Kablosuz güvenlik - Wireless security

Kablosuz güvenlik , Wi-Fi ağlarını içeren kablosuz ağları kullanan bilgisayarlara veya verilere yetkisiz erişimin veya bunlara zarar verilmesinin önlenmesidir . Terim ayrıca kablosuz ağın kendisinin, ağın gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek isteyen düşmanlardan korunmasına da atıfta bulunabilir . En yaygın tür, Kabloluya Eşdeğer Gizlilik (WEP) ve Wi-Fi Korumalı Erişimi içeren Wi-Fi güvenliğidir.(WPA). WEP, 1997'den kalma eski bir IEEE 802.11 standardıdır. Çok zayıf bir güvenlik standardıdır: kullandığı parola, temel bir dizüstü bilgisayar ve yaygın olarak bulunan yazılım araçlarıyla genellikle birkaç dakika içinde kırılabilir. 2003 yılında WEP'in yerini WPA veya Wi-Fi Korumalı Erişim almıştır. WPA, WEP'e göre güvenliği artırmak için hızlı bir alternatifti. Geçerli standart WPA2'dir; bazı donanımlar, bellenim yükseltmesi veya değiştirilmesi olmadan WPA2'yi destekleyemez. WPA2, ağı 256 bitlik bir anahtarla şifreleyen bir şifreleme aygıtı kullanır; daha uzun anahtar uzunluğu, WEP'e göre güvenliği artırır. Kuruluşlar, genellikle standart 802.11X'i izleyerek bağlanan aygıtın kimliğini doğrulamak için sertifika tabanlı bir sistem kullanarak güvenliği zorunlu kılar.

Birçok dizüstü bilgisayarda önceden yüklenmiş kablosuz kartlar bulunur . Mobil iken bir ağa girme yeteneğinin büyük faydaları vardır. Ancak, kablosuz ağ bazı güvenlik sorunlarına eğilimlidir. Bilgisayar korsanları , kablosuz ağlara girmenin nispeten kolay olduğunu bulmuşlardır ve hatta kablolu ağları hacklemek için kablosuz teknolojiyi kullanırlar. Sonuç olarak, kuruluşların önemli kaynaklara yetkisiz erişime karşı koruma sağlayan etkili kablosuz güvenlik politikaları tanımlaması çok önemlidir. Kablosuz İzinsiz Giriş Önleme Sistemleri (WIPS) veya Kablosuz İzinsiz Giriş Tespit Sistemleri (WIDS), kablosuz güvenlik ilkelerini uygulamak için yaygın olarak kullanılır.

Hizmet daha popüler hale geldikçe kablosuz teknoloji kullanıcıları için riskler arttı. Kablosuz teknoloji ilk tanıtıldığında nispeten az tehlike vardı. Bilgisayar korsanlarının henüz yeni teknolojiye tutunacak zamanları olmamıştı ve kablosuz ağlar işyerinde yaygın olarak bulunmuyordu. Ancak, mevcut kablosuz protokoller ve şifreleme yöntemleri ile kullanıcı ve kurumsal BT düzeyinde var olan dikkatsizlik ve cehalet ile ilişkili birçok güvenlik riski vardır. Bilgisayar korsanlığı yöntemleri, kablosuz erişim ile çok daha sofistike ve yenilikçi hale geldi. Ayrıca, kullanımı kolay Windows veya Linux tabanlı araçların web'de ücretsiz olarak sunulmasıyla, bilgisayar korsanlığı çok daha kolay ve erişilebilir hale geldi .

Kablosuz erişim noktaları kurulu olmayan bazı kuruluşlar, kablosuz güvenlik endişelerini gidermeleri gerektiğini düşünmezler. In-Stat MDR ve META Group, 2005 yılında satın alınması planlanan tüm kurumsal dizüstü bilgisayarların %95'inin kablosuz kartlarla donatıldığını tahmin ediyor. Kablosuz bir dizüstü bilgisayar şirket ağına takıldığında, sözde kablosuz olmayan bir kuruluşta sorunlar ortaya çıkabilir. Bir bilgisayar korsanı otoparkta oturabilir ve dizüstü bilgisayarlar ve/veya diğer cihazlar aracılığıyla bilgi toplayabilir, hatta bu kablosuz kartla donatılmış dizüstü bilgisayardan içeri girip kablolu ağa erişebilir.

Arka plan

Açık, şifrelenmemiş bir kablosuz ağın coğrafi ağ aralığındaki herkes trafiği " koklayabilir " veya yakalayabilir ve kaydedebilir, dahili ağ kaynaklarına ve internete yetkisiz erişim elde edebilir ve ardından bilgi ve kaynakları yıkıcı faaliyetler gerçekleştirmek için kullanabilir. veya yasa dışı eylemler. Bu tür güvenlik ihlalleri, hem kurumsal hem de ev ağları için önemli endişeler haline geldi.

Yönlendirici güvenliği etkinleştirilmezse veya sahibi kolaylık sağlamak için devre dışı bırakırsa, ücretsiz bir erişim noktası oluşturur . 21. yüzyıl dizüstü bilgisayarlarının çoğunda yerleşik kablosuz ağ bağlantısı bulunduğundan (bkz. Intel " Centrino " teknolojisi), PCMCIA Kartı veya USB dongle gibi üçüncü taraf bir adaptöre ihtiyaçları yoktur . Yerleşik kablosuz ağ, sahibi fark etmeden varsayılan olarak etkinleştirilebilir, böylece dizüstü bilgisayarın erişilebilirliği yakındaki herhangi bir bilgisayara yayınlanır.

Linux , macOS veya Microsoft Windows gibi modern işletim sistemleri , İnternet Bağlantı Paylaşımını kullanarak bir bilgisayarı kablosuz LAN "baz istasyonu" olarak kurmayı oldukça kolaylaştırır , böylece evdeki tüm bilgisayarların "baz" üzerinden İnternet'e erişmesine izin verir. "Bilgisayar. Bununla birlikte, bu tür sistemlerin kurulumunun doğasında bulunan güvenlik sorunları hakkında kullanıcılar arasında bilgi eksikliği, genellikle yakındaki diğer kişilerin bağlantıya erişmesine izin verebilir. Bu tür "piggyback" genellikle kablosuz ağ operatörünün bilgisi olmadan gerçekleştirilir; Bilgisayarları, erişim noktası olarak kullanmak üzere yakındaki güvenli olmayan bir kablosuz ağı otomatik olarak seçerse , izinsiz giren kullanıcının bilgisi olmadan bile olabilir .

Tehdit durumu

Kablosuz güvenlik, bilgisayar güvenliğinin yalnızca bir yönüdür; ancak kuruluşlar, özellikle hileli erişim noktalarının neden olduğu güvenlik ihlallerine karşı savunmasız olabilir .

