Kablosuz Ağ (WiFi) Sızma Testi: WPA2/WPA3, Evil Twin, PMKID ve Korunma
Kurumsal WiFi, çoğu zaman dış güvenliğin en zayıf halkasıdır: bina dışından erişilebilir, ama içerideki tüm ağa kapı açar. WPA2 ve WPA3 saldırılarını (KRACK, Dragonblood, PMKID, deauth), Evil Twin ve sahte erişim noktası senaryolarını, kurumsal 802.1X testini ve korunma yöntemlerini kaynaklı, derinlemesine anlattık.
Kablosuz Ağ (WiFi) Sızma Testi: WPA2/WPA3, Evil Twin, PMKID ve Korunma
Hızlı Cevap: Kablosuz ağ sızma testi, bir kurumun WiFi altyapısının dışarıdan, fiziksel kabloya hiç dokunmadan ele geçirilip geçirilemeyeceğini ölçer. Saldırı yüzeyi binanın duvarlarını aşar: otopark ya da sokaktan bir saldırgan parola kırma, sahte erişim noktası (Evil Twin) ile kullanıcı kandırma ya da kurumsal 802.1X yapılandırma hatalarını istismar edebilir. WPA2'de KRACK ve PMKID, WPA3'te Dragonblood gibi bilinen saldırılar; deauthentication ve Evil Twin ise insan faktörünü hedefler. Korunma WPA3, Protected Management Frames, güçlü parolalar, doğru sertifika doğrulamalı 802.1X ve sahte AP tespitiyle kurulur.
Kurumlar dış güvenliğe yatırım yaparken WiFi çoğu zaman gözden kaçar; oysa kablosuz ağ, bina dışından erişilebilen ve doğrudan iç ağa kapı açan bir yüzeydir. Bir saldırgan kabloya hiç dokunmadan, otoparktan WiFi parolasını kırarsa, artık iç ağdadır ve bu yazının kardeşi olan Active Directory iç ağ sızma testi senaryosu başlar. NIST'in WLAN güvenliği kılavuzu (SP 800-153), kablosuz ağların yapılandırma güvenliği ve sürekli izlenmesi için öneriler sunar, ancak güncel şifreleme için Wi-Fi Alliance'ın WPA3 belirtimiyle birlikte değerlendirilmelidir.
Kablosuz sızma testi neyi ölçer
Test, üç ana ekseni sınar. Birincisi şifreleme dayanıklılığı: WPA2 ya da WPA3 parolasının çevrimdışı kırılıp kırılamayacağı. İkincisi insan faktörü: sahte bir erişim noktasının kullanıcıları kandırıp kimlik bilgisi toplayıp toplayamayacağı. Üçüncüsü kurumsal yapılandırma: 802.1X kullanan kurumsal ağlarda sertifika doğrulama ve istemci yapılandırma hatalarının istismarı. Test, misafir ağı ile kurumsal ağ arasındaki ayrımı, ağ segmentasyonunu ve WiFi'dan iç ağa geçiş yollarını da kapsar.
WPA2 saldırıları
PMKID: istemcisiz parola kırma
Klasik WPA2 parola kırma, bir istemcinin ağa bağlanırken ürettiği dört yönlü el sıkışmayı (4-way handshake) yakalamayı gerektirirdi. Hashcat geliştiricisi Jens Steube'nin 2018'de açıkladığı PMKID saldırısı bunu değiştirdi: saldırgan, erişim noktasının ilk mesajındaki tek bir EAPOL çerçevesinden PMKID değerini yakalar, bağlı bir istemciye ya da tam el sıkışmaya gerek kalmadan çevrimdışı kırar. Bu, hcxdumptool ile yakalama ve hashcat ile kırma sürecini önemli ölçüde kolaylaştırmıştır ve zayıf parolalı kurumsal WiFi'lar için ciddi risktir.
KRACK: WPA2 el sıkışma zafiyeti
Mathy Vanhoef'in 2017'de açıkladığı KRACK (Key Reinstallation Attacks), WPA2'nin dört yönlü el sıkışmasındaki mesajları tekrar oynatarak nonce ve anahtar yeniden kurulumunu zorlar; bu da trafiğin şifresinin çözülmesine yol açar. Özellikle eski Android ve Linux istemcileri savunmasızdı. Yama yapılmamış cihazların bulunduğu ortamlar bu açıdan test edilir.
WPA3 saldırıları: Dragonblood
WPA3, WPA2'ye göre daha güçlü kimlik doğrulama ve çevrimdışı parola tahminine karşı koruma sunar; yeni Wi-Fi CERTIFIED cihazlar için zorunludur ve Protected Management Frames'i zorunlu kılar. Ancak Mathy Vanhoef ve Eyal Ronen'in 2019'da açıkladığı Dragonblood zafiyetleri, WPA3'ün SAE (Dragonfly) el sıkışmasının zamanlama ve önbellek temelli yan kanal saldırılarıyla parola bölümleme saldırısına açık olabileceğini gösterdi (CVE-2019-9494, CVE-2019-13377). WPA3 daha güvenlidir, ama yamasız uygulamalar ve geriye dönük WPA2 uyumluluğu (geçiş modu) yeni riskler getirir; test bunları kontrol eder.
