390 likes | 630 Views
Kablosuz Ağ Teknolojileri. Kablosuz Ağ Nedir?.
E N D
Kablosuz Ağ Nedir? • Kablosuz ağ teknolojileri, kullanıcılara uzak mesafeler arasında kablosuz bağlantılar kurmalarına izin veren küresel ses ve veri ağlarından, kısa mesafelerde kablosuz bağlantı için en iyi hale getirilmiş kızılötesi ışınlar ve radyo frekans teknolojilerine kadar uzanmaktadır. Genelde kablosuz ağlarda kullanılan aygıtlar, taşınabilir bilgisayar, masaüstü bilgisayarı, el bilgisayarı, kişisel dijital yardımcı (PDA), cep telefonu, kalemli bilgisayar ve çağrı cihazlarını kapsamaktadır. Kablosuz teknolojiler birçok kolaylık sağlar. Örneğin cep telefonu kullanıcıları, e-postalarına erişmek için cep telefonlarını kullanabilirler. Taşınabilir bilgisayarlarla seyahat edenler, hava alanlarında, tren istasyonlarında ve diğer genel noktalarda kurulu baz istasyonları aracılığıyla Internet'e bağlanabilirler. Evdeki kullanıcılarsa, veri eşitleme ve dosya aktarımı için masaüstlerindeki aygıtlara bağlanabilirler.
Kablosuz ağ türleri • Tıpkı kablolu ağlar gibi, kablosuz ağlar da verinin aktarılabildiği uzaklığa bağlı olarak farklı türlerde sınıflandırılabilir. • Kablosuz geniş alan ağları (WWAN) • Kablosuz anakent alanı ağları (WMAN) • Kablosuz yerel alan ağları (WLAN) • Kablosuz kişisel alan ağları (WPAN)
Kablosuz geniş alan ağları (WWAN) • WWAN teknolojileri, kullanıcıların, uzak ortak veya özel ağlar üzerinden kablosuz bağlantı kurmalarına olanak tanır. • Bu bağlantılar, kablosuz hizmet sağlayıcılarının sunduğu birden çok anten istasyonu ve uydu sistemi kullanımı aracılığıyla, çok sayıda şehri ve ülkeyi içine alan geniş coğrafi bölgeleri kapsayabilir. • Şu andaki WWAN teknolojileri, ikinci kuşak (2G) sistemler olarak tanınmaktadır. Temel 2G sistemleri, GSM (Global Systemfor Mobile Communications), CDPD (CellularDigitalPacket Data) ve CDMA (CodeDivisionMultiple Access) sistemlerini kapsamaktadır. Çalışmalar, içlerinden bazılarının gezici kapasitesi sınırlı olduğundan ve birbirleriyle uyum sağlayamadığından, 2G ağlarından, küresel standarda uygun düşecek ve dünya çapında gezici kapasitesi sağlayacak üçüncü kuşak (3G) teknolojilerine geçiş yapma yolundadır. ITU, 3G için küresel standart geliştirmeyi etkin olarak desteklemektedir.
Kablosuz anakent alanı ağları (WMAN) • WMAN teknolojileri, kullanıcılara anakent alanı içinde çeşitli yerler arasında (örneğin, şehir veya üniversite kampüsündeki çeşitli çalışma yerleri arasında), fiber kaplama veya bakır kablo ve kiralık hatların yüksek maliyetine katlanmadan, kablosuz bağlantılar kurma olanağı verir. • Buna ek olarak, WMAN'ler, kablolu ağların birincil kiralanmış hatları kullanılabilir olmadığında yedek olarak da hizmet verebilir. WMAN'ler veri aktarımı için radyo dalgaları veya kızılötesi ışınlar kullanır. Kullanıcıların Internet'e yüksek hızla erişmesini sağlayan geniş bant kablosuz erişim ağlarına talep gittikçe artmaktadır. • MMDS (çok kanallı çok noktadan dağıtım hizmeti) ve LMDS (yerel çok noktadan dağıtım hizmetleri) gibi farklı teknolojiler kullanılsa da, geniş bant kablosuz erişim standartlarının IEEE 802.16 çalışma grubu, bu teknolojilerin geliştirilmesini standartlaştırmak için belirtim geliştirmeyi sürdürmektedir.
