WPA (Wi-Fi Protected Access- Wi-Fi Korumalı Erişim)

Eyl 07, 2013
Wi-Fi : Wireless Fidelity (Kablosuz Ağ)

WPA kablosuz ağlar için geliştirilmiş bir şifreleme standardıdır. Bu standart daha önceki WEP (Wired Equivalent Privacy- Kabloya Eş Güvenlik) sisteminin yetersizliğine karşılık geliştirilmiştir. WPA, veri şifreleme ve kullanıcı kimlik denetimi alanlarında bilgi güvenliği sunmaktadır. WPA, veri şifreleme işlemini geliştirmek için bu konuda yeni bir yöntem sunarak şifreleme anahtarlarını otomatik olarak dağıtır. Bir bit veri bile şifreleme anahtarlarıyla korunur. Bu çözüm aynı zamanda, veri üzerinde bütünsel bir kontrol yaparak, verileri ele geçirmek isteyen kişilerin bilgileri değiştirmesini engeller. WPA, kurumsal kullanıcıların korunması için, ağ üzerindeki her bir kullanıcıya kimlik denetimi uygularken, bu kullanıcıları veri hırsızlığı amacıyla düzenlenmiş ağlara geçişini de engeller.
WPA, IEEE 802.11i taslak standardının bir altkümesidir. 802.1x EAP (Extensible Authentication Protocol- Genişletilebilir Kimlik Doğrulama Protokolü) ile Değişken Anahtar Dağıtım (Dynamic Key Distribution) şekillerini Michael doğrultusunda birleştirmiştir.

WPA2 (Wi-Fi Protected Access 2)

WPA2, WPA’nın devamı niteliğinde kablosuz ağlar için geliştirilmiş bir güvenlik metodudur. IEEE 802.11.x standardına dayanır. WPA2 girişimciye ve müşteriye sadece yetkili kişilerin ağlara girebilmesi konusunda büyük bir güven vermektedir. WPA2’nin iki sürümü mevcuttur: WPA2-Personal (kişisel) ve WPA2-Enterprise (girişimci). WPA2-Personal yetkisiz kişilerin ağlara girişini bir kurulum şifresi kullanarak engellemeyi amaçlar. WPA2-Enterprise ise ağ kullanıcılarını bir sunucu yardımıyla denetler.

WPA-WPA2 özellikleri 
WPA

  • WPA kimlik doğrulama : WPA'da 802.1x doğrulaması gerekmektedir. Bu doğrulama 802.11 standardında isteğe bağlıydı. RADIUS (Remote Authentication Dial-In User Service- Uzaktan Aramalı Kullanıcı Kimlik Kanıtlama Servisi) altyapısının bulunmadığı durumlarda WPA önceden paylaşımlı şifre yöntemini desteklemektedir. RADIUS altyapısının bulunduğu durumlarda ise EAP ve RADIUS desteklenmektedir.
  • WPA şifre yönetimi : 802.1x de tekli şifreleme anahtarı isteğe bağlıydı. Buna ek olarak 802.11 ve 802.1x le çoklu gönderim ve yayın trafiği için kullanılan çoklu şifreleme sistemini değiştirmeye yönelik hiç bir yöntem sağlanmıyordu. WPA ile birlikte tekli ve çoklu şifreleme anahtarları desteklendi. TKIP (Temporal Key Integrity Protocol- Tekli şifrelemede Geçici Anahtar Bütünlüğü Protokolü) her çerçeve için anahtar değiştirir ve bu değişim kablosuz istemci ve kablosuz erişim noktası ile birlikte düzenlenmektedir. Çoklu şifreleme anahtarında ise WPA, kablosuz erişim noktası için değiştirilen anahtarın kablosuz istemcilere bildirilmesi gibi bir olanak sağlar.
  • TKIP : WPA, TKIP'yi desteklemektedir ve TKIP güçlü bir şifreleme sistemi olarak WEP in yerini almıştır. TKIP şifreleme işlemlerini gerçekleştirmek için varolan kablosuz aygıtların hesaplama olanaklarını kullanan yeni bir şifreleme algoritması kullanır. TKIP ayrıca şifreleme anahtarları belirlendikten sonra güvenlik yapılandırmasının doğrulanması, her çerçeve için tek noktaya yayın şifreleme anahtarının eşzamanlı olarak değiştirilmesi, önceden paylaşılan her anahtar kimlik doğrulamasının benzersiz olarak başlatılmasının belirlenmesi gibi özellikleri de sağlar.
  • Michael : WPA ile bu yöntem, 8 baytlık bir ileti bütünlüğü kodu (MIC- Message Integraty Code) hesaplayan yeni bir algoritma tanımlamaktadır. MIC 802.11’in 32-bitlik bütünlük kontrol değerini 64-bit MIC ile değiştirir ve atakların önüne geçmek için yeni bir veri kontrol değeri kullanır.
  • AES (Advanced Encryption Standard- Gelişmiş Şifreleme Standardı ) desteği : WPA, WEP şifreleme sistemine ek olarak AES'yi tanımlamaktadır. Bu destek isteğe bağlıdır; çünkü bazı aygıt yazılım güncellemeleri varolan telsiz donatılarını desteklemeyebilir.

WPA2

  • WPA2 kimlik doğrulama : WPA2-Enterprise kimlik doğrulama işlemini iki aşamada gerçekleştirir. Birincisinde açık sistem kimlik doğrulaması kullanılır. İkincisinde ise 802.1X ve EAP kullanılır. RADIUS'un bulunmadığı durumlarda WPA2-Personal önceden paylaşımlı şifre sistemini destekler.
  • WPA2 şifre yönetimi : WPA’dakine benzer olarak EAP ve önceden paylaşımlı şifre doğrulamasını destekler.
  • AES desteği : WPA2, AES, Counter Mode-CBC (Cipher Block Chaining-Zincirleme Blok Şifreleme) ve MAC (Message Authentication Code-Mesaj Doğrulama Kodu) protokolünü kullanır.

WPA-WPA2 Personal

WPA ve WPA2 kişisel sürümü ev ve küçük ofisler gibi kimlik doğrulama sunucuları olmayan kullanıcılar için tasarlanmıştır. Kimlik doğrulama için IEEE 802.1X yerine önceden paylaşımlı bir şifre kullanır. WPA-WPA2 kişisel sürümü WPA-WPA2 Enterprise sürümü ile aynı şifreleme yöntemlerini kullanır. WPA , TKIP yoluyla WPA2 ise AES yoluyla kullanıcı, oturum, paket başına şifrelemeyi destekler.

WPA-WPA2 Enterprise

WPA, WPA2 personal ile aynı şifreleme özelliklerini desteklemektedir.

Daha güvenli bir ortam için gerekli Enterprise bileşenleri

  • EAP
  • Kimlik doğrulama sunucusu
  • Kimlik doğrulama veritabanı
  • WPA-Enterprise ya da WPA2-Enterprise Wi-Fi CERTIFIED istemci aygıtları
  • WPA-Enterprise ya da WPA2-Enterprise Wi-Fi CERTIFIED  AP (Access Point-Erişim Noktası)

WPA ‘yı desteklemek için gereken değişiklikler

  • Kablosuz erişim noktaları
  • Kablosuz ağ bağdaştırıcıları
  • Kablosuz istemci programları

Kablosuz erişim noktalarındaki ve ağ bağdaştırıcılarındaki değişiklikler

  • Yeni WPA bilgileri öğesi
  • WPA kimlik doğrulaması
  • TKIP
  • Michael
  • AES (isteğe bağlı)

Kablosuz istemci programlarındaki değişiklikler

Kablosuz istemci programları, WPA kimlik doğrulama yapılandırması ve yeni WPA şifreleme algoritmalarına izin verecek biçimde güncelleştirilmelidir.

WPA-WPA2 ile ağ saldırılarından korunma

WPA ve WPA2 kablosuz ağı korsan saldırılara, zayıf şifrelere, kullanıcılarla ilgili saldırılara karşı korur. WPA, WEP’in hatalı şifreleme anahtarından kaynaklanan zayıflıkları belirler. WPA ve WPA2 ile birlikte TKIP ve AES şifrelemeleri geliştirildiği için saldırılar ve saldırılardan etkilenme olasılığı en aza indirgenmektedir.