Bir çalışan (güvenilir kuruluş) bir kablosuz yönlendirici getirir ve onu güvenli olmayan bir anahtar bağlantı noktasına takarsa, tüm ağ, sinyallerin menzili içindeki herhangi birine maruz kalabilir. Benzer şekilde, bir çalışan açık bir USB bağlantı noktası kullanarak ağa bağlı bir bilgisayara kablosuz bir arabirim eklerse, ağ güvenliğinde gizli materyallere erişime izin verecek bir ihlal oluşturabilir . Ancak, hem ağı hem de içerdiği bilgileri korumak için kullanılabilen etkili karşı önlemler (anahtar yapılandırması sırasında açık anahtar bağlantı noktalarını devre dışı bırakmak ve ağ erişimini sınırlamak için VLAN yapılandırması gibi) vardır, ancak bu tür karşı önlemler tüm ağ cihazlarına eşit olarak uygulanmalıdır.

Endüstriyel (M2M) bağlamında Tehditler ve Güvenlik Açıkları

Kullanılabilirliği ve düşük maliyeti nedeniyle, kablosuz iletişim teknolojilerinin kullanımı, başlangıçta amaçlanan kullanım alanlarının ötesinde, örneğin endüstriyel uygulamalarda M2M iletişimi gibi alanlarda artmaktadır. Bu tür endüstriyel uygulamalar genellikle belirli güvenlik gereksinimlerine sahiptir. Bu nedenle, bu tür uygulamaların özelliklerini anlamak ve bu bağlamda en yüksek riski taşıyan zafiyetleri değerlendirmek önemlidir. Bu güvenlik açıklarının değerlendirilmesi ve WLAN, NFC ve ZigBee düşünüldüğünde endüstriyel bağlamda ortaya çıkan güvenlik açığı katalogları mevcuttur.

Hareketlilik avantajı

Kablosuz ağlar hem kuruluşlar hem de bireyler için çok yaygındır. Birçok dizüstü bilgisayarda önceden yüklenmiş kablosuz kartlar bulunur . Mobil iken bir ağa girme yeteneğinin büyük faydaları vardır. Ancak, kablosuz ağ bazı güvenlik sorunlarına eğilimlidir. Bilgisayar korsanları , kablosuz ağlara girmenin nispeten kolay olduğunu bulmuşlardır ve hatta kablolu ağları hacklemek için kablosuz teknolojiyi kullanırlar. Sonuç olarak, kuruluşların önemli kaynaklara yetkisiz erişime karşı koruma sağlayan etkili kablosuz güvenlik politikaları tanımlaması çok önemlidir. Kablosuz İzinsiz Giriş Önleme Sistemleri (WIPS) veya Kablosuz İzinsiz Giriş Tespit Sistemleri (WIDS), kablosuz güvenlik ilkelerini uygulamak için yaygın olarak kullanılır.

Hava arayüzü ve bağlantı bozulma riski

Kablosuz teknoloji ilk tanıtıldığında, iletişimi sürdürme çabası yüksek olduğundan ve müdahale etme çabası her zaman daha yüksek olduğundan, nispeten az tehlike vardı. Hizmet daha popüler hale geldikçe ve teknoloji daha yaygın olarak kullanılabilir hale geldikçe, kablosuz teknoloji kullanıcıları için risklerin çeşitliliği artmıştır. Günümüzde , kullanıcı ve kurumsal BT düzeyinde dikkatsizlik ve bilgisizlik mevcut olduğundan , mevcut kablosuz protokoller ve şifreleme yöntemleriyle ilişkili çok sayıda güvenlik riski bulunmaktadır. Hackleme yöntemleri kablosuz ile çok daha sofistike ve yenilikçi hale geldi.

Yetkisiz erişim modları

Bağlantılara, işlevlere ve verilere yetkisiz erişim modları, ilgili varlıkların program kodunu kullandığı kadar değişkendir. Böyle bir tehdidin tam kapsamlı bir modeli yoktur. Önleme, bir dereceye kadar, bilinen saldırı modlarına ve yöntemlerine ve uygulanan yöntemlerin bastırılması için ilgili yöntemlere dayanır. Ancak her yeni operasyon şekli, yeni tehdit seçenekleri yaratacaktır. Bu nedenle önleme, iyileştirme için sürekli bir dürtü gerektirir. Açıklanan saldırı modları, uygulanacak tipik yöntemlerin ve senaryoların yalnızca bir anlık görüntüsüdür.

tesadüfi dernek

Bir şirket ağının güvenlik çevresinin ihlali, bir dizi farklı yöntem ve amaçtan kaynaklanabilir. Bu yöntemlerden biri “kazayla ilişkilendirme” olarak adlandırılır. Bir kullanıcı bir bilgisayarı açtığında ve komşu bir şirketin çakışan ağından bir kablosuz erişim noktasına bağlandığında, kullanıcı bunun gerçekleştiğini bile bilmeyebilir. Ancak, tescilli şirket bilgilerinin açığa çıkması bir güvenlik ihlalidir ve artık bir şirketten diğerine bir bağlantı olabilir. Bu, özellikle dizüstü bilgisayar kablolu bir ağa bağlıysa geçerlidir.

Yanlışlıkla ilişkilendirme, "yanlış ilişkilendirme" olarak adlandırılan bir kablosuz güvenlik açığı durumudur. Yanlış ilişkilendirme kazara, kasıtlı olabilir (örneğin, şirket güvenlik duvarını atlamak için yapılmış olabilir) veya kablosuz istemcilerin saldırganın AP'lerine bağlanmaları için onları cezbetmek için yapılan kasıtlı girişimlerden kaynaklanabilir.

Kötü amaçlı ilişkilendirme

"Kötü amaçlı ilişkilendirmeler", kablosuz cihazların saldırganlar tarafından bir şirket erişim noktası (AP) yerine dizüstü bilgisayarları aracılığıyla bir şirket ağına bağlanmak için etkin bir şekilde oluşturulabilmesidir. Bu tür dizüstü bilgisayarlar "yumuşak AP'ler" olarak bilinir ve bir siber suçlu , kablosuz ağ kartını meşru bir erişim noktası gibi gösteren bazı yazılımları çalıştırdığında oluşturulur . Hırsız erişim sağladıktan sonra parolaları çalabilir, kablolu ağlara saldırılar düzenleyebilir veya truva atları yerleştirebilir . Kablosuz ağlar Katman 2 düzeyinde çalıştığından, ağ kimlik doğrulaması ve sanal özel ağlar (VPN'ler) gibi Katman 3 korumaları hiçbir engel oluşturmaz. Kablosuz 802.1X kimlik doğrulamaları bazı korumalara yardımcı olur ancak yine de bilgisayar korsanlığına karşı savunmasızdır. Bu tür bir saldırının arkasındaki fikir, bir VPN'ye veya diğer güvenlik önlemlerine girmek olmayabilir . Büyük olasılıkla suçlu, müşteriyi Katman 2 düzeyinde devralmaya çalışıyor.

Özel ağlar

Ad hoc ağlar bir güvenlik tehdidi oluşturabilir. Ad hoc ağlar, aralarında erişim noktası olmayan kablosuz bilgisayarlar arasındaki [eşler arası] ağlar olarak tanımlanır. Bu tür ağlar genellikle çok az korumaya sahipken, güvenliği sağlamak için şifreleme yöntemleri kullanılabilir.

Ad hoc ağ tarafından sağlanan güvenlik açığı, Ad hoc ağın kendisi değil, genellikle kurumsal ortamda diğer ağlara sağladığı köprüdür ve açıkça devre dışı bırakılmadıkça bu özelliğin açık olması için Microsoft Windows'un çoğu sürümündeki talihsiz varsayılan ayarlardır. . Bu nedenle kullanıcı, bilgisayarında güvenli olmayan bir Ad hoc ağının çalıştığını bile bilmeyebilir. Aynı zamanda kablolu veya kablosuz bir altyapı ağı da kullanıyorlarsa, güvenli olmayan Ad hoc bağlantı yoluyla güvenli kurumsal ağa bir köprü sağlıyorlar. Köprüleme iki şekildedir. Kullanıcının iki bağlantı arasında fiilen bir köprü yapılandırmasını gerektiren ve bu nedenle açıkça istenmedikçe başlatılması olası olmayan bir doğrudan köprü ve kullanıcı bilgisayarında paylaşılan kaynaklar olan bir dolaylı köprü. Dolaylı köprü, kullanıcının bilgisayarından paylaşılan klasörler veya özel Ağa Bağlı Depolama gibi LAN bağlantılarına paylaşılan özel verileri, kimliği doğrulanmış veya özel bağlantılar ve kimliği doğrulanmamış Geçici ağlar arasında hiçbir ayrım yapmadan açığa çıkarabilir. Bu, açık/genel veya güvenli olmayan wifi erişim noktalarına aşina olmayan tehditler sunmaz, ancak kötü yapılandırılmış işletim sistemleri veya yerel ayarlar durumunda güvenlik duvarı kuralları atlatılabilir.

Geleneksel olmayan ağlar

Kişisel ağ Bluetooth cihazları gibi geleneksel olmayan ağlar , bilgisayar korsanlığına karşı güvenli değildir ve bir güvenlik riski olarak kabul edilmelidir. Hatta barkod okuyucular , el PDA'lar ve kablosuz yazıcılar ve fotokopi makineleri güvence altına alınmalıdır. Bu geleneksel olmayan ağlar, dar bir şekilde dizüstü bilgisayarlara ve erişim noktalarına odaklanan BT personeli tarafından kolayca gözden kaçırılabilir.

Kimlik hırsızlığı (MAC sahtekarlığı)

Kimlik hırsızlığı (veya MAC sahtekarlığı ), bir bilgisayar korsanı ağ trafiğini dinleyebildiği ve ağ ayrıcalıklarına sahip bir bilgisayarın MAC adresini tanımlayabildiği zaman meydana gelir . Çoğu kablosuz sistem, yalnızca belirli MAC kimliklerine sahip yetkili bilgisayarların ağa erişmesine ve ağa erişmesine izin vermek için bir tür MAC filtrelemesine izin verir. Ancak, ağ “ sniffing ” yeteneklerine sahip programlar mevcuttur . Bu programları, bir bilgisayarın, bilgisayar korsanının istediği herhangi bir MAC adresi varmış gibi yapmasına izin veren diğer yazılımlarla birleştirin ve bilgisayar korsanı bu engeli kolayca aşabilir.

MAC filtreleme yalnızca küçük konut (SOHO) ağları için etkilidir, çünkü yalnızca kablosuz cihaz "kablosuz" olduğunda koruma sağlar. "Yayındaki" herhangi bir 802.11 cihazı, şifrelenmemiş MAC adresini 802.11 başlıklarında serbestçe iletir ve bunu algılamak için özel bir ekipman veya yazılım gerektirmez. 802.11 alıcısı (dizüstü bilgisayar ve kablosuz adaptör) ve ücretsiz bir kablosuz paket çözümleyicisi olan herkes, menzil içindeki herhangi bir 802.11 ileticisinin MAC adresini alabilir. Çoğu kablosuz aygıtın aktif çalışma vardiyası boyunca "canlı" olduğu bir organizasyon ortamında, MAC filtreleme, organizasyonel altyapıya yalnızca "rastgele" veya istenmeyen bağlantıları engellediği ve bir yönlendirilmiş saldırı.

Ortadaki adam saldırıları

Bir adam-in-the-middle saldırganın yumuşak AP (olarak ayarlanmış bir bilgisayara giriş yapan bilgisayarları entices Erişim Noktası ). Bu yapıldıktan sonra, bilgisayar korsanı, şeffaf bilgisayar korsanlığı bilgisayarı üzerinden gerçek ağa sabit bir trafik akışı sunan başka bir kablosuz kart aracılığıyla gerçek bir erişim noktasına bağlanır. Bilgisayar korsanı daha sonra trafiği koklayabilir. Ortadaki adam saldırısının bir türü, bir "kimlik doğrulamasını kaldırma saldırısı" yürütmek için meydan okuma ve el sıkışma protokollerindeki güvenlik hatalarına dayanır. Bu saldırı, AP'ye bağlı bilgisayarları bağlantılarını kesmeye ve bilgisayar korsanının yumuşak AP'sine yeniden bağlanmaya zorlar (kullanıcıyı modemle bağlantısını keserek, olayın kaydından çıkarılabilecek parolalarını kullanarak yeniden bağlanmaları gerekir). Ortadaki adam saldırıları , sürecin birden çok adımını otomatikleştiren LANjack ve AirJack gibi yazılımlar tarafından geliştirilmiştir , yani bir zamanlar biraz beceri gerektiren şeyler artık komut dosyası çocukları tarafından yapılabilir . Hotspot'lar , bu ağlarda çok az güvenlik olduğundan veya hiç güvenlik olmadığından herhangi bir saldırıya karşı özellikle savunmasızdır.

hizmet reddi

Bir Reddi Servis saldırısı saldırganın sürekli bombardıman düzenleyen bir AP (hedeflenen zaman (DoS) oluşur Erişim Noktası sahte istekleri, prematüre başarılı bağlantı mesajları, hata mesajları ve / veya diğer komutlarla) veya ağ. Bunlar yasal kullanıcıların ağa girememesine ve hatta ağın çökmesine neden olabilir. Bu saldırılar, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) gibi protokollerin kötüye kullanılmasına dayanır .

