Bu yazıda yaygın olarak kullanılan ADSL yönlendiricileri (ADSL modem olarakta bilinirler) güvenli hale getirme yolları hakkında bilgi verilmiştir.
Kişisel bilgi güvenliği günümüzde çok önemli hale gelmiştir. Bilgisayarımızda farkında olmasak da çok fazla kişisel bilgi bulunduruyoruz. Banka hesap şifreleri, e-posta hesap şifreleri, özlük bilgileri, vs. gibi kişisel bilgilerimizi sürekli İnternet’te kullanıyoruz. Güvenliği sağlanmamış bir ADSL yönlendirici üzerinden İnternet’e çıkılması bu bilgileri tehlikeye atmaktadır.
ADSL hattımızın başkaları tarafından kullanılmasının engellenmesi gereklidir. Çünkü ADSL hatları üzerinden yapılacak her türlü işlemden hattın resmi sahibi sorumludur. 5651 numaralı Türk Ceza kanununda İnternet’in ortak kullanım şartları ve ADSL kullanıcılarının 3. şahıslara İnternet hizmeti verme koşulları belirlenmiştir. Bu şartlar sağlanmadan İnternet bağlantısının bir başkasına kullandırılması durumunda, bu bağlantı üzerinden yapılacak işlemlerden hattın sahibi sorumlu tutulur.
ADSL yönlendiricilerin güvenliğini sağlamak için dikkat edilmesi gerekilen noktalar şu şekilde sıralanabilir:
1. ADSL Bağlantısının İzinsiz/Ortak Kullanılması ADSL bağlantısının başkalarıyla ortak kullanılması her ne kadar zararsız olarak düşünülse de, aslında çok tehlikelidir. İnternet hızının düşmesi ve kota aşımı sonucu hat sahibine yüksek faturalar gelmesi ADSL bağlantısını bir başkasının kullanmasında ilk ortaya çıkan zararlardır. ADSL bağlantısını bir başkasının kullanması durumunda, hat sahibi bu hat üzerinden gerçekleştirilen yasaklı ve zararlı içerik barındıran sitelere girilmesi, diğer bilgisayarlara saldırı yapılması, vs. gibi suç teşkil eden faaliyetlerden sorumlu tutulabilir. ADSL hattının resmi sahibinin, ADSL bağlantısını yasal ve teknik risklerinden dolayı ortak kullandırmaması tavsiye edilmektedir. Ayrıca ADSL hattı sahibi ADSL yönlendiricisine izinsiz yapılacak bağlantı isteklerini engellemek için gerekli önlemleri almalıdır.
2. Kablosuz iletişim
Kablosuz yayın yapan ADSL yönlendiricilerde, bilgisayar ile ADSL yönlendirici arasındaki iletişimin çevredeki şahıslar tarafından dinlenilmesi mümkündür. Kablosuz yayında iletişim hava yolu ile yapıldığından, yani fiziksel olarak iletişimi kontrol edemediğimizden dolayı kablosuz ADSL yönlendirici ile yapılan iletişimi dinleyen bir saldırganın İnternet’te yapılan işlemleri görmesi, e-posta ve banka hesap şifreleri gibi kişisel bilgileri ele geçirmesi mümkündür. Bunun yanında bilgisayar ile ADSL yönlendirici arasında giden verileri değiştirerek İnternet kullanıcısını yanlış yönlendirmesi de mümkündür. Bu soruna çözüm olarak saldırganın iletişimi anlamaması için iletişimin şifrelenmesi yoluna gidilmiştir. Kablosuz iletişim için geliştirilen ilk şifreleme algoritması olan WEP algoritmasının zayıflığından dolayı ve kısa sürede kırılabildiği için güvenli değildir. Şifreleme algoritması olarak WEP’in kolayca kırılabilmesinden dolayı geliştirilen, daha güçlü algoritmaları olan WPA-WPA2 algoritmaları kullanılmalıdır.
