ADSL Modem ve Kablosuz Ağ Güvenliği
03 Ağustos 2008
ADSL Modem Güvenliği için:
1. İlk iş olarak ADSL modemin yönetim amaçlı web arayüzü şifresini mutlaka değiştirin. Bu şifre modem üreticileri tarafından varsayılan olarak belirlenmektedir ve saldırgan tarafından birkaç denemeyle bulunabilir.
Genelde kullanılan şifreler: admin, epicrouter, password, zoomadsl, boşluk, conexant, DSL, root, 1234, vs.. şifre güvenliğini sağlamak için bir şifre en az aşağıdaki özellikleri sağlamalıdır:
* Güvenli bir şifre en az 8 karakterli olmalıdır,
* Şifre, karmaşıklık gereksinimlerini sağlamalıdır; bunun için şifrede en az birer adet büyük harf, küçük harf, rakam ve özel karakter (. , * ! gibi) bulunmalıdır. Örnek : 2h4KdG!f
* Güvenli bir şifre, sözlüklerde bulunan bir kelime, isim, şehir veya tarih içermemelidir, yani şifre tamamen anlamsız bir karakter topluluğu olmalı ve asla tahmin edilememelidir.
NOT: Bütün bu önlemlerin birinci amacı Brute Force (Kaba Kuvvet) Ataklarından korunmaktır. Bu tip saldırıların temel mantığı, mümkün olan bütün ihtimallerin sırayla denenmesidir. Sıradan bir brute force programının saniyede milyonlarca şifre deneyebildiğini düşünürseniz basit şifrelerin ne kadar kolay çözülebildiğini de anlamanız zor olmaz. Programın saniyede 1 milyon şifre denediğini varsayarsak, sadece rakamlardan oluşan 1 ile 5 karakter arası bir şifrenin kırılması 1 saniye bile sürmeyecektir çünkü bu şekilde oluşturulabilecek toplam şifre sayısı 99999 adettir. Bu 5 karakterli şifreye sadece bir tane harf eklerseniz bu sayı yüzlerce kat artacağı için kırılma ihtimali de o kadar azalacaktır.
2. ADSL modemde kesinlikle DHCP özelliğini devre dışı bırakın. Yani asla otomatik IP dağıtmayın. Ağınıza bağlanan bir kişi IP ayarlarını otomatik olarak alamasın.
3. Varsayılan yerel ağ IP yapılandırmasını değiştirin. Genelde varsayılan olarak modemde 192.168.1.1, 192.168.2.1, 10.0.0.1 gibi private IP'ler kullanılır. Bu IP'leri 192.168.x.x veya 10.x.x.x şeklinde rastgele değiştirebilirsiniz. Örneğin: 192.168.34.76 veya 10.222.35.98 gibi. Bilenler için alt ağ maskesini de (subnet mask) değiştirmelerini öneririm ama fazla bilmeyenler varsayılan şekliyle bırakabilirler. Buradaki asıl amaç, network IP konfigürasyonunuzun tahmin edilememesi.
4. Modeme internet üzerinden hiçbir şekilde erişilememeli. Bunun için varsa modemin firewallunu açın, yoksa yönetim amaçlı http, telnet veya SNMP gibi protokolleri internete kapatın. Mümkünse içerden sadece kendi IP adresinize yönetim için izin verin.
5. Modemde MAC adres filtrelemeyi kullanın. Bu şekilde sadece ağınızda kendi tanımladığınız PC'lerin bağlanmasına izin vermiş olursunuz. (Tabi burada normal şartlardan bahsediyoruz, işin aslı; saldırgan, ağınızda kullanılan MAC adreslerini tesbit edip - her ne kadar MAC adresleri değişmez sanılsa da - kendi MAC adresini sizin izin verdiğiniz adreslerle kolaylıkla değiştirebilir. Biz en azından işini zorlaştırmış oluyoruz. Hiç güvenlik olmamasından iyidir.)