DoS saldırısı, ağın kesintiye uğraması veri akışını engellediği ve aslında dolaylı olarak verinin iletilmesini önleyerek koruduğu için, kurumsal verileri kötü niyetli bir saldırgana ifşa etmek için çok az şey yapar. Bir DoS saldırısı gerçekleştirmenin genel nedeni, kablosuz ağın kurtarılmasını gözlemlemek, bu sırada tüm ilk el sıkışma kodlarının tüm cihazlar tarafından yeniden iletilmesi, kötü niyetli saldırganın bu kodları kaydetmesi ve çeşitli kırma araçlarını kullanması için bir fırsat sağlar. güvenlik zayıflıklarını analiz etmek ve sisteme yetkisiz erişim elde etmek için bunları kullanmak. Bu, ağ kurtarma sırasında yakalanan "model" güvenlik anahtarına dayalı olarak "muhtemelen kabul edilen" güvenlik anahtarlarına sözlük tarzı bir saldırı başlatabilen bir dizi aracın bulunduğu WEP gibi zayıf şifreli sistemlerde en iyi sonucu verir.

Ağ enjeksiyonu

Bir ağ enjeksiyon saldırısında, bir bilgisayar korsanı, özellikle “ Spanning Tree ” (802.1D), OSPF , RIP ve HSRP gibi ağ trafiğini yayınlayan, filtrelenmemiş ağ trafiğine maruz kalan erişim noktalarından yararlanabilir . Bilgisayar korsanı, yönlendiricileri, anahtarları ve akıllı hub'ları etkileyen sahte ağ yeniden yapılandırma komutları enjekte eder. Bütün bir ağ bu şekilde çökebilir ve tüm akıllı ağ cihazlarının yeniden başlatılmasını ve hatta yeniden programlanmasını gerektirebilir.

Kafe Latte saldırısı

Caffe Latte saldırısı, WEP'i yenmenin başka bir yoludur. Saldırganın bu istismarı kullanan ağ alanında olması gerekli değildir . Windows kablosuz yığınını hedefleyen bir işlem kullanarak , uzak bir istemciden WEP anahtarını almak mümkündür . Saldırgan, bir dizi şifrelenmiş ARP isteği göndererek , 802.11 WEP'deki paylaşılan anahtar kimlik doğrulamasından ve mesaj değişikliği kusurlarından yararlanır . Saldırgan, WEP anahtarını 6 dakikadan daha kısa sürede elde etmek için ARP yanıtlarını kullanır.

Kablosuz izinsiz giriş önleme kavramları

Bir kablosuz ağı güvenli hale getirmenin üç temel yolu vardır.

• Kapalı ağlar için (ev kullanıcıları ve kuruluşlar gibi) en yaygın yol, erişim noktalarındaki erişim kısıtlamalarını yapılandırmaktır . Bu kısıtlamalar, şifrelemeyi ve MAC adresi üzerindeki kontrolleri içerebilir . Bu ağ modelinde kablosuz LAN güvenliğini sağlamak için Kablosuz Saldırı Önleme Sistemleri kullanılabilir.
• Ticari sağlayıcılar, erişim noktaları ve büyük kuruluşlar için tercih edilen çözüm, genellikle açık ve şifrelenmemiş, ancak tamamen yalıtılmış bir kablosuz ağa sahip olmaktır. Kullanıcıların ilk başta internete veya herhangi bir yerel ağ kaynağına erişimi olmayacaktır. Ticari sağlayıcılar genellikle tüm web trafiğini ödeme ve/veya yetkilendirme sağlayan sabit bir portala iletir . Başka bir çözüm, kullanıcıların VPN kullanarak ayrıcalıklı bir ağa güvenli bir şekilde bağlanmasını istemektir .
• Kablosuz ağlar, kablolu ağlardan daha az güvenlidir; birçok ofiste izinsiz giriş yapanlar, kendi bilgisayarlarını sorunsuz bir şekilde ziyaret edebilir ve kablolu ağa bağlayabilir, ağa erişim elde edebilir ve ayrıca uzak davetsiz misafirlerin Back Orifice gibi arka kapılar aracılığıyla ağa erişmesi de sıklıkla mümkündür . Genel bir çözüm, halka açık olmaması gereken tüm kaynaklar üzerinde bağımsız kimlik doğrulama ile uçtan uca şifreleme olabilir.

Kablosuz iletişimin hileli kullanımını önlemek veya kablosuz iletişim kuran bilgisayarlar ve diğer varlıklar ile veri ve işlevleri korumak için tasarlanmış hazır bir sistem yoktur. Ancak alınan tedbirleri bir bütün olarak ortak bir anlayışa göre niteleyen bir sistem vardır. Yeterlilik sistemi, ISO/IEC 15408'de belirtildiği gibi uluslararası bir fikir birliğidir .

Kablosuz saldırı önleme sistemi

Bir Kablosuz Saldırı Önleme Sistemi (WIPS) kablosuz güvenlik risklerini ortadan kaldırmak için en sağlam yolu bir kavramdır. Ancak böyle bir WIPS, bir yazılım paketi olarak uygulanmak üzere hazır tasarlanmış bir çözüm olarak mevcut değildir. Bir WIPS, bir kuruluş içinde kablosuz olmayan ilkeleri uygulamak için bağımsız olarak konuşlandırılabilmesine rağmen , tipik olarak mevcut bir Kablosuz LAN altyapısına bir bindirme olarak uygulanır . WIPS, kablosuz güvenlik için o kadar önemli kabul ediliyor ki, Temmuz 2009'da Payment Card Industry Security Standards Council , PCI DSS için kablosuz tarama ve büyük kuruluşlar için korumayı otomatikleştirmek için WIPS kullanılmasını öneren kablosuz yönergeler yayınladı .

Güvenlik önlemleri

Değişken etkinlik ve pratikliğe sahip bir dizi kablosuz güvenlik önlemi vardır.

SSID gizleme

Bir kablosuz ağı güvenli hale getirmeye çalışmanın basit ama etkisiz bir yöntemi, SSID'yi (Hizmet Kümesi Tanımlayıcısı) gizlemektir . Bu, en sıradan izinsiz giriş çabalarından başka hiçbir şeye karşı çok az koruma sağlar.

MAC kimliği filtreleme

En basit tekniklerden biri, yalnızca bilinen, önceden onaylanmış MAC adreslerinden erişime izin vermektir . Çoğu kablosuz erişim noktası, bir tür MAC ID filtrelemesi içerir. Ancak, bir saldırgan, yetkili bir istemcinin MAC adresini kolayca koklayabilir ve bu adresi taklit edebilir .

Statik IP adresleme

Tipik kablosuz erişim noktaları , istemcilere DHCP aracılığıyla IP adresleri sağlar . İstemcilerin kendi adreslerini ayarlamasını istemek, sıradan veya bilgisiz bir davetsiz misafirin ağda oturum açmasını zorlaştırır, ancak karmaşık bir saldırgana karşı çok az koruma sağlar.

