Kablosuz Ağlarda Güvenlik

Güvenlik, kablolu veya kablosuz her türlü ağ için en önemli konudur. Klasik bir kablolu ağ üzerinden iletişim, fiziksel kablolar üzerinden sağlanır ve güvenlik, genellikle fiziksel altyapıda dahili olarak bulunur. WLAN'lar radyo sinyalleri üzerinden çalışır ve bu nedenle aynı güvenlik önlemlerinin uygulanması gerekmez. Kablosuz verilerin benzersiz niteliği için, bir WLAN kullanıcısı bilgisayar korsanlarının saldırılarına, vandalizm saldırılarına ve hatta kurumsal casusluğa karşı ağın daha güvenli hale getirilmesi için çeşitli güvenlik özelliklerinden yararlanabilir.

Wi-Fi Korumalı Erişim 2 (WPA2)/802.11i
Wi-Fi Korumalı Erişim 2 (WPA2), IEEE 802.11i standardına dayanır ve Gelişmiş Şifreleme Standardı -Karşı Mod ile Şifre Bloğu Zincirleme Mesaj Kimlik Denetimi Kodu Protokolü (AES-CCMP) kullanarak bir şifreleme mekanizması sağlar. Bu sayede, birçok kuruluşun ihtiyacı olan veri gizliliği seviyesi sağlanmış olur. WPA2/802.11i ayrıca sinyal gecikmesini ve dolanım sırasında ses içerisinin kaybolmasını önleyerek, kablosuz ses iletimi için en güncel kod ayarını ve desteğini sunar.

WPA2 iki modda çalışabilir: WPA2 kurumsal ve WPA2 bireysel. WPA2 kurumsal modu, 802.1 x/EAP tabanlı kimlik denetimi için gerekli tüm WPA 2 özelliklerini ve desteğini içerirken, WPA2 bireysel modu, özellikle daha az karmaşık temel yönetim şemaları gerektiren küçük işletme ve ev ortamları için kullanılır.
WPA2/802.11i, Wi-Fi Korumalı Erişim (WPA) ile geriye dönük olarak tam uyumludur.

Wi-Fi Korumalı Erişim (Wi-Fi Protected Access ) (WPA)
Wi-Fi Korumalı Erişim, (WPA) birçok yönden WPA2/802.11i ile benzerdir. WPA ve WPA2 arasındaki temel fark, kullanılan şifrelemedir. WPA için RC4/TKIP ve WPA2 için AES-CCMP. WPA ve WPA2, 802.11i standardından türetilmiş olup, WPA2 bu ikisi arasında en yeni sürümdür.
WPA, kurumsal modda çalışan istemcinin bilgiişlem oturumu için bir 'çiftler arası' anahtar yaratmak için 802.1x ağ kimlik denetimi ve Geçici Anahtar Bütünlüğü Protokolü (TKIP) şifreleme önlemleri kullanır; veya ev modu oturumları için kullanıcılar kablosuz ağdaki her bir AP ve PC'ye bir ana anahtar girer. Çiftler arası anahtar daha sonra istemci ve AP'ye dağıtılır.
Kimlik denetiminin başarılı olmasının ardından, TKIP tekli statik 40-bit WEP güvenlik anahtarını çoklu dinamik 128-bit güvenlik anahtarlarına dönü?türür. İşin özünde TKIP, arka arkaya kullanılan tek bir WEP anahtarını, yaklaşık 500 trilyon adet başka olası anahtarla değiştirir.
Yeni nesil ürün ailelerinde, maksimum güvenlik ve başka kablosuz cihazlarla daha yüksek düzeyde birlikte çalışabilirlik sağlamak amacıyla hem WPA2 ve hem de WPA bulunmaktadır.

802.1x Ağ Kimlik Denetimi
802.1x, bir WLAN erişim noktasında (AP) oturum açmak isteyen bireysel bir istemciyi (dizüstü ya da masaüstü bilgisayar), AP'ye Genişletilebilir Kimlik Denetimi Protokolü (EAP) başlatma mesajı göndererek, onaylanmamış bir duruma geçiren bir kimlik denetimi yöntemidir. AP istemcinin kimlik bilgilerini talep eder ve bunun üzerine istemci, kimlik bilgilerini AP'ye ve ardından kimlik denetimi sunucusuna gönderir. Kimlik denetimi sunucusu istemcinin kimlik bilgilerini kontrol eder ve bir kabul ya da red mesajı ile yanıt verir. 802.1x ağ kimlik denetimi, 802.11g kablosuz standardının bir parçasıdır ve tüm 802.11g uyumlu kablosuz standardlı ürünlerde yer alır.

Kablolu Eşdeğeri Gizlilik (WEP)
Kablolu Eşdeğeri Gizlilik (WEP) 64 ve 128-bit şifreleme kullanır ve 802.11a, 802.11b ve 802.11g ağlarında kullanım için belirlenen şifre şemasıdır. WEP bir WLAN üzerinden iletilen verileri şifreleyerek, istemci ve erişim noktası arasındaki hassas iletişimi korur. Klasik güvenlik önlemleriyle (şifre koruması, kimlik denetimi, şifreleme, sanal özel ağlar) karşılaştırıldığında, WEP son derece etkili olabilir. Tüm kablosuz ağ ürünlerinde 64 ve 128-bit WEP şifreleme mevcuttur.

SSID Yayını Devre Dışı Bırakma
Bir Servis Seti Tanımlayıcısı (SSID), tamamen özel olarak atanmış bir alfanümerik ad 1 - 32 bayt arası) olup, bir WLAN ağını tanımlamak için kullanılır ve kapalı, çakışan bir ortam içinde birden fazla WLAN ağı kullanıldığında, kablosuz cihazların uygun WLAN ağına başlanmasını sağlar. Bu tanımlayıcı yayınlanır ve bu nedenle kapsama alanı içindeki kablosuz istemciler tarafından görülebilir. WLAN Erişim Noktası (AP), bu tanımlayıcıyı engelleyerek birçok rasgele kablosuz aygıt tarafından görülmez olmasını sağlayan SSID Yayını Devre Dışı Bırakma ayarı ile gelir.
İstemcilerin tipik olarak belirli bir SSID ile "ilişkilendirilmesi" gerektiğinden, bu sayede başka bir kablosuz koruma seviyesi sağlanmış olur.

MAC Adresi Kimlik Denetimi
Bazı erişim noktaları (veya erişim noktası içeren kablosuz yönelticiler) kullanıcıların tam olarak hangi Ortam Erişim Denetimi (MAC) adreslerinin ağla iletişim kurabileceğini tanımlamasına olanak sağlar. Bir MAC adresi, bir ağın her bir düğümünü ayrı ayrı tanımlayan bir donanım adresidir. Dünyadaki her bir ağ adaptörünün, kendine has bir MAC adresi vardır. Sadece bir ağa bağlanabilecek MAC adreslerini tam olarak belirleyerek, yetkisiz kullanıcılar devre dışı bırakılabilir. MAC adresi kimlik denetimi bunu sağlar. Ağın baz istasyonu (erişim noktası), yetkili MAC adreslerinin bir veritabanını tutar. Sadece yetkili MAC adresine sahip cihazların ağa erişimine izin verilir.

Not: Alıntıdır.