Muhammed Ensar tarafından yazılmıştır.
Selamlar, pwnlab.me okurları. Bu yazımızda MAC adresi filtrelemesinin nasıl bypass edilebileceğinden bahsedeceğiz. Tabi öncelikle MAC adresinin ne olduğu hakkında kısaca bilgi verelim.
MAC (Media Access Control) adresi bir ağ içerisinde her cihazın tanınması için donanımına yani üzerinde barındırdığı ağ kartına tanımlanmış bir adrestir. Bu adresler üretim sırasında üretici firma tarafından her ağ kartına özel benzersiz şekilde adreslenerek kart üzerine tanımlanır ve doğal olarak bir ağ kartı için kullanılan MAC adresi başka bir kart için asla kullanılmaz. Çünkü dünya üzerinde milyonlarca ağ mevcut olduğundan her ağ kartı için benzersiz olarak tanımlanması gerekir. MAC adresi, ağ cihazını temsil eden Fiziksel Adres ya da Donanım Adresi olarakta tanımlanır.
MAC Adreslerine baktığımız zaman 6 oktetten oluşan, her oktet arasında iki nokta üst üste gelecek şekilde 12 basamaklı ve onaltılık tabanda oluşturulmuş bir adres olduğunu görüyoruz. Burada her bir oktet, 8 bitlik bir adresi temsil eder. Buda demek oluyor ki MAC adresleri 48 bitten oluşuyor. MAC adresinin ilk 6 basamağı IEEE (Institute of Electrical and Electronics Engineers) tarafından OUI (Organizationally Unique Identifier) yani Kuruluşa Özgü Tanımlayıcı olarak belirlenmiştir. Kısaca IEEE, MAC adreslerinin ad alanını düzenleyen ve koruyan uluslararası bir kuruluştur. Son 6 basamak ise NIC (Network Interface Controller) diye tabir edilen aslında kısaca ağ kartımızı temsil eder. Anlaşılır olması açısından aşağıda bu konu ile alakalı görselimizi inceleyebilirsiniz.
Biz yukarıdaki görsel üzerinde MAC adresini iki nokta üst üste koyarak(Colon-Hexadecimal Notation) gösterimini sağladık ki genel olarak gösterimi bu şekilde sağlanır ama bu bir standart değildir. MAC adresleri aşağıdaki bazı gösterim şekilleri kullanılarak ta temsil edilebilir.
Colon-Hexadecimal Notation : F4:BD:9E:91:50:63
Hypen-Hexadecimal Notation : F4-BD-9E-91-50-63
Period-Separated Hexadecimal Notation : F4B.D9E.915.063
Bunun dışında bazı üretici firmaları temsil eden MAC tanımlayıcıları aşağıdaki gibi listeleyebiliriz.
F4 : BD : 9E - Lenovo
98 : E7 : 43 - Dell Inc
60 : 45 : BD - Microsoft
Bir firmanın kendisini simgeleyen birden fazla MAC tanımlayıcısı bulunabilir. Bunu unutmayalım. Firmalara ait tüm MAC adresi tanımlayıcılarını görmek için tıklayınız.
Bilgisayarlar yerel bir ağ ortamında birbirleriyle haberleşmek için sadece IP adresi ile bu süreci yürütemezler bunun yanında MAC adreslerine ihtiyaç duyarlar. Bu aşamada bu süreci yönetecek olan ARP (Address Resolution Protocol) devreye girer. ARP protokolü ağ içerisinde bir IP adresinin hangi MAC adresine ait olduğunu çözümlememizi sağlar. Örnek olması açısından iki bilgisayarın haberleşmesini ve burada ARP protokolünün işlevini bu şekilde anlatabiliriz.
Yerel bir ağ içerisinde Ali ve Ahmet adında iki bilgisayar olduğunu varsayalım. Ali’nin IP adresi 192.168.1.100, Ahmet’in IP adresi ise 192.168.1.101 olsun. Bu durumda Ali, Ahmet ile haberleşmek istiyor. Bu süreç nasıl ilerliyor adım adım açıklayalım.
