BilgisayarDersleri.NET

Wireless Network  varsayılan olarak şirket verilerini güvenlik olmaksızın tüm ortama yayıldığı bir network tipidir. Yönettiğin network?ün bulunduğu bina yeterince güvenli olabilir ama bir WLAN?a ( Wireless Local Area Network )  sahipsen binanın yanındaki otopark?a arabasıyla parkeden izinsiz bir kullanıcı binaya girmeden kolaylıkla Wireless Network?e (WLAN) erişim sağlayabilir. Her yeni teknolojide olduğu gibi fazlasıyla bilinmeyeni olan wireless faydaları ve hiç de gözardı edilemeyecek sakıncaları  içinde barındırmaktadır. Network yöneticileri için yeni bir mücadele hacker?lar içinse yeni bir hedef ortaya çıkmıştır. Aşağıdaki Risk Yönetimi Matriksi zayıflıklar ve tehdit seviyesi değişkenlerinin derecesine göre ortaya çıkabilecek riskin büyüklüğünü belirtir. Herhangi bir Wireless Network zayıflıkları yüksek olan bir network yapısı olduğu için WLAN içeren bir network?de risk miktarı en az Medium Risk yani orta düzey risk olacaktır. Birde çalışma ortamı yüksek tehdit seviyesine sahipse bu durumda tehlike çanları çalmaya başlar.

Şekil 1 Microsoft Risk Yönetim Matriksi (Kaynak:Microsoft)

Wireless Network (WLAN) teknolojisinin faydaları açık olmakla birlikte yeni ve bir çok bilinmeyen zayıflıklarıda içermektedir.Genel olarak faydalarını iki ana başlık  altında toplayabiliriz ; temel iş ortamı faydaları ve operasyonel faydalar .İş ortamına olan faydaları iş süreçlerinin daha hızlı ve etkili olmasını sağlayarak çalışanların verimliliğini artırmak veya iş süreçlerinin işleyişini değiştirmektir.Operasyonel faydalar ise temelde maliyet azaltmaya dayalıdır. PDA?ların , Laptop PC?lerin  ve Tablet PC?lerin kullanımının giderek artmaya başladığı , iş süreçlerinde proje ve takım çalışmalarının fazlaca yapıldığı ve bu yüzden hareketliliğin yüksek olduğu ortamlar için WLAN çok önemli avantajlar sağlamaktadır.Operasyonel olarak da geçici olarak kullanılacak ve işin yapısı gereği sürekli fiziksel mekan değişikliği gereken işlerde kablolu bir ağın kurulması gerekliliği  ortadan kaldırarak maliyet ve sermaye tasarrufu sağlar.

Avantajları getirdiği riskler ile karşılaştırılınca çekiciliğini biraz yitirsede günümüzde  giderek artan oranda WLAN görmeye başladık.Bir çoğu güvenlik önlemlerinden yoksun olmakla birlikte aslında WLAN?lar için sunulan güvenlik mekanizmalarıda çok etkili olmamaktadır. Günümüz WLAN?larındaki hakim standart  IEEE 802.11 standardıdır. WLAN ?ların diğer networklerden en önemli farkı saldırıların çok daha kolay gerçekleştirilebilmesi ve çok fazla bilgi düzeyi gerektirmemesidir. 802.11 WLAN?ları için Airsnort gibi Audit programlarının kolay bulunabilmesi bir WLAN?a sızmayı haber olmaktan çıkarıyor. WLAN?lardaki en güncel güvenlik  açıklarından birkaç madde halinde  bahsedersek.

·        WLAN?da dolaşan verilerin gözetlenmesi ile kullanıcı bilgileri ,önemli şirket bilgileri ve şirket network altyapısı ile ilgili bilgi edinmeye olanak sağlar.Bu  daha sonradan tüm network?e  kapsamlı bir saldırı için kullanılabilir.

·        Saldırgan iletişimde bulunan iki uç arasında gidip gelen verileri kendisine yönlendirip  değiştirdikten sonra nihai hedefine yollayabilir.

·        Saldırgan network?de yetkileri olan birinin bilgilerini ele geçirerek kendisini sistemlere ve diğer kullanıcılara o kişiymiş gibi gösterebilir.

·        Fazla bir risk oluşturmasa da  WLAN?a sızan bir kişi burayı internete bedava çıkış noktası olarak kullanabilir.Burada sorun şirket kullanıcılarına hizmet etmesi gereken kaynakların izinsiz bir kullanıcıya hizmet etmesidir.

·        Denial of service (DoS) tipi bir saldırı saldırgana WLAN?da çok farklı opsiyonlar sunabilir. Hatta bunun için çok yüksek teknolojiye ihtiyacıda yoktur. Radyo seviyesi sinyal gönderebilen , ki bu bir microdalga fırında olabilir, bir aletle bu çok kolay gerçekleştirilebilir.Daha üst düzey saldırılar ise wireless protokollere saldırı veya WLAN?ı rasgele gereksiz trafikle dolduran saldırılar olabilir.

Bunun dışında iki küçük tehdit daha söz konusudur.

·        Wireless network kartı olan bir notebook?a sahip olan bir ziyaretçi hiç farkında olmadan ( ve hatta böyle bir amacı olmadan ) WLAN?a  otomatikman bağlanabilir. Makinasında bulunan virus , trojan veya worm?lar WLAN aracılığıyla tüm şirket network?üne yayılabilir.Bu tehdit güvenliğe alınmamış bir WLAN için sözkonusudur.

·        Şirket network?ünde WLAN yoksa veya var ama gerekli güvenlik önlemlerini alınmış ancak şirket çalışanları tarafından network?e izinsiz takılan bir Wireless Access Point (AP) seni diğer saydığımız tehditlerle karşı karşıya bırakabilir.

WLAN : ne kadar güvenli ?

            Bahsettiğimiz güvenlik sorunlarının ortaya cıkışıyla birlikte  birçok üretici ve organizasyon farklı çözüm ve öneriler geliştirmiştir.WLAN güvenliği ile ilgili çözüm önerileri temel olarak:

• WLAN teknolojisini kullanmama

• 802.11 tabanlı basit güvenlik önlemleri kullanımı

• Virtual Private Network(VPN) teknolojisi kullanımı

• Internet Protocol Security (IPSec) kullanımı

• IEEE 802.1X ,Extensible Authentication Protocol (EAP) ve WiFi encryption kullanımı

Bu sıralama basitçe en az istenebilecek çözümden en iyi çözüme doğru bir sıralama izlemektedir.Bu yazımızda en güvenli seçenek olan son seçenek üzerine yoğunlaşacağız.

