Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
1
AĞ GÜVENLİĞİ Ders 3
2
Kablosuz Ağlar
3
Kablosuz Ağlar Modern kablosuz iletişim, Heinrich Rudolph Hertz’in radyo dalgası olarak bilinen elektro manyetik dalgaları keşfetmesiyle 1800’lü yılların sonunda başlar. Guglielmo Marconi 1901 yılında radyo dalgalarını kullanarak Atlantik Okyanusu’nun karşısına kablosuz telgraf ile mesaj göndermiştir. 1920’de radyo, telgraf ve radyo telefonlar kullanılmaya başlanmıştır
4
Kablosuz Ağlar 1940’lı yıllarda yapılan gelişmiş radar sistemiyle kısa dalga boyları kullanarak radyo mesajlarının taşınması gerçekleşmiştir. Dalga boyu küçük olan bu dalgalar günümüz de mikrodalga olarak bilinir. Mikrodalgalar, daha çok bilgiyi daha büyük hızla ve daha güvenilir taşımayı mümkün kılar. Daha sonra geliştirilen “Spread spectrum (dağınık spektrum)” teknolojisi ile veriler daha güvenli olarak taşınmaya başlanmıştır. 1950’li yıllarda radyo tabanlı “paging system” ile radyo teknolojisi kullanarak kıtalar arasında ses ve telgraf alışverişi gerçekleştirilir. 1983 yılında hücresel telefonların çıkmasıyla birlikte kablosuz ağ teknolojileri kullanıp gruplar halinde bilgisayarların birbirlerine bağlanması için yeni sistemler geliştirilir. Bununla birlikte “IEEE” standartları ortaya çıkar.
5
Kablosuz Ağlar Kablosuz ağlarda veri gönderimi için iki teknoloji kullanılmaktadır. Kızılötesi (IR:Infrared) Radyo frekansları (RF)
6
Kızılötesi (IR:Infrared)
Kızıl ötesi teknolojisi elektromanyetik spektrumda gözle görülebilen ışığın altındaki frekansları (3x10 14 kHz / nm) veri iletiminde kullanan bir teknolojidir. Alıcı ile verici cihaz arasında açık görüş hattının bulunduğu ortamlarda ve kısa mesafeler için çok uygundur. Kızıl ötesi teknolojisini iki tür kullanmak mümkündür. Birincisi görüş hattı (direct beam, line of sight), ikincisi ise yansıma (diffused beam) yöntemidir. Doğal olarak görüş hattı yöntemi diğerine oranla daha fazla veri iletişimi sağlamaktadır. Ancak uygulamada geniş alan kaplamak ya da çok kullanıcıya ulaşabilmek için yansıma yöntemi tercih edilmektedir.
7
Kızılötesi (IR:Infrared)
Kızıl ötesi teknolojisi büyük oranda uzaktan kumanda cihazlarında kullanılmaktadır. Profesyonel olarak kızıl ötesi teknolojisi geçici ağ kurma ihtiyacı duyulan toplantılarda veya gezici satış elamanları tarafından kullanılmaktadır. Bu tür kullanımda yerel kablolu ağ ile bağlantı kurarak bilgi alışverişinde bulunmak ve sunucuya bağlı faks ve yazıcı gibi cihazlardan faydalanmak mümkündür. Aynı ortamda çalışan bir grubun yazıcı, faks ve benzeri donanımları ortaklaşa kullanabilmeleri için bir ağ oluşturmaları da mümkündür. Benzer şekilde kullanım örneklerini artırmak mümkündür.
8
Kızılötesi (IR:Infrared)
Avantajları Serbest kullanıma açıktır. Bir lisans ve ücret gerektirmez. RF sinyallerinden etkilemez. Güç tüketimi düşüktür. Kapalı ortamlarda yetkisiz dinlemeye ve bozucu etkilere karşı tam bir güvenlik sağlar. Dezavantajları İletişim mesafesi kısadır. İdeal şartlarda metredir. Sinyaller katı cisimleri geçemez. Bu sebeple kapalı alanlarda duvar, kapı ve büro malzemeleri tarafından kullanım için uygundur. Sinyaller kar, sis, toz ve ışık gibi hava şartlarından etkilenir. Bu sebeple açık alanlarda kullanım için uygun değildir.
9
Radyo frekansları (RF)
(RF) dalgaları duvarlardan ve diğer nesnelerden geçerek kızılötesinden daha geniş bir aralık kullanır. RF bantlarının belirli alanları kablosuz yerel alan ağ (WLAN), kablosuz telefon ve bilgisayar çevresel aygıtları gibi lisanssız aygıtların kullanımına ayrılmıştır. Bu alanlar, 900 MHz, 2.4GHz ve 5 GHz frekans aralıklarındadır. 2.4 GHz ve 5 GHz bantları kullanan teknolojiler, çeşitli IEEE( Elektrik Elektronik Mühendisleri Enstitüsü) standartlarına uygun modern kablosuz LAN teknolojileridir.
10
Kablosuz Ağlar Kablosuz ağların kablolu ağlar gibi net bir biçimde tanımlanmış sınırları yoktur. Kablosuz iletimin aralığı birçok etmene bağlı olarak değişiklik göstermektedir. Kablosuz ağlar kullanım amaçlarına ve büyüklüklerine göre dört kategoriye ayrılmıştır. Kablosuz Kişisel Alan Ağı (WPAN: Wireless Personel Area Network) Kablosuz Yerel Alan Ağı (WLAN: Wireless Local Area Network) Kablosuz Metrapol Alan Ağı (WMAN: Wireless Metropolitan Area Network) Kablosuz Geniş Alan Ağı (WWAN: Wireless Wide Area Network)
11
Kablosuz Kişisel Alan Ağları
WPAN
12
Kablosuz Kişisel Alan Ağı (WPAN)
Yakın mesafedeki elektronik cihazları (PDA), (fare, klavye, cep telefonu, dizüstü bilgisayar vb.) kablosuz olarak birbirine bağlayan ağlardır. Daha düşük veri hızına (1 Mbps) ve daha kısa iletişim mesafesine (10 metre civarı) sahiptir. Bu ağlar HomeRF ve Bluetooth teknolojisi uygulamaları için kullanılır.
13
HomeRF
14
HomeRF Genel olarak küçük ofis ve ev ihtiyaçları için düşünülmüş kablosuz erişim standardıdır. 2.4 GHz ISM bandında çalışmaktadır. HomeRF’nin IEEE x standartlarına göre güçlü yanı veri aktarımının yanı sıra ses desteğinin de olmasıdır.
15
HomeRF HomeRF’ in katmanlı bir mimarî yapısı vardır.
Fiziksel katmanın üzerinde ethernet, ses ve veri akışı için ayrı ayrı teknikler vardır. Ethernet için CSMA/CD, veri akışı için CSMA ve ses için TDMA kullanır. HomeRF 2.0 sistemlerinde FHSS modülasyon tekniği kullanılmaktadır. Bu teknikte veri kanalı bir frekanstan diğerine saniyede 50 defa atlamaktadır. Bu teknoloji iletişimin izlenmesini ve verilerin çalınmasını oldukça zorlaştırmaktadır. Ayıca ağa giriş için “ağ şifresi” istenerek güvenlik artırılmaktadır.
16
Bluetooth Güvenliği
17
Bluetooth Bluetooth ismi eski Danimarka kralı Harald Blatand'ın adından esinlenerek konulmuş bir isimdir ve Türkçe karşılığı mavi diş'tir. WPAN (Wireless Personal Area Network) standardı üzerine bünyesinde geliştirilen, kablosuz bağlantı şekli olan Radyo Frekansı teknolojisidir. Bluetooth cep telefonları, bilgisayarları, PDA’ları, yazıcıları, klavyeleri kablosuz olarak bir araya getirir.
18
Bluetooth Bluetooth kullanımı, 1994 yılında telefon üreticisi Ericsson’un cep telefonlarını kulaklıklarına kablosuz olarak bağlaması ile başlamıştır. Çözüm, küçük ve ucuz bir yonganın kablosuz sinyalleri alıp gönderebilmesi ile geliştirilmiştir. Ayrıca hareketli (dinamik) kişisel ağlar oluşturulmasını da sağlamaktadır. En önemli özellikleri; Düşük maliyet Düşük güç tüketimi Kararlı ses ve veri haberleşmesi sağlaması Açık standart yapısı Tüm dünyada uyumlu olması
19
Bluetooth Fiziksel katmanı 2,4GHz. deki lisanssız ISM(Industrial Scientific Medical Band) bandında çalışır. İletişim frekans atlama mekanizması(FHSS) ile sağlanır. Daha güvenilir ve daha etkili bir haberleşme sağlar. 1 MHz’lik aralıklara ayrılmış 79 frekans atlaması sayesinde frekans spektrumu genişletilir. Saniyede ortalama 1600 atlamaya izin veren fullduplex sinyal iletişim tekniği kullanılır 720 kbps e kadar veri iletim hızına sahiptir.
20
Bluetooth Bluetooth sistemi yapısı
radyo birimi, link kontrol birimi, link yönetimi ve kullanıcı uç cihazı arayüz fonksiyonlarına destek veren bir birimden oluşmaktadır. Ana bilgisayar kontrol arayüzü (HCI-Host Controller Interface) ana birimin Bluetooth donanımına erişmesi için bir araç vazifesi görür. Örneğin, ana birim bir dizüstü bilgisayar ve kişisel bilgisayarın (PC) içine yerleştirilmiş bir PC kartta bir Bluetooth cihazı olabilir. Ana birimden Bluetooth modülüne gönderilen tüm komutlar ve modülün ana birime verdiği cevaplar HCI vasıtasıyla iletilir.
21
Bluetooth Şebeke Yapısı
Bluetooth teknolojisini kullanan cihazlar, ad-hoc biçimiyle bağlantı kurmaktadırlar. Birbirlerinin kapsama alanı içerisinde bulunan Bluetooth birimleri noktadan noktaya ya da noktadan çok noktaya bağlantı kurabilirler. Bluetooth, yakın konumdaki iki cihazın birbirlerini tanımalarını ve haberleşmeye başlamalarını destekler. Bluetooth ağları, “Piconets” ve “Scatters” şeklini alır.
22
Bluetooth Şebeke Yapısı - Piconets
Piconet birbirine bağlı iki birimle (dizüstü bilgisayar ve hücresel telefon gibi) başlar, birbirine bağlanmış sekiz birime kadar genişleyebilir. Kurulumları kabul eden bir yönetici (usta) cihaz, 7 tane de yönetilen (uydu) denilen farklı görevleri olan aygıtlar bulunur.