1-) Ali, Ahmet’in IP adresini bilir fakat MAC adresini bilmediği için kendi içinde ARP tablosuna bakar. Eğer burada Ahmet’in MAC adresi yoksa ağın içerisine ARP Request paketi yollar. ARP bir Broadcast pakettir. Bunun ne olduğunu şu şekilde açıklayalım. Bazı özel MAC adresleri vardır ve Broadcast’te bundan biridir. Bu MAC adresi paketin gideceği Destination(Hedef) MAC adresi kısmına bırakılırsa paketin ağ içerisindeki tüm cihazlara ulaşması sağlanır. Bu sırada paketi alan cihazlar içinde IP adresinin kendine ait olup olmadığına bakar ve kendine ait ise bir ARP Reply paketi ile yanıt döner. Detaylarını birazdan açıklayacağız.
2-) Ali tarafından Broadcast MAC ile gönderilen ARP paketi ağın içerisindeki tüm cihazlara ulaşır ve paket alan cihazlar bu paket içerisinde bulunan Hedef IP leri kontrol eder. Eğer IP adresi kendine aitse buna ARP Reply ile yanıt verir ama değilse cevap vermez.
3-) Burada ARP Request paketine yanıt verecek olan Ahmet, paketin içeriğini kontrol eder ve hangi cihazdan geldiğini içerisinde bulunan Source IP ve Source MAC alanından anlar. Burada Ali’nin MAC ve IP’sini kendi içerisinde bulunan ARP Tablosuna ekler. Bu aşamadan sonra bir ARP Reply paketi oluşturarak ağ içerisinde Ali’ye gönderir.
4-) ARP Reply paketini alan Ali, gelen paketin içerisinde MAC adresini IP adresi ile eşleştirip kendi ARP Tablosuna ekler. Ve haberleşme başlar.
Yukarıda anlatılanların anlaşılır olması için aşağıdaki görsel ile açıklamak istedim.
Çoğu Router ve Access Point (AP) kablosuz ağlarında MAC filtrelemesi adında bir özellik taşır. Bu özellik kullanıcının isteği doğrultusunda yapılandırılabilir. MAC filtrelemesinin amacı ağa dahil olabilecek aygıtları sınırlamak ve güvenliği arttırmaktır. Ancak MAC adresleri sahte olabilir veya taklit edilebilir oldukları için bunun yararlı mı yoksa boş yere zaman kaybı mı olduğu tartışılabilir. Mesela günlük kullanıcılar detaylara hakim olmadıkları için MAC filtrelemesine karşı bir adım atamazlar. Bu aşamada bu özellik yararlı olabilir. Fakat bu işe gönül vermiş kötü niyetli bir kişi bunu çok kolay bir şekilde atlatması mümkündür. Bu ihtimalde ise MAC filtrelemesinin bir hükmü kalmaz.
Standart bir kablosuz ağda, SSID ( Ağ Adı) ve parolayı bilen kişi bağlantı noktası ile doğrulama yapar ve ağa dahil olur. MAC filtrelemesi ise bu işleme bir ek katman ekleyerek kişi ağa dahil olmadan önce aygıtın MAC adresini yapılandırma durumuna göre Whitelist(Beyaz Liste) ve Blacklist (Kara Liste) üzerinden kontrolünü sağlar. Aygıtın MAC adresi bağlantı noktası üzerindeki liste ile eşleşiyorsa yine yapılandırmaya göre ağa dahil eder veya etmez. MAC filtrelemeri iki farklı türde yapılandırılabilir. Bunlardan biri Whitelist diğeri ise Blacklist olarak geçer. Bu kavramları kısaca açıklayalım.
Whitelist( Beyaz Liste ) adından da anlaşılacağı üzere güvenilir olan aygıtların MAC adresini üzerinde bulundurduğu bir tablo gibidir. MAC filtrelemesi beyaz listeye göre yapılandırıldıysa bu alan eklenen adresler ağa dahil olmak istediğinde bu talep kabul edilir ve aygıt IP adresi alarak ağa dahil olur. Fakat bu liste dışındaki herhangi bir aygıt bağlantı talebinde bulunursa bu talep engellenerek aygıt ağa dahil edilmez. Genelde MAC filtrelemeleri yapılırken beyaz liste yapılandırması kullanılır.
Blacklist( Kara Liste ) tam tersi olarak içerisinde bulunan adreslerinin ağa dahil olmasını engeller. Doğrulama sırasında aygıtın MAC adresi bu liste içerisinde bulunuyorsa bu aygıtın ağa dahil olması engellenir. Bu yapılandırma şekli genel olarak kimse tarafından tercih edilmez. Çünkü size zarar verebilecek kişileri tespit etmeniz her zaman zordur.