802.11 güvenliği

IEEE 802.1X, bir Kablosuz LAN'a bağlanmak isteyen cihazlar için IEEE Standardı kimlik doğrulama mekanizmalarıdır.

Normal WEP

Kabloluya Eşdeğer Gizlilik (WEP) şifreleme standardı, kablosuz için orijinal şifreleme standardıydı, ancak 2004'ten bu yana WPA2 onayı ile IEEE, bunun "kullanımdan kaldırıldığını" ilan etti ve çoğu zaman desteklenirken, modern ekipmanda nadiren veya asla varsayılan değildir.

Güvenliğiyle ilgili endişeler 2001 yılında, FBI tarafından 2005 yılında çarpıcı bir şekilde ortaya konmuştu , ancak 2007'de TJ Maxx , kısmen WEP'e güvenmesi nedeniyle büyük bir güvenlik ihlali olduğunu kabul etti ve Ödeme Kartı Endüstrisi , kullanımını yasaklamak için 2008'e kadar sürdü – ve hatta daha sonra mevcut kullanımın Haziran 2010'a kadar devam etmesine izin verdi.

WPAv1

Wi-Fi Korumalı Erişim (WPA ve WPA2) güvenlik protokolleri sonra WEP ile sorunları çözmek için oluşturulmuştur. Sözlük sözcüğü veya kısa karakter dizisi gibi zayıf bir parola kullanılırsa, WPA ve WPA2 kırılabilir. Yeterince uzun bir rastgele parola (örneğin 14 rastgele harf) veya parola (örneğin rastgele seçilmiş 5 sözcük ) kullanmak, önceden paylaşılan WPA anahtarını neredeyse kırılmaz hale getirir . WPA güvenlik protokolünün (WPA2) ikinci nesli , 802.11 standardındaki son IEEE 802.11i değişikliğini temel alır ve FIPS 140-2 uyumluluğu için uygundur. Tüm bu şifreleme şemalarıyla, ağdaki anahtarları bilen herhangi bir istemci tüm trafiği okuyabilir.

Wi-Fi Korumalı Erişim (WPA), WEP'e göre bir yazılım/ürün yazılımı geliştirmesidir. WEP ile çalışan tüm normal WLAN ekipmanları basitçe yükseltilebilir ve yeni ekipman satın alınması gerekmez. WPA, WEP'in yerini almak üzere IEEE 802.11 tarafından geliştirilen 802.11i güvenlik standardının kısaltılmış bir sürümüdür . TKIP WPA olarak yarıştığı olabilir WEP iyileştirmeler sağlamak için şifreleme algoritması geliştirildi firmware 802.11 aygıtları varolan yükseltmeleri. WPA profili ayrıca 802.11i ve WPA2'de tercih edilen algoritma olan AES-CCMP algoritması için isteğe bağlı destek sağlar .

WPA Enterprise, 802.1X kullanarak RADIUS tabanlı kimlik doğrulama sağlar . WPA Kişisel, 8 ila 63 karakterlik bir parola kullanarak güvenliği sağlamak için önceden paylaşılan bir Paylaşılan Anahtar ( PSK ) kullanır. PSK, 64 karakterlik onaltılık bir dize olarak da girilebilir. Zayıf PSK parolaları, istemci kimliği doğrulandıktan sonra yeniden bağlandığında mesajları dört yönlü değiş tokuşta yakalayarak çevrimdışı sözlük saldırıları kullanılarak kırılabilir. Aircrack-ng gibi kablosuz süitler , bir dakikadan daha kısa sürede zayıf bir parolayı kırabilir. Diğer WEP/WPA krakerleri AirSnort ve Auditor Security Collection'dır . Yine de WPA Personal, 'iyi' parolalarla veya tam 64 karakterli onaltılık anahtarla kullanıldığında güvenlidir.

Bununla birlikte, Erik Tews'in (WEP'e karşı parçalanma saldırısını yaratan adam) Kasım 2008'de Tokyo'nun PacSec güvenlik konferansında WPA TKIP uygulamasını kırmanın bir yolunu ortaya çıkaracağı ve 12 ile 12 arasında bir paketteki şifrelemeyi kıracağı bilgisi vardı. -15 dakika. Yine de, bu 'çatlak'ın duyurulması medya tarafından biraz abartıldı, çünkü Ağustos 2009 itibariyle, WPA'ya yönelik en iyi saldırı (Beck-Tews saldırısı) yalnızca kısa veri paketleri üzerinde çalıştığı için kısmen başarılı oldu. WPA anahtarının şifresini çözemez ve çalışması için çok özel WPA uygulamaları gerektirir.

WPAv1'e eklemeler

WPAv1, TKIP, ek olarak -WIDS ve EAP yanında eklenebilir. Ayrıca, VPN ağları (sürekli olmayan güvenli ağ bağlantıları) 802.11 standardı altında kurulabilir. VPN uygulamaları PPTP , L2TP , IPsec ve SSH'yi içerir . Ancak bu ekstra güvenlik katmanı, PPTP için Anger, Deceit ve Ettercap gibi araçlarla da kırılabilir ; ve IPsec bağlantıları için ike-scan , IKEProbe , ipsectrace ve IKEcrack .

TKIP

Bu, Geçici Anahtar Bütünlüğü Protokolü anlamına gelir ve kısaltma, tee-kip olarak telaffuz edilir. Bu, IEEE 802.11i standardının bir parçasıdır. TKIP, bir yeniden anahtarlama sistemi ile paket başına anahtar karıştırma uygular ve ayrıca bir mesaj bütünlüğü denetimi sağlar. Bunlar WEP'in sorunlarından kaçınır.

EAP

IEEE 802.1X standardı üzerindeki WPA iyileştirmesi , kablosuz ve kablolu LAN'lara erişim için kimlik doğrulama ve yetkilendirmeyi zaten iyileştirdi . Buna ek olarak, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) gibi ekstra önlemler, daha da fazla miktarda güvenlik başlattı. Bu, EAP merkezi bir kimlik doğrulama sunucusu kullandığından. Ne yazık ki, 2002 yılında bir Maryland profesörü bazı eksiklikler keşfetti. Önümüzdeki birkaç yıl içinde bu eksiklikler TLS ve diğer geliştirmeler kullanılarak giderildi. EAP'nin bu yeni sürümü artık Genişletilmiş EAP olarak adlandırılmaktadır ve çeşitli sürümlerde mevcuttur; bunlar şunları içerir: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 ve EAP-SIM.

EAP sürümleri

EAP sürümleri LEAP, PEAP ve diğer EAP'leri içerir.