23
Bluetooth Şebeke Yapısı - Piconets
Yazıcılar ve tarayıcılar gibi bazı aygıtlar hizmet etmek içindir, masaüstü bilgisayarlar ve PDA’ler ise dinamiktir. Bluetooth aygıtları, aktif veya pasif olarak ayarlanabilir. Aktif iken, bluetooth aygıtı ortamı araştırarak bağlanabileceği bir başka bluetooth aygıtı arar. Pasif durumda iken, aktif bir bluetooth aygıtının gelip bağlantı kurmasını bekler. Bluetooth aygıtları, birbirlerini buldukları zaman, kişilerinin iş kartlarını değiş tokuş yapması gibi tanımlarını değiş tokuş yapar. İlk merhabadan sonra, aygıtlar tek olan bluetooth kimliklerini değiştirir, bu kimliğe Global ID denir. Örneğin, bir cep telefonu, yazıcı veya bir tarayıcı ile bağlantıyı kurduktan sonra yönetici olan, cevap veren aygıtın servislerine ihtiyaç duyup duymadığını kontrol eder, eğer karşılıklı görüşmeye devam etmek isterse çiftine bir cevap gönderir.
24
Bluetooth Şebeke Yapısı - Scatternet
Daha esnek bluetooth aygıt kurulumu yapabilmek için piconetlerin bir araya geldiği ağdır. Bir scatternet, çeşitli küçük bluetooth cihazlarının bulunduğu kümelerin aynı alan içerisinde haberleşmesini sağlar.
25
Bluetooth Ses ve Veri İletimi
Bluetooth teknolojisi hem zamanın önemli olduğu veri haberleşmesine, hem de zaman duyarlılığı olmayan fakat yüksek hızlı paket data haberleşmesine imkan tanır. Bu verileri taşımak üzere, cihazlar arasında iki farklı tipte link tanımlanmıştır: Ses haberleşmesi için eşzamanlı bağlantı hattı (SCO-Synchronous Connection Oriented), Veri haberleşmesi için eşzamanlı olmayan bağlantı(ACL-Asynchronous Connectionless) hattıdır.
26
Bluetooth Güvenliği Kullanıcı koruması ve bilgi gizliliğini sağlayabilmek için, hem uygulama katmanında (application layer) hem de veri bağı katmanında (link layer) işlev gören güvenlik önemleri düşünülmüştür. Bu önlemler de,eşdüzey ortamlara uygun olacak şekilde, yani her bir cihazda kimlik doğrulama (authentication) ve şifreleme (encryption) işlemleri aynı yolla gerçekleşecek şekilde dizayn edilmiştir.
27
Bluetooth Güvenlik Mimarisi
Bluetooth Genel Geçiş Profil’i; Güvenlik modu 1 (güvenli-olmayan) Cihaz güvenlik ile ilgili hiç bir yordamı işleme sokmaz. Güvenlik modu 2 (servis seviyesinde uygulanan güvenlik) Tüm güvenlik mekanizmaları iki cihaz arasında bağlantı kurulduktan sonra başlatılır. Güvenlik modu 3 (bağ katmanı seviyesinde uygulanan güvenlik) Cihaz henüz bağlantı kurulmadan önce güvenlik mekanizmalarını işleme sokar.
28
Bluetooth Güvenlik Mimarisi
Cihazlar için güvenlik seviyeleri Güvenli cihaz : Genel olarak daha önceden kalıcı bir bağlantı kurulup, iletişim yapılmış cihazdır. Uygulama katmanından bazı sınırlamalar getirilmediği sürece tüm servislere sınırsız olarak giriş iznine sahiptir. Güvensiz cihaz : Daha önce sabit ve kalıcı bir bağlantı kurulamamış veya bir bağlantı kurulsa da, çeşitli nedenlerle güvensiz olarak kabul edilmiş cihazdır. Servisler için güvenlik seviyeleri Hem izin verme, hem de kimlik doğrulama yordamları istenen servisler. Otomatik geçişe sadece güvenli cihazlar için izin verilir. Sadece kimlik doğrulama yordamı istenen servisler. İzin verme yordamına gerek duymazlar. Tüm cihazlara açık servisler. Ne izin verme, ne de kimlik doğrulama yordamları işleme koyulur.
29
Bluetooth Güvenliği E22: BaşlangıçAnahtarı(Kinit) oluşturma
Cihazın PIN kodu ile 128 bitlik RAND(Cihazdan elde edilen rastgele sayı) değeri E22 hash fonksiyonuna sokularak 128 bitlik anahtar elde edilir. E21: BağAnahtarı(K) oluşturma 128 bitlik RAND(Cihazdan elde edilen rastgele sayı) değeri ile 48 bitlik BD_ADDR (Bluetooth cihaz adresi) E21 hash fonksiyonuna sokularak 128 bitlik anahtar elde edilir.
30
Bluetooth Güvenliği E3: Şifreleme Anahtarı(Kc) oluşturma
128 bitlik RAND değeri, iki cihazın BD_ADDR değerinin birleşiminden elde edilen 96 bitlik COF değeri ve K bağ anahtarı E3 hash fonksiyonuna sokularak 128 bitlik anahtar elde edilir.
31
Bluetooth Güvenliği E1: kimlik doğrulama (MAC)
32
Bluetooth Güvenliği E0: Şifreleme (streamcipher)
33
Bluetooth Güvenliği Bağlantı aşamasında yapılan işlemler:
başlangıç anahtarının(Kinit) üretilmesi bağ anahtarının(K) üretilmesi bağ anahtarının değişimi kimlik doğrulama her bir cihaz için şifreleme anahtarının üretilmesi (isteğe bağlı)
34
Güvenlik Zaafiyetleri
Kimlik doğrulamasında sadece cihazın kimliği doğrulanmakta, kullanıcı için herhangi bir kimlik doğrulaması yapılamamaktadır. Kimlik doğrulama ve tüm anahtarların üretilmesi aşamasında kullanılan Safer + Bluetooth algoritması, günümüz şartlarında artık yeterince güvenli sayılmamaktadır. Giriş anahtar kodunun güvenli olmaması
35
Bluetooth’a Yapılan Saldırılar
Cabir Virüsü Cabir bilinen ilk kablosuz solucandır. Symbian platformundaki telefonlar açık ve bulunabilir modundayken bu solucan kendisini telefonlar arasında aktarabilmektedir. Aslında pek zararlı bir solucan olmayıp tek yaptığı caribe.ss dosyası eklentili bir mesaj göndermektir. Bu mesaj indirip açıldığında telefonun ekranında "Caribe" yazısı görüntüleniyordu. Bluejacking Bluetooth spam olarak adlandırılabilir. Bluetooth kullanıcıları 10 metre içindeki diğer Bluetooth cihazlara e-kontak kartları gönderebilmektedir. Eğer bu e-kart açılırsa kullanıcının adres defterine kaydolur. Artık kaydolan bu kontak kişi etkilenen cihaza mesajlar gönderebilir. Bazı Bluejack saldırganları spam mesajlarını direk cihaz adı olarak ayarlayarak spam iletimini daha basit hale getirmektedirler.
36
Bluetooth’a Yapılan Saldırılar
Bluebugging Bu saldırı türü saldırganların Bluetooth özellikli bir telefona erişerek konuşmaları dinleme, gelen çağrıları yönlendirme, çağrıları yanıtlama ve mesaj gönderebilme gibi tüm özelliklerini kullanıcının haberş olmadan kullanabilmelerini sağlar. Bu durum eğer uluslararası veya ücretli hizmet numaraları aranırsa yüklü telefon faturalarına neden olabilir Car Whisperer Saldırganların Bluetooth özellikli araçlara ses gönderimi veya ses alımı yapabilmesini sağlar. Bluesnarfing Yetenekli bir hackerın, kullanıcısının izni veya bilgisi olmadan cep telefonu üzerindeki telefon rehberi, resimler, takvim ve EMEI (Uluslararası Mobil Ekipman Kimliği) gibi verilere ulaşmasını içerir.
37
Bluetooth’a Yapılan Saldırılar
Anahtarların Güvenilirsizliği Aynı cihaz adını alan kullanıcılar içinde geçerli olup yerine geçme durumunda yetkisiz erişim ortaya çıkmaktadır. Giriş anahtar kodunun 1-16 bayt arasında herhangi bir değer alabilmesi, giriş anahtar kodunun seçiminde zayıf anahtar üretimi için bir etken oluşturmaktadır. Kimlik doğrulamasında sadece cihazın kimliği doğrulanmakta, kullanıcı için herhangi bir kimlik doğrulaması yapılamamaktadır. Safer+ Algoritması Yetersizliği Kimlik doğrulama ve tüm anahtarların üretilmesi aşamasında kullanılan Safer + Bluetooth algoritması, günümüz şartlarında artık yeterince güvenli sayılmamaktadır. Aradaki adam problemi Açık anahtar algoritması kullanılmadığından aradaki adam saldırısına karsı savunmasızdır. Hizmet engelleme Saldırısı Bluetooth hizmeti engelleme saldırılarına karşı bir önlem alınmamıştır. Bu durum batarya ile çalışan cihazlar için güvenlik açığı meydana getirmektedir.
38
Kablosuz Yerel Alan Ağları
WLAN
39
Kablosuz Yerel Alan Ağı (WLAN)
İki yönlü geniş bant veri iletişimi sağlayan, iletim ortamı yerine RF veya Kızılötesi ışınlarını kullanan ve bina, kampüs gibi sınırlı alan içerisinde çalışan iletişim ağlarıdır. Genellikle kablolu yerel ağın sınırlarını genişletmek için kullanılır. Bu sistemlerin mesafesi metre civarındadır. Dünyada yaygın olarak kullanılan iki tür kablosuz LAN teknolojisi vardır. Amerika tabanlı x Avrupa tabanlı HiperLAN
40
WLAN x IEEE tarafından Kablosuz LAN uygulamaları için tanımlanmış standartlar kümesidir.
41
WLAN- HiperLAN HiperLAN (High Performance Radio LAN-Yüksek Performanslı Radyo Yerel Ağı), ETSI tarafından tanımlanmış, OFDM* kodlama ve modülasyon yöntemi kullanılan, 5 GHz bandında çalışan kablosuz LAN standardıdır. IEEE a standardına rakiptir ve 54Mbs‘ı 5.4 GHz’de iletir. HiperLAN2 ağında erişim noktalarından uç sistemlere bağlantıya yönelik bir yaklaşım vardır. Böylece, kablosuz LAN uygulamalarının aksine ses ve görüntü aktarımı için gerekli trafik türü desteklenmektedir. * OFDM kablosuz kanalı alt frekanslara bölerek (Paralel olarak gönderip, karşı tarafa da aynı şekilde alıp) hızı artırır ve sinyali kuvvetlendirir.