Bu aşamada Whitelist kullanılmasının en büyük sebebi siz bağlanmasını istediğiniz kişileri biliyor olmanızdır. Mesela eviniz içerisinde ağa kimler bağlanmak ister diye sorduğumuzda cevabı aşağı yukarı bellidir. Burada belli kişileri beyaz listeye eklersiniz ve bunlar dışındaki geri kalan herkesin ağa dahil olma talebi reddedilir. Fakat ağıma kimler dahil olmasın diye bir soru sorulduğunda bunun cevabını vermeniz çok zordur. Çünkü kimlerin ağa dahil olabileceğini net bir şekilde bilemezsiniz. Blacklist yapılandırmasının genel olarak kullanılmamasının sebebi aslında budur. Neyse fazla uzatmadan bu işlemlerin sadece günlük kullanıcılar üzerinde etkisi olduğunu söylemiştik. Bilgi sahibi bir kişinin bu sınırlamayı atlatması bir kaç dakikasını alır.
MAC filtrelemesinin bize karşı yapıldığını nasıl anlayabiliriz diye düşündüğümüzde bunu anlamak için bağlanmak istediğimiz ağın adı ve parolasını bilmemize rağmen ağa hiçbir şekilde dahil olmadığımızı görürsek bunun MAC filtrelemesi olduğundan şüphelenebiliriz. Bu aşamada ağı dinleyip bir kontrol gerçekleştirebiliriz. Biz bunun için aircrack-ng suite araçlarını kullanacağız. Hava ortamındaki trafiği dinlemek için bu kabiliyete sahip bir ağ kartına ihtiyacınız vardır. Bu ağ kartlarına monitor mod destekli ağ kartı deniliyor. Bu alanda bu kabiliyete sahip bir çok yonga setli ağ kartı mevcuttur. Hatta aygıtlarımız üzerinde gelen bir çok ağ kartının monitor mod desteği vardır. Önerilen bazı ağ kartlarının yonga setlerini aşağıda bulabilirsiniz.
Ralink RT2460
Realtek RTL8180L
Realtek RTL8185L
Realtek RTL8187SE
Broadcom BCM4301
Senaryoda pwnlab.me adında bir ağ var. Bu ağın bilgilerine sahibiz fakat MAC filtrelemesinden dolayı ağa dahil olamıyoruz. Şimdi bunu nasıl atlatabiliriz bundan bahsedelim.
1-) Kablosuz ağ kartlarımızın bir çok farklı modu mevcuttur. Bunlardan en çok bilinenleri Master, Managed, Ad-Hoc ve Monitor mod olarak 4 farklı moddan oluşur. Kısaca bunlardan bahsedelim ve konumuza devam edelim.
Master Mod : Ağ kartımız bu modda çalışırken bir bağlantı noktası (AP) görevi görür. Modemler ve AP’ler üzerindeki ağ kartları bu modda çalışırlar ve istemcilere hizmet verirler.
Managed Mod : Cep telefonlarımız, bilgisayarlarımız üzerinde çalışan ağ kartlarının standart olarak çalıştığı moddur. Bu modda çalışan bir ağ kartı bir ağa bağlanabilir. Kısacası istemci rolündedir.
Ad-Hoc Mod : Ağ kartlarımızın bir bağlantı noktasına ihtiyaç duymadan doğrudan birbirlerine bağlanmasını sağlayan moddur.
Monitor Mod : Ağ kartımızın trafiği izlemesine olanak sağlayan moddur. Bu modda çalışırken bir ağa bağlanamazsınız.