IEEE 802.1X , EAP ve Dynamic Encryption Keys

            802.1X IEEE standardı olup network?e erişim için kimlik doğrulaması (Authentication ) ve ağ trafiğini korumak için anahtar yönetimi (Key Management) sağlayan bir teknolojidir. Esas olarak tüm 802 standardı LAN?lar için geliştirilmiş bir güvenlik standardıdır. 802.1X  ağ kullanıcılarını denetlemek için bir network kimlik doğrulama ve yetkilendirme (Authorization) servisi olan RADIUS?a  (Remote Access Dial-In User Service ) dayalı olarak çalışır. 802.1X EAP?ı clientlar ve network cihazları arasındaki trafiği güvenliğe alacak olan kriptolama algoritmalarına anahtar türetmek ve authentication sürecinin farklı bileşenleri arasında trafiğini yönetmek için kullanır. Wi-Fi security günümüzde iki seçenekle karşımıza çıkmaktadır. Wired Equivalent Privacy (WEP) ve Wi-Fi Protected Access (WPA).Her ikiside client-wirelessAP  arası trafiği kriptolamak için farklı metodlar kullanırlar.

            WEP  802.11 tabanlı ürünlerde bulunmaktadır ve network?e girişi kısıtlamak ve trafiği kriptolmak için  shared key (paylaşılan anahtar) diye isimlendirilen bir değer kullanır .Bu değer manuel olarak girilmelidir .En önemli dezavantajı dinamik anahtar yönetimi ( Dynamic Key Management ) olmamasıdır ve bu yüzden aynı anahtar değeri uzun süre kullanılabilir , ki bu da saldırganlara bunu açık edebilir.

            WPA , Wi-Fi Alliance tarafından gelitirilmiştir ve amacı wireless network?lerde güvenliği birleştirmek ve geliştirmektir.

            IEEE ayrıca yeni bir standart olan 802.11i  ( RSN veya Robust Security Network)  geliştirmeye başlamıştır ve bu standart WLAN güvenliğini daha da üst seviyelere taşıyacaktır.WPA uyumlu WLAN donanımları geniş çapta kullanıma başlamayana kadar Wi-Fi encryption için en iyi yöntem 128-bit WEP kriptomala ve EAP ile 802.1X kullanarak dinamik anahtar üretimi ve yönetimidir. Güncel Microsoft ürünleri WPA ve WEP desteğine sahiptir.Dinamik WEP (802.1X ve EAP) ve WPA  hem password tabanlı hemde sertifika tabanlı authentication yapabilirler.

802.1X ve EAP-TLS

EAP-TLS sertifikalar kullanarak mutual authentication (client ve radius server arası karşılıklı kimlik doğrulama) ve dynamic key generation  ( dinamik anahtar üretimi ) yapar.802.1X ile birlikte kullanıldığında WLAN?lar için en sağlam güvenlik yöntemini oluştururlar .RADIUS server ve client?larda public key sertifikaları bulunmalıdır. Şimdilerde WEP için anahtar üreten bu protokoller WPA?nın kullanılmaya başlanması ile birlikte WPA için anahtar yönetimini gerçekleştirecekler.WPA ?ya geçiş mevcut network cihazlarında bir firmware güncellemesi XP ler içinse küçük  bir update ( XP-SP1 ) ile kolaylıkla geçekleştirilebilecek..Bu tekniğin kullanılmasıyla sağlanabilecek faydalar;

• Network?de hem bilgisayar hemde kullanıcı bazında erişim kontrolü

• Kullanıcılar tarafından farkedilmez bir yapı olması .( İlave bir logon gerekmez.)

• Kullanıcıdan önce bilgisayarın network?e giriş için denetlenmesi ( İlk olarak bilgisayar bazında kimlik doğrulaması ile kullanıcı logon olmadan önce bilgisayar network?e girebilmek için bir authentication süreci geçirir.)

• Üretici bazlı bir çözüm değildir tamamen IEEE ve IETF standartlarına dayalıdır.

• Geniş bir client ve network cihazı desteğine sahiptir. ( Windows XP, Windows 2003, Windows 2000, Windows NT version 4.0, Windows 9x, and Pocket PC, ve  Wi-Fi sertifikalı network cihazları).

• Public Key Authentication?a dayalı olduğu için çok yüksek bir güvenilirliğe sahiptir ve password tabanlı yöntemler gibi password paylaşımı sorunları ile  password  tahmini gibi saldırılara karşı üstün güvenlik sağlar.

• WPA?ya uyumluğu (WPA?nın çıkışıyla birlikte kolaylıkla geçiş yapılabilecektir.)

Güvenli Wireless LAN Mimarisi

 Daha öncede bahsettiğimiz gibi wireless bir çok güvenlik zayıflığı içermektedir .Mevcut çözümlerden WEP ve 802.11 standardı güvenlik önlemleri ise bunları kısmen karşılamaktadır.Gerekli çözüm önerisi şu özellikleri içermelidir.

?  Wireless client?ların güvenilir kimlik doğrulaması. Bu çözüm Wireless  client,  wireless access point (AP) ,  ve  RADIUS server için mutual authentication (çift yönlü kimlik doğrulama) içermelidir.

?   Kim  wireless network?e erişim yetkisine sahip kim değil  bunu kontrol edecek bir authorization-access control ( yetkilendirme-erişim kontrolü ) süreci

?   Wireless network trafiği için güçlü kriptolama .

?   Kriptolama için kullanılan anahtarların (encryption keys) güvenli bir şekilde yönetimi (oluşturulması ve yenilenmesi sürecinin dinamik olması )

?   Denial of service (DoS) saldırılarından korunma.

             Network access control ( erişim kontrolü ) için IEEE 802.1X standardı , güvenli kimlik doğrulama (secure authentication) için ise EAP-TLS kullanmak bu gereksinimlerin bir bölümünü karşılıyor. En güçlü WEP?de trafik için güvenli kriptolama ( secure encryption ) sağlayacaktır, fakat zayıf bir anahtar yönetimi mekanizmasına sahip olan WEP ile  static olarak bu anahtarın wireless client?lara girilmesi gereklidir.

            Microsoft, diğer birçok üretici gibi, WEP kriptolama anahtarlarının yönetim için daha güvenli olan EAP authentication sürecini kullanan çözümler  geliştirmiştir.  WiFi Protected Access (WPA) standardı ise tüm bu özelliklere ilave olarak  anahtar yönetimi için yeni bir protocol önermektedir :Temporal Key Integrity Protocol (TKIP). Tüm bunlar  WLAN güvenliği için çok önemli gelişmeler sağlayacaktır.

WEP ve WPA tüm üreticilerin uydukları bir standarttır Microsoft  WPA?ya Microsoft Windows XP işletim sisteminden beri  destek vermektedir ancak  mevcut  wireless AP üreticilerinden birçoğu yeni yeni WPA destekli ürün piyasaya sürmektedir ve WPA yaygınlaşana kadar WEP tabanlı çözümler yaygın olarak kullanılacaklar. Tavsiye edilen Microsoft çözüm  konsepti  hem dynamic WEP hemde WPA standardına uyar.Bu yazıda  bahsedeceğimiz çözümde iki standartta da sorusuz çalışır.

Şekil 2   Tavsiye edilen çözüm  konsepti (802.1X  ve EAP-TLS authentication)

Şekilde dört bileşeninden söz edilmektedir

• Wireless client . Network kaynaklarına erişmek isteyen wireless network kartına sahip bir cihazdır. Client kendi network trafiğini kriptolayabilecek ve kullanıcı bilgilerini ve anahatarları güvenli bir şekilde depolayabilecek kapasiteye sahip olmalıdır.

