WPA Nedir, Ne İşe Yarar?

WPA, Wi-Fi Protected Access’in kısaltmasıdır ve WEP’in zayıflıklarını ortadan kaldırma fikri ile tasarlanmış bir kablosuz ağa erişimi kontrol etmek için bir mekanizmadan oluşur. TSN (Transition Security Network/Geçiş Güvenliği Ağı) adıyla da bilinir.

WPA Tanımı ve Özellikleri

WPA (Wi-Fi Protected Access – WiFi Korumalı Erişim) Nedir?

İşlevsellik

WPA, dinamik anahtarları yönetmek için TKIP (Temporal Key Integrity Protocol/Geçici Anahtar Bütünlüğü Protokolü) kullanır ve başlatma vektörü de dahil olmak üzere veri şifrelemesini büyük ölçüde geliştirir. Genel olarak WPA, 8021X ile TKIP’dir. Aksi takdirde, WPA, WEP’e benzer şekilde çalışır, ancak dinamik anahtarlar kullanarak, XOR ile şifrelemek için kullanılan bir bit akışı oluşturmak için RC4 algoritmasını kullanır ve başlatma vektörü (IV) 48 bittir.

Dinamik anahtar değişikliği, WPA güvenliğine sahip bir kablosuz ağ açmak için WEP ile aynı sistemi kullanmayı imkansız hale getirebilir. Buna ek olarak, WPA, kullanıcı şifresi, dijital sertifika veya başka bir sistemin doğrulanması dahil olmak üzere farklı erişim kontrol sistemlerini destekleyebilir veya kendinizi tanımlamak için paylaşılan bir şifre kullanabilir.

WPA-PSK

WEP’ten sonra en basit erişim kontrol sistemidir, pratik amaçlar için ortak bir ortak anahtar olan WEP ile aynı yapılandırma zorluğuna sahiptir, ancak dinamik anahtar yönetimi güvenlik düzeyini önemli ölçüde artırır. PSK, Önceden Paylaşılan Anahtarın baş harflerine karşılık gelir ve önceden paylaşılan anahtara gelir.

Yani müşteri amaçlı olarak güvenliğini paylaşılan bir parolaya dayandırır. WPA-PSK, paylaşılan anahtar olan 8 ila 63 karakter uzunluğunda bir erişim anahtarı kullanır. WEP’te olduğu gibi, bu parola kablosuz ağın her istasyonuna ve erişim noktasına girilmelidir.

Bu parola ile tanımlanan herhangi bir istasyonun ağa erişimi vardır. WPA-PSK’nın özellikleri onu şu anda küçük bir ofis veya ev ağları için en uygun sistem olarak tanımlar, yapılandırma çok basittir, güvenlik kabul edilebilir ve herhangi bir ek bileşen gerektirmez.

WPA-PSK Zayıflıkları

WPA-PSK’nın ana zayıflığı, istasyonlar arasındaki paylaşılan anahtardır. Bir sistem güvenliğini bir parolaya dayandığında, her zaman kaba bir saldırıya, yani parolaların uzunluğu göz önüne alındığında parolaların denetlenmesine ve doğru seçilmesi durumunda büyük sorunlara yol açmaya her zaman açıktır.

İstasyon kimlik doğrulama diyaloğunu kurduğunda bir zayıflık anı olduğunu düşünmeliyiz. Bu iletişim kutusu paylaşılan anahtarlarla şifrelenir ve eğer varsa erişim garanti edilir ve dinamik anahtarların kullanımı başlatılır.

Zayıflık, kimlik doğrulama paketinin içeriğinin bilinmesi ve şifrelenmiş değerinin bilinmesidir. Artık geriye kalan şey, sözlük veya kaba kuvvet saldırısı yoluyla şifreyi belirlemeye çalışmaktır.

Kurumsal WPA

Diğer çok yönlü ve bakımı daha kolay erişim kontrol mekanizmaları, ad/parola ile tanımlanan bir sistemin kullanıcıları veya dijital bir sertifikaya sahip olma gibi kurumsal ağlarda gereklidir. Açıkçası, bir erişim noktasının donanımı tüm bu bilgileri saklama ve işleme kapasitesine sahip değildir, bu nedenle kimlik bilgilerini doğrulamak için kablolu ağın diğer öğelerine başvurmak gerekir.

Ağa hala erişimi yoksa, bir istemcinin kablolu ağın bir bileşenine karşı doğrulanması karmaşık görünüyor. İstemci ile yerel makine arasındaki doğrulama trafiğine izin vermek için, aşağıda açıklanan IEEE 802.1X devreye girer. Bir istemci doğrulandıktan sonra WPA, TKIP’yi dinamik anahtarlar kullanmaya başladığındadır.

WPA istemcileri, erişim noktasından tamamen bağımsız belirli bir doğrulama sistemi kullanacak şekilde yapılandırılmalıdır. WPA doğrulama sistemleri diğerleri arasında EAP-TLS, PEAP, EAP-TTLS olabilir.

WPA-2 Nedir?

Güvenlik, özellikle kablosuz ağlar hakkında konuştuğumuzda geçerli olan bir özelliktir. Kablolu bir ağa erişmek için ağ kablosuyla fiziksel bir bağlantı gereklidir.

Ancak, bir ofiste konuşlandırılmış bir kablosuz ağda, üçüncü bir şahıs şirketin tesislerinde bile bulunmadan ağa erişebilirdi, sinyalin geldiği yakın bir yerde olsaydı yeterli olurdu. Dahası, yalnızca bilginin duyulduğu pasif bir saldırı durumunda, daha sonraki bir tanımlamaya izin veren izler bile kalmaz.