Biz ilk olarak ağı dinleyip trafiği izleyeceğimiz için ağ kartımızı monitör moda almamız gerekecektir. Bu işlemi el ile yapmakta mümkündür fakat aircrack-ng suite içerisinde barınan airmon-ng aracı bu işlemi yapmamızı kolaylaştıracağı için bunu kullanacağız.
sudo airmon-ng
komutuyla ağ kartımızın sistem üzerinde belirttiği ara yüzünü öğrenelim. Ardından ağ kartımızı monitör moduna alalım. Bunun için;
sudo airmon-ng start [interface]
ya da
sudo airmon-ng start wlp2s0
İşlem sonrası ağ kartımızın ara yüzü wlp2s0mon olarak değişti. Bunu iwconfig komutu ile kontrol edebiliriz. Bazı dağıtımlar üzerinde ağ kartı wlan0 gibi değerler alabiliyor. Onlarda monitör moduna geçtikleri zaman wlan0mon olarak ara yüzü değişecektir. Görselde yeşil alan içerisinde belirtilen bir bölüm var burada bizim için bir uyarı var. Bu uyarıda bazı ağ yönetici süreçlerin monitör modda çalışırken bize sorun çıkaracağına dair bizi uyarıyor ve “airmon-ng check kill” komutuyla bu süreçleri sonlandırabileceğimizi söylüyor. Bizde hemen bu süreçleri sonlandıralım.
sudo airmon-ng check kill
Artık trafiği dinlememiz için hiçbir engel kalmadı. Öyleyse artık dinlemeyi başlatabiliriz. Bunun içinde airodump-ng aracından faydalanacağız.
sudo airodump-ng [interface]
yada
sudo airodump-ng wlp2s0mon
Burada bilgilerine sahip olduğumuz ağın pwnlab.me ağı olduğunu söylemiştik. Şimdi trafiği izlediğimizde pwnlab.me ağına bağlı bir cihaz olduğunu görebiliyoruz. Bu alanda #Data kısmına baktığımızda arada akan trafiğin olduğunda görebiliyoruz. Burada anlayabiliyoruz ki MAC filtrelemesi mevcut çünkü ikimizde bilgilere sahip olmamız rağmen başka bir aygıt ağa dahil olup trafik oluştururken biz ağa dahil olamıyoruz. Burada filtrelemeyi atlatmak çok basit.. Şimdi ağa bağlı olan cihazı tespit edip MAC adresini kendi MAC adresimizle değiştirmek için kopyalıyoruz.
Ağ kartımızı monitör modundan çıkarıyoruz.
sudo airmon-ng stop wlp2s0mon
Ardından ağ kartımızı devre dışı bırakıyoruz.
sudo ifconfig wlp2s0 down
Şimdi ise MAC adresimizi bağlı olan aygıttan aldığımız MAC adresi ile değiştiriyoruz. Bu aşamada belirtmem gereken bir bilgi var. Aslında MAC adresleri cihazların ROM(Read Only Memory)’una yazılır. Bu bellek yalnızca okunabilir bellektir. Peki nasıl oluyor da biz bu bilgiyi değiştirebiliyoruz diye merak edebilirsiniz. Bunun cevabı aslında şöyle Bilgisayarlarımız açıldığı zaman MAC adresi bilgilerimiz ROM üzerinden RAM üzerine aktarılır. Biz MAC adresimizi sorguladığımız zaman bu bilgi RAM üzerinden gelir. Bu sayede RAM üzerindeki veriyi değiştirerek cihazları aldatırız. Dikkat ederseniz bilgisayarınızı kapattığınızda sonradan değiştiğimiz MAC adresi tekrar eski haline döner. Çünkü RAM üzerindeki veri silinir ve bilgisayar açılırken yine ROM üzerinden bu veri RAM’e alır. Umarım anlaşılır olmuştur.
sudo ifconfig wlp2s0mon hw ether 08:21:EF–:--:--
Ağ katımızı yeniden aktif hale getirip MAC adresimizi kontrol edelim.
sudo ifconfig wlp2s0 up
ifconfig
Görüldüğü üzere MAC adresimiz artık değişti şimdi bir sorun yaşamamak için ağ servisini yeniden başlatalım.
sudo systemctl restart network-online.target
Artık işlemimiz tamamlandı şimdi pwnlab.me ağına bağlanmayı denediğimizde sonuç başarılı ve internete çıkabiliyoruz.
Son olarak bir bilgi vermek gerekirse ağ içerisinde aynı MAC adresine ait iki cihaz aktif olursa bazen bağlantı problemleri oluşabilir.
Bir başka yazımızda görüşmek dileği ile…
[TR] MAC Filtrelemesinin ByPass Edilmesi
Selamlar, pwnlab.me okurları. Bu yazımızda MAC adresi filtrelemesinin nasıl bypass edilebileceğinden bahsedeceğiz. Tabi öncelikle MAC adresinin ne olduğu hakkında kısaca bilgi verelim.