42
Telsiz Ağların Avantajları
Esneklik: Telsiz iletişim radyo dalgaları aracılığı ile sağlandığı için telsiz ağ araçları kullanan kişilerin sabit bir yere bağlı kalma zorunluluğu yoktur. Bu insanlara büyük bir ölçü de özgürlük sağlamakta ve verimliliği arttırmaktadır. Kolay Kurulum: Kolay kurulumu da kendi içinde iki fayda olarak inceleyebiliriz. Zaman: Radyo dalgaları ile iletişim yapılmasından dolayı kablolu bir ağ tasarlanmasından önce gerekli olan kablolama planı ve kablolama işlemi için harcanan zamandan kazanılmış olunur. Para: Yukarıda belirtildiği gibi kablolama yapılmadığı için kablo maliyeti ağ kurulumunda yer almamaktadır. Sağlamlık: Kablolu ağlarda kablolara gelebilecek zararlardan ağ yapısı ciddi şekilde etkilenebilir. Örneğin bir felakette kablolar kopabilir ya da dış etmenlerden kullanılmaz hale gelebilir. Fakat telsiz yapılarda bu tip problemlerle karşılaşılmaz.
43
Telsiz Ağların Dezavantajları
Güvenlik: Yapılan iletişim dalgalar halinde yayıldığı için arayan giren bir kişinin dinlemesi ve verileri ele geçirmesi kablolu yapıya göre daha kolaydır. İletişim Hızı: İletişim hızı kablolu yapı kadar iyi değildir çünkü etkiyen birçok faktör vardır. Bunlardan bazıları erişim noktasının yönünün değişmesi, araya engellerin girmesi, erişim noktasından uzaklaştıkça sinyalin zayıflaması olarak gösterilebilir. Standartlara Uyma Zorunluluğu: Üretilen cihazların tüm dünya standartlarında olması gerekmektedir. Uluslararası enstitüler bazı konularda sınırlamalar getirmekte ve bu da gelişmelerin daha yavaş olmasına neden olmaktadır. Örneğin kullanılabilecek frekanslar sınırlıdır ve istenilen frekansta haberleşme yapılamaz.
44
Kablosuz Yerel Alan Ağı (WLAN)
Temel olarak kablosuz LAN (WLAN) sistemi iki ana unsurdan oluşmaktadır. Birincisi AP (Access point, Erişim Noktası), ikincisi ise kablosuz cihazlardır. Ancak cihazdan cihaza (peer to peer) çalışma modelinde AP’ye ihtiyaç duyulmaz. AP’ler ihtiyaca göre bir eve, iş yerine, toplantı salonuna veya bir binaya kurulabilir. Halka açık kullanımı sağlamak üzere kamuya açık alanlara AP kurulabilir. Bu durumda AP’nin oluşturduğu kablosuz internet bağlantısı sağlanan fiziksel alan Erişim Alanı olarak adlandırılmaktadır.
45
Kablosuz Yerel Alan Ağı (WLAN)
Kablosuz cihazlarda bulunan NIC’ler otomatik frekans tarama özelliğine sahip olduklarından kendilerine ulaşan WLAN sinyalini algılayabilir. NIC tarafından doğru frekans kanalı bulunduktan sonra AP ile kablosuz cihazlar arasında bağlantı kurulumu başlatılır. WLAN sistemleri aslında tamamen kablosuz değildir. Çünkü sistemde bulunan AP’nin geniş bant erişim hizmeti veren DSL, Fiberoptik veya benzeri bir kablolu altyapı üzerinden şebekeye bağlanması gerekebilir.
46
WLAN Mimarisi – Cihazdan Cihaza
Cihazdan cihaza çalışma (peer to peer/ad-hoc) modeli iki ya da daha çok kablosuz iletişim özelliğine sahip bilgisayarın, bir sunucu kavramı olmadan birbirine bağlandığı ağ yapılarıdır. Bu tür ağlarda bulunan bilgisayarların sahip oldukları program, veri ve dosya gibi tüm kaynaklar ağdaki diğer bilgisayarlar tarafından kullanılabilir. Bu model prensip olarak daha hızlı kurulabilen ve kablo veya AP gibi herhangi bir altyapı ihtiyacı olmayan en basit ağ kurulum yöntemidir. İstemci veya sunucu olmasına bakılmaksızın ağda yer alan tüm bilgisayarlarda sadece kablosuz çalışma özelliğinin olması yeterlidir. Cihazdan cihaza çalışma modelinde ağ içindeki bütün bilgisayarlar eşit düzeydedir.
47
WLAN Mimarisi – İstemci-Sunucu
WLAN sistemlerinin temel ve en yaygın kullanım şekli olan model; kablolu ağa bağlı bir AP ve istenilen sayıda kablosuz erişim özelliğine sahip cihazdan oluşur. Kablolu ağda ihtiyaca göre genellikle bir geniş bant internet erişimi ve sunucu bilgisayar bulunabilir. Bu durumda ağda bulunan tüm bilgisayarlar AP aracılığıyla kablosuz olarak mevcut kablolu ağa ve internete bağlanabilir.
48
WLAN Mimarisi Cihazdan Cihaza İstemci-Sunucu
49
Güvenlik İçin Kullanılan Protokoller
Kablosuz ağların ilk 5 yılı için IEEE de geçerli olan tek güvenlik protokolüdür. 1999 yılında bu protokolün zayıflıkları ortaya çıkarılmaya başlanmıştır. Daha sonra yeni protokoller geliştirilmeye başlanmıştır. WEP WPA WPA2
50
Güvenlik Protokolleri - WEP
WEP (Wired Equivalent Privacy)1999 yılında geliştirilmiştir, kablolu düzeyde gizlilik/mahremiyet anlamına gelmektedir. Merkezi anahtar sunucuları, kablosuz ağlarda kullanılacak anahtarları bir merkezden üretirler, dağıtırlar ve sürekli olarak yenilerler. Bu anahtar sunucuları, son kullanıcının onaylaması (authentication) için gerekli RSA açık/özel (public/private) anahtar çiftlerinin üretilmesini sağladıkları gibi havadan iletilecek paketleri şifreleyecek olan RC4 anahtarlarının da oluşturulmasını ve kablosuz kullanıcılara ve erişim noktalarına (Access point) dağıtılmasını sağlar.
51
Güvenlik Protokolleri - WEP
Kullanılan şifreleme algoritması RC4, anahtar uzunluğu 40 bit veya 104 bit, IV(initialization vector) uzunluğu 24 bit, Veri bütünlüğünü ICV (integrity check value) ile sağlanmaktadır. Kullanılan şifreleme algoritması RC4 (Rivest Cipher) bir akış şifreleyicisi olup simetrik anahtar kullanmaktadır.
52
WEP’in Zayıflıkları WEP tekrar saldırılarını önleyemez.
WEP RC4 algoritmasında zayıf anahtarlar kullanılması Şifreleme anahtarının ele geçmesine neden olabilir. WEP IV leri tekrar kullanır.Bazı kriptoanaliz yaklaşımları ile şifreleme anahtarı bilinmeden veri çözülebilir. ICV nin elde edilme yönteminin zayıflığı nedeni ile mesaj bütünlüğü araya giren tarafından bozulabilir.
53
Güvenlik Protokolleri - WPA
WPA (Wireless Protected Access) 2002 yılında WEP’in açıklarını kapatmak amacıyla geliştirilmiştir. Donanım değişikliğine gidilmeden yükseltme yapılabilmektedir (sürücü ya da firmware güncellemesi ile) WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahiptir. Ayrıca WEP de olmayan anahtar yönetim mekanizmasına sahiptir. Veri bütünlüğü için MIC kullanılır.
54
Güvenlik Protokolleri – WPA2
WPA günümüzde kırılmamış olsa da WEP tabanlı bir yapı olduğu ve eksiklerinin çıkabileceği şüphesinden dolayı (RC4 algoritmasının zayıflıkları) IEEE i standartlarına uygun yeni bir protokol geliştirilmiştir. Bu protokol WEP üzerine kurulmamış yeni ve farklı bir yapı olarak geliştirtmiştir. Standartlaşması 2004 Mayıs ta tamamlanmıştır. AES şifreleme algoritmasını bünyesinde barındırır.
55
Güvenlik Protokolleri – WPA2
RSN (Robust Security Network – WPA2) asıllamayı ve anahtar yönetimini IEEE 802.1X standartları ile gerçekler. Veri bütünlüğü MIC ile sağlanır. Gezginlik (roaming) sağlar. Şifreleme Temporal Key Integrity Protocol (TKIP) veya Counter Mode with CBC-MAC Protocol (CCMP) ile gerçeklenir. CCMP zorunlu iken, TKIP ise seçeneklidir.
56
Protokollerin Karşılaştırılması
WEP WPA WPA2 Şifreleme Şifreleme yapısı kırıldı. RC4 algoritması WEP in açıklarını kapatıyor. TKIP/RC4 CCMP/AES CCMP/TKIP Şifreleme Anahtarı 40 bitlik anahtar 128 bitlik anahtar 128 bit IV 24 bit 48 bit Anahtar Değişikliği Anahtar sabittir. Anahtarlar her oturum,her paket için değişir. Anahtar değişikliğne gerek yoktur. Anahtar yönetimi Anahtar yönetimi yoktur 802.1x Asıllama Zayıf bir yöntem 802.1x EAP Veri Bütünlüğü ICV MIC
57
Kablosuz Metrapol Alan Ağları
WMAN
58
Kablosuz Metrapol Alan Ağı (WMAN)
Bir şehri kapsayacak şekilde yapılandırılmış iletişim ağlarına veya birbirinden uzak yerlerdeki yerel bilgisayar ağlarının birbirleri ile bağlanmasıyla oluşturulan ağlara Metropol Alan Ağları(MAN) denilmektedir. Metropol alan ağlarda(MAN) ve geniş alan ağlarda(WAN) genellikle kiralık hatlar veya telefon hatları kullanılmaktadır. Bu tür alanlarda kablo yerine uydu veya RF iletişim teknolojileri kullanılması durumunda Kablosuz Metropol Alan Ağları(WMAN) olarak isimlendirilmektedir.
59
Kablosuz Metrapol Alan Ağı (WMAN)
Kablosuz MAN’lar çok sayıda şubesi bulunan kurum ve büyük şirketler ile dağınık yerleşime sahip üniversiteler gibi yapılarda yaygın olarak kullanılmaktadır. IEEE standardı WMAN için geliştirilmektedir. IEEE standardı günümüzde WIMAX(Worldwide Interoperability for Microwave Access-mikrodalga erişim için dünya çapında birlikte çalışabilirlik) olarak isimlendirilmektedir
60
WiMAX Ağlar
61
WiMAX Nedir? WiMAX(Worldwide Interoperability for Microwave Access), son kullanıcıya kablo ve ADSL alternatifi olarak geniş band erişim sağlayabilecek standart-tabanlı kablosuz erişim teknolojisidir. WiMAX dar alanda kablosuz İnternet ağı oluşturan Wi-Fi (Wireless fidelity: kablosuz ağ) teknolojisinden sonra kablosuz interneti çok daha geniş alanlara yaymaya çalışan bir teknolojidir. WiMAX sadece taşınabilir bilgisayarlarda değil aynı zamanda sabit bilgisayarlar için de interneti kablosuz hale getirmeyi hedeflemektedir.