• Wireless AP. Genel network terminolojisinde Network Access Service (NAS) olarak da isimlendirilir. Wireless AP network access control (erişim kontrolü ) sağlar ve  wireless trafiği kriptolar.Ayrıca network trafiğini kriptolayacak olan anahtarların wireless client ile güvenli bir şekilde değiştokuş edilmesinden de sorumludur. Son olarak da  yetkilendirme yapabilmek için  authentication and authorization service ile iletişim kurmalıdır.

• Network Authentication and Authorization Service (NAAS)  ( Network kimlik doğrulama ve yetkilendirme hizmeti ) .Geçerli kullanıcılarla ilgili bilgiyi tutar ve denetler , access policy?de yapılan ayarlara göre yetkilendirme kararlarını verir.Ayrıca client erişimi ile ilgili ilave bilgiler (accounting and audit information) tutabilir.

• İç network(Internal network). Wireless client?ların erişmek istediği kaynakların sunulduğu güvenli network

Şekil 2 deki süreci sırasıyla açıklarsak

1. Wireless client ,WLAN?a erişmeden önce bir şekilde bir merkezi otoriteden kimliğini kanıtlayacak bir belge (sertifika) temin etmiş olmalıdır.Örneğin bu bir floppy disk ile veya wireless client?ı önce  wired network?e bağlayarak yapılabilir.

2. Client network?erişmek istediğinde, kimlik bilgilerini (aslında kimlik bilgileri asla network üzerinden gönderilmez burada gönderilen bilgi bu kimliğe sahip olduğunu ispatlayabilecek bir bilgidir.) wireless AP?ye gönderir ; wireless AP bu bilgiyi yetkilendirme yapılması için NAAS?a iletir.

3. NAAS gelen bilgiyi çekeder, tanımlı access policy?e bakar , ve son olarak client isteğini kabul veya reddeder.

4. Eğer client yetkilendirilir ve erişime izin verilir ise client , wireless AP ile kriptolama anahtarlarının değiştokuşunu gerçekleştirir. (Aslında bu anahtarlar NAAS tarafından türetilir ve güvenli bir kanaldan  wireless AP?e iletilir. Wireless client  NAAS tarafından yetkilendirilmezse  erişim reddedilir ve client ile iletişim kesilir.

5. Kriptolama anahtarları kullanılarak client ve wireless AP  güvenli bir  iletişim kurarlar , Böylece bu güvenli wireless link ile hem wireless network?de hemde   iç network?de güvenlik sağlanır.

6. Client iç network?le iletişime başlar.

Bu süreci bileşenlerini ayrı ayrı gösteren şekilden de inceleyebiliriz.

Şekil 3  802.1X EAP-TLS erişim süreci  ( Kaynak:Microsoft )

Şekilde sürecin bileşenleri detaylı olarak görülmektedir. Konsept dizaynımızın NAAS olarak isimlendirdiği kavramın alt bileşenleri : Certification authority (CA), directory ve RADIUS ?dur. Herbir bileşen kendine ait basit görevler yerine getirmekle birlikte bu bileşenlerin hızlı , ölçeklendirilebilir ve güvenli biçimde işleyebilmesi için dikkat edilmesi gereken noktalar vardır. Yazımızın bundan sonraki bölümünde bu alt bileşenlerin dizaynı , uygulaması ve yönetimi üzerinde yoğunlaşacağız.

Şekil 4  Cluster A.Ş. şirketi internetwork?ü  (Cluster.com)

Hedef Organizasyon : Hedef şirketimiz çeşitli lokasyonlarda network altyapı maliyetlerini düşürmek ve personel hareketliği ve verimliliğini arttırmak amacıyla WLAN krulumu gerçekleştirmiş.IT yönetimi network güvenliği konusunda fazlasıyla bilinçliler ve kendi içinde network/sistem güvenliği departmanı oluşturulmuş ve departmanın başınada MCSE:Security sertifikalı uzman getirilmiş. Güvenlikle ilgili birçok teknolojiyi kullanılan şirkette ilerde file encryption ve güvenli e-mail uygulamasına geçilmeside düşünülüyor.

WLAN dizaynındaki IT hizmetleri aşağıdaki mantıksal gruplanırmaya dahil edilebilir.

?   WLAN Bileşenleri-Wireless client?lar ve Access Point?ler

?   RADIUS Bileşeni-IAS Server

?   PKI Bileşeni-Certification Authority

?   Network Altyapısı Bileşenleri (Infrastructure Services)

Son bileşen zaten halihazırda kurulu bulunan ve Directory ve diğer network servislerini içeren bir bileşendir.

Şekil 5 Hedef  organizasyon WLAN ?nın mantıksal bileşenleri

Main Office

            Aşağıdaki şekil şirket genel merkezinin server dağılımını göstermektedir.Sadece üst kısımda görülen üç bileşen için yeni server ve gerekli cihazlar temin edilecek.Network infrastructure yani network servisleri zaten kurulu ve işler durumda.Şirketimiz öncelikle 802.1X-destekli WLAN cihazları satın almış ve bunları network?e dahil etmiştir.

Şekil 6 Merkez ofis fiziksel network dizayn diagramı

Branch Office

Şube network?ü çok daha basit bir yapıya sahip ,tüm network servisleri (hatta RADIUS bileşenide buna dahil edilebilir) tek serverda toplanmış.Ayrıca genel merkeze ve internete bağlantı sağlayan bir Router?a sahip.

Şekil 7 Şube fiziksel network dizayn diagramı

Tüm bu dizayda kullanılacak yeni bileşenler olan RADIUS ve PKI bileşenleri ileride daha farklı alanlarda da kimlik doğrulama ihtiyaçlarına hizmet edebilirler. RADIUS , VPN ve RAS uygulamaları PKI ise EFS , güvenli e-mail ve IPSec uygulamalarında kullanılabilirler.Bu dizaynda ,örneğin şubeye RADIUS server veya DC kurulmaması düşünülebilir ancak bu durumunda WAN bağlantısı devredışı kaldığında WLAN bağlantılarıda devredışı kalır ve şubeye DC kurmadığımızda logon sürelerinde yavaşlamaya ve WAN linkinin çok kullanılmasına yol açarız

Ziyaretçiler için Wireless LAN

Bazı şirketler gelen ziyaretçiler ve iş ortakları için kimlik doğrulamasız WLAN erişimi düşünebilirler.Bunun için şirket iç network?ünden ayrı bir Virtual Local Area Network (VLAN) yaratılıp ACL?ler (Access Control List) ile bu network?ün trafiği denetlenebilir veya ziyaretçilerin kullanacağı WLAN firewall?un dışında hatta DMZ?de oluşturulabilir.