Kablosuz ADSL yönlendiriciler çevrelerindeki cihazlara varlıklarını bildirmek için kendilerini tanımlayan SSID adında bir bilgi gönderirler. Bir bilgisayarın kablosuz ADSL yönlendirici ile iletişim kurabilmesi için yönlendiricinin SSID’sini bilmesi gerekir. SSID’lere ön tanımlı (default) değerlerinden başka değerler verilmelidir. Çünkü SSID’si ön tanımlı olan bir ADSL yönlendirici, başta model bilgisi olmak üzere kendisi hakkında birçok bilgi verir. Bunun yanında SSID, şifreleme algoritmalarının içinde kullanıldığı için ön tanımlı değerlerle yapılan şifreleme daha zayıf olacaktır.
SSID gizlenerek, yani otomatik SSID gönderimi kapatılarak, çevredeki bilgisayarların kablosuz ADSL yönlendiriciyi görmesi engellenebilir. Buna rağmen çevredeki gizlenmiş kablosuz yönlendiricileri bulmak için geliştirilmiş yöntemler mevcuttur. Aktif olarak çevredeki kablosuz ADSL yönlendiricileri tarayan saldırganlara karşı tam bir önlem sağlanamasa bile SSID’nin gizlenmesi çevredeki birçok bilgisayar kullanıcısını ADSL yönlendiriciden uzak tutar.
3. Web Yönetim Arayüzü
ADSL yönlendiricileri yönetmek için kullanılan yönlendirici web yönetim arayüzlerinin ön tanımlı olarak gelen şifreleri değiştirilmelidir. Birçok ADSL yönlendirici için ön tanımlı olarak gelen “web” yönetim arayüzü şifreleri İnternet’te basit bir araştırma yapılarak bulunabilmektedir. Ulusal Bilgi Güvenliği Kapısında yapılan bir araştırmaya göre [1] , Türkiye çapında belli sayıda IP taranmış, 80. TCP portu (HTTP) açık olan, yani web yönetim arayüzü İnternet’e açık olan belli model ADSL yönlendiricilerin %46’sında şifrelerin hiç değiştirilmemiş olduğu keşfedilmiştir. Yani taranan ADSL yönlendiricilerde web yönetim arayüzü İnternet’e açık olanların yarısına ön tanımlı şifreler kullanılarak bağlanılabileceği ortaya konulmuştur.
4. Kullanılmayan servisler
ADSL yönlendirici üzerindeki FTP, SNMP, ICMP, Telnet ve HTTP gibi servisler kullanılmadıkları takdirde kapatılmalıdır. ADSL yönlendiriciye İnternet üzerinden erişim yani tüm dış ağ servisleri kapatılmalıdır. ADSL yönlendiriciye bağlanmak için sadece kullanıcının bilgisayarına erişim hakkı verilmelidir.
5. Güvenlik Duvarı ADSL yönlendiricilerde güvenlik duvarı aktif hale getirilmelidir. Güvenlik duvarı İnternet’ten gelen yetkisiz bağlantı isteklerini engeller. IP ve port bazında erişim kontrolü sağlayarak ADSL yönlendiriciye izinsiz erişime engel olur.
6. MAC Adres Filtrelemesi
ADSL yönlendiriciye bağlanabilecek bilgisayarları kısıtlamak için MAC adres filtrelemesi uygulanmalıdır. MAC adresleri İnternet’e bağlanan her cihaz için benzersiz olarak üretilen numaralardır. ADSL yönlendiriciye bağlanabilecek MAC adresleri tanımlanarak yönlendiriciye sadece istenilen bilgisayarların erişimi sağlanmış olur.
Kısaltmalar:
ADSL: Asymmetric Digital Subscriber Line
MAC: Media Access Control
SSID: Service Set IDentifier
WEP: Wired Equivalent Privacy
WPA: Wi-Fi Protected Access
FTP: File Transfer Protocol
ICMP: Internet Control Message Protocol
SNMP: Simple Network Management Protocol
HTTP: HyperText Transfer Protocol