Wireless

• 1800'lü yılların sonunda Heinrich Rudolph Hertz tarafından Elektromanyetik dalgalar keşfediliyor.

• Guglielmo Marconi tarafından 1885 yılında kablosuz telgraf tanıtılıyor.

• 1900 yılların başında Radyo ticari olarak kullanılmaya başlanıyor.

• İkinci dünya savaşında ABD tarafından radyo sinyalleri veri transferi için kullanılıyor.

• İlk profesyonel kablosuz ağ, 1971'de ALOHAnet markası altında faaliyete geçiyor.

Frekans

Radyo sinyalleri dalga şeklinde yayılıyor Bir dalganın en önemli özelliklerinden bir tanesi frekansı burada

Bir tam döngüye dalga boyu adı veriliyor.

2. sinyale baktığımızda dalga boyu uzadığını görüyoruz ama frekans düşmüş

Buna göre daha düşük frekasnlar daha uzun dalga boylarına sahiptirler.Örneğin 2.4 ghz frekanslı bir dalganın uzunluğu 12.5 cm iken frekansı arttırdığımızda 5 ghz frekanslı dalganın uzunluğu 6 cm oluyor.

Ters orantılı olarak azalmış oluyor.

Elektromanyetik Specturum

Elektromanyetik spectrum hava ortamında bulunan dalgaların dalga boyu ve frekanslarına göre düzenlenmesi ile elde ediliyor.

Bizim radyo dalgaları diye bildiğimiz dalgalar elektromanyetik dalgaları kullanıyorlar.

Herbir dalganın farklı bir dalga boyu ve frekasnı var fakat hepsi aynı hızla hareket ediyor.Işık hızı ile hareket ediyorlar.

Televizyonun uzaktan kumandalarında kızılötesi kullanılıyor.

Radyo frekans ise 3kHzden başlıyor 300ghze kadar devam ediyor.bu frekans aralığı kapsıyor.

Bizim burada wireless network için kullanılan frekans aralığı 2.4 ghz ile 5 ghz frekans bantları

Bunlar lisans ile satıyorlar. Tüm frekans için geçerli değil

ISM frekansların lisans gerekiyor ücret ödememiz gerekiyor.

Bu frekanslar da kolay kullanım için kanallara bölünmüş durumda

Kablosuz Ağ Çeşitleri

WPAN; Wireless Personel Area Networks- Kablosuz Kişisel Alan Ağı

• Standardı; IEEE 802.15

• Kapsama alanı 10-100mt

• Veri hızı; 1-10 Mbps

• WPAN Teknolojileri

  • Infrared Data Association(IrDa)

  • Bluetooth (2.4 Ghz. ISM)

  • ZigBee(2.5 Ghz. ISM)

Kablosuz Standart Kuruluşları

ITU-R ; International Telecommunication Union - Radiocommunication Sector Uluslararası Telekomünikasyon Birliği -Radyokomünikasyon Sektörü

IEEE; Institute of Electrical and Electronic Engineers Elektrik ve Elektronik Mühendisleri Enstitüsü

Kafamıza göre yayın yapamıyorduk ya lisans almak gerekiyor ya da lisansız olanları kullanmak gerekiyoruz.

Lisanssız olarak yayın yapabileceğimiz yayınlar ISM frekansları ITU-R tarafından belirleniyor.

IEEE 802 Standartları

802.1 : Data link layer köprüleme,yönetim link güvenliği

802.2 : Logical Link Control, OSI Referans modelinde data link katmanında çalışan protocol

802.3 : CSMA/CD Erişim metodu, standart ethernet protokolü

802.4 : Token bus standardı

802.5 : Token ring standardı

802.11 : Wireless LAN (WLAN)

802.15 : Wireless Personel Area Network (Kablosuz kişisel alan ağları)

802.16 : Wireless Metropolitian Area Network (Geniş band kablosuz iletişim)

IEEE 802.11 Standartları

802.11 standardı wireless locak area temsil ediyor.

Ilerleyen zamanda bu yeterli olmuyor x adı altında geliştirmeler oluyor.

Frekasn attıkça mesafe azalıyor ve binalara nufüz etme azalıyor.

2.4 ghz kullanılmasının dezavantajı birçok cihaz bunu destekliyor mikrodalga ,bluetoot vs bunlar parazit yapabilirler.

5ghz de daha fazla kanal var. daha fazla bant genişiliği sağlıyor

802.11 g de ofdm kullanılıyor ofdm kullanıldığı için 54 mbps kadar çıkabiliyor veri hızı

802.11 n en büyük özelliği hem 2.4 ghz hemde 5ghzde çalışıyor olması bu standardın veri hızı 54 mbps ile 600 mbps arasında değişiyor.