PKI dizaynı

PKI dizayn edilirken ilk adım CA hiyerarşisinin  kararlaştırılmasıdır .Tek bir CA kullanılıyorsa bir hiyerarşiden söz edilemez .En yaygın PKI dizaynı iki CA?den oluşur.Bu dizaynda CA?ler aşağıdaki gibi bir yapıya sahiptirler (Şekil 8).Root CA kendi kendisine sertifika vermiş (self signed certificate) olan bir CA?dir ve PKI yapısının en tepesinde yer alan en güvenilir.noktayı temsil eder.Şekildeki  Issuing CA ise , Root CA ?den Subordinate CA sertifikası almış ve aynı PKI yapısında RootCA?den sonra en güvenilir CA?dir.Bu hiyerarşide RootCA sadece SubCA?lere sertifika verir. Issuing CA?de kullanıcı ve bilgisayarlara sertifika dağıtımından sorumludur.Fazlasıyla güvenli olan bu yapıda tüm sertifikalar Issuing CA?den dağıtılır.Herhangi bir şekilde Issuing CA?in private key?i  (özel anahtarı) açık edilecek olursa RootCA Issuing CA?in sertifikasını revoke eder , böylece Issuing CA ve onun dağıtmış olduğu tüm sertifikalara ( ki bu yapıda tüm sertifikalar Issuing CA?den dağıtılır demiştik.) artık güvenilmez.Görüldügü gibi bu yapının bu yapının en önemli avantajı Issuing CA?nın saldırıya uğrayıp private key?inin elegeçirilmesi ile PKI yapımız kısmen tehdit altında kalır.Bu tehdit RootCA?in Issuing CA?in sertifikasını revoke etmesi ile ortadan kalkar.

Şekil 8 Hiyerarşik CA dizaynı

Peki akla şu soru gelebilir: Ya RootCA ?in private key?i ele geçirilirse ne olur ? Evet buda muhtemel ve bu durumda tüm PKI altyapımız güvenilir olmaktan çıkacaktır. Bunun çözümü hiyerarşik dizaynın kendi içerisinde mevcuttur : Offline RootCA. Kısaca RootCA SubordinateCA?lere sertifika verdikten sonra network?den sökülür ve güvenli bir yerde saklanır,böylece IssuingCA?den çok daha güvende olur.

Şekil 9 Üç seviyeli CA hierarşisi

Daha ileri güvenlik ve fonksiyonellik için hiyerarşi derinleştirilebilir.Böylece uygulama yer ve amaca göre CA?ler kurulabilir. Özellikle sertifika dağıtımının (Certificate enrollment) çok olduğu ve Public key/Private key ikilisinin  büyük olduğu (4096 bit ve üzeri ) bir durumda  böyle bir yapıya ihtiyaç duyulabilir.

Windows Server platformları iki tip CA olabilirler ; Enterprise CA ve Standalone CA . Enterprise CA Active Directory gerektirir ve CA veritabanı  Active Directory?de tutulur.Bu yüzden Offline RootCA kurmak istersen bu Enterprise CA olamaz, burada tercih Standalone CA olmalıdır. Standalone CA Active Directory?e ihtiyaç duymaz ve CA veritabanı  Registry?de tutulur.Bu yüzden Offline RootCA için Standalone CA kullanılır. WLAN dizaynımızın temel bir bileşeni olan Active Directory sayesinde Enterprise CA kullanmak bize çok önemli bazı avantajlar getirecektir. Bunlar:

·        Otomatik sertifika dağıtımı (Auto-enrollment)

·        Group Policy ile sertifika dağıtımı

·        Sertifika Şablonları (Certificate Templates)

·        Forest çapındaki tüm bilgisayar ve kullanıcılardan , RootCA ve aynı sertifika güven zincirindeki ( Certificate Chain ) tüm sertifikalara otomatik güven

WLAN güvenliğimiz için gerekli olan sertifika tipleri ve bunları kullanılacak platformlar gösterilmektedir.

Tablo-1 Sertifika gereksinimleri

RADIUS dizaynı

            RADIUS yapısı dizayn edilirken dikkat edilmesi gereken en önemli nokta WLAN güvenliği için ilk adımın Wireless AP?den hemen sonra RADIUS server?a düşmesidir.Bir wireless client açıldığında Wireless AP?ye erişir bu erişim link layer bir iletişimdir yani IP adreslerinden bağımsızdır.Bu bağlantı isteğini alan Wireless AP bunu RADIUS server?a iletir.İletilen bu bilginin bir parçasıda user/computer serfikasıdır.Sertifikayı denetleyen RADIUS server iletişime izin verecekse iletişim sırasında kullanılacak kriptolama anahtarlarını oluşturur ve bunlarıda  Wireless AP?e iletir.

            Görüldüğü gibi WLAN güvenliği söz konusu olduğunda Wireless AP ve RADIUS server?a önemli görevler düşmektedir.Bu ilişki göz önüne alındığında WLAN güvenliği gereken her ortamda RADIUS server bulunmalıdır.Şekil 7?deki şube network?ü için RADIUS server kurulmadığını düşünelim. Şube network?ündeki WLAN kullanıcıları genel merkez?deki RADIUS server?dan faydalanacaklardır.Ama böyle bir dizayn fazlasıyla iki network arası WAN bağlantısına dayalı çalışır.WAN bağlantısı giderse WLAN erişimide  kesilecektir.Dolayısıyla RADIUS serverlar WLAN?lara yakın yerleştirilmelidir.

WLAN güvenliğinde gelecek?

            Daha öncede bahsettiğimiz ve uzun zamandır üzerinde çalışılan 802.11i (RSN)

ile güvenlik konusunda bir adım daha ilerleyecek olan WLAN?lar için RSN?yi beklerken acil bir çözüm önerisi olarak gündeme gelen WPA/TKIP bir süre daha en iyi güvenlik protokolü olarak kalmaya devam edecek.

            RSN?nin getirdiği en önemli yenilik AES (Advanced Encryption Standard) kullanarak 256 bit kriptolama desteklemesidir.Bununla birlikte WEP ve WPA standartlarından farklı olarak tüm data frame  AES ile  kriptolanır. WEP ve WPA da ise RC4 kullanılarak sadece payload kısmı güvenliğe alınır.Ancak AES kullanımının bir bedeli var , bu da mevcut donanımın AES uyumlu olmaması. Dolayısıyla 802.11i?ye geçiş pek de kolay olmayacak.Hatta birçok PDA / Palm cihazı AES?i destekleyecek kadar işlem gücüne sahip değiller.

            Şimdilik önemli dezavantajlar gibi görünen bu sorunlara rağmen WLAN güvenliği için beklenen trend RSN olmaya devam edecek. Bununla birlikte 802.11n ile daha hızlı WLAN?lar , 802.11e ile de daha kaliteli WLAN?lara sahip olacağız.Üsteklik daha sırada  birçok 802.11 standardı var??..

Bu yazımızda güvenli bir WLAN oluşturabilmek için ne gibi bileşenlere ihtiyacımız var bunu inceledik.Bu konularla ilgili  Microsoft Security Guidance Kit veya Windows Server 2003 Resource Kit?den ve www.wi-fi.org  sitesinden daha detaylı bilgi alınabilir. Wireless Network  varsayılan olarak şirket verilerini güvenlik olmaksızın tüm ortama yayıldığı bir network tipidir. Yönettiğin network?ün bulunduğu bina yeterince güvenli olabilir ama bir WLAN?a ( Wireless Local Area Network )  sahipsen binanın yanındaki otopark?a arabasıyla parkeden izinsiz bir kullanıcı binaya girmeden kolaylıkla Wireless Network?e (WLAN) erişim sağlayabilir. Her yeni teknolojide olduğu gibi fazlasıyla bilinmeyeni olan wireless faydaları ve hiç de gözardı edilemeyecek sakıncaları  içinde barındırmaktadır. Network yöneticileri için yeni bir mücadele hacker?lar içinse yeni bir hedef ortaya çıkmıştır. Aşağıdaki Risk Yönetimi Matriksi zayıflıklar ve tehdit seviyesi değişkenlerinin derecesine göre ortaya çıkabilecek riskin büyüklüğünü belirtir. Herhangi bir Wireless Network zayıflıkları yüksek olan bir network yapısı olduğu için WLAN içeren bir network?de risk miktarı en az Medium Risk yani orta düzey risk olacaktır. Birde çalışma ortamı yüksek tehdit seviyesine sahipse bu durumda tehlike çanları çalmaya başlar.

Şekil 1 Microsoft Risk Yönetim Matriksi (Kaynak:Microsoft)

Wireless Network (WLAN) teknolojisinin faydaları açık olmakla birlikte yeni ve bir çok bilinmeyen zayıflıklarıda içermektedir.Genel olarak faydalarını iki ana başlık  altında toplayabiliriz ; temel iş ortamı faydaları ve operasyonel faydalar .İş ortamına olan faydaları iş süreçlerinin daha hızlı ve etkili olmasını sağlayarak çalışanların verimliliğini artırmak veya iş süreçlerinin işleyişini değiştirmektir.Operasyonel faydalar ise temelde maliyet azaltmaya dayalıdır. PDA?ların , Laptop PC?lerin  ve Tablet PC?lerin kullanımının giderek artmaya başladığı , iş süreçlerinde proje ve takım çalışmalarının fazlaca yapıldığı ve bu yüzden hareketliliğin yüksek olduğu ortamlar için WLAN çok önemli avantajlar sağlamaktadır.Operasyonel olarak da geçici olarak kullanılacak ve işin yapısı gereği sürekli fiziksel mekan değişikliği gereken işlerde kablolu bir ağın kurulması gerekliliği  ortadan kaldırarak maliyet ve sermaye tasarrufu sağlar.

Avantajları getirdiği riskler ile karşılaştırılınca çekiciliğini biraz yitirsede günümüzde  giderek artan oranda WLAN görmeye başladık.Bir çoğu güvenlik önlemlerinden yoksun olmakla birlikte aslında WLAN?lar için sunulan güvenlik mekanizmalarıda çok etkili olmamaktadır. Günümüz WLAN?larındaki hakim standart  IEEE 802.11 standardıdır. WLAN ?ların diğer networklerden en önemli farkı saldırıların çok daha kolay gerçekleştirilebilmesi ve çok fazla bilgi düzeyi gerektirmemesidir. 802.11 WLAN?ları için Airsnort gibi Audit programlarının kolay bulunabilmesi bir WLAN?a sızmayı haber olmaktan çıkarıyor. WLAN?lardaki en güncel güvenlik  açıklarından birkaç madde halinde  bahsedersek.

·        WLAN?da dolaşan verilerin gözetlenmesi ile kullanıcı bilgileri ,önemli şirket bilgileri ve şirket network altyapısı ile ilgili bilgi edinmeye olanak sağlar.Bu  daha sonradan tüm network?e  kapsamlı bir saldırı için kullanılabilir.

·        Saldırgan iletişimde bulunan iki uç arasında gidip gelen verileri kendisine yönlendirip  değiştirdikten sonra nihai hedefine yollayabilir.

·        Saldırgan network?de yetkileri olan birinin bilgilerini ele geçirerek kendisini sistemlere ve diğer kullanıcılara o kişiymiş gibi gösterebilir.

·        Fazla bir risk oluşturmasa da  WLAN?a sızan bir kişi burayı internete bedava çıkış noktası olarak kullanabilir.Burada sorun şirket kullanıcılarına hizmet etmesi gereken kaynakların izinsiz bir kullanıcıya hizmet etmesidir.

·        Denial of service (DoS) tipi bir saldırı saldırgana WLAN?da çok farklı opsiyonlar sunabilir. Hatta bunun için çok yüksek teknolojiye ihtiyacıda yoktur. Radyo seviyesi sinyal gönderebilen , ki bu bir microdalga fırında olabilir, bir aletle bu çok kolay gerçekleştirilebilir.Daha üst düzey saldırılar ise wireless protokollere saldırı veya WLAN?ı rasgele gereksiz trafikle dolduran saldırılar olabilir.

Bunun dışında iki küçük tehdit daha söz konusudur.

·        Wireless network kartı olan bir notebook?a sahip olan bir ziyaretçi hiç farkında olmadan ( ve hatta böyle bir amacı olmadan ) WLAN?a  otomatikman bağlanabilir. Makinasında bulunan virus , trojan veya worm?lar WLAN aracılığıyla tüm şirket network?üne yayılabilir.Bu tehdit güvenliğe alınmamış bir WLAN için sözkonusudur.

·        Şirket network?ünde WLAN yoksa veya var ama gerekli güvenlik önlemlerini alınmış ancak şirket çalışanları tarafından network?e izinsiz takılan bir Wireless Access Point (AP) seni diğer saydığımız tehditlerle karşı karşıya bırakabilir.

WLAN : ne kadar güvenli ?

            Bahsettiğimiz güvenlik sorunlarının ortaya cıkışıyla birlikte  birçok üretici ve organizasyon farklı çözüm ve öneriler geliştirmiştir.WLAN güvenliği ile ilgili çözüm önerileri temel olarak:

• WLAN teknolojisini kullanmama

• 802.11 tabanlı basit güvenlik önlemleri kullanımı

• Virtual Private Network(VPN) teknolojisi kullanımı

• Internet Protocol Security (IPSec) kullanımı

• IEEE 802.1X ,Extensible Authentication Protocol (EAP) ve WiFi encryption kullanımı

Bu sıralama basitçe en az istenebilecek çözümden en iyi çözüme doğru bir sıralama izlemektedir.Bu yazımızda en güvenli seçenek olan son seçenek üzerine yoğunlaşacağız.

IEEE 802.1X , EAP ve Dynamic Encryption Keys

            802.1X IEEE standardı olup network?e erişim için kimlik doğrulaması (Authentication ) ve ağ trafiğini korumak için anahtar yönetimi (Key Management) sağlayan bir teknolojidir. Esas olarak tüm 802 standardı LAN?lar için geliştirilmiş bir güvenlik standardıdır. 802.1X  ağ kullanıcılarını denetlemek için bir network kimlik doğrulama ve yetkilendirme (Authorization) servisi olan RADIUS?a  (Remote Access Dial-In User Service ) dayalı olarak çalışır. 802.1X EAP?ı clientlar ve network cihazları arasındaki trafiği güvenliğe alacak olan kriptolama algoritmalarına anahtar türetmek ve authentication sürecinin farklı bileşenleri arasında trafiğini yönetmek için kullanır. Wi-Fi security günümüzde iki seçenekle karşımıza çıkmaktadır. Wired Equivalent Privacy (WEP) ve Wi-Fi Protected Access (WPA).Her ikiside client-wirelessAP  arası trafiği kriptolamak için farklı metodlar kullanırlar.

            WEP  802.11 tabanlı ürünlerde bulunmaktadır ve network?e girişi kısıtlamak ve trafiği kriptolmak için  shared key (paylaşılan anahtar) diye isimlendirilen bir değer kullanır .Bu değer manuel olarak girilmelidir .En önemli dezavantajı dinamik anahtar yönetimi ( Dynamic Key Management ) olmamasıdır ve bu yüzden aynı anahtar değeri uzun süre kullanılabilir , ki bu da saldırganlara bunu açık edebilir.

            WPA , Wi-Fi Alliance tarafından gelitirilmiştir ve amacı wireless network?lerde güvenliği birleştirmek ve geliştirmektir.

            IEEE ayrıca yeni bir standart olan 802.11i  ( RSN veya Robust Security Network)  geliştirmeye başlamıştır ve bu standart WLAN güvenliğini daha da üst seviyelere taşıyacaktır.WPA uyumlu WLAN donanımları geniş çapta kullanıma başlamayana kadar Wi-Fi encryption için en iyi yöntem 128-bit WEP kriptomala ve EAP ile 802.1X kullanarak dinamik anahtar üretimi ve yönetimidir. Güncel Microsoft ürünleri WPA ve WEP desteğine sahiptir.Dinamik WEP (802.1X ve EAP) ve WPA  hem password tabanlı hemde sertifika tabanlı authentication yapabilirler.

802.1X ve EAP-TLS

EAP-TLS sertifikalar kullanarak mutual authentication (client ve radius server arası karşılıklı kimlik doğrulama) ve dynamic key generation  ( dinamik anahtar üretimi ) yapar.802.1X ile birlikte kullanıldığında WLAN?lar için en sağlam güvenlik yöntemini oluştururlar .RADIUS server ve client?larda public key sertifikaları bulunmalıdır. Şimdilerde WEP için anahtar üreten bu protokoller WPA?nın kullanılmaya başlanması ile birlikte WPA için anahtar yönetimini gerçekleştirecekler.WPA ?ya geçiş mevcut network cihazlarında bir firmware güncellemesi XP ler içinse küçük  bir update ( XP-SP1 ) ile kolaylıkla geçekleştirilebilecek..Bu tekniğin kullanılmasıyla sağlanabilecek faydalar;

• Network?de hem bilgisayar hemde kullanıcı bazında erişim kontrolü

• Kullanıcılar tarafından farkedilmez bir yapı olması .( İlave bir logon gerekmez.)

• Kullanıcıdan önce bilgisayarın network?e giriş için denetlenmesi ( İlk olarak bilgisayar bazında kimlik doğrulaması ile kullanıcı logon olmadan önce bilgisayar network?e girebilmek için bir authentication süreci geçirir.)

• Üretici bazlı bir çözüm değildir tamamen IEEE ve IETF standartlarına dayalıdır.

• Geniş bir client ve network cihazı desteğine sahiptir. ( Windows XP, Windows 2003, Windows 2000, Windows NT version 4.0, Windows 9x, and Pocket PC, ve  Wi-Fi sertifikalı network cihazları).

• Public Key Authentication?a dayalı olduğu için çok yüksek bir güvenilirliğe sahiptir ve password tabanlı yöntemler gibi password paylaşımı sorunları ile  password  tahmini gibi saldırılara karşı üstün güvenlik sağlar.

• WPA?ya uyumluğu (WPA?nın çıkışıyla birlikte kolaylıkla geçiş yapılabilecektir.)

Güvenli Wireless LAN Mimarisi

 Daha öncede bahsettiğimiz gibi wireless bir çok güvenlik zayıflığı içermektedir .Mevcut çözümlerden WEP ve 802.11 standardı güvenlik önlemleri ise bunları kısmen karşılamaktadır.Gerekli çözüm önerisi şu özellikleri içermelidir.

?  Wireless client?ların güvenilir kimlik doğrulaması. Bu çözüm Wireless  client,  wireless access point (AP) ,  ve  RADIUS server için mutual authentication (çift yönlü kimlik doğrulama) içermelidir.

?   Kim  wireless network?e erişim yetkisine sahip kim değil  bunu kontrol edecek bir authorization-access control ( yetkilendirme-erişim kontrolü ) süreci

?   Wireless network trafiği için güçlü kriptolama .

?   Kriptolama için kullanılan anahtarların (encryption keys) güvenli bir şekilde yönetimi (oluşturulması ve yenilenmesi sürecinin dinamik olması )

?   Denial of service (DoS) saldırılarından korunma.

             Network access control ( erişim kontrolü ) için IEEE 802.1X standardı , güvenli kimlik doğrulama (secure authentication) için ise EAP-TLS kullanmak bu gereksinimlerin bir bölümünü karşılıyor. En güçlü WEP?de trafik için güvenli kriptolama ( secure encryption ) sağlayacaktır, fakat zayıf bir anahtar yönetimi mekanizmasına sahip olan WEP ile  static olarak bu anahtarın wireless client?lara girilmesi gereklidir.

            Microsoft, diğer birçok üretici gibi, WEP kriptolama anahtarlarının yönetim için daha güvenli olan EAP authentication sürecini kullanan çözümler  geliştirmiştir.  WiFi Protected Access (WPA) standardı ise tüm bu özelliklere ilave olarak  anahtar yönetimi için yeni bir protocol önermektedir :Temporal Key Integrity Protocol (TKIP). Tüm bunlar  WLAN güvenliği için çok önemli gelişmeler sağlayacaktır.

WEP ve WPA tüm üreticilerin uydukları bir standarttır Microsoft  WPA?ya Microsoft Windows XP işletim sisteminden beri  destek vermektedir ancak  mevcut  wireless AP üreticilerinden birçoğu yeni yeni WPA destekli ürün piyasaya sürmektedir ve WPA yaygınlaşana kadar WEP tabanlı çözümler yaygın olarak kullanılacaklar. Tavsiye edilen Microsoft çözüm  konsepti  hem dynamic WEP hemde WPA standardına uyar.Bu yazıda  bahsedeceğimiz çözümde iki standartta da sorusuz çalışır.

Şekil 2   Tavsiye edilen çözüm  konsepti (802.1X  ve EAP-TLS authentication)

Şekilde dört bileşeninden söz edilmektedir

• Wireless client . Network kaynaklarına erişmek isteyen wireless network kartına sahip bir cihazdır. Client kendi network trafiğini kriptolayabilecek ve kullanıcı bilgilerini ve anahatarları güvenli bir şekilde depolayabilecek kapasiteye sahip olmalıdır.

• Wireless AP. Genel network terminolojisinde Network Access Service (NAS) olarak da isimlendirilir. Wireless AP network access control (erişim kontrolü ) sağlar ve  wireless trafiği kriptolar.Ayrıca network trafiğini kriptolayacak olan anahtarların wireless client ile güvenli bir şekilde değiştokuş edilmesinden de sorumludur. Son olarak da  yetkilendirme yapabilmek için  authentication and authorization service ile iletişim kurmalıdır.

• Network Authentication and Authorization Service (NAAS)  ( Network kimlik doğrulama ve yetkilendirme hizmeti ) .Geçerli kullanıcılarla ilgili bilgiyi tutar ve denetler , access policy?de yapılan ayarlara göre yetkilendirme kararlarını verir.Ayrıca client erişimi ile ilgili ilave bilgiler (accounting and audit information) tutabilir.

• İç network(Internal network). Wireless client?ların erişmek istediği kaynakların sunulduğu güvenli network

Şekil 2 deki süreci sırasıyla açıklarsak

1. Wireless client ,WLAN?a erişmeden önce bir şekilde bir merkezi otoriteden kimliğini kanıtlayacak bir belge (sertifika) temin etmiş olmalıdır.Örneğin bu bir floppy disk ile veya wireless client?ı önce  wired network?e bağlayarak yapılabilir.

2. Client network?erişmek istediğinde, kimlik bilgilerini (aslında kimlik bilgileri asla network üzerinden gönderilmez burada gönderilen bilgi bu kimliğe sahip olduğunu ispatlayabilecek bir bilgidir.) wireless AP?ye gönderir ; wireless AP bu bilgiyi yetkilendirme yapılması için NAAS?a iletir.

3. NAAS gelen bilgiyi çekeder, tanımlı access policy?e bakar , ve son olarak client isteğini kabul veya reddeder.

4. Eğer client yetkilendirilir ve erişime izin verilir ise client , wireless AP ile kriptolama anahtarlarının değiştokuşunu gerçekleştirir. (Aslında bu anahtarlar NAAS tarafından türetilir ve güvenli bir kanaldan  wireless AP?e iletilir. Wireless client  NAAS tarafından yetkilendirilmezse  erişim reddedilir ve client ile iletişim kesilir.

5. Kriptolama anahtarları kullanılarak client ve wireless AP  güvenli bir  iletişim kurarlar , Böylece bu güvenli wireless link ile hem wireless network?de hemde   iç network?de güvenlik sağlanır.

6. Client iç network?le iletişime başlar.

Bu süreci bileşenlerini ayrı ayrı gösteren şekilden de inceleyebiliriz.

Şekil 3  802.1X EAP-TLS erişim süreci  ( Kaynak:Microsoft )

Şekilde sürecin bileşenleri detaylı olarak görülmektedir. Konsept dizaynımızın NAAS olarak isimlendirdiği kavramın alt bileşenleri : Certification authority (CA), directory ve RADIUS ?dur. Herbir bileşen kendine ait basit görevler yerine getirmekle birlikte bu bileşenlerin hızlı , ölçeklendirilebilir ve güvenli biçimde işleyebilmesi için dikkat edilmesi gereken noktalar vardır. Yazımızın bundan sonraki bölümünde bu alt bileşenlerin dizaynı , uygulaması ve yönetimi üzerinde yoğunlaşacağız.

Şekil 4  Cluster A.Ş. şirketi internetwork?ü  (Cluster.com)

Hedef Organizasyon : Hedef şirketimiz çeşitli lokasyonlarda network altyapı maliyetlerini düşürmek ve personel hareketliği ve verimliliğini arttırmak amacıyla WLAN krulumu gerçekleştirmiş.IT yönetimi network güvenliği konusunda fazlasıyla bilinçliler ve kendi içinde network/sistem güvenliği departmanı oluşturulmuş ve departmanın başınada MCSE:Security sertifikalı uzman getirilmiş. Güvenlikle ilgili birçok teknolojiyi kullanılan şirkette ilerde file encryption ve güvenli e-mail uygulamasına geçilmeside düşünülüyor.

WLAN dizaynındaki IT hizmetleri aşağıdaki mantıksal gruplanırmaya dahil edilebilir.

?   WLAN Bileşenleri-Wireless client?lar ve Access Point?ler

?   RADIUS Bileşeni-IAS Server

?   PKI Bileşeni-Certification Authority

?   Network Altyapısı Bileşenleri (Infrastructure Services)

Son bileşen zaten halihazırda kurulu bulunan ve Directory ve diğer network servislerini içeren bir bileşendir.

Şekil 5 Hedef  organizasyon WLAN ?nın mantıksal bileşenleri

Main Office

            Aşağıdaki şekil şirket genel merkezinin server dağılımını göstermektedir.Sadece üst kısımda görülen üç bileşen için yeni server ve gerekli cihazlar temin edilecek.Network infrastructure yani network servisleri zaten kurulu ve işler durumda.Şirketimiz öncelikle 802.1X-destekli WLAN cihazları satın almış ve bunları network?e dahil etmiştir.

Şekil 6 Merkez ofis fiziksel network dizayn diagramı

Branch Office

Şube network?ü çok daha basit bir yapıya sahip ,tüm network servisleri (hatta RADIUS bileşenide buna dahil edilebilir) tek serverda toplanmış.Ayrıca genel merkeze ve internete bağlantı sağlayan bir Router?a sahip.

Şekil 7 Şube fiziksel network dizayn diagramı

Tüm bu dizayda kullanılacak yeni bileşenler olan RADIUS ve PKI bileşenleri ileride daha farklı alanlarda da kimlik doğrulama ihtiyaçlarına hizmet edebilirler. RADIUS , VPN ve RAS uygulamaları PKI ise EFS , güvenli e-mail ve IPSec uygulamalarında kullanılabilirler.Bu dizaynda ,örneğin şubeye RADIUS server veya DC kurulmaması düşünülebilir ancak bu durumunda WAN bağlantısı devredışı kaldığında WLAN bağlantılarıda devredışı kalır ve şubeye DC kurmadığımızda logon sürelerinde yavaşlamaya ve WAN linkinin çok kullanılmasına yol açarız

Ziyaretçiler için Wireless LAN

Bazı şirketler gelen ziyaretçiler ve iş ortakları için kimlik doğrulamasız WLAN erişimi düşünebilirler.Bunun için şirket iç network?ünden ayrı bir Virtual Local Area Network (VLAN) yaratılıp ACL?ler (Access Control List) ile bu network?ün trafiği denetlenebilir veya ziyaretçilerin kullanacağı WLAN firewall?un dışında hatta DMZ?de oluşturulabilir.

