Evinizin Ağında Gizli Tehlike: Router Güvenliği ve DNS Saldırıları

Açıkçası söylemek gerekirse, çoğumuz routerımıza pek aldırış etmiyoruz. Köşede duruyor, arada ışıkları yanıp sönüyor ve işini yapıyor diye varsayıyoruz. Ama rahatsız edici gerçek şu: o sessiz cihaz, tüm ağınızda en savunmasız parça olabilir.

Kimsenin Konuşmadığı SOHO Router Sorunu

Evden ve küçük ofislerden çalışan kullanıcıların ağları, sofistike saldırganların hedefine dönüştü. Büyük şirketlerin aksine—ki onlarda güvenlik ekipleri vardır—ev ofisleri genellikle fabrika ayarlarıyla çalışır, eski yazılımlar taşır ve unutulmuş parolalar barındırır. Bir başka deyişle, saldırganlar için cennettir burası.

Routerınız ele geçirildiğinde, saldırgan sadece WiFi'ye ulaşmış olmaz. Çok daha kritik bir konuma yerleşir: sizle tüm internet arasına.

DNS Saldırıları: Ortadaki Adam Saldırısının En Etkili Silahı

DNS, internetin adres defteri gibidir. gmail.com yazıp Enter'a bastığınızda, cihazınız bir DNS sunucusuna "bu adresi nerede bulabilirim?" diye sorar. Router normalde bu sorguyu ISS'nizin veya Google'ın 1.1.1.1 gibi halka açık sunucularına iletir.

İşte sinsi kısım burada başlıyor: eğer saldırgan routerınızı kontrol ediyorsa, bu DNS sorgularını yakalayıp sizi istediği yere yönlendirebilir. Bankanızın sitesine gitmeye çalışırken aslında saldırganın kurduğu sahte bir sayfaya düşersiniz.

Bu teorik değil. Şu anda binlerce kişinin trafiği böyle yönlendirilmekte ve çoğu bundan haberi bile yok.

Saldırganın Ağdaki Yolculuğu: Adım Adım

DNS ele geçirilip saldırgan araya girdiğinde, neler oluyor?

Şifre Avı: Sahte giriş sayfaları sizin e-postanız, parolalarınız ve iki aşamalı doğrulama kodlarınızı kaydeder.

Mali Zarar: Banka portalleri ve ödeme sistemleri inanılmaz benzerlikle taklit edilir. Siz gerçek olduğunu bilmezsiniz.

Yazılım Tedarik Zinciri Saldırıları: Meşru uygulamaların güncelleme dosyaları ele geçirilip zararlı sürümlerle değiştirilir.

Sürekli İzleme: Hangi siteyi ziyaret ederseniz, ne e-posta gönderirseniz, uygulamalarınız ne API çağrısı yaparsa—hepsi saldırganın gözleri önünde.

Neden Evdeki Ağlar Bu Kadar Savunmasız?

Büyük şirketlerin güvenlik merkezleri vardır. Evlerde var olan şey, 2019'da koyduğunuz ve muhtemelen "admin123" olan parola veya WiFi adı.

Ev ağlarındaki tipik sorunlar:

• Fabrika ayarları: Routerlar önceden ayarlanmış kullanıcı adı-parola ile gelir ve hiç değiştirilmez
• Güncellenmeyen yazılım: Güvenlik yamaları mevcut ama kurulmaz
• Zayıf kimlik doğrulama: WPA2 standart, ama kimi WPA kullanır veya hiç şifre koymaz
• İzleme yok: Routerınıza saldırı olup olmadığını kontrol etmenin yolu yoktur
• Fiziksel erişim: Bazen saldırganlar routeri sıfırlaması veya depo alanlardan erişebilir

Ev Ağınızı Korumak: Hemen Yapılması Gerekenler

Eğer routerinizin risk altında olabileceğini düşünüyorsanız, hemen şunları yapın:

1. Router Şifrenizi Değiştirin (Bugün)

Router yönetim paneline giriş yapın ve varsayılan şifrenizi değiştirin. Güçlü ve benzersiz bir parola kullanın. Evet, bu gerçekten önemli.

2. Yazılım Güncellemesi Yapın

Router üreticisinin sitesini ziyaret edin ve güncellemeleri kontrol edin. Çoğu router artık otomatik güncellenebilir—bunu açın. Güvenlik yamalarının çoğu buradan gelir.

3. WPA3 Şifrelemesini Etkinleştirin

Routeriniz destekliyorsa WPA3'e geçin. Yalnız WPA2'yi destekliyorsa sorun değil, ama WPA kullanıyor iseniz derhal değiştirin. Ağ şifrenizi de yenileyin.

4. Güvenli DNS Kullanın

ISS'nizin DNS sunucularına güvenmeyin. Bunlardan birini kullanın:

• Cloudflare'in 1.1.1.1'i (gizlilik odaklı)
• Quad9 9.9.9.9 (zararlı yazılım ve kimlik avına karşı)
• Google'ın 8.8.8.8'i (geniş güveni olan)

Hem routerde hem cihazlarda ayarlayın.

5. DNS-over-HTTPS (DoH) veya DNS-over-TLS (DoT) Aktifleştirin

Bu protokoller DNS sorgularınızı şifreler, böylece ISS'niz bile neyi ziyaret ettiğinizi göremez. Routeriniz ele geçirilse bile, sorgular uçtan uca korunur.

6. Router Kayıtlarını Kontrol Edin

Çoğu routerin yönetim panelinde log bölümü vardır. Başarısız giriş denemeleri veya beklenmedik ayar değişiklikleri için zaman zaman kontrol edin.

7. UPnP'yi Kapatın

Universal Plug and Play pratiktir ama zararlı yazılımların port açmasına izin verebilir. Oyun veya akıllı ev cihazları için özel ihtiyacınız yoksa kapatın.

8. Misafir Ağı Oluşturun

Ziyaretçiler ve IoT cihazları için ayrı bir ağ kurun ve bu ağın ana ağınıza erişmesine izin vermeyin.

Yazılımcılar İçin: Varsayılan Olarak Güvenli Tasarlayın

Ev ağlarında çalışan uygulamalar yapıyorsanız veya bu ortamlardan kullanıcılara hizmet veriyorsanız, şunu bilin: kullanıcılarınızın routerları zaten ele geçirilmiş veya çok geçmeden ele geçirilecek.

Bunu göz önünde bulundurarak tasarlayın:

• Her zaman HTTPS kullanın: Ev ağlarında şifresiz trafiğe asla güvenmeyin
• Sertifika sabitlemeyi uygulayın: HTTPS trafiğini sahte sertifikalarla alet etmeyi zorlaştırın
• Ekstra kimlik doğrulama katmanı ekleyin: Parolaya tek başına güvenmeyin, çok aşamalı doğrulama kullanın
• Olağandışı erişimleri izleyin: Biri yeni yerden veya garip saatde giriş yaparsa uyarı verin
• Hassas veriler istemci tarafında şifreleyin: Veriler ağa ulaşmadan önce kısmen şifrelenmeli

Daha Geniş Bakış

Ev routerü ele geçirme yeni bir saldırı yöntemi değildir, ancak gittikçe sofistikeleşiyor. Saldırganlar şu yeteneklere sahip araçlar geliştiriyor:

• Savunmasız routerları otomatik olarak tarama
• Sıfır gün açıklarından yararlanma
• Meşru trafikle karışarak algılanmaktan kaçınma
• Yazılım güncellemelerinden sonra bile kalıcı kalma
• Tespiti kaçındığı için yavaş veri hırsızlığı

Bu, bir kedi-fare oyunudur ve şimdilik fare öndedir.

İleri Doğru: Düzenli Bakım Şart

Güvenlik kurulup unutulmaz. Routerinize lazım olan:

• Aylık kontrol: Ayarları ve günlükleri gözden geçirin
• Üç aylık güncellemeler: Hatırlatıcı takvimi açın
• Yıllık şifre değişimi: Parolalarınızı düzenli olarak yenileyin
• Yıllık donanım kontrolü: Routeriniz hala güncellemeleri alıyor mu? Hayırsa yenisini almayı düşünün

Rahatsız edici bir başka gerçek: 5+ yıllık, yazılım güncellenemeyen bir routeriniz varsa, değiştirmeyi ciddi şekilde düşünmelisiniz. Yeni bir router 50-150 TL tutarken, kimlik hırsızlığı veya kripto hırsızlığından kurtulmak çok daha pahalı olur.

Ağ güvenliğiniz, en az önemsediğiniz cihazdan başlar. Bunu değiştirmenin zamanı geldi.