OFDM bunu kullanırken MIMO kullanıyor

MIMO (Multiple Input /Multiple Output) -Çoklu Giriş /Çoklu Çıkış

Tek bir anten yerine birden fazla anten kullanılıyor anten sayısı artırılıyor bu anten sayısı artınca ne oluyor

Iletilecek bir veri önce parçalara ayrılıyor farklı antenler üzerinden karşı tarafa gönderiliyor karşı tarafta birden fazla anten ile alma işlemi yapılıyor. Ve gelen veriler birleştirilkliyor

MIMO avantajı gönderilen verilein duvarlarnda kapılardan diğer eşyalardan yansıyarak farklı yollar takip ederek alıcı antene farklı zamanlarda ulaşması ve birden fazla kere ulaşması

Bu nendenle 802.11n 54 ile 600 e kadar çıkabiliyor. Hata uzağa da ilerletebiliyor

DSSS == 22 mhz genişliğindeki kanalın tamamını kullanıyor. Sinyali bu 22 mhz yayıyor. Max 11 mgps destekliyor.

FHSS == 2.4 ghz de çalışıyor bu frekansta zamanın bir fonksiyonu olarak frekanstan frekansa atlayan taşıyıcı sinyal ile verinin iletimi yapılıyor bu artık kullanılmıyor

OFDM == her 20 mhz aralığını birden çok küçük alt kanallara veya taşıyıcılara bölerek iletim yapılır.

Bu nedenle veri hızlı çok hızlı oluyor

OFDMA == wifi 6 da küçük alt kanallar aynı anda farklı cihazlar arasında bölme ve paylaşma yeteneği kazanıyor.

ciscoakademi alıntıdır.

2.4 ghz dediğimizde aslında 2.401 ghz ile 2.495 arasındaki aralıklardan bahsediyoruz

5 ghz de aynı şekilde 5.150-5.835 arasındaki aralıktan bahsediyoruz. Bun aralıkları sayısal olarak söylemek zor olduğu için kanallara ayırmışlar.

Her kanala da bir frekans tahsis edilmşiş herbirine de bir kanal numarası tahsis edilmiş burada frekansları söylemektense 1 nolu kanal demek daha kolay.

2.4 ghz de birbirine bitişik kanalları kullanmamız durumunda çakışmanın ortaya çıkacağını veri hızının düşeceğini bilmemiz gerekiyor bitişik kanallar arasında çakışmayı önlemenin tek yolu da bu örtüşmeyen kanalları kullnamak

Aynı ortamda birden fazla AP çalışıyorsa 1. 6. Ve 11. Kanallarda olması gerekiyor

13. kadar izin veriliyor 14. Kanal japonya da izin veriliyor

5 ghz de bu kanallar bribiri ile örtüşmüyor yani herhangi bir girişim ihtimali yok.

Wireless Network Bileşenleri

Küçük networklerde küçük kafelerde bir 2 tane acces pointlerin kullanıldığı yerlerde bunlar herşeyi kendileri yapabiliyorlar

Bu her şeyi kendi başına yapabilme özelliği olan access pointlere autonomous access point deniliyor bunlar hem kablolu hem kablosuz özelliklere sahip cihazlar merkezi bir yönetmim olmadığı için her access pointi ayrı ayrı yönetmemiz gerekiyor. Büyük networklerde burada birkaç tane Ap az olabilir.

Tek bir AP sınırlı bant genişliğe sahip Onlarca ve yüzlerce AP kullanıldığında Autonomous ap olarak seçmek herbir için ayrı ayrı yapılandırma işlemleri yapmak anlamına geliyor.

Bu da çok büyük networklerde mantıklı değil merkezi olarak yönetmek için WLC kullanılıyor.

Bu cihaz tüm apleri control ediyor. Tüm yönetmim görevleri Ap lerden wireless lan controllerlara taşınıyor nedir bunlar kimlik doğrulama , dolaşım bu topolojide bunlunan apler sadece trafiği iletmeye yarıyor

Wireless lan controller ile çalışan access pointlere Lightweight access point deniliyor.

Bunlar hiçbir iş yapmıyor sadece trafiğin iletilmesinden sorumlu oluyor tüm işlem WLC tarafından yapılıyor

Bu trafik access pointlerden wireless lan controllera gönderiliyor CAPWAP dediğimiz tüneller ile yapılıyor.