62
Kablosuz Metrapol Alan Ağı (WMAN)
IEEE standardı, 2GHz-11GHz ve 10GHz-66GHz geniş bant frekans aralıklarında 120Mbps veri hızlarına ulaşabilen uygulamaları kapsamaktadır. WiMAX noktadan noktaya kablosuz geniş bant erişim için geliştirilmiş IEEE standartlarına dayanmaktadır. WiMAX ile çatıya ya da pencereye kurulacak uydu anteni benzeri bir antenle kablosuz geniş bant internet erişimini evlerimizdeki yada ofislerimizdeki sabit bilgisayarlarımızda sağlamamız mümkündür.
63
Kablosuz Metrapol Alan Ağı (WMAN)
IEEE d standardı sabit kullanıcılar için kullanılmaktadır. Sabit WIMAX sistemlerinde farklı kullanıcılar tüm kanalları zaman paylaşımlı olarak kullanırlar. e standardı ise hareketli kullanıcılar için geliştirilmiştir. Hareketli kullanıcının hızı artıkça frekans kaymasına bağlı olarak sistem performansı kötüleşmektedir. Amacı 120 km/s hızındaki hareketli kullanıcılar için 70 Mbps hızında erişim sağlamaktır.
64
WiMAX Yüksek hızda kesintisiz telsiz iletişim sağlar: 70 Mbps
Kapsama alanı: km’ye kadar Veri, Ses (isteğe-bağlı), Görüntü (isteğe-bağlı) VoIP Videokonferans
65
IEEE 802.16 ve WiMAX Tek noktadan Çok noktaya (PMP) Ağ (mesh) yapısı
İletişim Türleri: Baz istasyonu(BS) Kullanıcı İstasyonu(SS): Downlink Kullanıcı İstasyonu(SS) Baz İstasyonu(BS): Uplink Baz İstasyonu(BS)-kullanıcı İstasyonları (SS) arası Tek noktadan Çok noktaya (PMP) Kullanıcı İstasyonları arası Ağ (mesh) yapısı
66
WiMAX Genel Yapısı Baz istasyonu Gezgin Kullanıcı Endüstriyel Alanlar
Yerleşimler Kurumsal Alanlar (SS) (BS)
67
Güvenlik Standardı 802.16, sağladığı yüksek band genişlikli telsiz iletişiminin doğası gereği birçok güvenlik tehdidi ile karşı karşıya bulunmaktadır. Bundan dolayı ikinci katmanda özel bir “güvenlik altkatmanı” oluşturulmuştur. Bu katman bağlantıdaki tüm güvenlik unsurlarıyla ilgilenir.
68
802.16 Güvenlik Standardı Güvenlik katmanı iki düzeye ayrılmaktadır:
1. Veri güvenliği düzeyi Gönderilecek verinin şifrelenmesinde kullanılacak algoritma, bu algoritmanın sorunsuz çalışması için gerekli parametreler ve şifreleme kiplerinin bilgilerinin tutulduğu düzeydir. 2. Güvenlik Yönetimi düzeyi Hem anahtar yönetimi hem de asıllamanın yapıldığı düzeydir. Oturum anahtarlarının değiştokuşu, şifreleme algoritmaların kullacağı anahtarların oluşumu, asıllama için gerekli sertifikaların alınması,bunların bağlantı sırasında BS’e gönderilmesi bu düzeyin görevleri arasındadır.
69
Güvenlik Standardı
70
Güvenlik Standartı İki düzeyin kontrol edildiği güvenlik altkatmanı, bu kontrolü 5 değişik kavrama dayalı bir yapıyla sağlar. Bu kavramlar: Veri Şifreleme MAC çerçevesindeki veri kısmına uygulanır. Başlık kısmına uygulanmaz. Veri şifrelenmesinde başlık kısmının açık olarak gönderilmesi, hem SS’le BS arasındaki bağlantının basitliği hem de taraflardaki MAC yapılarının normal işleyişini devam ettirmeleri açısından tercih edilmiştir. Eğer şifrelenmiş olarak gönderilseydi hangi SS’in bağlantı kurmaya çalıştığı anlaşılmayacak buda sistemin düzgün çalışmamasına sebep olacaktı.
71
802.16 Güvenlik Standartı Anahtar Yönetimi
SS, kendisini BS’e tanıtmak, bağlantı sırasında kullanacağı anahtarı elde etmek için “Privacy Key Management-PKM” kullanır. X.509 sertifikalandırması ile SS kendisini BS’e tanıtır. PKM, güvenlik altkatmanı tarafından hem asıllamada hem de anahtar alışverişinde kullanılır. PKM, bir açık anahtar yapısı kullanarak oturum anahtarını elde eder. Bu oturum anahtarı, hem BS ve SS arasındaki oturumun kurulması(asıllama) ve devamını hem de oturumdaki veri alışverişinin güvenliği için yapılması gereken şifrelemede kullanılacak anahtarın üretilmesini(anahtar değişimi) sağlayacak bir anahtardır. Bunun yanında, tüm SS’ler bir açık anahtar-gizli anahtar çifti ile donatılmıştır. Bu yapı genelde RSA algoritması ile sağlanır.
72
802.16 Güvenlik Standartı “Güvenlik Birimi” ‘nin oluşturulması
ağlarında, SS ve BS arasında oluşması planlanan güvenlik ortamının yaratılması, güvenli veri iletişiminin yapılması ve bağlantının güvenli bir şekilde sonlandırılmasını sağlayan yapı “güvenlik birimi (Security Association-SA) olarak adlandırılmıştır. Üç tip güvenlik birimi kurulabilir: Birincil Güvenlik Birimi (Primary SA): Bağlantı kurulduğunda yaratılır. Statik Güvenlik Birimi (Static SA): BS’te bağlantı sonrası oluşan SA’dır. Dinamik Güvenlik Birimi (Dynamic SA): Servis kalitesi ve istemine göre oluşup bozulabilen SA’dır. Tüm SS ve BS’lerde bulunan güvenlik birimleri, 16-bitlik bir SAID(Security Assosication ID) belirteci ile kimliklendirilirler. Ayrıca üst katmandaki servis bağlantıları da güvenlik birimleri ile birer bağlantı belirteci (CID) ile eşleştirilir.
73
802.16 Güvenlik Standartı Bağlantının güvenlik birimine iletilmesi
Bağlantının güvenlik birimiyle ilişkilendirilmesi güvenlik altkatmanının sorumluluğundadır. Burada tüm 4.katman bağlantıları birincil SA’larla eşleştirilmelidir. Ayrıca Multicast bağlantılar statik yada dinamik SA’larla eşleşmelidir. Kriptografik süreç Bağlantının güvenli bir şekilde oluşması, asıllamaların gerçekleştirilmesi ve verinin şifrelenip gönderilmesi sırasındaki tüm kriptografik süreç (kullanılan metodlar,algoritmaların girdiği durumlar vs.) güvenlik altkatmanı tarafından denetlenir.
74
WiMAX Güvenliği Şifreleme işlemi için DES algoritması kullanılmaktadır. Kullanılan şifreleme kipi “şifreleme bloklarını aradarda bağlama kipi, (Cipher Block Chaining-CBC)” dir. Bu kip, kendisinden bir önce gelen şifrelenmiş bloğu, şifrelenmek üzere bekleyen blokla XOR’ladıktan sonra DES şifrelemesine gönderir. Asıllama işlemi için asimetrik bir şifreleme yöntemi kullanılır (Genellikle RSA). CBC-IV: başlama vektörü TEK(Traffic Encryption Keys) anahtar değiş tokuşu sırasında öğrenilir. TEK(Traffic Encryption Keys) anahtar değiş tokuşu esnasında da 3DES, RSA yada AES kullanılabilmektedir.
75
WiMAX Güvenliği Sorunları
En büyük sorun Baz İstasyonunun asıllanmamasıdır. DES algoritmasının kolay kırılabilmesi nedeniyle veri şifrelemesinde sorunlar ortaya çıkmaktadır. Yerine AES kullanılabilir. Tekrar saldırılarına karşı dayanıksızdır. Başlangıç vektörünün tahmin edilebilme olasılığı vardır. Anahtar yönetiminde de bazı sorunlar mevcuttur.
76
Kablosuz Geniş Alan Ağları
WWAN
77
Kablosuz Geniş Alan Ağı (WWAN)
Bir ülke ya da dünya çapında yüzlerce veya binlerce kilometre mesafe arasında kablosuz iletişimi sağlayan ağlara “Kablosuz Geniş Alan Ağı(WWAN) denilmektedir. En iyi örneği cep telefonu şebekeleridir. Bu ağlar, Kod Bölmeli Çoklu Erişim (CDMA) veya Mobil İletişim için Küresel Sistem (GSM) gibi teknolojileri kullanırlar.
78
Mobil Telefon Teknolojileri
Mobil telefon teknolojileri nesillere ayrılmıştır. 1. nesil teknolojiler (1G) 2. nesil teknolojiler (2G) 2.5 ve 2.75 nesil teknolojiler (2.5G – 2.75G) 3. nesil teknolojiler (3G) 4. nesil teknolojiler (4G)
79
1. Nesil Teknolojiler (1G)
1980'li yıllarda yaratılan bu teknoloji, hücresel bir ağ sistemi kullanır. 1G teknolojisinde analog veri bağlantısı kullanılmıştır. 1G teknolojisinde isteyen herkes görüşmeleri dinleyebilmekteydi. Çevresel etmenlere karşı direnç gösteremediği için çok çabuk bağlantı kopabiliyordu. Ayrıca 1G teknoloji veri aktarımına olanak sağlamıyordu. Bu sorunlara rağmen geniş kapsama alanı, yeterli iletişim kapasitesi, dolaşım ve hücreler arası geçiş desteğiyle 1980’li yıllarda gayet kullanışlı bir iletişim sistemi olmuştur.
80
2. Nesil Teknolojiler (2G)
2G ikinci nesil kablosuz telefon teknolojisidir. Aynı 1G gibi, hücresel bir ağ sistemi kullanır. 2G'nin 1G'ye göre getirmiş olduğu en büyük yenilik, analog veri yerine sayısal veri kullanılmaya başlanmış olmasıdır. Bu geçişte ISDN'e benzer bir yapı kullanılmıştır: Tüm cihazlar, bağlantı ve durum verilerini aynı kanal üzerinden yollarlar. Bağlantı kurulunca, veri (veya ses) akışı bir kanal üzerinden yapılır. Her kullanıcı veri alıp verdiği sürece kanalı elinde tutar, paylaşmaz.
