Wi-Fi Üzerinden Sızma Saldırıları: WPA3 Yetmiyor mu?
Kablosuz ağlar, mobilite ve verimlilik adına kurumlara büyük kolaylık sağlasa da aynı zamanda ciddi bir güvenlik zafiyet alanıdır. Özellikle halka açık ya da zayıf segmentasyon yapılarına sahip kurumsal ağlarda, saldırganların kablosuz erişim noktalarını hedef alarak gerçekleştirdiği saldırılar giderek çeşitlenmektedir.
Her ne kadar WPA3 gibi modern şifreleme protokolleri geliştirilmiş olsa da, kablosuz güvenliği yalnızca parola seviyesinde düşünmek büyük bir yanılgıdır. Saldırganlar artık sadece kablosuz ağ parolasını kırmaya çalışmıyor; aynı zamanda kullanıcıları kandırarak sahte ağlara yönlendirme, kimlik bilgilerini çalma ve ağda yetkisiz erişim elde etme gibi daha sofistike yöntemler kullanıyorlar.
Saldırı Teknikleri
1. Evil Twin (Sahte Erişim Noktası)
Saldırgan, kurumsal Wi-Fi ile aynı SSID’ye sahip sahte bir erişim noktası kurar. Kullanıcı, güçlü sinyale aldanarak bu sahte ağa bağlanır. Ardından kimlik bilgileri, oturum tanımlayıcıları veya VPN şifreleri çalınabilir.
2. PMKID Saldırıları (WPA2/WPA3)
Modern Wi-Fi ağlarındaki PMKID kimlik doğrulama süreci, saldırganın bağlantı kurmadan bile hash bilgilerini elde etmesini mümkün kılar. Bu hash, çevrimdışı brute-force ile kırılarak Wi-Fi şifresi elde edilebilir.
3. Rogue AP (Yetkisiz Erişim Noktası)
Kurum ağı içerisine fiziksel veya yazılım tabanlı yetkisiz bir AP yerleştirilir. Bu AP, kurum içi ağ trafiğini dinleyebilir veya yönlendirebilir.
4. Deauthentication (Disconnect) Saldırıları
Saldırgan, kurban cihaza sürekli olarak bağlantıyı kesmesi için "deauth" paketleri gönderir. Amaç, kullanıcıyı Evil Twin'e düşürmek veya DoS yaratmaktır.
-FortiAP & Huawei AirEngine Üzerinden Güvenlik Önlemleri
1. Rogue AP Detection ve Suppression
FortiAP 431F veya Huawei AirEngine 5761 gibi üst segment erişim noktalarında rogue AP tespiti yapılabilir. Sistem, ortamda yayın yapan yetkisiz SSID’leri algılar ve gerektiğinde bu yayını bastırır.
2. Wireless Intrusion Detection System (WIDS)
Fortinet WIDS/WIPS özelliği ile:
Deauth saldırıları
MAC spoofing
SSID kopyalama girişimleri
tespit edilir ve loglanır.
3. VLAN Segmentasyonu + Firewall Policy
Kurum ağına bağlı her SSID ayrı VLAN içinde tanımlanmalı. Böylece bir kullanıcı rogue AP üzerinden iç ağa gelse bile doğrudan erişim sağlayamaz.
Kaspersky Endpoint ile Uçtan Koruma
Kaspersky Endpoint Security for Windows/Linux ürünlerinde aşağıdaki senaryolar korunabilir:
Sahte Wi-Fi tespiti: Sistem, DNS yanıtlarının veya HTTPS sertifikalarının uygunsuzluğu ile sahte AP'yi tespit eder.
VPN koruma modülü: Açık Wi-Fi algılandığında otomatik VPN bağlantısı sağlanabilir.
Web kontrol + şifre koruma: Kimlik avı ve MITM saldırılarında veri sızıntısı engellenebilir.
Gerçek Dünya Senaryosu
Bir kamu kurumunda, iç ağ SSID’si ile aynı isme sahip bir sahte AP yayın yaptı. Güçlü sinyale aldanan bir kullanıcı, cihazını otomatik olarak bu sahte ağa bağladı. Cihaz, SSL inspection uygulanmamış bir politika ile internete erişim sağladığından, saldırgan MITM yöntemiyle kurum e-posta şifresini ele geçirdi.
Olay, FortiAnalyzer üzerindeki rogue AP logları ve Kaspersky Network Threat Protection modülü sayesinde tespit edildi.
Öneriler
Sadece WPA3 kullanmak yetmez, kablosuz ağları aktif şekilde izlemek gerekir.
FortiAP ve Kaspersky birlikte kullanılarak, hem AP hem de uç nokta güvenliği sağlanmalıdır.
Kurumlar, SSID broadcast denetimi, MAC filtreleme, segmentasyon, ve anormal AP yayını tespiti gibi adımları içeren çok katmanlı bir kablosuz güvenlik politikası oluşturmalıdır.
yazar: Asrın Haktan Şahin