Bir kullanıcı başka bir yere giderken hareket ederken bağlantısı kesilemesin istemeyiz sabit bir kablosuz bağlantıya sahip olsun deriz

Işte burada da access pointten diğerine sorunuz geçiş yapmaya olanak sağlayan roaming terimi ortaya çıkıyor

Wireless Topoloji

Ad-Hoc Mode - IBSS; Independent Basic Service Set -Bağımsız Temel Servis Seti

Bu mode 2 veya daha fazla kablosuz cihazın aralarında herhangi bir acess point ihtiyac duymadan uçtan uca birbirleri ile kablosuz olarka haberbleşmesine deniliyor burada cihazlardan birisi acces pointin yaptığı işlemi yapıyor onun yaptığı rolü yapıyor yani bir ssid başlatıyor bunu yayınlıyor diğer cihazda bu ssid kullanaarak bu network katılabiliyor.

Infrastructure Mode - Altyapı Modu

Infrasture mode ise bu modda network cihazları merkez bir cihaz olan access point vasıtayıla haberleşiyorlar. Yani burada tüm veriler ap üzerinden geçiyor ap olmadan bunlar haberleşemiyorlar.

Burada tüm cihazları AP ya bağlayan tek bir cihaz var. Basic Service Set de tüm kablosuz cihazları birbirne bağlıyan tek bir acess point var

SSID -Service Set Identifier - Service Seti tanımlayıcısı

Genişletilmiş servis set de ise büyük kurumlarda her zaman tek bir access point yeterli olmuyor demiştik

Bunlardan birisi kapsama alanı 2. Ise bant genişliği idi kapsamı alanı olarak şöyle ifade etmiştik tek bir acces point sinyali örneğin otel olarak düşündüğünüzde tüm Alana yeterli değil her yerden buna erişemeyebiliriz.

Eğer her yerden kablosuz bağlantı istiyorsanız birden fazla AP kullanmak gerekiyor bant genişkiğ olarak baktığımızda tek bir kanal var ve bu kanalı da half dublex olarak kullanıyor ve çok fazla kullanıcı varsa verimi de düşüyır yani kullanıcı sayısı arttığında veri hızı da düşmüş oluyor

Tüm access pointleri de bir kablosuz ağa bağlamak gerekiyor.

Birden fazla access point kullanılarak oluşturulan bu topolohiye genişletilmiş servis seti deniliyor

Bu topolojide tüm access pointler beraber çalışıyor kullanıcılar sadece bir ssid görüyorlar

Ssid olarak buradaki topolojide internet olarak görüyorlar kullanıcılar birden fazla access point kullandıklarını görmüyorlar

Herbir access point farklı bir BSSID kullanıyorlar.

SSID aynı BSSID farklı

Bu nedenle de arka planda kablosuz cihaz bağlanabileceği birden fazla access point görüyor Bir access pointten başka bir access pointe otomatik olarak atlayabiliyor.

Bu atlama işlemine de roaming deniliyor.

Herbir access point acess pointler arasındaki paraziti önlemek için farklı bir kanal kullanıyor burada kanal 4 ü kullanmıştık diğerinde ise kanal 11 kullanıyor

Farklı kanal kullanılmasına ragmen kesintisiz iletişim olmasının nedeni SSID aynı olmasından dolayı yani access pointler aynı SSID paylaştığı için kablosuz cihazlar ap ler arasında kesintisiz dolaşabiliyorlar

3.ise MBSS geniş bir alanda ( kullanacağımız acces pointlerin hepsini kablolu bir networke bağlamak kolay olmayabilir bu nedenle mesh temel servis seti kullanılıyor böyle ortamlarda

Yani ap lerden hepsini kabloluya bağlayamıyoruz burada sadece bir tanesini bağlayabildik.

En iyi yolu belirlemek için kendi yönlendirme protokolü kullanıyorlar

Wireless Güvenlik

1. Default SSID ve parola değiştirme,SSID gizleme

2. Güçlü güvenlik algoritması kullanma

3. Güçlü parola belirleme

4. Mac adresi filtreleme

5. Default ayarları değiştirme

6. Yazılım güncelleme

7. Yönetici erişimini devre dışı bırakma

8. Uzaktan yönetimi devre dışı bırakma

Authentication ; Kimlik doğrulama - Parola,EAP,IEEE 802.1X Encryption, Şifreleme- RC4,TCIP,CCMP,AES,GCMP-256 Integrity, Bütünlük sağlama CRC32,MIC,BIP-GMAC-256

WEB; Wired Equivalent Privacy ; Kabloluya Eşdeğer Gizlilik

Kablolu bağlantı kadar güvenli hale getirmek için tasarlanmış bir güvenlik algoritması web ismide oradan geliyor.

Kablosuz networklerde güvenlik 3 ana temel üzerine oturtuluyor demiştik bu güvenlik algoritmalarını temel üzeirnde kimlik doğrulama şifreleme ve veri bütünlüğü yöntemlerine göre inceleyebiliriz.

Kimlik doğrulama olarak baktığımızda kimlik doğrulama ne anlama geliyor onu anlatalım.

Kablosuz yayınları ssid ile duyuruyorlar.

Yani siz kablosuz yayın aradığınızda havada SSİD leri görüyoruz biz bunu aradığımızda internet olarak görebiliyoruz bunu

Kimlik Doğrulama : Açık kimlik doğrulama (Open Authentication), Paylaşılan anahtar kimlik doğrulaması (Shared Key Authentication)

Açık kimlik doğrulama da kablosuz cihaz sorgusuz sualsiz access point tarafından Kabul ediliyor yani önceden paylaşılan bir anahtara kimlik bilgisine ihtiyaç olmadan access pointe bağlanılabiliyor

Kablosuz düzeyde kimlik doğrulama yapılmıyor üst katmanlarda kimlik doğrulama yapılıyor.

Bağlantı açık oluyor. Toplu alanlardaki wifilerdeki gibi üst katmanlarda kimlik doğrulama yapılıyor.

Güvenliiğin çok önemli olmadığı durumlarda kullanılıyor.

Kullanıcı için de güvenlik açıkları içeriyor.

Bu nedenle bu tür kablosuz networklere dahil olurken vpn kullanmakta fayda var.

2.kimlik doğrulama yöntemi olarak Shared Key Authentication èbu da hepimizin aşina olduğu bir yöntem access pointte paylaşılacak olan anahtar yapılandırıyoruz daha sonra da bu anahtarı kablosuz networkte katılmasını istediğimiz kişilere veriyoruz.

O anahtarla kablosuz networke dahil oluyorlar.

Yani dahil olmak istediğimi kablosuz networkün SSID’sine tıkladığımızda kendisinden kablosuz networkün anahtarı soruluyor. Anahtarı girdiğimizde de networke dahil olunabilyior.

Tabi bununda riskleri var.kötü niyetli birisi bu anahtarı öğrenemesi durumunda herhangi bir cihazdan networke kapsamı alanı içerisinde veya istediği yerden dahil olabiliyor.

Bu durumda nasıl çözebiliri mac adresleri ile ilgili bir sınırlama getirebilir ya da belirlemiş olduğumuz anahtarı değiştirecek bir güvenlik sağlamış olabiliriz.

WPA; Wifi Protected Access ; Wifi Korumalı Erişim

Burada donanımsal bir değişiklik yapmadan sadece yazılımsal olarak webdeki zafiyetlerin giderilmesi web ile aynı donanım üzerinde çalışabilmesi.

Web ile aynı donanım üzerinde çalışabilmesi için sadece yazılım güncellenerek WPA’ya geçiliyor. Yani biraz sonra görüyor olacağız WPA 2 için donamım güncellenemesi gerekiyor donanım güncellenmesi yapmadan webdeki zafiyetlerin biranca önce giderilmesi için WPA sunuluyor.

Burada kullanııclar önceden paylaşılan bir anahtar kullanarak kimlik doğrulaması yapıyorlar kablosuz cihazlar önceden paylaşılan bir parola kullnarak kablosuz yönlendirici ile kimlik doğrulması yapıyorlar farkı ise burada kablosuz cihazlar kimlik doğrulama yaparken 128 bitlik şifreleme anahtarını 256 bitlik bir anahtardan türeterek ağ trafiğini şifreliyorlar.

Kurumsalda ise enterprise 802.1X doğrulaması gerekiyor.

Yani bunun için bir radius sunucu kullanarak kimlik doğrulaması yapılıyor.

Kurulumu daha karmaşık olsa da ek güvenlik sağlıyor bu kurumsalda cihazın radius sunucusu tarafından doğrulanması ve ardından kullanıcıların kimlik doğrulaması içinde EAP dediğimiz protocol kullanılıyor

EAP; Extensible Authentication Protocol =Genişletilebilir Kimlik Doğrulama

802.1X doğrulması gerekiyor bunun içinde EAP yöntemi kullanılıyor Radius sunucu üzerinde bu işlem yapılabiliyor

802.11 de sadece açık kimlik doğrulaması ve WEB kullanıyordu. IEEE de 802.11 de yeni kimlik doğrulamaları eklemek yerine yeni kimlik doğrulama seçenekleri eklemek için bu EAP’I seçmiş EAP birden çok kimlik doğrulama yönteminin kullnacağı işlemlere sahip.