81
2. Nesil Teknolojiler (2G)
2G'nin getirmiş olduğu en büyük yenilik olan sayısal teknoloji, birçok yeniliği de beraberinde getirmiştir: Daha yüksek ses kalitesi Daha büyük kapasite Sesi ve verileri şifreleme imkânı Kısa veri iletimi ( kısa ileti, hücre bilgisi, ... )
82
2. Nesil Teknolojiler (2G)
2G teknolojileri GSM, TDMA ve CDMA’dır. GSM’in iki yönlü veri sağlama hizmetinden dolayı 2. nesil teknolojiler için GSM standart haline gelmiştir.
83
GSM Güvenliği
84
GSM Global System for Mobile Communications ("Devinimli İletişim için Küresel Dizge") İkinci nesil haberleşme sistemidir. 1982 de Groupe Spécial Mobile adında çalışmalara başlamıştır. Amaçları: Yüksek ses kalitesi Düşük telefon ve görüşme ücretleri Uluslararası dolaşım (roaming) için destek Yeni ürün ve hizmetlere açık bir yapı Kara haberleşmesine ilave olarak deniz haberleşmesinin de sağlanması Sistem güvenilirliğinin yükseltilmesi ve şifreleme tekniklerinin kullanılması
85
GSM GSM mümkün olan frekans kanallarının zaman slotlarına bölündüğü ve her kullanıcının düzenli aralıklarda bu zaman slotlarından bir tanesine eriştiği dar bantlı TDMA teknolojisi üzerine temellendirilmiştir. İlk olarak Mhz bandını kullanmak üzere tasarlanan GSM, kullanıcı sayısının artmasıyla beraber Mhz bandına taşınmıştır.
86
GSM GSM birkaç çeşit veri servisine sahiptir. GSM, 9600bps hızlarında,
POTS üzerindeki kullanıcılara, ISDN’ye, Paket Anahtarlamalı Kamusal Veri Ağlarına ve Devre Anahtarlamalı Kamusal Veri Ağlarına X.25 veya X.32 gibi çeşitli metot ve protokolleri kullanarak veri ve ses gönderip alabilir.
87
GSM Haberleşme Yapısı
88
GSM Haberleşme Yapısı GSM hücrelerinin planlanması yerleşim bölgelerinin özelliklerine göre yapılır. Hücre planlaması, hücrenin şehir içinde ya da şehir dışında olması ve kapsanacak bölgedeki GSM abone sayısı gibi faktörler göz önüne alınarak belirlenir. GSM hücresel sisteminde, kapsama alanına göre dört tip hücre vardır: Mega (Uydu), Makro, Mikro ve Piko hücre.
89
GSM Mimarisi Um Abis A BSC BTS HLR VLR EIR AUC MSC PSTN SS7
Erişim Ağı: Base Station Subsystem HLR VLR EIR AUC MSC PSTN Um Abis A Şebekenin Çekirdeği SS7
90
GSM Mimarisi Um Arayüzü (Hava arayüzü / radyo bağlantısı) : MS – BTS haberleşmesini sağlar. Abis Arayüzü : BTS-BSC haberleşmesini sağlar. A Arayüzü :BSC-MSC haberleşmesini sağlar. BTS : Hücrenin alıcı-vericilerini içerir. Sistem bileşenleri arasındaki iletişimi sağlar. BSC: Radyo kaynaklarının yönetimi ile görevlidir. Ayrıca MSC (Mobile Switching Center) ile mobil cihaz arasındaki ara yüzdür. MSC: Mobile Switching Center (Anahtarlama Merkezi)’dir. Sistemin merkezi kısmını oluşturur. Anahtarlamanın yanında mobil abonenin tüm ihtiyaçlarını karşılar: kayıt olma, asıllama, handover, çağrı yönlendirme, sabit telefon hattına (PSTN) bağlanma işlemlerini yapar. Bir çok hücreden sorumludur.
91
GSM Mimarisi HLR (Home Location Register-Merkez Konum Kaydı):
Aboneliklerin depolandığı ve yönetildiği bir veri tabanıdır. Abonelerin hizmet profilleri, konum bilgisi ve aboneler kakındaki sabit bilgiler bu veri tabanında saklanır. Kullanıcılar GSM operatörüne abone olduklarında HLR veri tabanına kayıtları yapılır. Ziyaretçi Konum Kaydı (VLR – Visitor Location Register): Mobil Anahtarlama Merkezinin, söz konusu aboneler hakkında geçici bilgileri içeren bir veri tabanıdır.
92
GSM Mimarisi AUC (Authentication Center- Doğrulama Merkezi):
Kullanıcı kimliğinin doğrulanması ve çağrı gizliliğinin sağlanması için doğrulama ve şifreleme parametrelerini sağlar. AUC, GSM ağlarının, değişik türde saldırılardan korunmasını sağlar. EIR (Equipment Identitiy Register-Cihaz Kimlik Kaydı): Çalıntı yetkisiz veya arızalı kullanıcılardan çağrı yapılmasını engelleyen ve ağdaki kullanıcı cihazlar hakkında bilgi içeren bir veri tabanıdır. AUC ve EIR ayrı ayrı olabileceği gibi ikisi bütünleştirilmiş de olabilir.
93
GSM GSM sisteminde iki mobil istasyon arasında konuşma her zaman 2 safhadan oluşur. Sinyalizasyon safhası: Bu aşamada a numarası tanımlanır, güvenlik denetimi yapılır, b numarasının yeri tespit edilip onun serbest veya meşgul olup olmadığı denetlenir. Konuşma safhası: Denetlemelerden sonra izin verilen ve iletişim sağlanan zaman dilimidir. Mobil kullanıcının sisteme dahil olabilmesi için önce kimlik tanıma işleminden geçmesi gerekmektedir. Kontrolden sonra eğer kullanıcı doğru kişi ise sisteme dahil olur ve haberleşme işlemi de şifreli bir biçimde gerçekleşir.
94
GSM Güvenliği Operatör Müşteri
Abonenin asıllanması (ücretlendirme, gizlilik…) Hizmetlere erişimi denetleme Müşteri Gizlilik (veri) Anonimliği sağlamak (abonenin konumunu saptanamamalı ve ona yapılan veya onun yaptığı çağrılar dinlenememeli)
95
GSM Güvenliği GSM sistemlerinde farklı işler için farklı şifreleme algoritmaları kullanılmaktadır. Mobil İstasyonu Doğrulama Algoritması (A3), Anahtar Üretme Algoritması (A8) Şifreleme Algoritması (A5)
96
GSM Güvenliği – A3 Algoritması
Bu algoritma Kimlik doğrulama amacıyla kullanılmaktadır. İlk olarak A3 algoritması 128 bit uzunluğundaki RAND (Rastgele) sayıyı BS (Baz İstasyonu)’den ve 128 bit uzunluğundaki kullanıcı kimlik doğrulama anahtarı Ki’yi SIM’den girdi olarak alır. Daha sonra 32 bit uzunluğundaki SRES (işaretlenmiş karşılık) çıktısını oluşturur. Bu 32 bitlik SRES, GSM ağındaki SRES ile karşılaştırılır. Eğer birbirleriyle uyuşuyorsa kimlik doğrulanır. A3 algoritması tek yönlü özetleme fonksiyonu kullanır, dolayısıyla ele geçirilen bir SRES’den Ki (Kullanıcı Kimlik Doğrulama anahtarı)’nin bulunması çok zordur
97
GSM Güvenliği – A8 Algoritması
Ses verisini şifrelemekte kullanılacak anahtarı üretme algoritmasıdır. A8, gizli anahtar Ki’yi ve MSC (Mobile Switching Center - Anahtarlama Merkezi)’den RAND (rastgele sayı)’ı alarak oturum anahtarı Kc’yi üretir. A8 algoritması ilk olarak, 128 bitlik RAND ve 128 bitlik Ki’yi girdi olarak alır. Bunları kullanarak, 64 bitlik şifreleme anahtarı Kc’yi çıktı olarak verir. Kc, MSC tarafından MS (Mobil İstasyon)’nin doğruluğu tekrar onaylanmaya karar verilene kadar kullanılır. Bu bazen birkaç gün alabilir. A3 ve A8 algoritmalarının ikisi de tek yönlü fonksiyonlardır
98
GSM Güvenliği – A5 Algoritması
A5 hava kanalı üzerinden şifreli veri gönderiminde kullanılır. A5 algoritmasının A5/1, A5/2 ve A5/3 gibi çeşitli varyasyonları vardır . A5/1 : hava kanalı üzerinden ses şifrelemesinde kullanılan güçlü şifreleme algoritmalarından biridir. Bir akış şifreleme yöntemidir. A5/2 ise Avrupa dışında kullanılan daha zayıf bir versiyondur. Üçüncü nesil cep telefonları içinse A5/3 tasarlanmıştır.
99
GSM Güvenliği – A5 Algoritması
A5 ilk olarak A8 tarafından üretilen 64 bitlik şifreleme anahtarı Kc ile her çerçevenin numarasını (frame number) girdi olarak alır ve 228 bitlik anahtar akım dizisi oluşturur. Bu 228 bitin 114’ü MS (Mobil İstasyon)’den BS (Baz İstasyonu)’e gönderilen verilerin şifrelenmesinde diğer 114 bitlik blok ise BS’den MS’e gönderilen verilerin şifrelenmesinde kullanılır.
100
GSM Güvenliği – A5 Algoritması
A5, A3 ve A8’in aksine SIM kart yerine cep telefonunun kendisinde çalışır. A5 algoritması şifreleme için dizi şifreleme (stream cipher) mekanizmasını kullanır. Veri, hava ortamıyla Kc kullanılarak şifrelenmiş çerçeveler (frame) olarak gönderilir.
101
GSM Güvenliği GSM ağında birimler bazında güvenlik özelliklerinin dağılımı aşağıdaki şekildeki gibidir. AUC: Kimlik Tanıma Merkezi VLR: Ziyaretçi Konum Kayıtçısı HLR: Merkez Konum Kayıtçısı
102
GSM Hattına Yapılacak Saldırılar
Mobil ortamların taşıdığı önemle birlikte bu ortamlara karşı yapılan saldırılarda artışlar olmuştur. Bu saldırılar: SIM kartları saldırıları, Sahte baz istasyonları, Kablolu hattan gelen tehditler, Kablosuza özgü tehditler SMS sazan avlama tehditleri, Mobil ortam virüsleri ve solucan tehditleri, Kontrol edilmemiş mobil mesajlaşma suiistimali, Frekans taramalı sistemler, Kullanıcının bloke edilmesi
103
GSM Güvenliğinin Zayıf Yönleri
Tek taraflı bir kimlik tanıma işlemi gerçekleşmesi (Sistem kullanıcıyı kimlik tanımadan geçirirken, kullanıcı sistemi kimlik tanıma işleminden geçirmez) nedeniyle sahte baz istasyonlarının kurulup bilgi çalınabilmekte ve değiştirilebilmektedir. İletişimde kullanılan şifreleme algoritmalarının ve kimlik tanıma algoritmalarının zayıflığı nedeniyle kolayca kırılabilmektedir.
104
GSM Güvenliğinin Zayıf Yönleri
BTS(baz istasyonu alıcı vericisi) ve BSC(baz istasyonu kontrolcüsü) arasında iletim genelde şifresiz yapıldığı için, mikro dalga frekanslarını çözebilen cihazlar ile iletilen veriye izinsiz erişim yapılabilmektedir. Görüntülü konuşma, e-ticaret, m-ticaret, video konferans, tv seyretme vs. konularda hem güvenilirlik hem de süreklilik sorunu vardır.
105
2.5 ve 2.75 Nesil Teknolojiler (2.5G ve 2.75G)
GPRS ve EDGE özelliklerinin GSM’e eklenmesiyle oluşan nesildir. İnternet'in yaygınlaşmasıyla birlikte GSM'in sunduğu 9.6 kbps veri taşıma kapasitesi yetersiz olmaya başlamıştır. Bu nedenle HSCSD standardı çıkartılmıştır. Bu standartta, bir cihaz birçok kanalı aynı anda kullanarak 43.2 kbps'ye kadar veri iletişimi yapabilmektedir.
106
2.5 ve 2.75 Nesil Teknolojiler (2.5G ve 2.75G)
Öte yandan, HSCSD de aynı GSM gibi veri iletilmediği zamanlarda bile hattı meşgul ettiği için şebekelere sorun çıkartmıştır. Buna cevap olarak bandın sadece veri iletilirken kullanıldığı GPRS standardı çıkartılmıştır. GPRS'in veri yollama şeklinden yararlanan BasKonuş gibi özellikler de kullanıcı bütçesine katkısı dolayısıyla ilgi görmüştür. Son olarak, GPRS'in hızını artırmak için GSM modülasyon tipi değiştirilerek EDGE teknolojisi yaratılmıştır.
107
GPRS Güvenliği
108
GPRS Genel Paket Radyo Servisi (GPRS), paket veri ağlarına kablosuz erişimi basitleştiren ve hızlandıran, GSM için yeni bir taşıyıcı hizmetidir. Sistem abonelerine, paket anahtarlamalı haberleşme tekniğini kullanarak, GSM şebekesi üzerinden, standart veri şebekelerine yüksek hızlarda erişim hizmeti sağlamaktadır. 2,5. nesil mobil haberleşme teknolojisi olarak bilinir.
109
GPRS Aynı hava ara yüzünde iki yeni ağ elemanı, SGSN ve GGSN ve yeni bir yazılım güncellemesi kullanarak paket veri servisleri sağlar. GPRS paket iletimi üzerinde temellendirilmiş birkaç veri servisine çatı olması için tasarlanmış bir kablosuz servistir.
110
GPRS GPRS, GSM içerisinde iki önemli ağ düğümü tanıtır:
GPRS Destek Düğümü Sunucusu - Serving GPRS Support Node ( SGSN ) GPRS Geçit Destek Düğümü - Gateway GPRS Support Node ( GGSN )
111
GPRS GPRS Destek Düğümü Sunucusu - Serving GPRS Support Node ( SGSN ):
SGSN, MSC (Mobil İstasyonu Kontrolcüsü) ile aynı hiyerarşik düzeydedir. SGSN mümkün olan mobil paket konumlarını izler, güvenlik işlevlerini ve erişim kontrollerini sağlar. SGSN BSC(Baz İstasyonu Kontrolcüsü)’ye frame relay ile bağlanmıştır. GPRS Geçit Destek Düğümü - Gateway GPRS Support Node ( GGSN ): GGSN dış paket ağlarına ( PDN ), verinin MS’e ulaşması için yönlend irme hedefini sağlamak ve amaçlanan hedefe mobil hücreden çıkan bilgiyi göndermek için, bir ara yüz oluşturur. GGSN dış paket anahtarlamalı ağlar arası çalışmayı sağlamak için tasarlanmıştır ve SGSN ile bir IP tabanlı GPRS omurga ağı üzerinden haberleşir.
112
GPRS GPRS Geçit Destek Düğümü - Gateway GPRS Support Node ( GGSN )
GGSN dış paket ağlarına ( PDN ), verinin MS’e ulaşması için yönlendirme hedefini sağlamak ve amaçlanan hedefe mobil hücreden çıkan bilgiyi göndermek için, bir ara yüz oluşturur. GGSN dış paket anahtarlamalı ağlar arası çalışmayı sağlamak için tasarlanmıştır ve SGSN ile bir IP tabanlı GPRS omurga ağı üzerinden haberleşir.
113
GPRS Mimarisi
114
GPRS Mimarisi GPRS ve GSM sistemleri birlikte çalışmayı ve kullanıcılar arasında kaynakların dinamik olarak paylaşımını destekler. Bu sebeple terminaller üç sınıfa ayrılmışlardır. A sınıfı gezgin istasyon: kullanıcıya herhangi bir kesinti olmaksızın devre anahtarlamalı ve paket anahtarlamalı bağlantıları aynı anda destekler. B sınıfı gezgin istasyon: GSM ve GPRS’e aynı anda bağlantı yapabilir, fakat bir sesli çağrı geldiğinde GPRS ile veri transferi geçici olarak beklemeye alınır. Herhangi bir anda sadece iki hizmetten birisini kullanabilir. C sınıfı gezgin istasyon: Herhangi bir anda protokollerden sadece bir tanesine erişime imkânı sağlar. Diğer bir ifade ile hem GPRS hem de geleneksel GSM hizmetlerine erişim yapabilen C sınıfı gezgin istasyonda aynı anda kullanım ve kayıt mümkün değildir. Sadece SMS mesajları aynı zamanda alınabilir ve gönderilebilir.
115
GPRS Güvenliği GSM güvenliğinin en zayıf noktası olan BTS(baz istasyonu alıcı vericisi) ve BSC(baz istasyonu kontrolcüsü) arasında iletişimin şifresiz yapılması nedeniyle bilgi çalınması sorunu burada şifreleme sorumluluğunun başka bir birime aktarılması ile çözümlenmiştir.
116
GPRS Güvenliği GPRS teknik güvenliği GSM’e benzer şekildedir.
Güvenilirlik, Bütünlük, Kimlik tanıma servisleri ve ağ iletişimi yer alır. GPRS güvenliğini sağlamak için 3 algoritma kullanılır. A3 kimlik tanıma işlemi için, A8 şifreleme anahtarı üretmek için GEA3 veri şifrelemesi için kullanılan algoritmalardır. GEA3 KASUMI blok şifrelemeyi temel alırken, A3 ve A8 RIJNDAEL blok şifrelemeyi temel almıştır.
117
GPRS Güvenliği – GEA3 Algoritması
GEA3 algoritması A5/3 algoritmasına benzeyen bir yapıya sahip bir algoritmadır. Kc anahtarının üretilmesini sağlar. Daha geliştirilmiş bir algoritma olduğu için veri iletişiminin daha güvenli yapılmasını sağlar.
118
3. Nesil Teknolojiler (3G)
3G mobil şebekeler kullanıcılara çoklu ortam hizmetleri sunmak için tasarlanmıştır ve sesin yanında görüntü, veri ve yüksek hızda internet bağlantısı sağlanabilmektedir. 3G teknolojisinin en önemli yanı CDMA, TDMA ve GSM gibi kablosuz standartlarını tek bir şemsiye altında birleştirmesidir. 3G sistemler; çok hareketli kullanıcılara 144kbps, yavaş ve orta hızlı kullanıcılara 384kbps Durağan kullanıcılara ise 2Mbps hızında veri hızı sağlamaktadır.
119
3. Nesil Teknolojiler (3G)
3G'nin getirmiş olduğu birçok yenilik vardır: Mesajlaşma, internet erişimi ve yüksek hızda çoklu ortam haberleşme desteği Gelişmiş hizmet kalitesi Gelişmiş pil ömrü Konumlandırma hizmetlerinin sağlanması İşletim ve bakım kolaylığı Mevcut şebekelerle birlikte çalışabilirlik, 2G’ye dolaşım sağlayabilme Mevcut şebekelere geriye doğru uyum sağlayabilme, düşük kurulum maliyeti Gelişmiş güvenlik yöntemleri sayesinde mobil ticarete ortam sağlayabilme
120
3. Nesil Teknolojiler (3G)
3G teknolojilerinin ilki UMTS, GSM sistemlerinin yeni neslidir. Radyo erişim (Radio Access) tekniği olarak Geniş bant Kod Bölmeli Çoklu Erişim (Wideband Code Division Multiple Access-WCDMA) kullanmaktadır. Mobil iletişim altyapısı olarak GSM sistemini kullanan servis sağlayıcılar için 3G hizmetlerini sunmak için tercih edecekleri en muhtemel teknolojinin WCDMA olacağı düşünülmektedir. UMTS konuşma odaklı 3G teknolojisidir. Ancak veri hızı istenen oranda değildir.
121
3. Nesil Teknolojiler (3G)
3G teknolojilerinin ikincisi WCDMA’ya rakip olarak gösterilen ve CDMA2000 olarak adlandırılan Çok taşıyıcılı CDMA (MC-CDMA) teknolojisidir. CDMA2000, CDMA teknolojisine dayalı 2G şebekeler için 3G hizmetlere en uygun geçiş yoludur. HSPA veri odaklı 3G teknolojisidir. (O yüzden 3.5G olarak da anılır.) HSPA iki sınıftır: HSPDA (Downlink HSPA, sadece size gelen trafik.) HSPUA (Uplink HSPA, sizden Ģebekeye giden trafik. Cihazların çoğu HSPDA ile gelir, bu cihazlar veriyi gönderirken UMTS üzerinden gönderip HSPDA üzerinden alır. (E-posta gönderirken nispeten yavaş gönderirsiniz ama film izlerken veriyi alan taraf olarak HSPDA üzerinden alacağınız için hızlı olur.)
122
1G-2G-3G
123
3G Mimarisi ve Güvenliği
124
3G Mimarisi
125
3G Güvenliği UMTS içindeki güvenlik 128 bit şifreleme anahtar uzunluğu ile daha güçlü şifreleme algoritması ve karşılıklı kimlik doğrulaması gibi artı işlemleri kapsar. UMTS, AKA (Authentication and Key Agreement) protokol kullanarak, ağ erişim güvenliği sağlar. AKA protokolü GSM içinde gelişen ve sabit güvenlik metodları ile geliştirilmiştir. AKA karşılıklı kimlik tanıma yani her iki kısmında bir diğerinin kimliğini tanıma gibi GSM’e oranla ek güvenlik sağlar.
126
3G Güvenliği Kimlik tanıma işleminde 3 adet varlığa ihtiyaç vardır. Bunlar, kullanıcı yani mobil cihaz veya USIM (User Subscriber Identity Module), servis ağı VLR (Visitor Location Register) ve ev ortamı AUC/HLR (Authenticatiın Center/Home Location Register). Servis ağı kullanıcı ile bağlantı kuran gerçek bir ağdır. Ev ortamı, kullanıcının orijinal abone olduğu ağdır ve kimlik tanıma işleminde başlıca rol oynar.
