WPA Nedir, Ne İşe Yarar?

Hızlı Bakış

WPA, WEP protokolünün ciddi güvenlik açıklarını kapatmak için geliştirilmiş bir kablosuz ağ güvenlik standardıdır. Sistem, her veri paketi için TKIP aracılığıyla benzersiz bir şifreleme anahtarı üretiyor. Bu dinamik anahtar yönetimi, saldırganların anahtarı ele geçirme ihtimalini ortadan kaldırıyor. Ayrıca başlatma vektörü boyutunu 48 bite çıkararak şifreleme havuzunu milyonlarca kat genişletiyor. Bu sayede ev kullanıcıları ve işletmeler, radyo sinyallerini güvenle kullanabiliyor. Bu katmanlı koruma, Wi-Fi ağlarını yetkisiz erişimlere karşı etkin bir kalkanla donatıyor.

Son Güncelleme:
Yazar:
Kategori:Ağ Protokolleri
Okuma Süresi:11 dakika

WPA, Wi-Fi Protected Access’in kısaltmasıdır ve WEP’in zayıflıklarını ortadan kaldırma fikri ile tasarlanmış bir kablosuz ağa erişimi kontrol etmek için bir mekanizmadan oluşur. TSN (Transition Security Network/Geçiş Güvenliği Ağı) adıyla da bilinir.

WPA Tanımı ve Özellikleri

WPA (Wi-Fi Protected Access – WiFi Korumalı Erişim) Nedir?

İşlevsellik

WPA, dinamik anahtarları yönetmek için TKIP (Temporal Key Integrity Protocol/Geçici Anahtar Bütünlüğü Protokolü) kullanır ve başlatma vektörü de dahil olmak üzere veri şifrelemesini büyük ölçüde geliştirir. Genel olarak WPA, 8021X ile TKIP’dir. Aksi takdirde, WPA, WEP’e benzer şekilde çalışır, ancak dinamik anahtarlar kullanarak, XOR ile şifrelemek için kullanılan bir bit akışı oluşturmak için RC4 algoritmasını kullanır ve başlatma vektörü (IV) 48 bittir.

Dinamik anahtar değişikliği, WPA güvenliğine sahip bir kablosuz ağ açmak için WEP ile aynı sistemi kullanmayı imkansız hale getirebilir. Buna ek olarak, WPA, kullanıcı şifresi, dijital sertifika veya başka bir sistemin doğrulanması dahil olmak üzere farklı erişim kontrol sistemlerini destekleyebilir veya kendinizi tanımlamak için paylaşılan bir şifre kullanabilir.

WPA-PSK

WEP’ten sonra en basit erişim kontrol sistemidir, pratik amaçlar için ortak bir ortak anahtar olan WEP ile aynı yapılandırma zorluğuna sahiptir, ancak dinamik anahtar yönetimi güvenlik düzeyini önemli ölçüde artırır. PSK, Önceden Paylaşılan Anahtarın baş harflerine karşılık gelir ve önceden paylaşılan anahtara gelir.

Yani müşteri amaçlı olarak güvenliğini paylaşılan bir parolaya dayandırır. WPA-PSK, paylaşılan anahtar olan 8 ila 63 karakter uzunluğunda bir erişim anahtarı kullanır. WEP’te olduğu gibi, bu parola kablosuz ağın her istasyonuna ve erişim noktasına girilmelidir.

Bu parola ile tanımlanan herhangi bir istasyonun ağa erişimi vardır. WPA-PSK’nın özellikleri onu şu anda küçük bir ofis veya ev ağları için en uygun sistem olarak tanımlar, yapılandırma çok basittir, güvenlik kabul edilebilir ve herhangi bir ek bileşen gerektirmez.

WPA-PSK Zayıflıkları

WPA-PSK’nın ana zayıflığı, istasyonlar arasındaki paylaşılan anahtardır. Bir sistem güvenliğini bir parolaya dayandığında, her zaman kaba bir saldırıya, yani parolaların uzunluğu göz önüne alındığında parolaların denetlenmesine ve doğru seçilmesi durumunda büyük sorunlara yol açmaya her zaman açıktır.

