Evinizdeki modem ve router için hatırı sayılır paralar ödüyorsunuz, değil mi? Fiber internet paketleri, mesh sistemler, akıllı prizler derken ev ağı adeta küçük bir şirket network'üne döndü. Peki bu ağın ne kadar güvenli olduğunu hiç merak ettiniz mi? Çoğumuz fabrika ayarlarını kurup unutuyoruz. İşte bu rehberde, pahalı yazılımlara veya danışmanlık hizmetlerine para dökmeden, tamamen ücretsiz ve açık kaynak kodlu güvenlik araçlarıyla kendi ev ağı güvenlik testi adımlarını en basit haliyle anlatıyoruz. Amacımız hacker olmak değil, onlar gibi düşünüp zayıf noktaları onlardan önce bulmak.
Bu testler, ağınızdaki "kör noktaları" ortaya çıkaracak. Belki de komşunuz Wi-Fi ağınızı sömürüyor, belki de eski bir akıllı kameranız tüm dünyaya yayın yapıyor. Hazırsanız, ev ağınızın kaputunu aralayıp içine bir göz atalım. Başlamadan önce unutmayın: Bu araçları sadece ve sadece kendi ağınızda test etme izniniz var. Başkasının ağına izinsiz sızmaya çalışmak ciddi bir suçtur.
Adım 1: Keşif Aşaması - Ağınızda Kimler Cirit Atıyor?
Her şeyden önce, ağınıza hangi cihazların bağlı olduğunu bilmeniz gerekiyor. Telefonunuz, bilgisayarınız, televizyonunuz, akıllı saatiniz... Liste uzayıp gidiyor. Ama ya tanımadığınız bir cihaz varsa? İşte bu noktada devreye siber güvenlik dünyasının efsanesi Nmap giriyor. Nmap, ağınızdaki tüm cihazları ve bu cihazlarda çalışan servisleri (açık portları) tarayan bir ağ haritalama aracıdır. Komut satırı biraz korkutucu gelebilir, bu yüzden işe onun arayüzlü versiyonu olan Zenmap ile başlayacağız.
Zenmap'i bilgisayarınıza kurduktan sonra "Target" (Hedef) kısmına yerel ağınızın IP aralığını yazmanız yeterli. Bu genellikle "192.168.1.0/24" veya "192.168.0.0/24" gibi bir şeydir. Modem arayüzünden veya bilgisayarınızın ağ ayarlarından kendi aralığınızı kolayca bulabilirsiniz. Ardından "Profile" kısmından "Ping scan" seçeneğini seçip "Scan" butonuna basın. Birkaç dakika içinde Zenmap size ağınızdaki tüm aktif cihazların bir listesini IP ve MAC adresleriyle birlikte sunacak. Bu listede tanımadığınız bir cihaz görürseniz, ilk kırmızı bayrağı yakalamışsınız demektir.
Adım 2: Zafiyet Taraması - Açık Kapı Bıraktınız mı?
Ağınızdaki cihazları listelediniz ve hepsi size ait. Harika. Peki bu cihazlardan herhangi birinin yazılımında bilinen bir güvenlik açığı var mı? Modeminizin firmware'i güncel mi? Akıllı ampulünüzün yönetim paneli varsayılan şifreyle mi çalışıyor? Bu soruların cevabını manuel olarak bulmak imkansız. İşte burada devreye OpenVAS (yeni adıyla Greenbone Community Edition) giriyor. OpenVAS, binlerce bilinen zafiyeti içeren dev bir veritabanına karşı cihazlarınızı tarayan, kurumsal seviyede bir zafiyet tarama aracıdır.
OpenVAS'ı kurmak Nmap'e göre biraz daha meşakkatli. Genellikle bir sanal makine (VirtualBox gibi) üzerinde hazır imaj olarak kurmak en kolayı. Kurulumu tamamladıktan sonra tarayıcı üzerinden arayüzüne ulaşıyorsunuz. İlk adımda Nmap ile bulduğunuz cihazların IP adreslerini hedef olarak belirleyip bir tarama görevi başlatıyorsunuz. Tarama süresi ağınızdaki cihaz sayısına göre değişir ama bittiğinde size detaylı bir rapor sunar. Bu raporda her bir zafiyet "High", "Medium" veya "Low" gibi risk seviyelerine göre renklendirilir. Özellikle "High" olarak işaretlenmiş olanlar, acilen ilgilenmeniz gereken sorunlardır.
Adım 3: Parola Güvenliği - "admin/admin" Faciasını Yaşamayın
Teknolojinin en büyük zayıf halkası hala insan ve onun seçtiği basit şifreler. Modeminizin, kameranızın veya herhangi bir ağ cihazınızın yönetim paneline erişim için kullandığınız parola ne kadar güçlü? "123456", "admin", "password" gibi şifreler saniyeler içinde kırılabilir. Bunu test etmek için kullanılan araçlardan en popüleri ise Hydra. Hydra, belirlediğiniz bir hedefe karşı (örneğin modeminizin giriş sayfası olan 192.168.1.1) bir kullanıcı adı ve parola listesiyle binlerce deneme yaparak doğru kombinasyonu bulmaya çalışan bir kaba kuvvet saldırısı (brute-force) aracıdır.
Amacımız burada bir şeyleri kırmak değil, ne kadar kolay kırılabileceğini görmek. İnternette "rockyou.txt" gibi meşhur parola listelerini bulabilirsiniz. Hydra'yı çalıştırıp hedef olarak modeminizin IP adresini, servis olarak "http-post-form" ve kullanıcı adı/parola listelerini vererek bir test başlatın. Eğer Hydra birkaç dakika içinde şifrenizi bulursa, o şifre kesinlikle güvenli değildir ve hemen değiştirmeniz gerekir. Bu test, güçlü ve eşsiz parolalar kullanmanın neden hayati olduğunu size ilk elden gösterecektir.
Adım 4: Wi-Fi Güvenliği - Kablosuz Ağınız Ne Kadar Sağlam?
Kablosuz ağlar, ev ağlarının en zayıf karnı olabilir. Özellikle eski güvenlik protokolleri kullanan veya parolası zayıf olan ağlar, dışarıdan gelebilecek saldırılara karşı savunmasızdır. Wi-Fi güvenliği denince akla gelen ilk araç seti şüphesiz Aircrack-ng'dir. Bu araç, kablosuz ağ trafiğini dinleyebilir, veri paketleri yakalayabilir ve WPA/WPA2 şifrelerini kırmaya çalışabilir. Test için "monitor mode" destekleyen bir USB Wi-Fi adaptörüne ihtiyacınız olacak.
Aircrack-ng ile yapılacak en temel testlerden biri "WPA handshake" yakalamaktır. Bir cihaz Wi-Fi ağına bağlanırken, cihaz ve modem arasında dört aşamalı bir "el sıkışma" gerçekleşir. Aircrack-ng bu el sıkışma verisini yakalar. Sonrasında bu yakalanan veriyi, elinizdeki bir parola listesiyle karşılaştırarak şifreyi kırmaya çalışır. Eğer Wi-Fi şifreniz "ali1234" gibi basit bir şeyse, Aircrack-ng bu şifreyi dakikalar içinde bulabilir. Bu test size, karmaşık, uzun ve tahmin edilemez bir WPA2 veya WPA3 parolası kullanmanın ne kadar kritik olduğunu kanıtlar.
Panik Yok, Çözüm Basit
Bu testlerin sonucunda birkaç zafiyet bulduysanız kesinlikle panik yapmayın. Zaten bu işin amacı, kötü niyetli birileri bulmadan önce sizin bu açıkları tespit edip kapatmanızdı. Ağ güvenliği tek seferlik bir iş değil, sürekli bir süreçtir. Bulduğunuz sorunları çözmek ise genellikle oldukça basittir. İlk olarak, modeminizden akıllı televizyonunuza kadar ağdaki tüm cihazların yönetim paneli şifrelerini varsayılan ayarlardan değiştirin ve güçlü, benzersiz parolalar kullanın.
İkinci olarak, tüm cihazlarınızın yazılımlarını (firmware) düzenli olarak güncelleyin. Üreticiler, tespit edilen güvenlik açıklarını genellikle yeni güncellemelerle kapatır. Kullanmadığınız servisleri, özellikle de UPnP (Universal Plug and Play) gibi potansiyel risk taşıyanları modem arayüzünden kapatın. Son olarak, misafirleriniz için ana ağınızdan izole bir "Misafir Ağı" oluşturun. Bu basit adımlar, yukarıda bahsettiğimiz araçlarla yapacağınız bir sonraki testte çok daha temiz bir rapor almanızı sağlayacak.