SIÇRAMAK

Bu, Hafif Genişletilebilir Kimlik Doğrulama Protokolü anlamına gelir. Bu protokol 802.1X'e dayanır ve WEP ve gelişmiş bir anahtar yönetim sistemi kullanarak orijinal güvenlik kusurlarını en aza indirmeye yardımcı olur. Bu EAP sürümü, EAP-MD5'ten daha güvenlidir. Bu ayrıca MAC adresi kimlik doğrulamasını kullanır. LEAP güvenli değil; THC-LeapCracker , Cisco'nun LEAP sürümünü kırmak için kullanılabilir ve sözlük saldırısı şeklinde bir erişim noktasına bağlı bilgisayarlara karşı kullanılabilir . Anwrap ve asleap nihayet LEAP'i kırabilen diğer krakerler.

PEAP

Bu, Korumalı Genişletilebilir Kimlik Doğrulama Protokolü anlamına gelir. Bu protokol, bir sertifika sunucusuna ihtiyaç duymadan verilerin, parolaların ve şifreleme anahtarlarının güvenli bir şekilde taşınmasına izin verir. Bu, Cisco, Microsoft ve RSA Security tarafından geliştirilmiştir .

Diğer EAP'ler EAP çerçevesine dayalı başka Genişletilebilir Kimlik Doğrulama Protokolü uygulamaları vardır. Oluşturulan çerçeve, gelecekteki kimlik doğrulama yöntemlerinin yanı sıra mevcut EAP türlerini de destekler. EAP-TLS, karşılıklı kimlik doğrulaması nedeniyle çok iyi koruma sağlar. Hem istemci hem de ağ, sertifikalar ve oturum başına WEP anahtarları kullanılarak doğrulanır. EAP-FAST ayrıca iyi koruma sağlar. EAP-TTLS, Certicom ve Funk Software tarafından yapılan başka bir alternatiftir. Kullanıcılara sertifika dağıtmaya gerek olmadığı için daha uygundur, ancak EAP-TLS'den biraz daha az koruma sunar.

Kısıtlı erişim ağları

Çözümler , hem kablolu hem de kablosuz ağlarda güvenliği artırmayı vaat eden daha yeni bir kimlik doğrulama sistemi olan IEEE 802.1X'i içerir . Bunun gibi teknolojileri içeren kablosuz erişim noktalarında genellikle yerleşik yönlendiriciler bulunur ve böylece kablosuz ağ geçitleri haline gelir .

Uçtan uca şifreleme

Bir ikisi iddia edebilir katman 2 ve katman 3 şifreleme yöntemleri şifreleri ve kişisel e-postalar gibi değerli verilerin korunması için yeterince iyi değildir. Bu teknolojiler, yalnızca iletişim yolunun bazı bölümlerine şifreleme ekler ve yine de insanların kablolu ağa bir şekilde erişim sağladıkları takdirde trafiği gözetlemelerine izin verir. Çözüm, SSL , SSH , GnuPG , PGP ve benzeri teknolojileri kullanarak uygulama katmanında şifreleme ve yetkilendirme olabilir .

Uçtan uca yöntemin dezavantajı, tüm trafiği kapsayamamasıdır. Yönlendirici düzeyinde veya VPN'de şifreleme ile tek bir anahtar, UDP ve DNS aramaları dahil tüm trafiği şifreler. Öte yandan, uçtan uca şifrelemede, güvenliği sağlanacak her hizmetin şifrelemesinin "açık" olması ve çoğu zaman her bağlantının ayrı ayrı "açılması" gerekir. E-posta göndermek için her alıcı şifreleme yöntemini desteklemeli ve anahtarları doğru şekilde değiştirmelidir. Web için, tüm web siteleri https sunmaz ve yapsalar bile tarayıcı IP adreslerini düz metin olarak gönderir.

En değerli kaynak genellikle internete erişimdir. Bu tür bir erişimi kısıtlamak isteyen bir ofis LAN sahibi, her kullanıcının yönlendirici için kimliğini doğrulamasını sağlamak gibi önemsiz bir zorlama göreviyle karşı karşıya kalacaktır.

802.11i güvenliği

Bugün WLAN'lara uygulanacak en yeni ve en sıkı güvenlik 802.11i RSN standardıdır. Ancak (WPAv2 kullanan) bu tam teşekküllü 802.11i standardı (WPAv1'den farklı olarak) en yeni donanımı gerektirir ve bu nedenle potansiyel olarak yeni ekipman satın alınmasını gerektirir. Gereken bu yeni donanım, AES-WRAP (802.11i'nin erken bir sürümü) veya daha yeni ve daha iyi AES-CCMP ekipmanı olabilir. 2 donanım standardı uyumlu olmadığından, WRAP veya CCMP ekipmanına ihtiyaç duyulduğundan emin olunmalıdır.

WPAv2

WPA2 , son 802.11i standardının WiFi Alliance markalı bir versiyonudur. WPA üzerindeki birincil geliştirme, AES-CCMP algoritmasının zorunlu bir özellik olarak dahil edilmesidir . Hem WPA hem de WPA2, RADIUS sunucularını ve ön paylaşımlı anahtarı (PSK) kullanan EAP kimlik doğrulama yöntemlerini destekler.

WEP'teki güvenlik açıkları nedeniyle WPA ve WPA2 ağlarının sayısı artarken, WEP ağlarının sayısı azalmaktadır.

WPA2'nin Hole196 adlı en az bir güvenlik açığına sahip olduğu bulundu. Güvenlik açığı aynı tüm kullanıcıları arasında paylaşılan bir anahtardır WPA2 Grubu Temporal Key (GTK) kullanır BSSID aynı diğer kullanıcıları üzerinde fırlatma saldırılara, BSSID . Adını, güvenlik açığının tartışıldığı IEEE 802.11i belirtiminin 196. sayfasından almıştır. Bu istismarın gerçekleştirilebilmesi için GTK'nın saldırgan tarafından bilinmesi gerekir.

WPAv2'ye eklemeler

802.1X'in aksine 802.11i, TKIP gibi ek güvenlik hizmetlerinin çoğuna zaten sahiptir. WPAv1'de olduğu gibi, WPAv2 de EAP ve bir WIDS ile işbirliği içinde çalışabilir .

WAPI

Bu, WLAN Kimlik Doğrulaması ve Gizlilik Altyapısı anlamına gelir. Bu, Çin hükümeti tarafından tanımlanan bir kablosuz güvenlik standardıdır .

Akıllı kartlar, USB belirteçleri ve yazılım belirteçleri

Güvenlik belirteci kullanımı, yalnızca gerekli simgeye sahip olan yetkili kullanıcılara dayanan bir kimlik doğrulama yöntemidir. Akıllı kartlar , kimlik doğrulama için yerleşik bir entegre devre çipi kullanan ve kart okuyucu gerektiren kartlardaki fiziksel belirteçlerdir. USB Belirteçleri, kullanıcının kimliğini doğrulamak için USB bağlantı noktası üzerinden bağlanan fiziksel belirteçlerdir.

RF koruma

Bazı durumlarda, sinyallerin tesisin dışına yayılmasını önleyen kablosuz sinyalleri önemli ölçüde azaltmak için bir odaya veya binaya özel duvar boyası ve cam filmi uygulamak pratiktir. Bu, kablosuz güvenliği önemli ölçüde artırabilir, çünkü bilgisayar korsanlarının otopark gibi bir tesisin kontrol edilen alanının ötesindeki sinyalleri alması zordur.

Hizmet reddi savunması

Çoğu DoS saldırısını tespit etmek kolaydır. Bununla birlikte, birçoğu tespit edildikten sonra bile durdurulması zordur. İşte bir DoS saldırısını durdurmanın en yaygın yollarından üçü.

kara delik

Kara delik, bir DoS saldırısını durdurmanın olası bir yoludur. Bu, bir saldırgandan tüm IP paketlerini bıraktığımız bir durumdur. Bu çok iyi bir uzun vadeli strateji değil çünkü saldırganlar kaynak adreslerini çok hızlı bir şekilde değiştirebilirler.

Bunun otomatik olarak yapılması durumunda olumsuz etkileri olabilir. Bir saldırgan, kurumsal bir ortağın IP adresiyle bilerek saldırı paketlerini taklit edebilir. Otomatik savunmalar, bu ortaktan gelen meşru trafiği engelleyebilir ve ek sorunlara neden olabilir.

El sıkışmayı doğrulama

El sıkışmanın doğrulanması, yanlış açılışlar oluşturmayı ve gönderen onaylayana kadar kaynakları bir kenara koymamayı içerir. Bazı güvenlik duvarları, TCP el sıkışmasını önceden doğrulayarak SYN taşmalarını giderir. Bu, yanlış açılışlar yaratılarak yapılır. Bir SYN segmenti geldiğinde, güvenlik duvarı, SYN segmentini hedef sunucuya geçirmeden bir SYN/ACK segmentini geri gönderir.

Yalnızca güvenlik duvarı, yalnızca meşru bir bağlantıda gerçekleşecek olan bir ACK'yi geri aldığında, güvenlik duvarı orijinal SYN segmentini başlangıçta amaçlandığı sunucuya gönderir. Güvenlik duvarı, bir SYN segmenti geldiğinde bağlantı için kaynak ayırmaz, bu nedenle çok sayıda yanlış SYN segmentini işlemek yalnızca küçük bir yüktür.

Hız sınırlaması

Hız sınırlaması, belirli bir trafik türünü makul bir şekilde ele alınabilecek bir miktara indirmek için kullanılabilir. Dahili ağa yayın yine kullanılabilir, ancak örneğin yalnızca sınırlı bir oranda. Bu, daha ince DoS saldırıları içindir. Bu, bir saldırı tek bir sunucuya yönelikse iyidir, çünkü iletim hatlarını en azından kısmen diğer iletişimlere açık tutar.

Hız sınırlaması hem saldırganı hem de meşru kullanıcıları hayal kırıklığına uğratır. Bu yardımcı olur, ancak sorunu tam olarak çözmez. DoS trafiği internete giden erişim hattını tıkadığında, duruma yardımcı olmak için bir sınır güvenlik duvarının yapabileceği hiçbir şey yoktur. Çoğu DoS saldırısı, yalnızca ISS'lerin ve bilgisayarları bot olarak ele geçirilen ve diğer firmalara saldırmak için kullanılan kuruluşların yardımıyla durdurulabilen topluluğun sorunlarıdır.

Mobil cihazlar

802.1X arayüzlü mobil cihazların sayısı arttıkça, bu tür mobil cihazların güvenliği bir endişe kaynağı haline geliyor. Kısmet gibi açık standartlar dizüstü bilgisayarların güvenliğini sağlamaya yönelik olsa da, erişim noktası çözümleri mobil cihazları da kapsayacak şekilde genişletilmelidir. 802.1X arayüzlü cep telefonları ve PDA'lar için ana bilgisayar tabanlı çözümler .

Mobil cihazlarda güvenlik üç kategoriye ayrılır:

1. Ad hoc ağlara karşı koruma
2. Hileli erişim noktalarına bağlanma
3. Yukarıda açıklandığı gibi WPA2 gibi karşılıklı kimlik doğrulama şemaları

Kablosuz IPS çözümleri artık mobil cihazlar için kablosuz güvenlik sunuyor.

Mobil hasta izleme cihazları sağlık sektörünün ayrılmaz bir parçası haline geliyor ve bu cihazlar sonunda uzak bölgelerde bulunan hastalar için sağlık kontrollerine erişmek ve bunları uygulamak için tercih edilen yöntem haline gelecek. Bu tür hasta izleme sistemleri için güvenlik ve güvenilirlik kritik öneme sahiptir, çünkü bunlar hastaların durumunu etkileyebilir ve tehlikeye girerse tıp uzmanlarını hastanın durumu hakkında karanlıkta bırakabilir.

Ağ şifrelemesini uygulama

802.11i'yi uygulamak için, öncelikle hem yönlendirici/erişim noktasının/noktalarının hem de tüm istemci cihazlarının ağ şifrelemesini destekleyecek şekilde donatıldığından emin olunmalıdır. Bu yapılırsa RADIUS , ADS, NDS veya LDAP gibi bir sunucunun entegre edilmesi gerekir. Bu sunucu yerel ağdaki bir bilgisayar, entegre kimlik doğrulama sunucusuna sahip bir erişim noktası/yönlendirici veya uzak bir sunucu olabilir. Entegre kimlik doğrulama sunucularına sahip AP'ler/yönlendiriciler genellikle çok pahalıdır ve özellikle etkin noktalar gibi ticari kullanım için bir seçenektir . İnternet üzerinden barındırılan 802.1X sunucuları aylık bir ücret gerektirir; özel bir sunucu çalıştırmak ücretsizdir ancak bir kişinin onu kurması ve sunucunun sürekli olarak açık olması gibi bir dezavantajı vardır.

Sunucu kurmak için sunucu ve istemci yazılımının kurulu olması gerekir. Gerekli sunucu yazılımı , RADIUS, ADS, NDS veya LDAP gibi bir kurumsal kimlik doğrulama sunucusudur . Gerekli yazılımlar Microsoft, Cisco, Funk Software, Meetinghouse Data gibi çeşitli tedarikçilerden ve bazı açık kaynaklı projelerden seçilebilir. Yazılım şunları içerir:

• Aradiyal RADIUS Sunucusu
• Cisco Güvenli Erişim Kontrol Yazılımı
• freeRADIUS (açık kaynak)
• Funk Software Çelik Kuşaklı RADIUS (Odyssey)
• Microsoft İnternet Kimlik Doğrulama Hizmeti
• Toplantı Evi Verileri EAGIS
• SkyFriendz (freeRADIUS tabanlı ücretsiz bulut çözümü)

İstemci yazılımı Windows XP ile birlikte gelir ve aşağıdaki yazılımlardan herhangi biri kullanılarak diğer işletim sistemlerine entegre edilebilir:

• AEGIS-istemcisi
• Cisco ACU-istemcisi
• Intel PROSet/Kablosuz Yazılımı
• Odyssey istemcisi
• Xsupplicant ( open1X ) projesi

YARIÇAP

Kullanıcı Hizmetinde Uzaktan Kimlik Doğrulama Araması (RADIUS), uzaktan ağ erişimi için kullanılan bir AAA (kimlik doğrulama, yetkilendirme ve hesap oluşturma) protokolüdür . 1991'de geliştirilen RADIUS, orijinal olarak özeldi ancak daha sonra 1997'de ISOC belgeleri RFC 2138 ve RFC 2139 altında yayınlandı. Buradaki fikir, önceden belirlenmiş bir kullanıcı adı ve parola aracılığıyla kimlikleri doğrulayarak bir iç sunucunun bir ağ geçidi bekçisi olarak hareket etmesini sağlamaktır. Kullanıcı. Bir RADIUS sunucusu, kullanıcı ilkelerini ve kısıtlamalarını uygulamak ve ayrıca faturalandırma gibi amaçlar için bağlantı süresi gibi muhasebe bilgilerini kaydetmek üzere de yapılandırılabilir.

Açık erişim noktaları

Bugün, birçok kentsel alanda neredeyse tam kablosuz ağ kapsama alanı var - kablosuz topluluk ağının altyapısı (bazılarının internetin geleceği olarak gördüğü) zaten mevcut. Düğümler halka açık olsaydı, etrafta dolaşabilir ve her zaman İnternet'e bağlanabilir, ancak güvenlik endişeleri nedeniyle çoğu düğüm şifrelenir ve kullanıcılar şifrelemeyi nasıl devre dışı bırakacağını bilmez. Birçok kişi, erişim noktalarını halka açık bırakarak İnternet'e ücretsiz erişime izin vermeyi uygun görgü kuralları olarak görmektedir. Diğerleri, varsayılan şifrelemenin, bir ev DSL yönlendiricisinde bile önemli olabileceğinden korktukları açık erişimin tehlikelerine karşı küçük rahatsızlıklarda önemli koruma sağladığını düşünüyor.

Erişim noktalarının yoğunluğu bir sorun bile olabilir – sınırlı sayıda mevcut kanal vardır ve bunlar kısmen örtüşür. Her kanal birden fazla ağı yönetebilir, ancak çok sayıda özel kablosuz ağ bulunan yerlerde (örneğin apartman kompleksleri), sınırlı sayıda Wi-Fi radyo kanalı yavaşlamaya ve diğer sorunlara neden olabilir.

Açık Erişim Noktalarının savunucularına göre, kablosuz ağları halka açmak önemli riskler içermemelidir:

• Kablosuz ağ sonuçta küçük bir coğrafi alanla sınırlıdır. İnternete bağlı ve uygun olmayan yapılandırmalara veya diğer güvenlik sorunlarına sahip bir bilgisayar dünyanın herhangi bir yerinden herkes tarafından kullanılabilirken, yalnızca küçük bir coğrafi aralıktaki istemciler açık bir kablosuz erişim noktasından yararlanabilir. Bu nedenle, açık bir kablosuz erişim noktası ile risk düşüktür ve açık bir kablosuz ağa sahip olmanın riskleri küçüktür. Ancak, açık bir kablosuz yönlendiricinin, genellikle dosya paylaşımlarına ve yazıcılara erişim de dahil olmak üzere yerel ağa erişim sağlayacağının farkında olunmalıdır.
• İletişimi gerçekten güvenli tutmanın tek yolu, uçtan uca şifreleme kullanmaktır . Örneğin, bir internet bankasına erişirken, neredeyse her zaman web tarayıcısından ve bankaya kadar güçlü şifreleme kullanılır - bu nedenle şifrelenmemiş bir kablosuz ağ üzerinden bankacılık yapmak riskli olmamalıdır. Argüman, herkesin trafiği koklayabildiği, sistem yöneticilerinin ve olası bilgisayar korsanlarının bağlantılara erişebildiği ve trafiği okuyabildiği kablolu ağlar için de geçerlidir. Ayrıca, şifreli bir kablosuz ağın anahtarlarını bilen herkes, ağ üzerinden aktarılan verilere erişim sağlayabilir.
• Dosya paylaşımları, yazıcılara erişim vb. gibi hizmetler yerel ağda mevcutsa, buna erişim için kimlik doğrulaması (yani parola ile) tavsiye edilir (özel ağa dışarıdan erişilemeyeceği asla varsayılmamalıdır). Doğru şekilde kurulursa, yerel ağa dışarıdan kişilerin erişmesine izin vermek güvenli olmalıdır.
• Günümüzün en popüler şifreleme algoritmaları ile, bir dinleyici genellikle ağ anahtarını birkaç dakika içinde hesaplayabilecektir.
• Trafik için değil, İnternet bağlantısı için sabit bir aylık ücret ödemek çok yaygındır - bu nedenle ekstra trafik zararlı olmayacaktır.
• İnternet bağlantılarının bol ve ucuz olduğu yerlerde, freeloader'lar nadiren baş belası olacaktır.

Öte yandan, Almanya dahil bazı ülkelerde, açık erişim noktası sağlayan kişiler, bu erişim noktası aracılığıyla gerçekleştirilen herhangi bir yasa dışı faaliyetten (kısmen) sorumlu tutulabilir. Ayrıca, ISP'lerle yapılan birçok sözleşme, bağlantının diğer kişilerle paylaşılamayacağını belirtir.

Ayrıca bakınız

• Aircrack-ng
• elektromanyetik ekranlama
• Kısmet
• KRACK
• Yönlendirici ürün yazılımı projelerinin listesi
• Mobil güvenlik
• Ödeme Kartı Sektörü Veri Güvenliği Standardı
• Gizli duvar kağıdı
• Tempest (kod adı)
• Kablosuz saldırı önleme sistemi
• Kablosuz Ortak Anahtar Altyapısı (WPKI)

Referanslar

• Wi-Foo: Kablosuz Hacklemenin Sırları (2004) – ISBN  978-0-321-20217-8
• Gerçek 802.11 Güvenliği: Wi-Fi Korumalı Erişim ve 802.11i (2003) – ISBN  978-0-321-13620-6
• WLAN Kimlik Doğrulaması ve Güvenliğinin Tasarımı ve Uygulanması (2010) – ISBN  978-3-8383-7226-6
• "8002.11 Kablosuz Güvenliğinin Evrimi" (PDF) . ITFFROC. 2010-04-18.
• Boyle, Randall, Panko, Raymond. Kurumsal Bilgisayar Güvenliği. Yukarı Saddle Nehri, New Jersey. 2015

Dış bağlantılar

• Kablosuz güvenlik de Curlie
• Kablosuz Ev Ağı Güvenli nasıl en wikiHow