PKI dizaynı

PKI dizayn edilirken ilk adım CA hiyerarşisinin  kararlaştırılmasıdır .Tek bir CA kullanılıyorsa bir hiyerarşiden söz edilemez .En yaygın PKI dizaynı iki CA?den oluşur.Bu dizaynda CA?ler aşağıdaki gibi bir yapıya sahiptirler (Şekil 8).Root CA kendi kendisine sertifika vermiş (self signed certificate) olan bir CA?dir ve PKI yapısının en tepesinde yer alan en güvenilir.noktayı temsil eder.Şekildeki  Issuing CA ise , Root CA ?den Subordinate CA sertifikası almış ve aynı PKI yapısında RootCA?den sonra en güvenilir CA?dir.Bu hiyerarşide RootCA sadece SubCA?lere sertifika verir. Issuing CA?de kullanıcı ve bilgisayarlara sertifika dağıtımından sorumludur.Fazlasıyla güvenli olan bu yapıda tüm sertifikalar Issuing CA?den dağıtılır.Herhangi bir şekilde Issuing CA?in private key?i  (özel anahtarı) açık edilecek olursa RootCA Issuing CA?in sertifikasını revoke eder , böylece Issuing CA ve onun dağıtmış olduğu tüm sertifikalara ( ki bu yapıda tüm sertifikalar Issuing CA?den dağıtılır demiştik.) artık güvenilmez.Görüldügü gibi bu yapının bu yapının en önemli avantajı Issuing CA?nın saldırıya uğrayıp private key?inin elegeçirilmesi ile PKI yapımız kısmen tehdit altında kalır.Bu tehdit RootCA?in Issuing CA?in sertifikasını revoke etmesi ile ortadan kalkar.

Şekil 8 Hiyerarşik CA dizaynı

Peki akla şu soru gelebilir: Ya RootCA ?in private key?i ele geçirilirse ne olur ? Evet buda muhtemel ve bu durumda tüm PKI altyapımız güvenilir olmaktan çıkacaktır. Bunun çözümü hiyerarşik dizaynın kendi içerisinde mevcuttur : Offline RootCA. Kısaca RootCA SubordinateCA?lere sertifika verdikten sonra network?den sökülür ve güvenli bir yerde saklanır,böylece IssuingCA?den çok daha güvende olur.

Şekil 9 Üç seviyeli CA hierarşisi

Daha ileri güvenlik ve fonksiyonellik için hiyerarşi derinleştirilebilir.Böylece uygulama yer ve amaca göre CA?ler kurulabilir. Özellikle sertifika dağıtımının (Certificate enrollment) çok olduğu ve Public key/Private key ikilisinin  büyük olduğu (4096 bit ve üzeri ) bir durumda  böyle bir yapıya ihtiyaç duyulabilir.

Windows Server platformları iki tip CA olabilirler ; Enterprise CA ve Standalone CA . Enterprise CA Active Directory gerektirir ve CA veritabanı  Active Directory?de tutulur.Bu yüzden Offline RootCA kurmak istersen bu Enterprise CA olamaz, burada tercih Standalone CA olmalıdır. Standalone CA Active Directory?e ihtiyaç duymaz ve CA veritabanı  Registry?de tutulur.Bu yüzden Offline RootCA için Standalone CA kullanılır. WLAN dizaynımızın temel bir bileşeni olan Active Directory sayesinde Enterprise CA kullanmak bize çok önemli bazı avantajlar getirecektir. Bunlar:

·        Otomatik sertifika dağıtımı (Auto-enrollment)

·        Group Policy ile sertifika dağıtımı

·        Sertifika Şablonları (Certificate Templates)

·        Forest çapındaki tüm bilgisayar ve kullanıcılardan , RootCA ve aynı sertifika güven zincirindeki ( Certificate Chain ) tüm sertifikalara otomatik güven

WLAN güvenliğimiz için gerekli olan sertifika tipleri ve bunları kullanılacak platformlar gösterilmektedir.

Tablo-1 Sertifika gereksinimleri

RADIUS dizaynı

            RADIUS yapısı dizayn edilirken dikkat edilmesi gereken en önemli nokta WLAN güvenliği için ilk adımın Wireless AP?den hemen sonra RADIUS server?a düşmesidir.Bir wireless client açıldığında Wireless AP?ye erişir bu erişim link layer bir iletişimdir yani IP adreslerinden bağımsızdır.Bu bağlantı isteğini alan Wireless AP bunu RADIUS server?a iletir.İletilen bu bilginin bir parçasıda user/computer serfikasıdır.Sertifikayı denetleyen RADIUS server iletişime izin verecekse iletişim sırasında kullanılacak kriptolama anahtarlarını oluşturur ve bunlarıda  Wireless AP?e iletir.

            Görüldüğü gibi WLAN güvenliği söz konusu olduğunda Wireless AP ve RADIUS server?a önemli görevler düşmektedir.Bu ilişki göz önüne alındığında WLAN güvenliği gereken her ortamda RADIUS server bulunmalıdır.Şekil 7?deki şube network?ü için RADIUS server kurulmadığını düşünelim. Şube network?ündeki WLAN kullanıcıları genel merkez?deki RADIUS server?dan faydalanacaklardır.Ama böyle bir dizayn fazlasıyla iki network arası WAN bağlantısına dayalı çalışır.WAN bağlantısı giderse WLAN erişimide  kesilecektir.Dolayısıyla RADIUS serverlar WLAN?lara yakın yerleştirilmelidir.

WLAN güvenliğinde gelecek?

            Daha öncede bahsettiğimiz ve uzun zamandır üzerinde çalışılan 802.11i (RSN)

ile güvenlik konusunda bir adım daha ilerleyecek olan WLAN?lar için RSN?yi beklerken acil bir çözüm önerisi olarak gündeme gelen WPA/TKIP bir süre daha en iyi güvenlik protokolü olarak kalmaya devam edecek.

            RSN?nin getirdiği en önemli yenilik AES (Advanced Encryption Standard) kullanarak 256 bit kriptolama desteklemesidir.Bununla birlikte WEP ve WPA standartlarından farklı olarak tüm data frame  AES ile  kriptolanır. WEP ve WPA da ise RC4 kullanılarak sadece payload kısmı güvenliğe alınır.Ancak AES kullanımının bir bedeli var , bu da mevcut donanımın AES uyumlu olmaması. Dolayısıyla 802.11i?ye geçiş pek de kolay olmayacak.Hatta birçok PDA / Palm cihazı AES?i destekleyecek kadar işlem gücüne sahip değiller.

            Şimdilik önemli dezavantajlar gibi görünen bu sorunlara rağmen WLAN güvenliği için beklenen trend RSN olmaya devam edecek. Bununla birlikte 802.11n ile daha hızlı WLAN?lar , 802.11e ile de daha kaliteli WLAN?lara sahip olacağız.Üsteklik daha sırada  birçok 802.11 standardı var??..

Bu yazımızda güvenli bir WLAN oluşturabilmek için ne gibi bileşenlere ihtiyacımız var bunu inceledik.Bu konularla ilgili  Microsoft Security Guidance Kit veya Windows Server 2003 Resource Kit?den ve www.wi-fi.org  sitesinden daha detaylı bilgi alınabilir.