İstasyon kimlik doğrulama diyaloğunu kurduğunda bir zayıflık anı olduğunu düşünmeliyiz. Bu iletişim kutusu paylaşılan anahtarlarla şifrelenir ve eğer varsa erişim garanti edilir ve dinamik anahtarların kullanımı başlatılır.

Zayıflık, kimlik doğrulama paketinin içeriğinin bilinmesi ve şifrelenmiş değerinin bilinmesidir. Artık geriye kalan şey, sözlük veya kaba kuvvet saldırısı yoluyla şifreyi belirlemeye çalışmaktır.

Kurumsal WPA

Diğer çok yönlü ve bakımı daha kolay erişim kontrol mekanizmaları, ad/parola ile tanımlanan bir sistemin kullanıcıları veya dijital bir sertifikaya sahip olma gibi kurumsal ağlarda gereklidir. Açıkçası, bir erişim noktasının donanımı tüm bu bilgileri saklama ve işleme kapasitesine sahip değildir, bu nedenle kimlik bilgilerini doğrulamak için kablolu ağın diğer öğelerine başvurmak gerekir.

Ağa hala erişimi yoksa, bir istemcinin kablolu ağın bir bileşenine karşı doğrulanması karmaşık görünüyor. İstemci ile yerel makine arasındaki doğrulama trafiğine izin vermek için, aşağıda açıklanan IEEE 802.1X devreye girer. Bir istemci doğrulandıktan sonra WPA, TKIP’yi dinamik anahtarlar kullanmaya başladığındadır.

WPA istemcileri, erişim noktasından tamamen bağımsız belirli bir doğrulama sistemi kullanacak şekilde yapılandırılmalıdır. WPA doğrulama sistemleri diğerleri arasında EAP-TLS, PEAP, EAP-TTLS olabilir.

WPA-2 Nedir?

Güvenlik, özellikle kablosuz ağlar hakkında konuştuğumuzda geçerli olan bir özelliktir. Kablolu bir ağa erişmek için ağ kablosuyla fiziksel bir bağlantı gereklidir.

Ancak, bir ofiste konuşlandırılmış bir kablosuz ağda, üçüncü bir şahıs şirketin tesislerinde bile bulunmadan ağa erişebilirdi, sinyalin geldiği yakın bir yerde olsaydı yeterli olurdu. Dahası, yalnızca bilginin duyulduğu pasif bir saldırı durumunda, daha sonraki bir tanımlamaya izin veren izler bile kalmaz.

Kablosuz ağların kanalı, özel kablolu ağların aksine, güvensiz olarak kabul edilmelidir. Herkes iletilen bilgileri dinliyor olabilir. Ve sadece bu değil, aynı zamanda yeni paketler enjekte edebilir veya mevcut paketleri değiştirebilirsiniz (aktif saldırılar). Kablosuz ağlar için İnternet üzerinden veri göndermemiz gereken önlemlerin de alınması gerekir.

Yeni 802.11 standardı tamamlandıktan sonra, WPA2 buna göre oluşturulur. WPA2, migration (taşıma) olarak kabul edilebilirken, WPA2, IEEE standardının onaylı sürümüdür. 802.11i standardı Haziran 2004’te onaylanmıştır.

Wi-Fi Alliance, pre-shared key (önceden paylaşılan anahtar) sürümü WPA-Personal (WPA-Bireysel) ve WPA-Enterprise (WPA-Kurumsal) gibi 802.1x/EAP kimlik doğrulaması olan sürümü geliştirdi. Üreticiler, AES (Advanced Encryption Standard/Gelişmiş Şifreleme Standardı) şifreleme algoritmasını kullanan WPA2 protokolü tarafından desteklenen yeni nesil erişim noktaları üretmeye başladı.

Bu algoritma ile ABD hükümetinin FIPS140-2 güvenlik gereksinimlerini karşılamak mümkün olacaktır. Wi-Fi Alliance Genel Müdürü Frank Hazlik Genel Müdürü, “WPA2 hem özel hem de kamu sektörü şirketleri için idealdir. WPA2 sertifikalı ürünler BT yöneticilerine teknolojinin birlikte çalışabilirlik standartlarını karşıladığına dair güvence verir.” Dedi. Kuruluşların bir kısmı bu yeni nesil AES tabanlı ürünleri beklemesine rağmen, WPA sertifikalı ürünlerin 802.11i standardının hükümlerine göre hala güvenli olduğunu vurgulamak önemlidir.