MAC Adresi Nedir ?
MAC (Media Access Control) adresi bir ağ içerisinde her cihazın tanınması için donanımına yani üzerinde barındırdığı ağ kartına tanımlanmış bir adrestir. Bu adresler üretim sırasında üretici firma tarafından her ağ kartına özel benzersiz şekilde adreslenerek kart üzerine tanımlanır ve doğal olarak bir ağ kartı için kullanılan MAC adresi başka bir kart için asla kullanılmaz. Çünkü dünya üzerinde milyonlarca ağ mevcut olduğundan her ağ kartı için benzersiz olarak tanımlanması gerekir. MAC adresi, ağ cihazını temsil eden Fiziksel Adres ya da Donanım Adresi olarakta tanımlanır.
MAC Adresinin Yapısı
MAC Adreslerine baktığımız zaman 6 oktetten oluşan, her oktet arasında iki nokta üst üste gelecek şekilde 12 basamaklı ve onaltılık tabanda oluşturulmuş bir adres olduğunu görüyoruz. Burada her bir oktet, 8 bitlik bir adresi temsil eder. Buda demek oluyor ki MAC adresleri 48 bitten oluşuyor. MAC adresinin ilk 6 basamağı IEEE (Institute of Electrical and Electronics Engineers) tarafından OUI (Organizationally Unique Identifier) yani Kuruluşa Özgü Tanımlayıcı olarak belirlenmiştir. Kısaca IEEE, MAC adreslerinin ad alanını düzenleyen ve koruyan uluslararası bir kuruluştur. Son 6 basamak ise NIC (Network Interface Controller) diye tabir edilen aslında kısaca ağ kartımızı temsil eder. Anlaşılır olması açısından aşağıda bu konu ile alakalı görselimizi inceleyebilirsiniz.
Biz yukarıdaki görsel üzerinde MAC adresini iki nokta üst üste koyarak(Colon-Hexadecimal Notation) gösterimini sağladık ki genel olarak gösterimi bu şekilde sağlanır ama bu bir standart değildir. MAC adresleri aşağıdaki bazı gösterim şekilleri kullanılarak ta temsil edilebilir.
Colon-Hexadecimal Notation : F4:BD:9E:91:50:63
Hypen-Hexadecimal Notation : F4-BD-9E-91-50-63
Period-Separated Hexadecimal Notation : F4B.D9E.915.063
Bunun dışında bazı üretici firmaları temsil eden MAC tanımlayıcıları aşağıdaki gibi listeleyebiliriz.
F4 : BD : 9E - Lenovo
98 : E7 : 43 - Dell Inc
60 : 45 : BD - Microsoft
Bir firmanın kendisini simgeleyen birden fazla MAC tanımlayıcısı bulunabilir. Bunu unutmayalım. Firmalara ait tüm MAC adresi tanımlayıcılarını görmek için tıklayınız.
IP Adresi ve MAC Adresinin Birlikte Çalışma Mantığı
Bilgisayarlar yerel bir ağ ortamında birbirleriyle haberleşmek için sadece IP adresi ile bu süreci yürütemezler bunun yanında MAC adreslerine ihtiyaç duyarlar. Bu aşamada bu süreci yönetecek olan ARP (Address Resolution Protocol) devreye girer. ARP protokolü ağ içerisinde bir IP adresinin hangi MAC adresine ait olduğunu çözümlememizi sağlar. Örnek olması açısından iki bilgisayarın haberleşmesini ve burada ARP protokolünün işlevini bu şekilde anlatabiliriz.
Yerel bir ağ içerisinde Ali ve Ahmet adında iki bilgisayar olduğunu varsayalım. Ali’nin IP adresi 192.168.1.100, Ahmet’in IP adresi ise 192.168.1.101 olsun. Bu durumda Ali, Ahmet ile haberleşmek istiyor. Bu süreç nasıl ilerliyor adım adım açıklayalım.
