IEEE802.11b standardının 1999 yılında onaylanmasının ardından kablosuz ağlar özellikle kablosuz yerel ağlar artan bir kullanım oranına sahip olmuşlardır. Günümüzde kablosuz ağlar şirket ofislerinden okul yerleşkelerine, hava alanı tren istasyonları veya otogar gibi merkezlerden kafelere kadar girmiş ve geniş bir kullanım alanına sahip olmuştur. Bu yeni standart ile beraber kablolu iletişimle karşılaştırıldığında çeşitli yeni sorunlar da ortaya çıkmıştır ve bunlar gerek cihaz üreticileri gerekse de sistem yöneticileri halledilmesi gereken yeni problemler ortaya koymuştur.
Öncelikle kablolu ağlarla karşılaştırıldığında iletişim için radyo işaretlerinin kullanılması ve dolayısıyla iletişim medyası olarak artık kablonun değil de havanın kullanılması bir çok sorunun kaynağını teşkil etmektedir. Bu sorunların başında da güvenlik sorunları gelmiştir çünkü haberleşmede kullanılan veriler artık havadan iletilmekte ve üçüncü şahısların dinlemesine açık duruma gelmektedir. Güvenlik ile ilgili ortaya çıkan konuları temelde üç başlık altında toplayabiliriz bunlar, 1. kimlik doğrulama,2. veri gizliliği ve 3. mesaj bütünlüğü’ dür.
Kimlik Doğrulama 802.11 standardı kimlik doğrulama için iki tane mekanizma sunar bunlar, açık kimlik doğrulama ve paylaşılmış anahtar kimlik doğrulamasıdır. Standart dahilinde olmayana ancak sıkça kullanılan diğer iki yöntem de SSID(Service Set Identifier) ve MAC(Media Access Control) değerlerinin kimlik doğrulamada kullanılmasıdır. SSID değerinin kullanılması aslında ağın mantıksal olarak bölümlere ayrılmasını sağlar ve bir kimlik doğrulama mekanizması olarak düşünülmüş bir yöntem değildir ancak güvenliği artırıcı ek bir önlem olarak değerlendirilebilir. Her hangi bir istemcinin ağdan hizmet alabilmesi için doğru SSID değeri ile yapılandırılmış olması gerekir.
802.11 uç nokta kimlik doğrulaması ise daha önce de belirtildiği gibi iki şekilde yapılır yani açık ve paylaşılmış anahtar kimlik doğrulaması. Kimlik doğrulamadaki en önemli şeylerden biri de doğrulamanın kesinlikle kullanıcı tabanlı olmaması ve yalnızca uç nokta yada cihazın kimlik doğrulamasının yapılmasıdır. Bu da her iki yöntem için bir zayıflık olarak görülebilir. 802.11’ de kimlik doğrulaması temelde şu adımlardan oluşur, 1. İstemci tüm kanalları kullanarak bir probe request çerçevesi gönderir. 2. Ulaşılabilen erişim noktaları bir probe response çerçevesi ile cevap verir. 3. İstemci hangi erişim noktasına bağlanacağına karar verir ve bir kimlik doğrulama isteği yollar. 4. Erişim noktası ise bir kimlik doğrulama mesajı yollar. 5. Başarılı bir kimlik doğrulamanın ardından istemci bir ilişki istek çerçevesi yollar 6. Erişim noktası bir ilişki cevap çerçevesi yollar. 7. Bu adımdan sonra artık istemci veri gönderme ve veri alma işleminigerçekleştirebilir.
Şekil.1: 802.11’ de kimlik doğrulama işlemi.
Açık kimlik doğrulama:
Bu kimlik doğrulama modu aslında kimlik doğrulama anlamında herhangi bir anlama sahip değildir; öyle ki erişim noktası tüm kimlik doğrulama isteklerine olumlu cevap verecektir. Bu algoritmanın kullanışsız olduğu düşünülebilir ancak düşük işlem gücüne sahip ve hemen bağlantı kurulması istenen örneğin barkod okuyucu cihazlar gibi taşınabilir aygıtlarda kullanılabilir. Açık kimlik doğrulama iki mesaja sahiptir: 1. kimlik doğrulama istek mesajı ve 2. kimlik doğrulama cevabı. Açık kimlik doğrulama ağda herhangi bir şifreleme etkin kılınmamış ise erişim noktasının SSID değerine sahip her cihaza erişim olanağı sunar. Eğer WEP şifreleme etkin ise bu durumda WEP anahtarı bir erişim kontrol mekanizması yerine geçer. Açık kimlik doğrulama aşamasını geçen bir cihaz eğer WEP anahtarına sahip değilse bu durumda hem veri gönderemeyecek hem de erişim noktasından kendine gelen verileri de deşifre edemeyecektir. Şekil.2 bu mekanizmayı özetlemektedir.