WPA2 (IEEE 802.11i)

802.11i, WLAN ağlarında güvenlik sağlamak için yeni IEEE standardıdır. Spesifikasyonları herkese açık değildir, bu yüzden şu anda mevcut olan bilgi miktarı gerçekten azdır. WPA2, NIS tarafından geliştirilen yeni AES (Gelişmiş Şifreleme Standardı) şifreleme algoritmasını içerir. 128 bit anahtarlı bir blok şifreleme algoritmasıdır (RC4 bir akıştır). Algoritmalarını gerçekleştirmek için güçlü bir donanım gerektirecektir. Bu özellik, yeterli işleme yetenekleri olmayan eski cihazların WPA2’yi ekleyemeyeceği anlamına gelir.

İletilerin bütünlüğünü ve gerçekliğini sağlamak için WPA2, MIC kodları yerine Sayaç Modu / Şifre Bloğu Zincirleme / İleti Kimlik Doğrulama Kodu Protokolünü (CCMP) kullanır. WPA’ya göre bir başka gelişme, WPA2’nin sadece BSS modu için değil, aynı zamanda IBSS modu (geçici ağlar) için de destek içermesidir.

Güvenlik WPA2 Saldırıları

Hem WPA sürüm 1 hem de sürüm 2 olarak adlandırılan, WPA 1 durumunda, Microsoft tescilli etiketinde ve standart 802.11i RSN etiketinde WPA2 durumunda desteklenen bilgi öğesinde desteklenen kimlik doğrularının iletilmesine dayanır. RSN bağlantı sürecinde bilgi alışverişi sırasında, istemci AP (erişim noktası) tarafından belirtilen kimlik doğrulamalarını desteklemiyorsa, bağlantısı kesilecek, böylece WPA’ya belirli bir DoS saldırısı yaşayabilecektir.

Ayrıca, sağlam güvenlikli bir ağda kimlik doğrulama işlemi sırasında değiştirilen 4 yönlü el sıkışmasının yakalanması olasılığı da vardır. PSK (önceden paylaşılan) anahtarları sözlük saldırılarına karşı savunmasızdır (RADIUS sunucusu bu anahtarları rasgele üreteceğinden şirket anahtarlarına değil). Sıradan bilgisayarlara göre 100 kat daha hızlı kaba kuvvet saldırıları gerçekleştirmek için GPU’yu CUDA (NVIDIA) ve Stream (AMD) gibi belirli dillerle kullanan ücretsiz projeler var.

Kablosuz ağlarda güvenlik, göz ardı edilemeyecek kritik bir husustur. Aktarımlar güvenli olmayan bir ortamdan geçtiğinden, verilerin gizliliğinin yanı sıra bütünlüğünü ve özgünlüğünü sağlamak için mekanizmalar gereklidir. Güvenlik sağlamak için IEEE 802.11 standardında yer alan WEP sistemi, güvenliği sağlamayan farklı zayıflıklara sahiptir, bu nedenle alternatifler aranmalıdır.

Hem WPA teknik özellikleri hem de IEEE 802.11i bilinen tüm WEP kusurlarını giderir ve şu anda güvenilir çözümler olarak kabul edilmektedir. WPA’nın avantajı, bilgisayarlarda donanım güncellemeleri gerektirmemesidir. WPA’da hiçbir güvenlik sorunu bulunmadığı sürece, cihazlarda yeterli olabilir.

WPA ve Kablosuz Güvenlik Hakkında SSS

WEP ile WPA arasındaki en büyük fark nedir?

WEP statik bir anahtar kullanır. Bu anahtar elle girilir ve asla kendi kendine değişmez. Saldırgan yeterli paketi topladığında şifreyi kırar.
WPA ise dinamik anahtarlarla çalışır. TKIP sayesinde anahtar sürekli değişir. Her paket farklı bir şifreleme anahtarıyla korunur.
Üstelik 48 bitlik başlatma vektörü kullanır. WEP’in 24 bitlik vektörü çabucak tekrar ederdi. Sonuç olarak bu protokol, selefinin ölümcül zaaflarını tamamen kapatır.

WPA-PSK neden ev kullanıcıları için idealdir?