Kablosuz Modem Güvenliği İçin İlave Tedbirler:
Modeminiz kablosuzsa ve bütün tehlikelere rağmen ille de kullanmak istiyorsanız yukardaki maddelere ilave olarak şu önlemleri de mutlaka almalısınız:
1. SSID (kablosuz ağınızın adı) mutlaka gizleyin. Bu yöntemle en azından piyasadaki bir sürü kurbandan biri gibi olmazsınız, saldırgan en azından önce SSID'nizi bulmak için uğraşmak zorunda kalır. Tabi bir sürü SSID görünürken sizinle uğraşmak ister mi bilemem.
2. Güçlü bir kriptolama yöntemi kullanın, sakın WEP kullanmayın, kırılması çok kolay ve birçok sitede yöntemleri bulabilirsiniz. WPA veya WPA2 kullanabilirsiniz. Bunda da en az 40-50 karakterli karmakarışık rastgele bir şifre belirleyin. Bu şifreyi ezbere bilmeniz gerekmiyor, şifreyi modeme yazdıktan sonra kopyalayıp bilgisayarınızda tanımlayacağınız profilde Ağ Anahtarı (PSK: Pre-Shared Key, ön paylaşımlı anahtar) kısmına yapıştırın. Bağlantı yaptıktan sonra ayarlarınızı silmediğiniz sürece bilgisayarınız bu şifreyi bir daha sormaz.
3. Kablosuz ağ yayın kanalını kafanıza göre değiştirebilirsiniz. Bu değer genelde 11'dir ve saldırgan genelde bu kanalı dinlemekle işe başlar, o yüzden değiştirmek fena olmaz.
NOT: Yukarda anlattığım önlemler gerçekten saldırganın işini çok zorlaştıracaktır ama şundan emin olabilirsiniz ki kesinlikle bu tedbirlerin hepsi aşılabilmektedir. Tabi oturduğunuz civarda bu işlere meraklı birileri yaşamıyorsa çok da dert etmenize gerek yok. Eğer civarda böyle birileri varsa, Backtrack veya Operator gibi basit bir "Linux Live CD" ile yukardaki önlemlerin hepsinin aşılması biraz sabırla mümkündür. Bu durumda %100 güvenli olmak isteyen varsa kesinlikle kablosuz modem kullanmamalıdır..
Serdar Kocaoğlu
MCSE:S
03.01.2008
kablolu, kablosuz, ağ, adsl, modem, güvenlik, şifre, güvenliği, ssid, wep, wpa, brute force, IP, mac, adres, dhcp, psk, backtrack, operator, linux, live cd, nedir, nasıl
1. İlk iş olarak ADSL modemin yönetim amaçlı web arayüzü şifresini mutlaka değiştirin. Bu şifre modem üreticileri tarafından varsayılan olarak belirlenmektedir ve saldırgan tarafından birkaç denemeyle bulunabilir.
Genelde kullanılan şifreler: admin, epicrouter, password, zoomadsl, boşluk, conexant, DSL, root, 1234, vs.. şifre güvenliğini sağlamak için bir şifre en az aşağıdaki özellikleri sağlamalıdır:
* Güvenli bir şifre en az 8 karakterli olmalıdır,
* Şifre, karmaşıklık gereksinimlerini sağlamalıdır; bunun için şifrede en az birer adet büyük harf, küçük harf, rakam ve özel karakter (. , * ! gibi) bulunmalıdır. Örnek : 2h4KdG!f
* Güvenli bir şifre, sözlüklerde bulunan bir kelime, isim, şehir veya tarih içermemelidir, yani şifre tamamen anlamsız bir karakter topluluğu olmalı ve asla tahmin edilememelidir.
NOT: Bütün bu önlemlerin birinci amacı Brute Force (Kaba Kuvvet) Ataklarından korunmaktır. Bu tip saldırıların temel mantığı, mümkün olan bütün ihtimallerin sırayla denenmesidir. Sıradan bir brute force programının saniyede milyonlarca şifre deneyebildiğini düşünürseniz basit şifrelerin ne kadar kolay çözülebildiğini de anlamanız zor olmaz. Programın saniyede 1 milyon şifre denediğini varsayarsak, sadece rakamlardan oluşan 1 ile 5 karakter arası bir şifrenin kırılması 1 saniye bile sürmeyecektir çünkü bu şekilde oluşturulabilecek toplam şifre sayısı 99999 adettir. Bu 5 karakterli şifreye sadece bir tane harf eklerseniz bu sayı yüzlerce kat artacağı için kırılma ihtimali de o kadar azalacaktır.2. ADSL modemde kesinlikle DHCP özelliğini devre dışı bırakın. Yani asla otomatik IP dağıtmayın. Ağınıza bağlanan bir kişi IP ayarlarını otomatik olarak alamasın.
3. Varsayılan yerel ağ IP yapılandırmasını değiştirin. Genelde varsayılan olarak modemde 192.168.1.1, 192.168.2.1, 10.0.0.1 gibi private IP'ler kullanılır. Bu IP'leri 192.168.x.x veya 10.x.x.x şeklinde rastgele değiştirebilirsiniz. Örneğin: 192.168.34.76 veya 10.222.35.98 gibi. Bilenler için alt ağ maskesini de (subnet mask) değiştirmelerini öneririm ama fazla bilmeyenler varsayılan şekliyle bırakabilirler. Buradaki asıl amaç, network IP konfigürasyonunuzun tahmin edilememesi.
4. Modeme internet üzerinden hiçbir şekilde erişilememeli. Bunun için varsa modemin firewallunu açın, yoksa yönetim amaçlı http, telnet veya SNMP gibi protokolleri internete kapatın. Mümkünse içerden sadece kendi IP adresinize yönetim için izin verin.
5. Modemde MAC adres filtrelemeyi kullanın. Bu şekilde sadece ağınızda kendi tanımladığınız PC'lerin bağlanmasına izin vermiş olursunuz. (Tabi burada normal şartlardan bahsediyoruz, işin aslı; saldırgan, ağınızda kullanılan MAC adreslerini tesbit edip - her ne kadar MAC adresleri değişmez sanılsa da - kendi MAC adresini sizin izin verdiğiniz adreslerle kolaylıkla değiştirebilir. Biz en azından işini zorlaştırmış oluyoruz. Hiç güvenlik olmamasından iyidir.)
Kablosuz Modem Güvenliği İçin İlave Tedbirler:
Modeminiz kablosuzsa ve bütün tehlikelere rağmen ille de kullanmak istiyorsanız yukardaki maddelere ilave olarak şu önlemleri de mutlaka almalısınız:1. SSID (kablosuz ağınızın adı) mutlaka gizleyin. Bu yöntemle en azından piyasadaki bir sürü kurbandan biri gibi olmazsınız, saldırgan en azından önce SSID'nizi bulmak için uğraşmak zorunda kalır. Tabi bir sürü SSID görünürken sizinle uğraşmak ister mi bilemem.
2. Güçlü bir kriptolama yöntemi kullanın, sakın WEP kullanmayın, kırılması çok kolay ve birçok sitede yöntemleri bulabilirsiniz. WPA veya WPA2 kullanabilirsiniz. Bunda da en az 40-50 karakterli karmakarışık rastgele bir şifre belirleyin. Bu şifreyi ezbere bilmeniz gerekmiyor, şifreyi modeme yazdıktan sonra kopyalayıp bilgisayarınızda tanımlayacağınız profilde Ağ Anahtarı (PSK: Pre-Shared Key, ön paylaşımlı anahtar) kısmına yapıştırın. Bağlantı yaptıktan sonra ayarlarınızı silmediğiniz sürece bilgisayarınız bu şifreyi bir daha sormaz.
3. Kablosuz ağ yayın kanalını kafanıza göre değiştirebilirsiniz. Bu değer genelde 11'dir ve saldırgan genelde bu kanalı dinlemekle işe başlar, o yüzden değiştirmek fena olmaz.
NOT: Yukarda anlattığım önlemler gerçekten saldırganın işini çok zorlaştıracaktır ama şundan emin olabilirsiniz ki kesinlikle bu tedbirlerin hepsi aşılabilmektedir. Tabi oturduğunuz civarda bu işlere meraklı birileri yaşamıyorsa çok da dert etmenize gerek yok. Eğer civarda böyle birileri varsa, Backtrack veya Operator gibi basit bir "Linux Live CD" ile yukardaki önlemlerin hepsinin aşılması biraz sabırla mümkündür. Bu durumda %100 güvenli olmak isteyen varsa kesinlikle kablosuz modem kullanmamalıdır..
Serdar Kocaoğlu
MCSE:S
03.01.2008
kablolu, kablosuz, ağ, adsl, modem, güvenlik, şifre, güvenliği, ssid, wep, wpa, brute force, IP, mac, adres, dhcp, psk, backtrack, operator, linux, live cd, nedir, nasıl
4 yorum:
Kablosuz ağlar için kullanılan WEP ve WPA TKIP şifrelerinin kırıldığı biliniyor. Şu an WPA2’yi AES ile birlikte kullanmak en güvenli seçenek gibi duruyor. Bunda ise deneme-yanılma yolu ile auth key’in tespit edilmesine yönelik saldırılar gerçekleştirilebilir.
Erişim güvenliği için MAC adres filtreleri kullanmak veya SSID broadcastini engellemek ise size ek bir güvenlik sağlamayacaktır. Bu sebeple 802.1x entegrasyonu da riskleri minimize etmek için gerekli. Ağa girildiği zaman ise her trafiğin aynı ağdaki diğer sistemler tarafından dinlenebileceği göz ardı edilmemelidir. bu sebeple veri iletimini güvenlik altına almak için ise IPSEC gibi ek şifreleme kullanılması yararlı olacaktır.
Kablosuz ağlar, ilk kontrol iletişiminin L2 üzerinden yapılması nedeni ile DoS saldırılarına açıktır. Bir kablosuz ağı de-auth paketleri ile kısa bir sürede indirmek mümkündür. Diğer kablosuz cihazların kullanımı bile çoğu zaman veri iletimini etkiler. Bir saldırgan ağa dahil olamasa bile çok rahatlıkla kablosuz ağı servis dışı bırakmaya yönelik saldırılar gerçekleştirebilir.
Bunun dışında daha büyük risk ise istemci tarafındandır, çoğu zaman açık unutulan kablosuz ağ özellikleri, fake AP'ler aracılığı ile istemciye sızmaya, phishing, pharming gibi saldırılara veya kablosuz ağdan kablolu ağa atlamaya yol açabilir. Kablosuz istemcilerin yanlışlıkla komşu ağlara bağlanması da önemli problemler oluşturur. Rouge AP ve istemciler her zaman problem oluşturmaktadırlar.
Kablosuz ağlar gerek iletişim mimarisindeki zayıflıklar gerekse de diğer problemler sebebi ile başlı başına güvenlik problemi oluşturmaktadırlar. Bu sebeple kablosuz ağ kullanımı her türlü güvenlik önlemleri alınmış olsa bile çoğu zaman başlı başına bir risk olarak görülmektedir. Uzun lafın kısası şifre kırılsa da kırılmasa da kablosuz ağ kullanımında belirli riskler altında olunacağı rahatlıkla söylenebilir.
Bunları deneyeceğiniz araçlara gelince çoğu backtrack içinde yer alıyor ve kartların hostap moduna geçme imkanı bulunması gerekiyor. Prisim 2.5 chipsetli veya netgear bir kartınız var ise bu araçların çoğunu çalıştırabilirsiniz. Harici anten çıkışlı kartların kullanılması daha faydalı olur.
Kilit dost içindir.
ETTERCAP VE AĞ GÜVENLİK TEHDİDİ
yazınızgerçekten guzel ama bu işi iyi bilen siyah şapkalılar gerçekten zaafiyetleri iyi kullanıyorlar.insanlar çok kolay şekılde alt edılıyor.ama bunu bızım ulkemızde bılen ne kadar ınsan war acaba.back-track 5 r 3 gıbı bı sıstemı kullanmasını ıyı bılen bı sıyah şapkalı için bu anlattıklarınız sadece bi hikaye :D ama söyledıklerınızı apanlar olursa karşı tarafın işi gerçekten zor...wep 15 dk kırılıyoçwpa-wpa2 ise biraz zaman alıyor bizzat ben yaptım.ama herkez iyiy niyetli olmuyor.ama sizin gibi insanlar iyki war gerçekten güzel yazı...
Yorum Gönder