Evil Twin, sahte AP ve deauthentication
En etkili kablosuz saldırılar şifrelemeyi kırmaz, insanı kandırır. Saldırgan, kurumun ağı ile aynı isimde (SSID) sahte bir erişim noktası (Evil Twin) kurar. Deauthentication çerçeveleriyle kullanıcıları gerçek ağdan düşürür; korumasız yönetim çerçeveleri olan ağlarda bu kolaydır. Kullanıcılar sahte ağa bağlanınca, bir captive portal ile WiFi ya da kurumsal parolaları toplanır. Bu senaryo, kablosuz testi ile oltalama ve sosyal mühendislik simülasyonunun kesiştiği yerdir ve insan farkındalığını sınar. Aircrack-ng paketi, izleme, deauth, enjeksiyon ve WPA-PSK kırma dahil kablosuz güvenliği değerlendirmenin tam bir araç setidir.
Kurumsal WiFi: 802.1X testi
Büyük kurumlar paylaşılan parola yerine 802.1X (WPA2/WPA3-Enterprise) kullanır; her kullanıcı kendi kimlik bilgisiyle ya da sertifikayla doğrulanır. Buradaki en yaygın hata, istemcilerin sunucu sertifikasını doğru doğrulamamasıdır: bu durumda saldırgan sahte bir RADIUS sunucusu kurup kurumsal kimlik bilgilerini toplayabilir. Test, istemci yapılandırmasını, sertifika doğrulamayı ve EAP yöntem güvenliğini sınar.
Korunma
- WPA3 ve Protected Management Frames. Mümkün olan her yerde WPA3 kullanın ve yönetim çerçevesi korumasını zorunlu kılın; bu, deauthentication ve Evil Twin saldırılarını zorlaştırır.
- Güçlü, uzun parolalar. WPA2/WPA3-Personal ağlarında uzun ve rastgele parolalar PMKID ve çevrimdışı kırmayı pratikte imkansız kılar.
- Doğru yapılandırılmış 802.1X. Kurumsal ağlarda istemcilerin sunucu sertifikasını katı biçimde doğruladığından emin olun; sahte RADIUS saldırısını bu kapatır.
- Ağ segmentasyonu. Misafir WiFi'ı kurumsal ağdan tamamen ayırın; WiFi'a erişen bir saldırganın iç ağa geçişini segmentasyon engeller.
- Sahte AP tespiti ve sürekli izleme. Kablosuz saldırı tespit sistemleriyle aynı SSID'li sahte erişim noktalarını izleyin.
- Yama. KRACK ve Dragonblood gibi bilinen zafiyetlere karşı istemci ve altyapı cihazlarını güncel tutun.
DSET olarak nasıl çalışıyoruz
Kablosuz testlerimizi yetkili ve kapsamı yazılı biçimde, fiziksel konum ve zaman penceresi belirlenerek yürütürüz; yasal çerçeve için sızma testi sözleşmesi ve yasal yetkilendirme yazımıza bakın. Standart metodolojimizin temeli için PTES yedi aşama yazısına göz atın.
Sıkça Sorulan Sorular
WiFi testi için ofise gelmek gerekir mi? Evet, kablosuz test fiziksel yakınlık gerektirir; ekip bina çevresinden ve içinden kapsamı belirlenmiş biçimde test eder.
WPA3 kullanıyoruz, güvende miyiz? WPA3 önemli bir iyileşmedir ama mutlak değildir; geçiş modu, yamasız uygulamalar ve 802.1X yapılandırma hataları hâlâ risk taşır. Test bunları doğrular.
Test ağı kesintiye uğratır mı? Deauthentication gibi teknikler kontrollü ve kapsam dahilinde uygulanır; geniş kesinti gerektiren testler yazılı onay ve uygun pencere ile yapılır.
Kaynaklar
- Wi-Fi Alliance, güvenlik ve WPA3: https://www.wi-fi.org/discover-wi-fi/security
- Dragonblood, WPA3 zafiyetleri (Vanhoef, Ronen): https://wpa3.mathyvanhoef.com/
- KRACK, WPA2 el sıkışma saldırısı (Vanhoef): https://www.krackattacks.com/
- Aircrack-ng: https://www.aircrack-ng.org/
- PMKID istemcisiz saldırı (Hashcat, Steube): https://hashcat.net/forum/thread-7717.html
- NIST SP 800-153, WLAN güvenliği kılavuzu: https://csrc.nist.gov/pubs/sp/800/153/final
Kurumsal WiFi'ınızın dışarıdan ele geçirilip geçirilemeyeceğini kanıtlamak için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.