Kablosuz yerel alan ağları (WLAN) • WLAN teknolojileri, kullanıcıların yerel alan içinde (örneğin, aynı şirket veya kampüs binasında veya havaalanı gibi bir ortak alanda) kablosuz bağlantı kurmalarına olanak sağlar. WLAN'ler, çok sayıda kablo bağlamanın engelleyici olacağı geçici ofislerde veya diğer alanlarda kullanılabileceği gibi, kullanıcıların bina içinde farklı yerlerde ve farklı zamanlarda çalışabilmeleri için varolan bir LAN'ı tamamlamak için de kullanılabilir. • WLAN'ler iki farklı yöntemle çalıştırılabilir. Altyapı WLAN'lerinde, kablosuz istasyonlar (radyo ağ kartı veya harici modemleri olan aygıtlar), istasyonlarla varolan ağ omurgası arasında köprü görevini yerine getiren kablosuz erişim noktalarına bağlanır. Eşler arası (özel) WLAN'lerde, konferans salonu gibi sınırlı bir bölgenin içindeki çok sayıda kullanıcı, ağ kaynaklarına erişmeyi istemezlerse, erişim noktası kullanmadan geçici bir ağ oluşturabilirler.
IEEE 1997 yılında WLAN'ler için saniyede 1 - 2 megabit (Mbps) veri aktarım oranını belirleyen 802.11 standardını onayladı. Yaygınlaşan yeni standart olan 802.11b standardında, veriler 2.4 gigahertz (GHz) frekans bandı üzerinden en çok 11 Mbps hızında aktarılır. Daha yeni başka bir standart 802.11a'dır ve 5 GHz frekans bandı üzerinden en çok 54 Mbps hızında veri aktarımı sağlar.
Kablosuz kişisel alan ağları (WPAN) • WPAN teknolojileri kullanıcılara kişisel işletim alanı (POS) içinde kullanılacak (PDA, cep telefonu veya dizüstü bilgisayarları gibi) aygıtlar için özel, kablosuz iletişim kurma olanağı tanır. POS, kişiyi 10 metre uzaklığa kadar çevreleyen bir alandır. • Şu andaki iki temel WPAN teknolojisi Bluetooth ve kızılötesi ışındır. Bluetooth, 30 feet'lik uzaklığa kadar veri aktarmak için kablo yerine radyo dalgaları kullanan bir teknolojidir. Bluetooth verisi duvar, cep ve evrak çantası içinden geçerek aktarılabilir. Bluetooth'un teknoloji geliştirme çabaları, 1999'da Bluetooth sürüm 1.0 belirtimlerini yayınlamış BluetoothSpecialInterestGroup (SIG) tarafından yürütülmektedir. Bunun yanı sıra, kullanıcılar aygıtlar arasında çok kısa mesafelerde (1 metre veya daha az) bağlantı kurmak için kızılötesi bağlantılar oluşturabilir.
WPAN teknolojilerinin geliştirilmesini standartlaştırmak amacıyla IEEE, WPAN'ler için 802.15 çalışma grubunu kurmuştur. • Bu çalışma grubu, Bluetooth sürüm 1.0 belirtimine dayanarak bir WPAN standardı geliştirmektedir. • Bu taslak standardının ana hedefleri daha az karmaşıklık, düşük güç tüketimi, birlikte çalışabilirlik ve 802.11 ağlarıyla birlikte bulunmadır.
Kablosuz ağlar için 802.1X kimlik doğrulamasını anlama • 802.1X, kablolu Ethernet ağlarına ve kablosuz 802.11 ağlarına kimliği doğrulanmış ağ erişimi sağlamak için kullanılan bir IEEE standardıdır. IEEE 802.1X, merkezi kullanıcı tanımlama, kimlik doğrulama, dinamik anahtar yönetimi ve hesap oluşturma desteği vererek güvenliği ve dağıtımı geliştirir.
EAP, EAP-TLS, EAP-MS-CHAP sürüm 2 ve PEAP Kimlik Doğrulaması • 802.1X'in Genişletilebilir Kimlik Doğrulama Protokolü (EAP) türleri için sağladığı destek, kablosuz istemciler ve sunucular için birçok farklı kimlik doğrulaması yöntemlerinden birini seçmenize olanak verir.
EAP • 802.1X, kimlik doğrulaması işlemi boyunca ileti değişimi için EAP kullanır. EAP ile sertifikalar, akıllı kartlar veya kimlik bilgileri gibi rasgele bir kimlik doğrulama yöntemi kullanılır. EAP, bir EAP istemcisi (bir kablosuz bilgisayar gibi) ile bir EAP sunucusu (bir Internet Kimlik Doğrulaması Hizmeti (IAS) sunucusu gibi) arasında açık uçlu görüşme yapılmasına olanak verir. Görüşme, sunucunun kimlik doğrulama bilgilerini istemesinden ve istemcinin verdiği yanıtlardan oluşur. Kimlik doğrulamasının başarılı olabilmesi için, istemci ve sunucu aynı kimlik doğrulaması yöntemini kullanmalıdır.
EAP-TLS • EAP Aktarım Katmanı Güvenliği (TLS) sertifika tabanlı ortamlarda kullanılan bir EAP türüdür; en güçlü kimlik doğrulaması ve anahtar belirleme yöntemini sağlar. EAP-TLS, istemci ve kimlik doğrulama sunucusu arasında karşılıklı kimlik doğrulaması, şifre yöntemi anlaşması ve şifreleme anahtarı belirlemesi sağlar. Kullanıcı ve bilgisayar kimlik doğrulaması için sertifikalar veya akıllı kartlar kullanmak istiyorsanız, EAP-TLS veya daha gelişmiş güvenlik için EAP-TLS ile Korumalı EAP (PEAP) kullanın.
EAP-MS-CHAP sürüm 2 • EAP-Microsoft Sınama-El Sıkışma Kimlik Doğrulaması Protokolü sürüm 2 (MS-CHAP sürüm 2), parola tabanlı kullanıcı veya bilgisayar kimlik doğrulamasını destekleyen bir karşılıklı kimlik doğrulama yöntemidir. EAP-MS-CHAP sürüm 2 kimlik doğrulaması işlemi boyunca, hem sunucu hem de istemci, kimlik doğrulamasının başarılı olabilmesi için kullanıcının parolasını bildiklerini kanıtlamalıdır. EAP-MS-CHAP sürüm 2 ile, başarılı kimlik doğrulamadan sonra kullanıcılar parolalarını değiştirebilir ve parolalarının süresi dolduğunda kendilerine bildirilir.
Not; • EAP-MS-CHAP sürüm 2 yalnızca PEAP ile kullanılabilir.
PEAP • PEAP, diğer EAP kimlik doğrulama protokollerinin güvenliğini geliştirmek için TLS kullanan bir kimlik doğrulama yöntemidir. PEAP aşağıdaki yararları sağlar: PEAP içinde çalışan EAP protokollerini korumak için bir şifreleme kanalı, TLS'den üretilen dinamik anahtar oluşturma malzemesi, hızlı yeniden bağlanma (kablosuz erişim noktaları arasında hızlı gezinmeye izin veren önbelleğe alınan oturum anahtarları kullanarak bir kablosuz erişim noktasına yeniden bağlanabilme) ve yetkisiz kablosuz erişim noktalarının dağıtılmasına karşı kullanılabilen sunucu kimlik doğrulaması.
PEAP kimlik doğrulama işlemi • PEAP kimlik doğrulama işlemi iki ana aşama içerir:
1.Sunucu kimlik doğrulaması ve TLS şifreleme kanalının oluşturulması. • Sunucu, istemciye sertifika bilgileri sağlayarak, kendini istemciye tanıtır. İstemci sunucunun kimliğini doğruladıktan sonra, bir ana gizli kod dizesi oluşturulur. Ana gizli kod dizesinden oluşturulan oturum anahtarları daha sonra sunucu ve kablosuz istemci arasındaki sonraki tüm görüşmeleri şifreleyen bir TLS şifreleme kanalı oluşturmakta kullanılır.
2.EAP görüşmesi ve kullanıcı ve istemci bilgisayarı kimlik doğrulaması. • İstemci ve sunucu arasındaki tam EAP görüşmesi TLS şifreleme kanalında kapsüllenir. PEAP ile kullanıcı ve istemci bilgisayarın kimliğini doğrulamak için, parolalar, akıllı kartlar ve sertifikalar gibi birçok EAP kimlik doğrulaması yönteminden birini kullanabilirsiniz.
PEAP kimlik doğrulaması işleminde üretilen oturum anahtarları, kablosuz istemcilerle kablosuz erişim noktaları arasında gönderilen verileri şifreleyen Kabloluya Eşit Gizlilik (WEP) şifreleme anahtarları için anahtar oluşturma malzemesi sağlar. • PEAP'yi kablosuz kimlik doğrulama için aşağıdaki kimlik doğrulama yöntemlerinden biriyle kullanabilirsiniz: • Sunucu kimlik doğrulaması için sertifikalar kullanan ve kullanıcı ve istemci bilgisayarı kimlik doğrulaması için sertifikalar veya akıllı kartlar kullanan EAP-TLS. • Sunucu kimlik doğrulaması için sertifikalar, kullanıcı kimlik doğrulaması için kimlik bilgileri kullanan EAP-MS-CHAP sürüm 2. • Microsoft olmayan EAP kimlik doğrulama yöntemleri.
Notlar • PEAP'nin EAP-MD5 ile birlikte kullanımı desteklenmez. • PEAP 802.11 kablosuz istemciler için bir kimlik doğrulama yöntemi olarak kullanılabilir, ancak sanal özel ağ (VPN) istemcileri veya diğer uzaktan erişim istemcileri için desteklenmez. Bu yüzden, PEAP'yi uzaktan erişim ilkesi için kimlik doğrulama yöntemi olarak yalnızca Internet Kimlik Doğrulama Hizmeti (IAS) kullanırken yapılandırabilirsiniz.
Kızılötesi iletişim • Kızılötesi iletişim veri aktarmak için kızılötesi ışınları kullanır. Kızılötesi ışınlar ayrıca tüm dünyada TV ve video uzaktan kumandaları tarafından kullanılmaktadır. Bilgisayarlarda, kızılötesi iletişim kablo ve disketler için bir alternatif oluşturur. Kızılötesi iletişim, bilgisayarları birbirleriyle ya da diğer aygıtlar ve araçlarla bağlamak için noktadan noktaya, düşük maliyetli bir yöntem sağlar. Çok sayıda cep telefonunda, çevirmeli ağ bağlantıları için bilgisayara bağlanmalarını sağlayan kızılötesi bağlantı noktaları bulunmaktadır.
Kızılötesi uygulaması • Kızılötesi veri aktarımı Kızılötesi Veri Birliği (IrDA) standartları ve protokolleri doğrultusunda gerçekleştirilir. Bu standartlar, düşük maliyetli bileşenler ve düşük güç gereksinimlerine izin verecek ve kızılötesi aygıtları basitçe birbirlerine doğru yönelterek bağlantı kurulmasını sağlayacak şekilde tasarlanmıştır. Kızılötesi alıcılar, taşınabilir bilgisayarların neredeyse tüm yeni modellerinde bulunmaktadır. Yerleşik alıcısı olmayan bir bilgisayara harici kızılötesi bir alıcı takabilirsiniz.
IrDA yarı çift yönlü, kısa aralıklı veri aktarma teknolojisidir. IrDA iletişim kuralları, bağlantının başlatılması, aygıt adresi bulma, bağlantı başlangıcı ve veri hızı anlaşması, bilgi alışverişi, bağlantı kesilmesi, bağlantı kapanması ve aygıt adresi çelişki çözümü konularını destekleyen yordamları belirler.
Kızılötesi aygıt desteği • Kızılötesi işlevselliği, Kablosuz Bağlantı dosya aktarım özelliği, kızılötesi yazdırma (IrLPT), kızılötesi görüntü aktarım (IrTran-P) ve kızılötesi ağ (IrNET ve IrComm) yetenekleri aracılığıyla sağlanır. Ek olarak, IrDAWinsock API, diğer yazılım ve aygıt üreticileri tarafından oluşturulmuş programları da destekler. Bu üreticiler, yazıcılara, modemlere, dijital çağrı cihazları, kişisel dijital yardımcılar, elektronik kameralar, elektronik ajandalar, cep telefonları ve taşınabilir bilgisayarlara kızılötesi bağlantılar sağlamak için Winsock API (veya özel arayüzler) kullanan programları satar.
Kızılötesi iletişim hızları • Bugün çok sayıda dizüstü ve taşınabilir bilgisayar ve el aygıtı, saniyede en fazla 115.2 kilobayt (Kbps) veya saniyede 4 megabit (Mbps), bazen de 16 Mbps hızında veri aktaran, zaman uyumsuz seri iletim sağlayan kızılötesi alıcı verici bağlantı noktaları içermektedir.
Seri IrDA 115.2 Kbps desteği (SIR) • IrDA'nın Seri Kızılötesi Veri Birliği (SIR) uygulaması, en fazla 115.2 Kbps hızında veri aktarımı sağlar. Bu uygulamanın en önemli yararı, varolan seri donanımın ek maliyet gerektirmeden kullanılabilmesidir.
Hızlı IrDA 4.0 Mbps desteği (FIR) ve Çok Hızlı IrDA 16.0 Mbps desteği (VFIR) • IrDA'nın Hızlı IrDA (FIR) uygulaması, daha yavaş olan aygıtlara göre kolayca ayarlanan, en yüksek hızda (4 Mbps) veri aktarımı sağlar. 16 Mbps yarı çift yönlü veri aktarımı sağlayan Çok Hızlı IrDA da (VFIR) desteklenmektedir. FIR ve VFIR aygıtları, SIR aygıtları ile iletişim kurabilir.
Kablosuz ağlar için güvenlik bilgileri • Kablosuz ağ teknolojileri kolaylık ve esneklik sağlar, ancak ağınızda güvenlik risklerine yol açar. Örneğin, kimlik doğrulama ve yetkilendirme mekanizmaları uygulanmazsa, uyumlu kablosuz ağ bağdaştırıcısı olan herhangi biri ağa erişebilir. Şifreleme olmadan, kablosuz veriler düz metin olarak gönderilir, bu yüzden kablosuz erişim noktasından yeterli uzaklıkta bulunan biri, kablosuz erişim noktasına gönderilen ve kablosuz erişim noktasından gönderilen tüm verileri algılar ve alır.
Aşağıdaki güvenlik mekanizması kablosuz ağlar üzerindeki güvenliği geliştirir: • 802.11 kimliğini belirleme ve doğrulama • 802.11 Kabloluya Eşit Gizlilik (WEP) şifrelemesi • Wi-Fi Korumalı Erişim (WPA) • 802.1X kimlik doğrulaması • 802.1X kimlik doğrulaması için IAS desteği
802.11 kimliğini belirleme ve doğrulama • Kimlik belirlemek ve doğrulamak için, IEEE 802.11 açık sistemini ve paylaşılan anahtar kimlik doğrulama alt türlerini tanımlar: • Açık sistem kimlik doğrulaması gerçekte kimlik doğrulaması sağlamaz; yalnızca başlatıcı (kablosuz istemci) ve alıcı (kablosuz erişim noktası) arasında ileti değişimiyle kimliğin belirlemesini sağlar. • Paylaşılan anahtar kimlik doğrulaması, başlatıcısının paylaşılan gizliliği bildiğini doğrulayarak kimlik doğrulaması sağlar. 802.11 standardında, paylaşılan gizliliğin 802.11'den bağımsız, güvenli bir kanal üzerinden kablosuz erişim noktasına gönderildiği varsayılır.
802.11 WEP şifrelemesi • 802.11, şifreleme için WEP algoritması tanımlar. WEP, kablosuz istemcilerle kablosuz erişim noktaları arasında gönderilen verileri şifreleyerek verinin gizli kalmasını sağlar. • Kablosuz ağlar üzerinden gönderilen verileri şifrelemek için, WEP, standart 40 bit şifreleme anahtarıyla veya bazı uygulamalarda 104 bit şifreleme anahtarıyla, RC4 akış şifresini kullanır. • Akış şifresi, şifreleme anahtarı ve algoritmasının veri akışındaki her ikili rakama (bir seferde bir bit) uygulandığı bir metin şifreleme yöntemidir (şifreleme metni üretmek için). RSA Data Security, Inc tarafından üretilen RC4 akış şifresi, rasgele uzunlukta anahtarları kabul edebilir. Veri bütünlüğü, kablosuz çerçevenin şifreli bölümündeki bir bütünlük denetim değeriyle (ICV) sağlanır.
WPA • WPA, Wi-Fi Alliance tarafından geliştirilen yeni bir kablosuz güvenlik teknolojisidir. Wi-Fi Korumalı Erişim, WEP'devarolan şifreleme zayıflıklarını güçlendirir ve şifreleme anahtarlarını otomatik olarak üretmek ve dağıtmak için bir yöntem sunar. Bu çözüm ayrıca, iletişimde alınıp verilen bilgi paketlerinin saldırganlar tarafından değiştirilememesi için veriler üzerinde bütünlük denetimi de sunar. • Kuruluş düzeyinde kullanıcı kimlik doğrulamasını geliştirmek için, Wi-Fi Korumalı Erişim ağdaki her kullanıcının kimliğini doğrular ve bu kullanıcıların aldatıcı ağlara katılmalarını engeller. WPA varolan teknolojileri temel alıp, 802.11i ile ileri doğru uyumluluk ve varolan 802.11 çözümleriyle geriye doğru uyumluluk sunarak, WEP ile ilgili zayıflıklara pratik bir çözüm sağlar.
802.1X kimlik doğrulaması • 802.1X, kablolu Ethernet ağlarına ve kablosuz 802.11 ağlarına kimliği doğrulanmış ağ erişimi sağlamak için kullanılan bir IEEE standardıdır. IEEE 802.1X, merkezi kullanıcı tanımlama, kimlik doğrulama, dinamik anahtar yönetimi ve hesap oluşturma desteği sağlar. 802.1X standardı, bilgisayarın ve ağın birbirlerinin kimliğini doğrulamalarına izin vererek, kablosuz bağlantılar üzerinden veri şifreleme için kullanıcı veya oturum bazında anahtarlar oluşturarak ve anahtarları dinamik olarak değiştirmeye olanak vererek güvenliği geliştirir.
802.1X kimlik doğrulaması için IAS desteği • Kablosuz ağların güvenliğini ve dağıtımını geliştirmek için, IAS ile 802.1X, Uzaktan Kimlik Doğrulama İçeri Arama Kullanıcı Hizmeti (RADIUS) sunucusunun Microsoft uygulaması ve proxy sunucusu kullanabilirsiniz. RADIUS uygulandığında, RADIUS istemcileri olarak yapılandırılan kablosuz erişim noktaları, bağlantı isteklerini ve hesap iletilerini merkezi RADIUS sunucusuna göndermek için RADIUS protokolünü kullanır. RADIUS sunucusu bir kullanıcı hesabı veritabanına ve yetki verme kurallar kümesine erişir ve kablosuz erişim noktası bağlantı isteklerini işler, ardından bağlantı isteğini kabul eder veya reddeder.