1-) Ali, Ahmet’in IP adresini bilir fakat MAC adresini bilmediği için kendi içinde ARP tablosuna bakar. Eğer burada Ahmet’in MAC adresi yoksa ağın içerisine ARP Request paketi yollar. ARP bir Broadcast pakettir. Bunun ne olduğunu şu şekilde açıklayalım. Bazı özel MAC adresleri vardır ve Broadcast’te bundan biridir. Bu MAC adresi paketin gideceği Destination(Hedef) MAC adresi kısmına bırakılırsa paketin ağ içerisindeki tüm cihazlara ulaşması sağlanır. Bu sırada paketi alan cihazlar içinde IP adresinin kendine ait olup olmadığına bakar ve kendine ait ise bir ARP Reply paketi ile yanıt döner. Detaylarını birazdan açıklayacağız.
2-) Ali tarafından Broadcast MAC ile gönderilen ARP paketi ağın içerisindeki tüm cihazlara ulaşır ve paket alan cihazlar bu paket içerisinde bulunan Hedef IP leri kontrol eder. Eğer IP adresi kendine aitse buna ARP Reply ile yanıt verir ama değilse cevap vermez.
3-) Burada ARP Request paketine yanıt verecek olan Ahmet, paketin içeriğini kontrol eder ve hangi cihazdan geldiğini içerisinde bulunan Source IP ve Source MAC alanından anlar. Burada Ali’nin MAC ve IP’sini kendi içerisinde bulunan ARP Tablosuna ekler. Bu aşamadan sonra bir ARP Reply paketi oluşturarak ağ içerisinde Ali’ye gönderir.
4-) ARP Reply paketini alan Ali, gelen paketin içerisinde MAC adresini IP adresi ile eşleştirip kendi ARP Tablosuna ekler. Ve haberleşme başlar.
Yukarıda anlatılanların anlaşılır olması için aşağıdaki görsel ile açıklamak istedim.
MAC Filtrelemesi Nedir ?
Çoğu Router ve Access Point (AP) kablosuz ağlarında MAC filtrelemesi adında bir özellik taşır. Bu özellik kullanıcının isteği doğrultusunda yapılandırılabilir. MAC filtrelemesinin amacı ağa dahil olabilecek aygıtları sınırlamak ve güvenliği arttırmaktır. Ancak MAC adresleri sahte olabilir veya taklit edilebilir oldukları için bunun yararlı mı yoksa boş yere zaman kaybı mı olduğu tartışılabilir. Mesela günlük kullanıcılar detaylara hakim olmadıkları için MAC filtrelemesine karşı bir adım atamazlar. Bu aşamada bu özellik yararlı olabilir. Fakat bu işe gönül vermiş kötü niyetli bir kişi bunu çok kolay bir şekilde atlatması mümkündür. Bu ihtimalde ise MAC filtrelemesinin bir hükmü kalmaz.
Standart bir kablosuz ağda, SSID ( Ağ Adı) ve parolayı bilen kişi bağlantı noktası ile doğrulama yapar ve ağa dahil olur. MAC filtrelemesi ise bu işleme bir ek katman ekleyerek kişi ağa dahil olmadan önce aygıtın MAC adresini yapılandırma durumuna göre Whitelist(Beyaz Liste) ve Blacklist (Kara Liste) üzerinden kontrolünü sağlar. Aygıtın MAC adresi bağlantı noktası üzerindeki liste ile eşleşiyorsa yine yapılandırmaya göre ağa dahil eder veya etmez. MAC filtrelemeri iki farklı türde yapılandırılabilir. Bunlardan biri Whitelist diğeri ise Blacklist olarak geçer. Bu kavramları kısaca açıklayalım.
Whitelist Kavramı
Whitelist( Beyaz Liste ) adından da anlaşılacağı üzere güvenilir olan aygıtların MAC adresini üzerinde bulundurduğu bir tablo gibidir. MAC filtrelemesi beyaz listeye göre yapılandırıldıysa bu alan eklenen adresler ağa dahil olmak istediğinde bu talep kabul edilir ve aygıt IP adresi alarak ağa dahil olur. Fakat bu liste dışındaki herhangi bir aygıt bağlantı talebinde bulunursa bu talep engellenerek aygıt ağa dahil edilmez. Genelde MAC filtrelemeleri yapılırken beyaz liste yapılandırması kullanılır.