Ve 802.1X access control bağlantı tabanlı eriişim denetimi ile bütünleşik olarak çalışıyor bu bütünleşik yöntem kullanılarak kimlik doğrulama yapılıyor.

Kimlik doğrulama için harici bir sunucu kullanılıyor.

WEP ‘da havadaki aynı anahtara belirli bir oludğu için kırılabiiliyordu burada WAP da anahatar sürekli değiştirilmiş oluyor

LEAP èdinamik wep anahtarı kulllanmak yerine TKIP anahtarı da kullanılabiliyor.

LEAP ile ilgili sorunlardan birisi zayıf bir kimlik doğrulaması kullanması

Leap yerine daha güvenli EAP kullanılıyor Bunlardan birisi EAP FAST

Kimdlik doğrularken tünel oluşturuyor yani 2 kimlik doğrulama süreci var hem tünel içinde kimlik doğrulama var hem tünel dışında kimlik doğrulama var.

İlk doğrulama tünel oluşturmak için kullanılıyor ikincisise tunel içinde gerçekleştirişyior ve bu kablosuz cihazın kimliğini doğrulamak için kullanılıyor diyebiliiriz.

EAP Fast çalışması için bir radius sunucuna ihtiyaç var Radius sunucuusuda EAP Fast olarak ayarlanması gerekiyor.

PEAP èEAP FAST benzer şekilde iç ve dış koruma sağlıyor tünel kullanıyor ancak kimlik dorğulaama sunucus kimlik doğrulama için kablosuz cihaza dijital bir sertfifika sunuyor

Kablosuz cihaz sertfikasyı Kabul ederse tünel oluşturuluyor

WPA2, Wifi Protected Access-2; Wifi Korumalı Erişim-2

WPA geçici olarak kullanılıyordu WPA2 bunun yerine geçiyor Burada RC4 yerine CCMP şifreleme kullanıyor.

AES kullanılıyor çok güçlü bir standart

Burada şifreleme ve veri bütünlüğü için ayrı ayrı bloklar yok WEP ve WAP da ayrı bloklar vardı veri bütünlüğü ayrı bloklar halinde iletiliyordu

Fakat WPA2 de şifreleme ve veribütünlüğü tek bir blok içerisinde CCM blok içerisinde gerçekleşiyor

CCM ayrıntınsa baktığımızda Integreity ve Encriyption tek bir blok içeirisnde gerçeklelşiyor burada hem bütnlük denetimi hem de şifreleme AES algoritmasına dayanıyor

Bu 128 biltlik parçalar üzerinde çalışan blok tabanlı bir algoritma bu AES algoritması

Buradaki giriş mesajı 128 bitlik parçalara bölünüyor önceki sonuçlarla beraber girdi olarak kullanılıyor

Bütünlük kontorlü için integrity için başlık dahil bütün mesajlar dikkate alınıyor.

Faka enctption baktığımızda sadece yük dikkate alınıyor. Sadece data dikkate alınıyor

WPA 2 aynı zamanda WPS ile de geliyor

Wps diye bir düğme var.

Normalde önceden paylaşılan bir anahtar kullanan bir ağa bağlanmak istediğimizde SSID bilmek gerekiyor ve önceden paylaşılan anahtarı bilmek gerekiyor evimizde modem yapılandırırlen o anahtarı bilmemiz gerekiyor fakat WPS ile önceden paylaşılan anahtarı bilmeden onu kullanmadan SSID bilmeden iletişim kurabiliyoruz yani önce access pointte bulunna veya modemed bulunna WPS basıyoruz daha sonra uç cihazda WPS butonuna basıyoruz bu iki cihaz kendi arasında bağlantıyı sağlayabiliyor

Bu wpsde de güvemlik açıkları bulunuyor bu yüzden bunuda kullanılması önerilmiyor.

WPA3, Wifi Protected Access-3; Wifi Korumalı Erişim-3

WPA2 de kullanılan pre shared key artık burada kullanılmıyor bunun yerine SAE eş zamanlı kimlik doğrulaması kullanılıyor

Kimlik Doğrulama (Authentication)

Kablosuz ağlarda kimlik doğrulama 2 şekilde sağlanır.

Önceden Paylaşılan Şifre (PSK) (Pre Shared Key)

Bir şifre belirlenerek ağ cihazının içerisine yazılır. Şifre ağa bağlanması istenen kişilerle paylaşılır.

Kullanıcılar için Kullanıcı Adı ve Şifresi Kullanma

Her kullanıcı için ayrı bir kullanıcı adı ve şifresi oluşturulur. Kullanıcı adı ve şifresi ağ cihazının arkasına bağlanan bir Server'da tutulur.