bunun yerine TKIP protokolünü kullanan yeni WPA (Wi-Fi Protected Access) standardını seçebilirsiniz. İpucu: Veri akışın başında iki ağ istasyonu da kişisel bir başlangıç anahtarı oluşturmakta. Bu yüzden asıl parola sadece bir kez aktarılmak zorunda. Daha sonra başlangıç anahtarından yola çıkılarak her veri paketi bireysel bir anahtarla şifrelenmeye gönderilir. Bu yöntemle orijinal şifrenin gelmesi pratikte dahi mümkün değildir.

MAC Adresi Filtrelemesi

İstenmeyen, davetsiz misafirlere karşı bir diğer güvenlik önlemi ise kablosuz ağınıza sadece belirli MAC adreslerinin erişmesine izin vermek. MAC adresi, ağ adaptörleri için kişisel kimlik numarasına benzeyen 48 Bit uzunluğunda bir tanımlama kodudur. Kablosuz ağ yönlendiricinizde bu ayarı çoğunlukla “MAC-Filter” gibi bir isimle görürsünüz. Burada bulunan listeye istemcilerinizin MAC adreslerini eklersiniz. Bazı kablosuz ağ yönlendiricileri yeni başvuran istemcilerin adreslerinin otomatik almasına izin verir. Şayet böyle değilse ağ adaptörünüzün MAC-adresini Windows komut satırı üzerinden (Başlat/Çalıştır, cmd ) ipconfig/all komutu ile öğrenebilirsiniz.

İPUCU

Yönlendirici Web korumasını devre dışı bırakma

Eğer riski seviyorsanız veya güvenlik duvarı üzerinden çalışmayan bir yazılım kullanıyorsanız, bilgisayarınızı yerel ağda “Demilitarized Zone” diye de adlandırılan DMZ modunda kurmalısınız. Bu sevimsiz kavram internete tamamen açık kalmış bir bilgisayarı tarif ediyor. Artık ağ yönlendiricisinde kurulmuş güvenlik duvarı bu bilgisayarı koruyamaz! Bu tercihi yönlendiricinizin güvenlik duvarı ayarlarında DMZ ya da Demilitarized Zone olarak görebilirsiniz. Yapmanız gereken ise buraya, DMZ modunda çalıştıracağınız bilgisayarın IP adresini girmek.

Dikkat: Yeni kurulmuş bir Windows XP’yi güvenlik güncelleştirmeleri olmadan DMZ modu devredeyken çalıştırmak büyük olasılıkla bu sistemi birkaç saniye için de solucan saldırılarına kurban edecektir.

Adım adım güvenlik

Hobisi hacker’lık olan kişiler saldırmaktan zevk alıyorlar: Eskimiş WEP yerine daha güçlü olan WPA’yı berberinde diğer korumalarla birleştirilmiş olarak kullanırsanız kesinlikle huzur içinde uyuyabilirsiniz. Sürücülerinizi ve Windows’u güncellemek için harcayacağınız zamana değecektir.

WEP’in oluşturduğu risk

Eğer kullanılan anahtar 40 Bit uzunluğunda bir şifrelemeden oluşuyorsa, saldırganın bunu bulması gerçekten çok kolaydır (64 Bit eksi 24 Bit IV).Çünkü anahtarın bu kadar kısa olması muhtemel bütün bileşenlerin kolayca denenebilmesini ve bu sayede kodun da kısa bir süre içinde kırılmasını sağlıyor. Üstelik anahtarın genellikle nadir olarak değiştirilmesi ve ağın da uzun süre açık kalması saldırgan için fazladan kolaylık sunuyor. Şayet WEP kullanıyorsanız en azından şifrelemeyi 104 Bit ile yapın(128 Bit eksi 24 Bit IV). Bu sizin için bir tıklama kadar kolay olan bu işlem hacker’ın hesaplama süresini büyük ölçüde uzatacaktır.

DHCP’yi kapatın

Kablosuz ağ yönlendiricinizin DHCP sunucusunu kapamak da yararınıza olacaktır. Bu teknoloji ağınıza her yeni gelene bir IP adresi atamaktadır. Bunun yerine her istemciye statik bir IP adresi verin. Ayrıca 192.168.0.1. gibi alışılmış IP adresleri yerine,192.168.167.1. gibi daha az bilinen adresleri kullanmak da size ek bir güvenlik kazandıracaktır.

Zayıf Şifreleme

Eğer yönlendiriniz çok eski olduğu ve hiçbir güncellemeniz olmadığı için WPA’nız yoksa: zayıf şifreleme dahi olsa hiç yoktan iyidir. Her durumda WEP şifrelemesini açın ve mümkün olan en uzun anahtarı kullanın. Böylece en azından komşunuzun sizin ağınıza kolayca girmesine engel olmuş olursunuz. Ayrıca anahtarı oluştururken onaltılık sayı sistemi karakterlerinden (Hexadecimal) oluşan bir kod kullanın. Bu her ne kadar rahat bir giriş sağlamasa da, sadece harf ya da sayıdan oluşan bir anahtara göre daha fazla olasılık sunar. Yine de anahtarınızı düzenli olarak değiştirmeyi unutmayın.

SSID’yi gizleyin

Şayet ağ yönlendiricinizde SSID gizleme seçeneği varsa bunu etkin hale getirmelisiniz. Ayrıca ağ isminizi de değiştirmenizde fayda var zira kablosuz ağların adı genellikle “varsayılan” olarak geçmekte. Bunun yerine ad ve ya soyadınız gibi akla hemen gelmeyecek bir isim bulmanız daha iyi olur. Arka plan: Eğer SSID gizliyse hacker bu tanıma ismini elle girmek zorundadır ama bu hile de Netstumber gibi (www.netstumbler.net) gizli ağları bulan araçlara karşı tek başına kesin koruma sağlayamaz.

Port Yönlendirme/Açma

Yönlendirici (Router) üzerinden oynanan çevrimiçi oyunlar

Online oyunları oynamak ya da kendi web sunucunuzu çalıştırabilmeniz için önce ağınızın güvenlik ayarlarını değiştirmelisiniz. Zira böyle sunucular normalde güvenlik duvarıyla kapatılmış olan, özel port’lara ihtiyaç duyar. Güvenlik duvarından geçebilmek için sihirli kelime ise “Port Forwarding”. Bu ayarı yönlendiricinizde “Firewall” ya da “Security” altında yer alan “Port Settings” adıyla bulabilirsiniz. Eğer yönlendiricinizde böyle bir seçenek “Uygulamalar” ya da “Uygulamalar & Oyunlar” gibi ayarlara bakın. Orda tek bir Port’u ya da tüm port alanını açabilirsiniz. İnternetten bu portlara gelen veriler doğrudan yerel ağınızdaki bir bilgisayara iletilir. Bir port her zaman yerel ağdaki sadece bir bilgisayara verilir. Eğer ağınızdaki birden çok bilgisayarda aynı anda dosya paylaşım programları çalıştırmak istiyorsanız kullandığınız uygulamanın ayarlarına girerek normal kullanılan port’u değiştirmeniz gerekiyor.

Dikkat: Her halükarda dikkatli olun! Zira açtığınız her port ağ ortamınızda bir güvenlik açığı oluşturur ve vu da beraberinde daha fazla saldırı olanakları getirir. Ayrıca port yönlendirme, Port Adres Translation(PAT) ve Network Adres Translation (NAT) olduğu zaman herhangi bir işleve sahip değildir. NAT teknolojisi sayesinde yönlendirici bir nevi arabulucu görevi görerek,

-Yerel ağınızda bulunan bilgisayarı yönlendiricinin IP adresi ile internete bağlar ve
-Yönlendiricinize internetten gelen verileri ağdaki bilgisayara iletir.

PAT bu yöntemi bir hileyle yerel ağdaki bir çok bilgisayara yayar: Verileri internetten alan her yerel bilgisayar verilerini internet sunucusuna yollamak için yönlendiriciden tahsis edilen özel bir port alır. Yönlendirici bu Port numarasını kullanarak verileri hangi yerel bilgisayara iletmesi gerektiği otomatik belirler.

Rehber: Donanımı güvenli hale getirmek

Birçok ağ yönlendiricisi – eğer cihaz çok eski değilse – bir Firmware güncellemesiyle WPA’ya geçebiliyor. Tabii ki bilgisayarlar için üretilmiş ağ adaptörleri de WPA desteği için yeni sürücüler gerektiriyor. Her ikisini de üreticilerin web sayfalarında bulabilirsiniz.

Önemli:

Güncelleme yaparken doğru sürümü kullanıp kullanmadığınıza dikkat edin. Bazı yönlendiricilerde (tarihi eski olan) yeni güncelleme yapılmadan önce ara güncellemelerin yapılması gerekebiliyor. Bu konuda daha fazla ayrıntı için üreticilerin web sayfalarına bakabilirsiniz.