Bu çalışmada, ESP32 Firewall (güvenlik duvarı) uygulaması geliştirerek Wi-Fi güvenlik protokollerinin çalışma prensiplerini, protokol düzeyindeki kritik açıkları ve IoT cihazlarında yerel ağ koruma mekanizmalarının nasıl yapılandırılacağını inceleyeceğiz. Wi-Fi güvenlik standartları kablosuz ağ trafiğini şifreleyerek yetkisiz erişimi engellerken, gömülü sistem güvenlik duvarları ise doğrudan cihaz düzeyinde (endpoint) ağ trafiğini denetleyerek siber saldırılara karşı ek bir savunma hattı inşa eder.
Bu içerik yalnızca eğitim ve bilgi amaçlı olarak hazırlanmıştır. İçerikte belirtilen yöntemlerin kötüye kullanımı yasalara aykırı olabilir ve sorumluluk tamamen kullanıcının kendisine aittir.
Her zaman yasalara uygun hareket etmeniz ve izinsiz girişimlerde bulunmamanız gerektiğini unutmayın. Yazar ve devreyakan.com, bu bilgilerin kötüye kullanılmasından doğabilecek yasal veya teknik sorunlardan sorumlu tutulamaz.
Wi-Fi Güvenlik Protokolleri Nedir?
WEP (Wired Equivalent Privacy)
Tarihçe ve Temel Özellikler
1997 yılında IEEE 802.11 standardının bir parçası olarak yayınlanan WEP (Wired Equivalent Privacy), kablosuz ağlar için geliştirilmiş ilk güvenlik protokolüdür.
- Kriptografik Altyapı: Güvenlik ve veri şifreleme amacıyla RC4 akış şifreleme (stream cipher) algoritmasını temel alır.
- Anahtar Boyutları: Güvenlik seviyesi oldukça düşük olan 40-bit veya 104-bit boyutunda statik anahtar çiftleri kullanır.
Avantajları
- Kablosuz ağlarda veri gizliliğine yönelik atılmış ilk tarihsel adımdır.
- Düşük işlem gücü gereksinimi sayesinde dönemin donanımları tarafından kolayca entegre edilmiştir.
Zayıflıkları
- Statik Anahtar Sınırları: Ağdaki tüm istemciler aynı statik anahtarı paylaştığı için bir anahtarın sızması tüm ağ trafiğini savunmasız bırakır.
- Zayıf Başlatma Vektörü (IV): Başlatma vektörünün (Initialization Vector) yalnızca 24-bit gibi dar bir alana sahip olması, anahtarların kısa sürede tekrarlamasına ve kriptografik analizlerle dakikalar içinde deşifre edilmesine yol açar.
- Günümüz standartlarında tamamen güvensiz kabul edilmekte ve hiçbir endüstriyel veya bireysel ağda kullanılması önerilmemektedir.
WPA (Wi-Fi Protected Access)
Tarihçe ve Temel Özellikler
2003 yılında WEP protokolünün yapısal açıklarını hızlı bir yama ile kapatmak amacıyla geçici bir standart olarak duyurulmuştur.
- Kriptografik Protokol: Veri bütünlüğünü korumak adına TKIP (Temporal Key Integrity Protocol) yapısını barındırır.
- Dinamik Paket Şifreleme: Paket başına anahtar türetme (per-packet key mixing) yöntemiyle anahtarların statik kalmasını engeller.
Avantajları
- WEP protokolündeki statik anahtar zafiyetlerini tamamen ortadan kaldırmıştır.
- Dinamik anahtar değişimi sayesinde ağ trafiğinin dinlenerek şifrenin çözülmesini zorlaştırmıştır.
Zayıflıkları
- TKIP Güvenlik Açıkları: TKIP mimarisinin zayıf yapısı, zamanla çeşitli kriptografik saldırılara karşı savunmasız kalmasına neden olmuştur.
- Yalnızca donanımsal yükseltme yapamayan eski cihazlar için geçici bir ara katman olarak tasarlandığından, yerini hızla WPA2 standardına devretmiştir.
WPA2 (Wi-Fi Protected Access II)
Tarihçe ve Temel Özellikler
2004 yılında resmi olarak yayınlanan WPA2, kablosuz ağ dünyasında uzun yıllar boyunca endüstri standardı olarak hüküm sürmüş en güvenilir mimarilerden biridir.
- Güçlü Kriptografi: Şifreleme işlemlerinde donanımsal olarak da desteklenen üst düzey AES (Advanced Encryption Standard) algoritmasını kullanır.