Kablosuz ağların kanalı, özel kablolu ağların aksine, güvensiz olarak kabul edilmelidir. Herkes iletilen bilgileri dinliyor olabilir. Ve sadece bu değil, aynı zamanda yeni paketler enjekte edebilir veya mevcut paketleri değiştirebilirsiniz (aktif saldırılar). Kablosuz ağlar için İnternet üzerinden veri göndermemiz gereken önlemlerin de alınması gerekir.

Yeni 802.11 standardı tamamlandıktan sonra, WPA2 buna göre oluşturulur. WPA2, migration (taşıma) olarak kabul edilebilirken, WPA2, IEEE standardının onaylı sürümüdür. 802.11i standardı Haziran 2004’te onaylanmıştır.

Wi-Fi Alliance, pre-shared key (önceden paylaşılan anahtar) sürümü WPA-Personal (WPA-Bireysel) ve WPA-Enterprise (WPA-Kurumsal) gibi 802.1x/EAP kimlik doğrulaması olan sürümü geliştirdi. Üreticiler, AES (Advanced Encryption Standard/Gelişmiş Şifreleme Standardı) şifreleme algoritmasını kullanan WPA2 protokolü tarafından desteklenen yeni nesil erişim noktaları üretmeye başladı.

Bu algoritma ile ABD hükümetinin FIPS140-2 güvenlik gereksinimlerini karşılamak mümkün olacaktır. Wi-Fi Alliance Genel Müdürü Frank Hazlik Genel Müdürü, “WPA2 hem özel hem de kamu sektörü şirketleri için idealdir. WPA2 sertifikalı ürünler BT yöneticilerine teknolojinin birlikte çalışabilirlik standartlarını karşıladığına dair güvence verir.” Dedi. Kuruluşların bir kısmı bu yeni nesil AES tabanlı ürünleri beklemesine rağmen, WPA sertifikalı ürünlerin 802.11i standardının hükümlerine göre hala güvenli olduğunu vurgulamak önemlidir.

WPA2 (IEEE 802.11i)

802.11i, WLAN ağlarında güvenlik sağlamak için yeni IEEE standardıdır. Spesifikasyonları herkese açık değildir, bu yüzden şu anda mevcut olan bilgi miktarı gerçekten azdır. WPA2, NIS tarafından geliştirilen yeni AES (Gelişmiş Şifreleme Standardı) şifreleme algoritmasını içerir. 128 bit anahtarlı bir blok şifreleme algoritmasıdır (RC4 bir akıştır). Algoritmalarını gerçekleştirmek için güçlü bir donanım gerektirecektir. Bu özellik, yeterli işleme yetenekleri olmayan eski cihazların WPA2’yi ekleyemeyeceği anlamına gelir.

İletilerin bütünlüğünü ve gerçekliğini sağlamak için WPA2, MIC kodları yerine Sayaç Modu / Şifre Bloğu Zincirleme / İleti Kimlik Doğrulama Kodu Protokolünü (CCMP) kullanır. WPA’ya göre bir başka gelişme, WPA2’nin sadece BSS modu için değil, aynı zamanda IBSS modu (geçici ağlar) için de destek içermesidir.

Güvenlik WPA2 Saldırıları

Hem WPA sürüm 1 hem de sürüm 2 olarak adlandırılan, WPA 1 durumunda, Microsoft tescilli etiketinde ve standart 802.11i RSN etiketinde WPA2 durumunda desteklenen bilgi öğesinde desteklenen kimlik doğrularının iletilmesine dayanır. RSN bağlantı sürecinde bilgi alışverişi sırasında, istemci AP (erişim noktası) tarafından belirtilen kimlik doğrulamalarını desteklemiyorsa, bağlantısı kesilecek, böylece WPA’ya belirli bir DoS saldırısı yaşayabilecektir.

Ayrıca, sağlam güvenlikli bir ağda kimlik doğrulama işlemi sırasında değiştirilen 4 yönlü el sıkışmasının yakalanması olasılığı da vardır. PSK (önceden paylaşılan) anahtarları sözlük saldırılarına karşı savunmasızdır (RADIUS sunucusu bu anahtarları rasgele üreteceğinden şirket anahtarlarına değil). Sıradan bilgisayarlara göre 100 kat daha hızlı kaba kuvvet saldırıları gerçekleştirmek için GPU’yu CUDA (NVIDIA) ve Stream (AMD) gibi belirli dillerle kullanan ücretsiz projeler var.

Kablosuz ağlarda güvenlik, göz ardı edilemeyecek kritik bir husustur. Aktarımlar güvenli olmayan bir ortamdan geçtiğinden, verilerin gizliliğinin yanı sıra bütünlüğünü ve özgünlüğünü sağlamak için mekanizmalar gereklidir. Güvenlik sağlamak için IEEE 802.11 standardında yer alan WEP sistemi, güvenliği sağlamayan farklı zayıflıklara sahiptir, bu nedenle alternatifler aranmalıdır.

Hem WPA teknik özellikleri hem de IEEE 802.11i bilinen tüm WEP kusurlarını giderir ve şu anda güvenilir çözümler olarak kabul edilmektedir. WPA’nın avantajı, bilgisayarlarda donanım güncellemeleri gerektirmemesidir. WPA’da hiçbir güvenlik sorunu bulunmadığı sürece, cihazlarda yeterli olabilir.

Add a Comment

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir