ADSL Modem ve Kablosuz Ağ Güvenliği
03 Ağustos 2008
ADSL Modem Güvenliği için:
1. İlk iş olarak ADSL modemin yönetim amaçlı web arayüzü şifresini mutlaka değiştirin. Bu şifre modem üreticileri tarafından varsayılan olarak belirlenmektedir ve saldırgan tarafından birkaç denemeyle bulunabilir.
Genelde kullanılan şifreler: admin, epicrouter, password, zoomadsl, boşluk, conexant, DSL, root, 1234, vs.. şifre güvenliğini sağlamak için bir şifre en az aşağıdaki özellikleri sağlamalıdır:
* Güvenli bir şifre en az 8 karakterli olmalıdır,
* Şifre, karmaşıklık gereksinimlerini sağlamalıdır; bunun için şifrede en az birer adet büyük harf, küçük harf, rakam ve özel karakter (. , * ! gibi) bulunmalıdır. Örnek : 2h4KdG!f
* Güvenli bir şifre, sözlüklerde bulunan bir kelime, isim, şehir veya tarih içermemelidir, yani şifre tamamen anlamsız bir karakter topluluğu olmalı ve asla tahmin edilememelidir.
NOT: Bütün bu önlemlerin birinci amacı Brute Force (Kaba Kuvvet) Ataklarından korunmaktır. Bu tip saldırıların temel mantığı, mümkün olan bütün ihtimallerin sırayla denenmesidir. Sıradan bir brute force programının saniyede milyonlarca şifre deneyebildiğini düşünürseniz basit şifrelerin ne kadar kolay çözülebildiğini de anlamanız zor olmaz. Programın saniyede 1 milyon şifre denediğini varsayarsak, sadece rakamlardan oluşan 1 ile 5 karakter arası bir şifrenin kırılması 1 saniye bile sürmeyecektir çünkü bu şekilde oluşturulabilecek toplam şifre sayısı 99999 adettir. Bu 5 karakterli şifreye sadece bir tane harf eklerseniz bu sayı yüzlerce kat artacağı için kırılma ihtimali de o kadar azalacaktır.
2. ADSL modemde kesinlikle DHCP özelliğini devre dışı bırakın. Yani asla otomatik IP dağıtmayın. Ağınıza bağlanan bir kişi IP ayarlarını otomatik olarak alamasın.
3. Varsayılan yerel ağ IP yapılandırmasını değiştirin. Genelde varsayılan olarak modemde 192.168.1.1, 192.168.2.1, 10.0.0.1 gibi private IP'ler kullanılır. Bu IP'leri 192.168.x.x veya 10.x.x.x şeklinde rastgele değiştirebilirsiniz. Örneğin: 192.168.34.76 veya 10.222.35.98 gibi. Bilenler için alt ağ maskesini de (subnet mask) değiştirmelerini öneririm ama fazla bilmeyenler varsayılan şekliyle bırakabilirler. Buradaki asıl amaç, network IP konfigürasyonunuzun tahmin edilememesi.
4. Modeme internet üzerinden hiçbir şekilde erişilememeli. Bunun için varsa modemin firewallunu açın, yoksa yönetim amaçlı http, telnet veya SNMP gibi protokolleri internete kapatın. Mümkünse içerden sadece kendi IP adresinize yönetim için izin verin.
5. Modemde MAC adres filtrelemeyi kullanın. Bu şekilde sadece ağınızda kendi tanımladığınız PC'lerin bağlanmasına izin vermiş olursunuz. (Tabi burada normal şartlardan bahsediyoruz, işin aslı; saldırgan, ağınızda kullanılan MAC adreslerini tesbit edip - her ne kadar MAC adresleri değişmez sanılsa da - kendi MAC adresini sizin izin verdiğiniz adreslerle kolaylıkla değiştirebilir. Biz en azından işini zorlaştırmış oluyoruz. Hiç güvenlik olmamasından iyidir.)
Kablosuz Modem Güvenliği İçin İlave Tedbirler:
Modeminiz kablosuzsa ve bütün tehlikelere rağmen ille de kullanmak istiyorsanız yukardaki maddelere ilave olarak şu önlemleri de mutlaka almalısınız:
1. SSID (kablosuz ağınızın adı) mutlaka gizleyin. Bu yöntemle en azından piyasadaki bir sürü kurbandan biri gibi olmazsınız, saldırgan en azından önce SSID'nizi bulmak için uğraşmak zorunda kalır. Tabi bir sürü SSID görünürken sizinle uğraşmak ister mi bilemem.
2. Güçlü bir kriptolama yöntemi kullanın, sakın WEP kullanmayın, kırılması çok kolay ve birçok sitede yöntemleri bulabilirsiniz. WPA veya WPA2 kullanabilirsiniz. Bunda da en az 40-50 karakterli karmakarışık rastgele bir şifre belirleyin. Bu şifreyi ezbere bilmeniz gerekmiyor, şifreyi modeme yazdıktan sonra kopyalayıp bilgisayarınızda tanımlayacağınız profilde Ağ Anahtarı (PSK: Pre-Shared Key, ön paylaşımlı anahtar) kısmına yapıştırın. Bağlantı yaptıktan sonra ayarlarınızı silmediğiniz sürece bilgisayarınız bu şifreyi bir daha sormaz.
3. Kablosuz ağ yayın kanalını kafanıza göre değiştirebilirsiniz. Bu değer genelde 11'dir ve saldırgan genelde bu kanalı dinlemekle işe başlar, o yüzden değiştirmek fena olmaz.
NOT: Yukarda anlattığım önlemler gerçekten saldırganın işini çok zorlaştıracaktır ama şundan emin olabilirsiniz ki kesinlikle bu tedbirlerin hepsi aşılabilmektedir. Tabi oturduğunuz civarda bu işlere meraklı birileri yaşamıyorsa çok da dert etmenize gerek yok. Eğer civarda böyle birileri varsa, Backtrack veya Operator gibi basit bir "Linux Live CD" ile yukardaki önlemlerin hepsinin aşılması biraz sabırla mümkündür. Bu durumda %100 güvenli olmak isteyen varsa kesinlikle kablosuz modem kullanmamalıdır..
Serdar Kocaoğlu
MCSE:S
03.01.2008
kablolu, kablosuz, ağ, adsl, modem, güvenlik, şifre, güvenliği, ssid, wep, wpa, brute force, IP, mac, adres, dhcp, psk, backtrack, operator, linux, live cd, nedir, nasıl
Yazının devamı..
1. İlk iş olarak ADSL modemin yönetim amaçlı web arayüzü şifresini mutlaka değiştirin. Bu şifre modem üreticileri tarafından varsayılan olarak belirlenmektedir ve saldırgan tarafından birkaç denemeyle bulunabilir.
Genelde kullanılan şifreler: admin, epicrouter, password, zoomadsl, boşluk, conexant, DSL, root, 1234, vs.. şifre güvenliğini sağlamak için bir şifre en az aşağıdaki özellikleri sağlamalıdır:
* Güvenli bir şifre en az 8 karakterli olmalıdır,
* Şifre, karmaşıklık gereksinimlerini sağlamalıdır; bunun için şifrede en az birer adet büyük harf, küçük harf, rakam ve özel karakter (. , * ! gibi) bulunmalıdır. Örnek : 2h4KdG!f
* Güvenli bir şifre, sözlüklerde bulunan bir kelime, isim, şehir veya tarih içermemelidir, yani şifre tamamen anlamsız bir karakter topluluğu olmalı ve asla tahmin edilememelidir.
NOT: Bütün bu önlemlerin birinci amacı Brute Force (Kaba Kuvvet) Ataklarından korunmaktır. Bu tip saldırıların temel mantığı, mümkün olan bütün ihtimallerin sırayla denenmesidir. Sıradan bir brute force programının saniyede milyonlarca şifre deneyebildiğini düşünürseniz basit şifrelerin ne kadar kolay çözülebildiğini de anlamanız zor olmaz. Programın saniyede 1 milyon şifre denediğini varsayarsak, sadece rakamlardan oluşan 1 ile 5 karakter arası bir şifrenin kırılması 1 saniye bile sürmeyecektir çünkü bu şekilde oluşturulabilecek toplam şifre sayısı 99999 adettir. Bu 5 karakterli şifreye sadece bir tane harf eklerseniz bu sayı yüzlerce kat artacağı için kırılma ihtimali de o kadar azalacaktır.2. ADSL modemde kesinlikle DHCP özelliğini devre dışı bırakın. Yani asla otomatik IP dağıtmayın. Ağınıza bağlanan bir kişi IP ayarlarını otomatik olarak alamasın.