- CCMP Bütünlük Kontrolü: Veri paketlerinin bütünlüğünü ve doğruluğunu sağlamak için CCMP (Counter Mode CBC-MAC Protocol) mekanizmasını entegre eder.
Avantajları
- AES entegrasyonu sayesinde askeri düzeyde veri gizliliği ve güvenliği sunar.
- Bireysel (WPA2-PSK) ve kurumsal 802.1X kimlik doğrulama (WPA2-Enterprise) modları ile geniş ölçeklenebilirlik sağlar.
Zayıflıkları
- KRACK (Key Reinstallation Attack) Tehdidi: 4’lü el sıkışma (four-way handshake) sürecindeki tasarım hatası nedeniyle, KRACK saldırısı ile şifreleme anahtarlarının yeniden yüklenmesi zafiyetine maruz kalabilir.
- Açık Ağlarda Şifresiz İletişim: Parolasız halka açık ağlarda (Open Networks) istemci trafiğini şifreleyemez; bu da pasif dinlemeye olanak tanır.
WPA3 (Wi-Fi Protected Access III)
Tarihçe ve Temel Özellikler
2018 yılında duyurulan WPA3, selefi WPA2’nin KRACK ve sözlük tabanlı kaba kuvvet saldırılarına yönelik tüm açıklarını kapatmak üzere geliştirilmiş en modern kablosuz güvenlik standardıdır.
- SAE El Sıkışması: Pre-Shared Key (PSK) yerine daha gelişmiş ve güvenli olan SAE (Simultaneous Authentication of Equals) el sıkışma algoritmasını kullanır.
- 192-bit Kriptografik Güvenlik: Hassas kurumsal ağlar için 192-bit boyutunda şifreleme desteği ile en yüksek seviyede güvenlik duvarı oluşturur.
Avantajları
- Kaba Kuvvet (Brute-Force) Koruması: SAE el sıkışması sayesinde saldırganlar ağa çevrimdışı (offline) sözlük saldırısı gerçekleştiremez; şifre tahmin girişimleri tamamen engellenir.
- Fırsatçı Kablosuz Şifreleme (OWE): Parolasız açık Wi-Fi ağlarında dahi her istemci ile erişim noktası arasındaki trafiği OWE (Opportunistic Wireless Encryption) teknolojisiyle bireysel olarak şifreler.
- Gelişmiş IoT Güvenliği: Ekranı veya giriş arayüzü bulunmayan zayıf IoT cihazlarının ağa güvenli bir şekilde dahil edilmesini kolaylaştıran Wi-Fi Easy Connect standardını barındırır.
- Mükemmel İleriye Yönelik Gizlilik (Perfect Forward Secrecy – PFS): Ağ parolası ele geçirilse dahi, geçmişte kaydedilmiş olan ağ trafiğinin deşifre edilmesini teknik olarak imkansız kılar.
Zayıflıkları
WPA3 korumalı bir ağa bağlanabilmek için hem erişim noktasının (AP) hem de istemci cihazların bu standardı desteklemesi gerekir. Eski nesil IoT donanımları veya mikrodenetleyiciler WPA3 desteğine sahip olmayabilir; bu durumlarda geçiş modları (WPA2/WPA3 Mixed) tercih edilmektedir.
| Özellik | WEP | WPA | WPA2 | WPA3 |
|---|---|---|---|---|
| Yayınlanma Yılı | 1997 | 2003 | 2004 | 2018 |
| Kripto Algoritması | RC4 | TKIP | AES (CCMP) | AES (GCMP) + SAE |
| Güvenlik Seviyesi | Kritik Derecede Düşük | Düşük / Yetersiz | Yüksek (KRACK hariç) | Maksimum (Askeri Düzey) |
| Anahtar Yönetimi | Statik Anahtar | Dinamik (Dönemsel) | CCMP / 4-Handshake | SAE / Forward Secrecy |
Wi-Fi Güvenlik Açıkları Nasıl Analiz Edilir?
Paket Dinleme (Packet Sniffing)
Kablosuz ağ trafiğini koklamak (sniffing) ve paket yapılarını derinlemesine incelemek için popüler bir ağ analiz aracı olan Wireshark ağ trafiği analizörünü kullanabilirsiniz.
Sızma Testi (Penetration Testing)
Kablosuz ağlardaki şifreleme zafiyetlerini, handshake el sıkışma paketlerini yakalayarak test etmek amacıyla açık kaynaklı Aircrack-ng sızma testi paketini kullanabilirsiniz.