127
3G Güvenliği AKA kimlik tanıma algoritması genelde MILENAGE olarak isimlendirilir. Algoritma tasarımında AES şifreleme standardı kullanılır. Kimlik tanıma ve anahtar anlaşması için 128 bit anahtar uzunluklu, 128 bit blok kullanan bir Blok şifreleme MILENAGE kullanılmaktadır. Güvenilirlik için yani lineer ve diferansiyel kriptanaliz saldırılarına direnmek için MISTY1 blok şifreleme ve MISTY1 üzerine kurulan 128 bit anahtar kullanan 64 bit blok ve 8 döngülü Feistel şifreleme kullanan KASUMI algoritması kullanılmaktadır.
128
3G Güvenliği 3G sağladığı hizmetlerin yanında güvenli aktarımda da büyük yenilik sağlamıştır. Kimlik doğrulamada hem istasyon hem de kullanıcının kimlik sorgulaması yapılarak güvenilirlik sağlanmıştır. Ayrıca GSM içinde kullanılan A5 şifreleme algoritmaları kırılmış iken; UMTS, içinde veri şifrelemesinde KASUMI algoritması adı verilen güçlü algoritmalar ve 64 bit yerine 128 bitlik anahtar kullanılmıştır. Bununla beraber bütünlük kontrolü içinde şifrelemede bütünlük algoritması uygulanmıştır. Replay saldırılarından korunmak ve man-in-the-middle ataklarına karşın sekronize olarak USIM ve AuC veritabanı içinde SQN sıra numarası kullanılmıştır. Bilgi sahasının gizliliği için AMF adı verilen kimlik yönetim sahası kullanılmıştır.
129
4. Nesil Teknolojiler (4G)
IPv6 tabanlı bir iletişim teknolojisidir. Benzer GSM standartları gibi hücresel bir ağ sistemi kullanmakla birlikte üçüncü nesil şebekelerde baş gösteren kapsama alanı ve benzer problemler karşısında daha verimli bir teknolojidir. 3G ve 4G'nin en büyük özelliği, mevcut şebekelerle mümkün olmayan hızlı görüntü transferini mümkün kılmasıdır.
130
4. Nesil Teknolojiler (4G)
4G, tamamıyla IP tabanlı, kablolu veya kablosuz bilgisayar, tüketici elektroniği, iletişim teknolojileri ve iç ve dış ortamlarda sırası ile servis kalitesi ve yüksek güvenliğiyle herhangi bir zamanda herhangi bir yerde her türlü ağ hizmetini tek bir noktada birleştirerek makul fiyat ve tek faturalandırmayla gerçekleştirecek, 100 Mbit/s ila 1 Gbit/s veri iletim kapasitesini sağlayabilen sistemlerin sistemi ve ağların ağı olmayı hedefleyen bir hizmettir.
131
4. Nesil Teknolojiler (4G)
4G için düşünülen teknolojiler ile ilgili olarak üç ayrı yoldan standardizasyon aktiviteleri yapılmaktadır. Kuzey Amerika bölgesi için mobil haberleşme standartlarını oluşturan 3GPP2 UMB’yi 4G teknolojisi olarak seçmiştir. 3GPP ise LTE ile yoluna devam etmektedir. IEEE (Institute of Electrical andElectronics Engineers) ise mobil WiMAX(802.16m) standartlarını geliştirmektedir. Bu üç teknolojinin de ortak yanı OFDM(Orthogonal Frequency DivisionMultiplexing) modülasyon teknolojisini seçmiş olmalarıdır.
132
4. Nesil Teknolojiler (4G)
Biri, anahtarlı devre, diğeri anahtarlı paket şebeke düğümleri kapsayan, iki paralel altyapıya dayalı 3G'nin aksine, 4G, sadece, paket anahtarlama tekniğine dayanmaktadır.
133
E-Posta Güvenliği
134
E-Posta Güvenliği E-posta sistemleri geleneksel posta sistemi ile büyük benzerlik göstermektedir: İletilmesi istenen mesaj hazırlanarak sonra alıcı tarafın e-posta adresi de eklenerek uygun bir program veya ücretsiz internet siteleri aracılığıyla mesaj gönderilir. E-posta öncelikle bir sunucuya iletilir. Sunucu ise alıcı alanındaki e-posta adresine mesajın gönderilmesini sağlar.
135
E-Posta Güvenliğine Yönelik Tehditler
Gizlilik Adımındaki Eksiklik Brute Force Fake Mail Phishing Keylogger-Trojan Uygulama Zaafları Sosyal Mühendislik XSRF-CSRF-XSS Clickjacking
136
Tehditler- Gizlilik Adımındaki Eksiklik
Herhangi bir web sayfasına üye olduğunuz anda o sayfanın arama motorlarının robotları tarafından indexlenmesi sonucunda mail adresiniz “bulunabilir” olacaktır. Diğer bir ihtimal ise üyelik profilinizden e-posta adresinizin okunabilmesidir. Arama motoru kayıtlarına mail adresiniz girdiği anda spam listelerine de girmiş olursunuz, bu durumda da brute force (kaba kuvvet) ile saldırı yapanlarında “tesadüfen” saldırı listesine dahil olabilirsiniz. Üye olduğunuz web uygulamasının veritabanı kırıldığı (hacklendiği) zaman eğer şifreniz kriptolanmamış ya da bir hash fonksiyonu içinden geçirilip kaydedilmemiş ise üyelik için kullandığınız şifre de ele geçirilecektir. Genel olarak kullanıcıların birçok yerde aynı şifreyi kullandığını düşünürsek bu ciddi bir durumdur. Bu nedenlerden dolayı başkaları tarafından ele geçirildiğinde sizin için sorun olacak mail adreslerinizi sitelere üye olmak için kullanmamalısınız.
137
Tehditler- Brute Force (Kaba Kuvvet) Atak
Deneme yanılma yada bazı kelime listeleri kullanarak şifreyi tahmin etmeye çalışan saldırı türüdür. Günümüzde teknoloji saldırganlar lehinde çalışarak tanıdığınız kişilerin bazı bilgilerini girip onlardan şifre üreten ve deneyen programlar geliştirilmiştir. Bu saldırıdan korunmak için e-posta şifrelerimizi küçük-büyük harfleri, rakamları ve özel karakterleri birlikte kullanarak oluşturmamız gerekir.
138
Tehditler- Fake Mail (Sahte Mail) Atak
Posta kutunuza giriş yaptığınız sayfanın veya herhangi bir web sayfasının fake'inin (sahte) basit html kodları ve formmail ile hazırlanmış halidir. Kullanıcıyı bu adrese bir mail yardımı ile çekmeye çalışmak ve bu sahte giriş panelinden giriş yapmasını sağlatmaya çalışma işlemidir. Saldırıdan korunmak için dikkatli davranılarak tıklanacak bağlantının nereye götüreceğini gösteren adres çubuğu incelenmelidir.
139
Tehditler- Pnishing “Sosyal Mühendislik” teknikleri kullanılarak, kurbanın kredi, Debit/ATM kart numaraları/CVV2, şifreler ve parolalar, hesap numaraları, internet bankacılığına girişte kullanılan kullanıcı kodu ve şifreleri gibi büyük önem arz eden ve çok iyi korunması gereken bilgilerini, kurbanı aldatarak elde etme yöntemi olarak tanımlanabilir. Başka bir ifadeyle Phishing; kişileri, yasal bir şirket, ajans veya organizasyon olduğuna inandırarak, kişisel ve finansal bilgilerini ele geçirme yöntemidir. Mail'i gönderen kişinin adresine aşina olmanız, bu mailin gerçekten o kişi tarafından yollandığı anlamına gelmez ! Gönderen kısmında yazan adres saldırgan tarafından istediği gibi değiştirilebilir. Tek korunma yöntemi dikkatli ve bilinçli olmaktır.
140
Tehditler- Keylogger / Trojan
Bir malware (Zararlı Yazılım) genellikle temel olarak 2 kısımdan oluşur. Bunlar “server-sunucu” ve “client-istemci”tir. Zararlı dosya hedef kişiye çeşitli yöntemlerle kabul ettirilmeye çalışılır. Server dosyasını hedef kişi çalıştırdığı andan itibaren hedef üzerinden veri gönderilir/alınır, ekran görüntüsü yada klavye vuruşları alınabilir. Bir keylogger veya trojan sayesinde hedef seçilen bilgisayarda yapılan işlemlerin kayıtları da elde edilebilir.. Sürekli olarak değişikliğe uğrayan ve yenileri yayılan bilgisayar virüslerine (keylogger – trojan) karşı alınabilecek en belirgin önlem düzenli olarak veritabanları güncellenen bir antivirüs programıdır. Antivirüs programları doğrudan kullanıcının masaüstü bilgisayarında çalışabileceği gibi e-posta sunucu sistemleri, içerik tarama uygulamaları, firewall gibi merkezi yapılar üzerinde de çalıştırılabilir.
141
Tehditler- Uygulama Zaafları
E-posta hesabınıza girişlerinizde tarayıcılarınızın “beni hatırla” seçeneğini aktif edilmemelidir. Hatırla demeniz durumunda browser'ın (tarayıcı) şifreleri barındırdığı dosyanın çeşitli yollarla saldırganın eline gelmesi ile mail adresiniz hacklenebilir . Firefox'un hatırladığı şifreleri görüntüleyebilirsiniz. Outlook şifreleriniz “Protected Storage PassView” gibi yazılımlarla çalınabilir. Outlook gibi yazılımlarda zaman zaman bulunan zaaflar ile mail güvenliğiniz tehlikeye düşebilir. Bu yüzden otomatik güncelleştirmeleri açık tutmak tavsiye edilir.
142
Tehditler- Sosyal Mühendislik
Sosyal mühendislik kişileri kandırarak değerli bilgi ve parolalarını ellerinden almayı amaçlamaktadır. Günümüzde google, bloglar, sosyal ağlar ve daha bir çok yöntem ile hedef kişi hakkında bilgi toplanabilir. Sosyal Mühendislik sanatı kişisel iletişim ve ikna kabiliyeti gerektiren bir iştir. Karşı tarafın şüphesini çekmeden elde edilmek istenilen bilgiyi almak her zaman sanıldığı kadar kolay olmayabilir. Bu yüzden “sabır” çok önemli bir faktördür.