Önceden paylaşılan anahtar modeli inanılmaz basittir. Modem arayüzüne 8 ila 63 karakterlik bir şifre girersiniz. Tüm cihazlar aynı şifreyle ağa bağlanır.
Harici bir sunucuya veya karmaşık sertifikalara ihtiyaç duymazsınız. Küçük ofisler ve evler için yönetim yükü sıfırdır. Her şey erişim noktasının içinde hallolur.
Ne var ki şifrenizin güçlü olması şarttır. Zira tek savunma hattı odur. Zayıf bir parola seçerseniz sözlük saldırılarına kurban gidersiniz.

TKIP geçici anahtar bütünlüğü protokolü tam olarak ne işe yarar?

TKIP, WEP’in kullandığı RC4 algoritmasını akıllıca sarar. Anahtarı her paket için yeniden üretir. Böylece aynı anahtarın tekrar kullanılmasını engeller.
Buna ek olarak MIC adında bir bütünlük kontrolü ekler. Paketin yolda değiştirilip değiştirilmediğini anında fark eder. Saldırgan paketi yakalayıp oynayamaz.
Dolayısıyla eski donanımlarla uyumluluk sağlarken güvenliği de artırır. Sadece yazılım güncellemesiyle WEP’ten kurtulursunuz. Yeni cihaz almanız gerekmez.

Kurumsal ağlarda neden 802.1X kimlik doğrulaması şarttır?

Her kullanıcıya aynı şifreyi veremezsiniz. Bir kişi işten ayrıldığında tüm şifreyi değiştirmek kaos yaratır. 802.1X bu sorunu kökünden çözer.
Kullanıcı adı ve parola bir RADIUS sunucusunda tutulur. Erişim noktası sadece aracılık yapar. Doğrulama merkezi olarak yapılır.
Böylece her çalışana özel yetki tanımlarsınız. Bir hesabı iptal ettiğinizde diğerleri etkilenmez. Ağa izinsiz girişler anında engellenir.

WPA2'nin getirdiği AES şifrelemesi neden devrim niteliğindedir?

AES bir blok şifreleme algoritmasıdır. RC4 gibi zayıf bir akış şifreleyici değildir. ABD hükümetinin çok gizli belgeler için onayladığı seviyededir.
WPA2, AES’i CCMP protokolü ile birleştirir. Bu sayede hem şifreleme hem bütünlük kontrolü kusursuzlaşır. Performans kaybı ise minimumdur.
Fakat eski donanımlar bu işlemci gücünü kaldıramayabilir. Bu yüzden eski dizüstü bilgisayarlar WPA2 ağlarını göremeyebilir. Geçiş sürecinde her iki modu da desteklemek akıllıcadır.

Dört yönlü el sıkışma sürecini yakalayan bir saldırgan ağıma girebilir mi?

El sıkışmayı yakalamak işin sadece yarısıdır. Saldırganın şifreyi kırmak için sözlük saldırısı yapması gerekir. Bu süreç çok güçlü GPU’lar kullansa bile zaman alır.
Eğer şifreniz karmaşık ve uzunsa saldırı başarısız olur. ‘12345678’ gibi bir şifre kullanırsanız saniyeler içinde ağa sızarlar. Bu yüzden en büyük güvenlik açığı yine kullanıcıdır.
Ayrıca WPA3 bu saldırı vektörünü ortadan kaldırır. Simultaneous Authentication of Equals (SAE) yöntemiyle el sıkışmayı korur. Geleceğe yatırım için WPA3 destekli cihazlara yönelin.

Bu Rehberi Keşfettikleri İçin Sana Teşekkür Edecekler!

Sadece bir tıkla sevdiklerine dev bir iyilik yapmaya hazır mısın? Bilgi paylaştıkça devleşir.

Tolga Bagci

PRO

Bilgisayar Uzmanı Sistem Sanallaştırma

Merhaba, ben Tolga, 20 yıllık tecrübeye sahip bilgisayar uzmanıyım. Donanım, sistemler, ağlar, sanallaştırma, sunucular ve işletim sistemleri gibi bilgisayar sorunlarının giderilmesine yardımcı oluyorum. Yararlı bilgiler için web siteme göz atın ve bana herhangi bir şey sormaya çekinmeyin. En yeni teknolojilerden haberdar olun!

1240 Makale

İlk yorumu sen paylaş