IoT Cihazlarında Güvenlik Duvarı (Firewall) Uygulamaları
Güvenlik duvarları (Firewall), ağ katmanı ile uygulama katmanı arasındaki veri paketlerini önceden tanımlanmış kurallara göre filtreleyerek IoT donanımlarına yönelik yetkisiz erişimleri ve port taramalarını cihaz düzeyinde engeller.
ESP32 Firewall Uygulama Örneği
Aşağıda paylaşılan ESP32 güvenlik duvarı yazılımı; UDP paketlerinin kaynak IP adresini, ulaştığı port numarasını ve protokol türünü dinamik olarak kontrol ederek kurallara uymayan paketleri anında reddeden temel bir denetleyici mimarisidir:
ESP32 Firewall Seri Ekran Görüntüleri
ESP32 cihazına kod yüklendikten sonra cihaz yerel Wi-Fi ağına bağlanır ve DHCP sunucusundan bir IP adresi talep eder. Ardından, gelen tüm paketleri filtreleme kurallarına göre süzerek seri port ekranında (Serial Monitor) şu şekilde raporlar:
1. Kaynak IP Filtreleme (IP Filtering)
- Yazılım içerisindeki
blockedIPs[]dizisinde tanımlanan kara listedeki (blacklist) IP adreslerinden gelen tüm UDP paketleri ağ yığınından doğrudan atılır. - Bu filtreleme, ağda şüpheli aktiviteler gerçekleştiren cihazları engellemek için kullanılabileceği gibi; tam tersine beyaz liste (whitelist) mantığıyla sadece belirli yetkili istemcilere erişim izni verecek şekilde de düzenlenebilir.
2. Port Denetimi (Port Filtering)
- Cihaz, yalnızca
allowedPorts[]dizisinde açık olarak tanımlanan portlara (örneğin IoT servis portu) gelen bağlantıları kabul eder. - Gereksiz tüm açık portlar (örneğin Telnet veya FTP portları) kapatılarak saldırganların port taraması (port scanning) faaliyetleri boşa çıkarılır.
3. Ağ Protokolü Filtreleme (Protocol Filtering)
- Cihaz, TCP veya UDP gibi taşıma katmanı protokollerini denetleyerek kurallarla eşleşmeyen geçersiz paket yapılarını ağ arabelleğinden siler.
4. Derinlemesine Paket Analizi (DPI – Deep Packet Inspection)
- Gelen UDP paketlerinin başlık bilgileri (header) çözümlenerek kaynak IP adresi, hedef port numarası ve payload (veri yükü) içeriği gerçek zamanlı olarak izlenir.
- Kritik uygulamalarda, veri yükü içerisindeki imzalar veya komut yapıları analiz edilerek saldırı girişimleri (örneğin SQL injection veya buffer overflow) paket düzeyinde bloke edilebilir.
Bu kod, ESP32’nin temel bir güvenlik duvarı gibi davranmasını sağlar.
Daha Gelişmiş Uygulamalar:
- Dinamik Kural Güncelleme: Filtreleme kurallarının statik kod yerine, lokal bir web sunucu arayüzü (ESP32 Web Server) veya mobil uygulama üzerinden çalışma zamanında (runtime) dinamik olarak güncellenmesi sağlanabilir.
- Ağ Loglama (Syslog): Güvenlik duvarının engellediği saldırı girişimleri ve izin verilen tüm bağlantılar, yerel bir mikro SD kart modülüne veya uzak bir Syslog/SIEM sunucusuna loglanabilir.
- Şifreli Trafik Analizi: HTTPS ve MQTTS gibi şifreli protokollerin el sıkışma aşamalarında, sunucu sertifika doğrulamaları (certificate pinning) kullanılarak yetkisiz alan adlarına giden trafik engellenebilir.
Sonuç olarak, ESP32 üzerinde geliştirilen yerel bir güvenlik duvarı (Firewall) mimarisi, sahadaki IoT donanımlarının dış dünyayla olan etkileşimini kontrol altına almanın en verimli yoludur. Karşılaştırmalı olarak incelediğimiz Wi-Fi şifreleme protokollerinin (WEP’ten WPA3’e) sağladığı ağ şifrelemesine ek olarak, cihaz düzeyinde uygulanan bu tür bir paket filtreleme yazılımı, Nesnelerin İnterneti projelerinizde siber saldırılara karşı sarsılmaz bir savunma hattı kuracaktır.
Yorum yapma özelliği, forum tarafından gelen istek sebebiyle kapatılmıştır. Lütfen tartışmalar ve sorularınız için topluluk forumumuza katılın.