143
Tehditler- XSRF-CSRF-XSS
Saldırganın çoğunlukla JavaScript kodunu siteye enjekte etmesiyle ortaya çıkar. Saldırganın özel oluşturduğu bir linki kurbana gönderdiğini düşünelim. Kurbanın linke tıklamasıyla JavaScript kodu çalışmaya başlar ve kurbanın cookieleri saldırgana gider, cookieler sayesinde hedef kişinin oturumu yetkisizce çalınabilir. Hedef kişinin oturum bilgileri, saldırganın kurduğu sniffer'da toplanır. Bu tür saldırılarından korunmanın herhangi bir yolu yoktur. Tek çözüm bilmediğiniz linklere tıklamamanız ve Hex'li url'lere karşı şüpheli yaklaşmanızdır. Hex'li url örneği :
144
Tehditler- Clickjaking
Bir browser güvenlik açığıdır. Iframe ; Bir web sayfasına zararlı bir web sayfasının (opacity(şeffaflık) değeri=0) olarak gizlenmesidir. Sayfa içinde sayfa mantığıdır. Click and Redirect; Normal bir link yerine tıklanış esnasında farklı bir action(yönlendirme) sağlanmış, tuzaklanmış linklerdir. Clickjacking ile basit bir web sayfası hazırlayıp, ufak bir sosyal mühendislik senaryosu ile bir formu submit ettirebilir, dolayısı ile XSRF saldırısı gerçekleştirebilir, HTML Downloader, Keylogger gibi yazılımları ile saldırı yapılabilir. Çözümü dikkatli davranmaktır.
145
WWW Güvenliği
146
WWW Güvenliği WWW, Web, ya da W3 (World Wide Web), yazı, resim, ses, film, animasyon gibi pek çok farklı yapıdaki verilere kompakt ve etkileşimli bir şekilde ulaşmamızı sağlayan bir çoklu hiper ortam sistemidir. Hiper ortam, bir dökümandan başka bir dökümanın çağırılmasına (navigate) olanak sağlar (iç içe dökümanlar). Bu ortamdaki her veri (object), başka bir veriyi çağırabilir .
147
WWW Güvenliği WWW ( World Wide Web ) kısacası dünyadaki bilgisayarların birbiriyle iletişim kurabildiği, görüntü, ses, veri paylaşımının yapılabildiği global bir ağdır. Bu ağa üye olan milyonlarca bilgisayar web sayfalarını düzenleyip belli bir web sunucusu üzerinde yayınlanmaktadır. Her bir sitenin kendine ait www ile başlayan bir web adresi vardır. Bu web adreslerini görüntülememize yarayan çeşitli yazılımlar vardır. Bunlara web tarayıcı (Browser) denir. (Internet Explorer, Google Chrome, Mozilla Firefox gibi)
148
WWW Güvenliği Bir Web dokümanına ulaştığımızda her şey 4 ana fazda gerçekleşir: Bağlantı Ne istediğimizin web servisine iletilmesi Cevap İlgili sayfaya yapılan bağlantının kesilmesi Bu ana safhalar, web üzerinde iletişimin kurallarını tanımlayan bir protokolü oluştururlar. Bu protokole de, Hyper Text Transfer Protocol (HTTP) denir.
149
WWW Güvenliği Bağlantı safhasında, web erişiminde kullanılan bir web listeleyici (browser, web client), ilgili bilginin olduğu web servisine bağlanır. Bu servislere HTTP servisleri de denir. Bağlantı sağlandıktan sonra web istemci programımız http servisine "ne istediğini" bildirir. Bu istek "http", "ftp", " " gibi bazı protokol kurallarını içerir ve bu işlemlere genel olarak "navigate" de denir. Bu isteği alan http servisi de, istediğimiz işlemi yapar ve cevabı bize gönderir. Biz de gelen cevabı web istemci programımızda görürüz. Eğer istek gerçekleştirilemiyorsa bir hata mesajı ile karşılaşırız. Son safhada ise, http servisine yaptığımız bağlantı kesilir.
150
WWW Güvenliği Günümüzde World Wide Web (WWW),güncel ve doğru bilgiyi insanlara ulaştırmak için en kolay ve en etkin yöntem olarak karşımıza çıkmaktadır. Kurulan bir web sunucusu ve içine hazırlanan site içeriği üzerinden, kurumunuz hakkında bilgiyi sunabilir ve ticaret yapabilirsiniz. Web sitesi saldırıları (web defacement) her geçen gün artmaktadır. Bunun nedeninin web sitesi güvenliğinin yeterince ciddiye alınmaması olduğu düşünülmektedir. Yine WWW üzerinde girdiğimiz kişisel bilgiler de saldırganlar tarafından kolaylıkla elde edilebilir durumdadır.
151
WWW’de Korunma Yöntemleri
%100 güvenmediğiniz sitelerden program indirmeyin, bu programları kullanmayın. Tanımadığınız kişi veya kurumlardan gelen e-postalardaki ekli dosyaları açmayın,chat gibi güvensiz yollarla gelen dosyalar almayın. Bilmediğiniz veya güvenliğinden emin olmadığınız sitelere kişisel bilgilerinizi kesinlikle vermeyiniz. İnternet üzerindeki güvenlik ile ilgili konu ve bilgileri yakından takip ediniz. İşletim sisteminizi ve programlarınızı korumak için yeni teknolojileri kullanınız. Bankaların Internet şubelerinde ya da kimlik doğrulaması yaparak giriş yaptığınız tüm sitelerde işlemlerinizi sona erdirdikten sonra mutlaka "Güvenli Çıkış" butonunu kullanın.
152
WWW’de Korunma Yöntemleri
Kredi kartınızı kullandığınız ya da kişisel bilgilerinizi yazdığınız bilgisayarın güvenli olmasına dikkat edin. İnternet cafe gibi yerlerde bu tarz bilgilerinizi kesinlikle girmeyin. Kullanmakta olduğunuz işletim sisteminiz ve tarayıcı programınız için üretici firma tarafından yayınlanan güvenlik güncelleştirmeleri ve yamalarını mutlaka kullanın. Microsoft Internet Explorer kullanıyorsanız, Microsoft Security ana sayfasından 'den konu ile ilgili özel güvenlik ayarlarını yükleyin. Trojanların, virüsler gibi, tamamen masum programlara iliştirilebileceğini unutmayın. İstediğiniz program bilinen ve saygı duyulan bir şeyse bile, kişisel sayfalardan ziyade, yapımcının sayfasından edinin.
153
WWW’de Korunma Yöntemleri
Bilgisayarınızı risklerden korumanın en önemli yollarından birisi de bir Kişisel Firewall yazılımı edinmektir. Firewall (ateş duvarı) ile bilgisayarınız ile art niyetli kullanıcılar arasına bir set çekilmiş olur. Temelde hem şüpheli haberleşmeyi kısmen engellemek, hem de şüphesiz haberleşmelere izin vermek gibi bir fonksiyonu yerine getirir. Bir başka deyişle Firewall, e-posta da dahil olmak üzere pek çok kanaldan size ulaşan bilgi ve belgeleri kontrol eder ve uygun olmayan ya da şüpheli bilgi girişini engeller.
154
WWW’de Korunma Yöntemleri
İnternet'te paylaşmanız gerekenden fazlasını paylaşmayın. Gerçekten ihtiyacınız olmadıkça 'File and Printer sharing' gibi şeyleri yüklemeyin. Bir network üzerindeyseniz ve dosyalarınızdan bir kısmını paylaşıma açmak zorundaysanız, onları şifre korumalı olarak paylaştırın. 'ky8xdj33bgyt67' gibi uzun ve rasgele bir şifre kullanmalı ve düzenli olarak değiştirmelisiniz. Erişmek istediğiniz web sayfasının adresini tarayıcınızın adres satırına kendiniz yazın.
155
WWW’de Korunma Yöntemleri
İnternetten indirdiğiniz her dosyayı çalıştırmamalı ve her soruya "Yes" ya da "Evet" butonuna tıklayarak cevap verme alışkanlığına son vermelisiniz. Hatta son zamanlarda "No" ya da "Hayır" tuşuna basmakla da bu programların kendiliğinden yüklenebilmektedir. Pencerenin sağ üst köşesinde yer alan "X" yani pencereyi kapa düğmesine tıklamak en garantili yol gözükmektedir. Müzik, resim, film indirmek istediğinizde uzantılara dikkat etmelisiniz. ".exe" uzantısı gördüğünüzde indirmeyip o siteyi kapatmalısınız. Çünkü dialer programları sadece tıklama yapıldığında değil, siz o sayfayı açtığınızda hiçbir yere tıklamasanız da bilgisayarınıza kendiliğinden yüklenebilmektedir.
156
Elektronik Ticaret Güvenliği
157
E-Ticaret Güvenliği E-ticarette karşılıklı iki taraf birbirinin kimliklerinden emin olmalıdır. Sayısal imza, Sayısal sertifikalar, Kredi kartı bilgilerinin güvenliği ve gizliliği, SSL, SET. SSL(Secure Socket Layer) ve SET(Secure Electronic Transfer) 128 bit şifreleme anahtarı kullanmaktadırlar.
158
E-Ticaret Güvenliği-SSL
3 temel güvenliği sağlar Asıllama Şifreleme Veri bütünlüğü Bilgi sadece doğru adreste deşifre edilir. Her iki tarafta asıllama yapılır. Bilgisayarların birbirini tanıması açık anahtar tekniğiyle yapılır. SSL, simetrik şifreleme algoritması, mesaj özeti fonksiyonu ve kimlik tanımlaması seçiminde esnektir.
159
E-Ticaret Güvenliği-SSL
SSL işlemleri: İstemci (örnekte browser) sunucu portuna bir bağlantı açarak 'ClientHello' mesajı gönderir. Sunucu 'ServerHello' mesajı ile cevap verir. Sunucu sertifikasını gönderir. Sunucu istemci sertifikası isteği gönderir (seçime bağlı). İstemci sertifikasını gönderir (seçime bağlı). İstemci 'ClientKeyExchange' mesajı gönderir. İstemci 'CertificateVerify' mesajı gönderir (seçime bağlı). Hem istemci hemde sunucu 'ChangeCipherSpec' mesajı gönderir. Hem istemci hemde sunucu 'finished' mesajı gönderir.
160
E-Ticaret Güvenliği-SET
SET her müşteriye bir e-cüzdan verilmesini öngörür. Açık anahtar şifrelemesini,DES ve RSA birleşimini kullanır. SET protokolu müşteri,banka ve sanal mağaza arasındaki ödeme fazını şifreler.
161
E-Ticaret Güvenliği-SET
SET protokolunu kullanmak isteyenler, Kullanmak istedikleri her bir kredi kartı için sertifika otoritesinden birer SET sertifikası almalı, Bankadan sanal cüzdan programını alıp yüklemeli ve kredi kartlarını tanıtmalı, SET, SSL e göre daha güvenlidir. DES ve RSA şifrelemesi yapar.
162
E-Ticaret Güvenliği-SET ile SSL arasındaki farklar
SSL de kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilememektedir.SET de garanti edilir. SSL de kart ve POS un ait olduğu bankalar bu modelde yoktur. SSL de kart bilgileri internet üzerinden şifrelenmektedir. Mağaza kart bilgilerini görebilir. SET de kart bilgilerini mağaza göremez. Sadece banka görebilir.
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.