Şekil.2: Açık kimlik doğrulama
Paylaşılan anahtar kimlik doğrulama:
Standartlarda belirtilen ikinci kimlik doğrulamamodudur ve istemcinin statik olarak bir WEP anahtarına sahip olmasını gerektirir. Bu modda şu adımlar izlenir: 1. İstemci erişim noktasına paylaşılan anahtar kimlik doğrulaması yapmaya yönelik bir istek yollar 2. Erişim nokası ise istemciye cevaben bir davet metni yollar 3. İstemci alınan bu daveti yerel olarak yapılandırılan WEP anahtarı ile şifreler ve yeni bir kimlik doğrulama isteği yollar 4. Erişim noktası şifrelenmiş bu veriyi deşifre eder ve orijinal davet metnini elde ederse bu durumda istemciye erişim hakkı tanır. Şekil.3 bu mekanizmayı göstermektedir.
Şekil.3: Paylaşılan anahtar kimlik dorğulama.
MAC adresi kimlik doğrulaması :
Standartlarda belirtilmeyen ancak kullanılan kimlik doğrulama mekanizmalarından biridir. Bu modda, erişim noktası yerel olara yapılandırılmış yada bir sunucu üzerinden bulunan erişim hakkı tanınmış cihazlara ilişkin MAC tablosu ile istekte bulunan istemcinin MAC adreslerini karşılaştırır ve geçerli bir MAC adresi olması durumunda erişime izin verilir.Bu mekanizma daha çok ek bir erişim kontrol önlemi olarak kullanılır. Yöntem Şekil.4’ te verilmiştir.
Åžekil.4: MAC kimlik doÄŸrulama
Kimlik doğrulamanın zayıf yada saldırıya açık yönleri: 1. SSID kullanımı: SSID bilgisi her ne kadar istemciye açık bir bilgi olmasa da network analiz araçları(sniffer) ile kolayca tesbit edilebilirler. O yüzden SSID mekanizmasının bir güvenlik mekanizması olarak ele alınması doğru değildir ve zaten SSID bir güvenlik önlemi olarak da tasarlanmamıştır. 2. Açık kimlik doğrulama: Bu yöntem erişim noktasına hiçbir şekilde istemcinin geçerli bir istemci olup olmadığı ile ilgili bir bilgi sunmaz. Bu WEP in etkin edilmediği sistemler için en büyük güvenlik problemidir. WEP şifrelemeye ihtiyaç duyulmadığı veya kullanılmasının ektin olmadığı durumlarda ise daha yüksek seviyede güvenlik önlemleri alınabilir. 3. Paylaşılan anahtar kimlik doğrulaması: Bu mekanizma istemcinin daha önceden belirlenmiş bir WEP anahtarını kullanması ve kendine gelen açık metni bu anahtar ile şifreleyerek, şifrelenmiş metni erişim noktasına göndermesine ve erişim noktasının da tekrardan bu veriyi deşifre ederek açık metni doğrulamasına dayanır. Dolayısıyla, hem açık metin (plain text) hem de şifrelenmiş metin (cipher text) kablosuz ortamda yollandığından üçüncü bir dinleyici rahatlıkla bu iki metne de erişebilir. WEP şifreleme açık metin ile WEP anahtarının XOR işlemine tabi tutulması ile gerçekleşir ve böylece şifrelenmiş metin elde edilmiş olur.
Dolayısıyla hem şifrelenmiş hem de açık metni elde eden biri bu ikisini XOR işlemine sokarak anahtarı elde edebilir. Dolayısıyla bir protokol analiz aracı ile paylaşılan anahtar kimlik doğrulama mekanizmasını dinleyen biri böylece WEP anahtarını elde edebilir. Bu durum Şekil.5’ te özetlenmiştir.
IEEE802.11b standardının 1999 yılında onaylanmasının ardından kablosuz ağlar özellikle kablosuz yerel ağlar artan bir kullanım oranına sahip olmuşlardır. Günümüzde kablosuz ağlar şirket ofislerinden okul yerleşkelerine, hava alanı tren istasyonları veya otogar gibi merkezlerden kafelere kadar girmiş ve geniş bir kullanım alanına sahip olmuştur. Bu yeni standart ile beraber kablolu iletişimle karşılaştırıldığında çeşitli yeni sorunlar da ortaya çıkmıştır ve bunlar gerek cihaz üreticileri gerekse de sistem yöneticileri halledilmesi gereken yeni problemler ortaya koymuştur.
Bu yorumun beslemesine abone olun