3. Varsayılan yerel ağ IP yapılandırmasını değiştirin. Genelde varsayılan olarak modemde 192.168.1.1, 192.168.2.1, 10.0.0.1 gibi private IP'ler kullanılır. Bu IP'leri 192.168.x.x veya 10.x.x.x şeklinde rastgele değiştirebilirsiniz. Örneğin: 192.168.34.76 veya 10.222.35.98 gibi. Bilenler için alt ağ maskesini de (subnet mask) değiştirmelerini öneririm ama fazla bilmeyenler varsayılan şekliyle bırakabilirler. Buradaki asıl amaç, network IP konfigürasyonunuzun tahmin edilememesi.
4. Modeme internet üzerinden hiçbir şekilde erişilememeli. Bunun için varsa modemin firewallunu açın, yoksa yönetim amaçlı http, telnet veya SNMP gibi protokolleri internete kapatın. Mümkünse içerden sadece kendi IP adresinize yönetim için izin verin.
5. Modemde MAC adres filtrelemeyi kullanın. Bu şekilde sadece ağınızda kendi tanımladığınız PC'lerin bağlanmasına izin vermiş olursunuz. (Tabi burada normal şartlardan bahsediyoruz, işin aslı; saldırgan, ağınızda kullanılan MAC adreslerini tesbit edip - her ne kadar MAC adresleri değişmez sanılsa da - kendi MAC adresini sizin izin verdiğiniz adreslerle kolaylıkla değiştirebilir. Biz en azından işini zorlaştırmış oluyoruz. Hiç güvenlik olmamasından iyidir.)
Kablosuz Modem Güvenliği İçin İlave Tedbirler:
Modeminiz kablosuzsa ve bütün tehlikelere rağmen ille de kullanmak istiyorsanız yukardaki maddelere ilave olarak şu önlemleri de mutlaka almalısınız:1. SSID (kablosuz ağınızın adı) mutlaka gizleyin. Bu yöntemle en azından piyasadaki bir sürü kurbandan biri gibi olmazsınız, saldırgan en azından önce SSID'nizi bulmak için uğraşmak zorunda kalır. Tabi bir sürü SSID görünürken sizinle uğraşmak ister mi bilemem.
2. Güçlü bir kriptolama yöntemi kullanın, sakın WEP kullanmayın, kırılması çok kolay ve birçok sitede yöntemleri bulabilirsiniz. WPA veya WPA2 kullanabilirsiniz. Bunda da en az 40-50 karakterli karmakarışık rastgele bir şifre belirleyin. Bu şifreyi ezbere bilmeniz gerekmiyor, şifreyi modeme yazdıktan sonra kopyalayıp bilgisayarınızda tanımlayacağınız profilde Ağ Anahtarı (PSK: Pre-Shared Key, ön paylaşımlı anahtar) kısmına yapıştırın. Bağlantı yaptıktan sonra ayarlarınızı silmediğiniz sürece bilgisayarınız bu şifreyi bir daha sormaz.
3. Kablosuz ağ yayın kanalını kafanıza göre değiştirebilirsiniz. Bu değer genelde 11'dir ve saldırgan genelde bu kanalı dinlemekle işe başlar, o yüzden değiştirmek fena olmaz.
NOT: Yukarda anlattığım önlemler gerçekten saldırganın işini çok zorlaştıracaktır ama şundan emin olabilirsiniz ki kesinlikle bu tedbirlerin hepsi aşılabilmektedir. Tabi oturduğunuz civarda bu işlere meraklı birileri yaşamıyorsa çok da dert etmenize gerek yok. Eğer civarda böyle birileri varsa, Backtrack veya Operator gibi basit bir "Linux Live CD" ile yukardaki önlemlerin hepsinin aşılması biraz sabırla mümkündür. Bu durumda %100 güvenli olmak isteyen varsa kesinlikle kablosuz modem kullanmamalıdır..
Serdar Kocaoğlu
MCSE:S
03.01.2008
kablolu, kablosuz, ağ, adsl, modem, güvenlik, şifre, güvenliği, ssid, wep, wpa, brute force, IP, mac, adres, dhcp, psk, backtrack, operator, linux, live cd, nedir, nasıl
Sorunun çözümü için YouTube ve Telekomünikasyon Kurumu yetkilileri arasında gerçekleştirilen görüşmelerde şirketin Türkiye'ye özgü bir arama motoru oluşturması kararlaştırıldı. Buna göre siteye Türkiye'den YouTube.tr ya da YouTube.com.tr adreslerinden ulaşılacak. Böylece sitede, İnternet Güvenliği Yasası'nda suç sayılan Atatürk'e hakaret, porno, müstehcenlik, kumar ve intihara özendirme gibi içerikler ayıklanmış olacak.