Blacklist Kavramı
Blacklist( Kara Liste ) tam tersi olarak içerisinde bulunan adreslerinin ağa dahil olmasını engeller. Doğrulama sırasında aygıtın MAC adresi bu liste içerisinde bulunuyorsa bu aygıtın ağa dahil olması engellenir. Bu yapılandırma şekli genel olarak kimse tarafından tercih edilmez. Çünkü size zarar verebilecek kişileri tespit etmeniz her zaman zordur.
Bu aşamada Whitelist kullanılmasının en büyük sebebi siz bağlanmasını istediğiniz kişileri biliyor olmanızdır. Mesela eviniz içerisinde ağa kimler bağlanmak ister diye sorduğumuzda cevabı aşağı yukarı bellidir. Burada belli kişileri beyaz listeye eklersiniz ve bunlar dışındaki geri kalan herkesin ağa dahil olma talebi reddedilir. Fakat ağıma kimler dahil olmasın diye bir soru sorulduğunda bunun cevabını vermeniz çok zordur. Çünkü kimlerin ağa dahil olabileceğini net bir şekilde bilemezsiniz. Blacklist yapılandırmasının genel olarak kullanılmamasının sebebi aslında budur. Neyse fazla uzatmadan bu işlemlerin sadece günlük kullanıcılar üzerinde etkisi olduğunu söylemiştik. Bilgi sahibi bir kişinin bu sınırlamayı atlatması bir kaç dakikasını alır.
MAC Filtrelemesinin ByPass Edilmesi
MAC filtrelemesinin bize karşı yapıldığını nasıl anlayabiliriz diye düşündüğümüzde bunu anlamak için bağlanmak istediğimiz ağın adı ve parolasını bilmemize rağmen ağa hiçbir şekilde dahil olmadığımızı görürsek bunun MAC filtrelemesi olduğundan şüphelenebiliriz. Bu aşamada ağı dinleyip bir kontrol gerçekleştirebiliriz. Biz bunun için aircrack-ng suite araçlarını kullanacağız. Hava ortamındaki trafiği dinlemek için bu kabiliyete sahip bir ağ kartına ihtiyacınız vardır. Bu ağ kartlarına monitor mod destekli ağ kartı deniliyor. Bu alanda bu kabiliyete sahip bir çok yonga setli ağ kartı mevcuttur. Hatta aygıtlarımız üzerinde gelen bir çok ağ kartının monitor mod desteği vardır. Önerilen bazı ağ kartlarının yonga setlerini aşağıda bulabilirsiniz.
Ralink RT2460
Realtek RTL8180L
Realtek RTL8185L
Realtek RTL8187SE
Broadcom BCM4301
Senaryoda pwnlab.me adında bir ağ var. Bu ağın bilgilerine sahibiz fakat MAC filtrelemesinden dolayı ağa dahil olamıyoruz. Şimdi bunu nasıl atlatabiliriz bundan bahsedelim.
1-) Kablosuz ağ kartlarımızın bir çok farklı modu mevcuttur. Bunlardan en çok bilinenleri Master, Managed, Ad-Hoc ve Monitor mod olarak 4 farklı moddan oluşur. Kısaca bunlardan bahsedelim ve konumuza devam edelim.
Master Mod : Ağ kartımız bu modda çalışırken bir bağlantı noktası (AP) görevi görür. Modemler ve AP’ler üzerindeki ağ kartları bu modda çalışırlar ve istemcilere hizmet verirler.
Managed Mod : Cep telefonlarımız, bilgisayarlarımız üzerinde çalışan ağ kartlarının standart olarak çalıştığı moddur. Bu modda çalışan bir ağ kartı bir ağa bağlanabilir. Kısacası istemci rolündedir.
Ad-Hoc Mod : Ağ kartlarımızın bir bağlantı noktasına ihtiyaç duymadan doğrudan birbirlerine bağlanmasını sağlayan moddur.
Monitor Mod : Ağ kartımızın trafiği izlemesine olanak sağlayan moddur. Bu modda çalışırken bir ağa bağlanamazsınız.
Biz ilk olarak ağı dinleyip trafiği izleyeceğimiz için ağ kartımızı monitör moda almamız gerekecektir. Bu işlemi el ile yapmakta mümkündür fakat aircrack-ng suite içerisinde barınan airmon-ng aracı bu işlemi yapmamızı kolaylaştıracağı için bunu kullanacağız.
sudo airmon-ng
komutuyla ağ kartımızın sistem üzerinde belirttiği ara yüzünü öğrenelim. Ardından ağ kartımızı monitör moduna alalım. Bunun için;
sudo airmon-ng start [interface]
ya da
sudo airmon-ng start wlp2s0
İşlem sonrası ağ kartımızın ara yüzü wlp2s0mon olarak değişti. Bunu iwconfig komutu ile kontrol edebiliriz. Bazı dağıtımlar üzerinde ağ kartı wlan0 gibi değerler alabiliyor. Onlarda monitör moduna geçtikleri zaman wlan0mon olarak ara yüzü değişecektir. Görselde yeşil alan içerisinde belirtilen bir bölüm var burada bizim için bir uyarı var. Bu uyarıda bazı ağ yönetici süreçlerin monitör modda çalışırken bize sorun çıkaracağına dair bizi uyarıyor ve “airmon-ng check kill” komutuyla bu süreçleri sonlandırabileceğimizi söylüyor. Bizde hemen bu süreçleri sonlandıralım.
sudo airmon-ng check kill
Artık trafiği dinlememiz için hiçbir engel kalmadı. Öyleyse artık dinlemeyi başlatabiliriz. Bunun içinde airodump-ng aracından faydalanacağız.
sudo airodump-ng [interface]
yada
sudo airodump-ng wlp2s0mon
Burada bilgilerine sahip olduğumuz ağın pwnlab.me ağı olduğunu söylemiştik. Şimdi trafiği izlediğimizde pwnlab.me ağına bağlı bir cihaz olduğunu görebiliyoruz. Bu alanda #Data kısmına baktığımızda arada akan trafiğin olduğunda görebiliyoruz. Burada anlayabiliyoruz ki MAC filtrelemesi mevcut çünkü ikimizde bilgilere sahip olmamız rağmen başka bir aygıt ağa dahil olup trafik oluştururken biz ağa dahil olamıyoruz. Burada filtrelemeyi atlatmak çok basit.. Şimdi ağa bağlı olan cihazı tespit edip MAC adresini kendi MAC adresimizle değiştirmek için kopyalıyoruz.
Ağ kartımızı monitör modundan çıkarıyoruz.
sudo airmon-ng stop wlp2s0mon
Ardından ağ kartımızı devre dışı bırakıyoruz.
sudo ifconfig wlp2s0 down
Şimdi ise MAC adresimizi bağlı olan aygıttan aldığımız MAC adresi ile değiştiriyoruz. Bu aşamada belirtmem gereken bir bilgi var. Aslında MAC adresleri cihazların ROM(Read Only Memory)’una yazılır. Bu bellek yalnızca okunabilir bellektir. Peki nasıl oluyor da biz bu bilgiyi değiştirebiliyoruz diye merak edebilirsiniz. Bunun cevabı aslında şöyle Bilgisayarlarımız açıldığı zaman MAC adresi bilgilerimiz ROM üzerinden RAM üzerine aktarılır. Biz MAC adresimizi sorguladığımız zaman bu bilgi RAM üzerinden gelir. Bu sayede RAM üzerindeki veriyi değiştirerek cihazları aldatırız. Dikkat ederseniz bilgisayarınızı kapattığınızda sonradan değiştiğimiz MAC adresi tekrar eski haline döner. Çünkü RAM üzerindeki veri silinir ve bilgisayar açılırken yine ROM üzerinden bu veri RAM’e alır. Umarım anlaşılır olmuştur.
sudo ifconfig wlp2s0mon hw ether 08:21:EF–:--:--
Ağ katımızı yeniden aktif hale getirip MAC adresimizi kontrol edelim.
sudo ifconfig wlp2s0 up
ifconfig
Görüldüğü üzere MAC adresimiz artık değişti şimdi bir sorun yaşamamak için ağ servisini yeniden başlatalım.
sudo systemctl restart network-online.target
Artık işlemimiz tamamlandı şimdi pwnlab.me ağına bağlanmayı denediğimizde sonuç başarılı ve internete çıkabiliyoruz.
Son olarak bir bilgi vermek gerekirse ağ içerisinde aynı MAC adresine ait iki cihaz aktif olursa bazen bağlantı problemleri oluşabilir.
Bir başka yazımızda görüşmek dileği ile…
Moderatör tarafında düzenlendi: