AirSnitch: Wi-Fi istemci ağ izolasyonu ve misafir ağlarına yönelik saldırılar

Şubat ayında San Diego’da düzenlenen NDSS Sempozyumu 2026’da, saygın bir grup araştırmacı, Wi-Fi istemci yalıtım özelliğini (yaygın olarak misafir ağı veya cihaz izolasyonu olarak da bilinir) atlatan AirSnitch saldırısını ortaya çıkaran bir çalışma sundu. Bu saldırı, bir erişim noktası aracılığıyla tek bir kablosuz ağa bağlanmayı ve ardından, aynı donanım üzerinde tamamen farklı hizmet kümesi tanımlayıcıları (SSID’ler) kullananlar da dahil olmak üzere, ağa bağlı diğer cihazlara erişim sağlamayı mümkün kılar. Hedef alınan cihazlar, WPA2 veya WPA3 iletişim kurallarıyla korunan kablosuz alt ağlarda çalışıyor olabilir. Bu saldırı aslında şifrelemeyi kırmıyor; bunun yerine, erişim noktalarının grup anahtarlarını ve paket yönlendirmesini işleme biçimini istismar ediyor.

Pratik olarak bu, misafir ağının gerçek anlamda güvenlik açısından pek bir fayda sağlamadığı anlamına gelir. Misafir ve çalışan ağlarınız aynı fiziksel cihazda çalışıyorsa, AirSnitch bağlı bir saldırganın komşu SSID’lere kötü amaçlı trafik enjekte etmesine olanak tanır. Bazı durumlarda, tam anlamıyla bir ortadaki adam (MitM) saldırısı bile gerçekleştirebilirler.

Wi-Fi güvenliği ve izolasyonun rolü

Wi-Fi güvenliği sürekli bir gelişme halindedir; en yeni nesil koruma sistemlerine yönelik gerçekleştirilen her saldırı, sektörün daha karmaşık algoritmalara ve prosedürlere yönelmesine neden olmaktadır. Bu döngü, WEP şifreleme anahtarlarını kırmak için kullanılan FMS saldırılarıyla başladı ve günümüze kadar devam ediyor: Son örnekler arasında WPA2’ye yönelik KRACK saldırıları ve WEP’ten WPA3’e kadar tüm güvenlik iletişim kuralı sürümlerini etkileyen FragAttacks yer alıyor.

Modern Wi-Fi ağlarına etkili şekilde (ve fark edilmeden) saldırmak hiç de kolay bir iş değildir. Çoğu uzman, karmaşık şifrelerle WPA2/WPA3 kullanmanın ve ağları kullanım amaçlarına göre ayırmanın genellikle koruma açısından yeterli olduğu konusunda hemfikirdir. Ancak, istemci yalıtımının IEEE 802.11 iletişim kurallarında hiçbir zaman standart hale getirilmediğini aslında sadece uzmanlar bilir. Farklı üreticiler, izolasyonu tamamen farklı şekillerde uygularlar. Ağ mimarisinin 2. katmanını veya 3. katmanını kullanarak, başka bir deyişle bunu yönlendirici veya Wi-Fi denetleyicisi düzeyinde gerçekleştirirler. Bu da, izole edilmiş alt ağların davranışının, kullandığınız erişim noktası veya yönlendirici modeline bağlı olarak büyük ölçüde değişiklik gösterebileceği anlamına gelir.

Pazarlama departmanları, müşterilerin birbirlerine saldırmasını önlemek ya da kurumsal ziyaretçilerin internet dışında hiçbir şeye erişememesini sağlamak için müşterilerin birbirinden ayrılmasının ideal olduğunu iddia etse de, gerçekte bu ayrım genellikle insanların sistemi kırmaya çalışmamasına dayanır. AirSnitch araştırmasının vurguladığı şey de tam olarak budur.

AirSnitch saldırı türleri

AirSnitch adı, tek bir güvenlik açığını değil, Wi-Fi erişim noktalarında tespit edilen bir dizi mimari kusuru ifade etmektedir. Aynı zamanda, yönlendiricileri bu belirli güvenlik açıklarına karşı test etmek için kullanılan bir açık kaynaklı aracın adıdır. Ancak güvenlik uzmanları, test etmekle saldırı arasında çok ince bir çizgi olduğunu unutmamalıdır.

Tüm bu saldırıların işleyişi aynıdır: Kötü niyetli bir istemci, yalıtma özelliğinin etkinleştirildiği bir erişim noktasına (AP) bağlanır. Diğer kullanıcılar, yani hedefler, aynı SSID’ye veya hatta aynı erişim noktasındaki farklı SSID’lere bağlıdır. Bu oldukça gerçekçi bir senaryodur; örneğin, misafir ağı açık ve şifresiz olabilir ya da bir saldırgan, kendini gerçek bir ziyaretçi gibi göstererek misafir Wi-Fi parolasını kolayca ele geçirebilir.

Bazı AirSnitch saldırılarında, saldırganın kurbanın MAC veya IP adresini önceden bilmesi gerekir.  Sonuçta, her bir saldırının ne kadar etkili olduğu, ilgili donanım üreticisine bağlıdır (bu konuya aşağıda daha ayrıntılı olarak değineceğiz).

GTK saldırısı

WPA2/WPA3 el sıkışma işleminin ardından, erişim noktası ve istemciler, yayın trafiğini yönetmek üzere bir Grup Geçici Anahtarı (GTK) üzerinde anlaşırlar. Bu senaryoda saldırgan, belirli bir kurbanı hedef alan paketleri bir yayın trafiği zarfının içine yerleştirir. Ardından, erişim noktasının MAC adresini taklit ederek bunları doğrudan kurbana gönderirler. Bu saldırı yalnızca trafik enjeksiyonuna izin verir; yani saldırgan bir yanıt almayacaktır. Ancak bu bile, kötü amaçlı ICMPv6 yönlendirme duyurularını veya DNS ve ARP mesajlarını istemciye iletmek için yeterlidir ve izolasyonu etkili bir şekilde atlatır. Bu, ortak bir GTK kullanan herhangi bir WPA2/WPA3 ağında işe yarayan saldırının en yaygın versiyonudur. Bununla birlikte, bazı kurumsal düzeyde erişim noktaları her bir istemci için GTK rastgeleleştirmesini desteklemektedir; bu da bu yöntemin etkisiz kalmasına neden olmaktadır.

Yayın paketinin yönlendirilmesi

Bu saldırı yönteminde saldırganın erişim noktasında öncelikle kimlik doğrulaması yapması bile gerekmez. Saldırgan, yayın hedef adresi (FF:FF:FF:FF:FF:FF) ve ToDS bayrağı 1 olarak ayarlanmış paketleri erişim noktasına gönderir.  Sonuç olarak, birçok erişim noktası bu paketi yasal bir yayın trafiği olarak değerlendirir; GTK kullanarak şifreler ve kurban da dahil olmak üzere alt ağdaki tüm istemcilere yayar. Tıpkı önceki yöntemde olduğu gibi, tek bir kurban için özel olarak hazırlanmış trafik, paketin içine önceden yerleştirilebilir.

Yönlendirici yönlendirmesi

Bu saldırı, bazı üreticilerin donanımlarında bulunan Katman 2 ile Katman 3 güvenliği arasındaki bir mimari açığı istismar etmektedir. Saldırgan, erişim noktasına bir paket gönderir ve ağ katmanında (L3) hedef olarak kurbanın IP adresini belirler.  Ancak, kablosuz katmanında (L2), hedef erişim noktasının kendi MAC adresi olarak ayarlanır; bu nedenle yalıtım filtresi devreye girmez. Yönlendirme alt sistemi (L3) daha sonra paketi, L2 yalıtımını tamamen atlayarak kurbanın bilgisayarına geri yönlendirir. Önceki yöntemler gibi, bu da saldırganın yanıtı göremeyeceği bir başka “sadece gönderme” saldırısıdır.

Paketleri yakalamak için port ele geçirme

Saldırgan, kurbanın MAC adresinin sahte bir kopyasını kullanarak ağa bağlanır ve “bu MAC adresi benim portumda ve SSID’imde” iddiasında bulunan ARP yanıtlarıyla ağı aşırı yükler.  Hedef ağın yönlendiricisi MAC tablolarını günceller ve kurbanın trafiğini artık bu yeni porta yönlendirmeye başlar. Sonuç olarak, kurban için hedeflenen trafik saldırgana ulaşır; kurban tamamen farklı bir SSID’ye bağlı olsa bile.

Saldırganın açık ve şifrelenmemiş bir ağ üzerinden bağlandığı bir senaryoda bu, WPA2/WPA3 ile korunan bir ağdaki bir istemciye yönelik trafiğin aslında açık havada yayınlandığı anlamına gelir; bu durumda sadece saldırgan değil, yakınlarda bulunan herkes bu trafiği dinleyebilir.

Paketleri göndermek için port kapma

Bu versiyonda saldırgan, kurbanın Wi-Fi adaptörüne doğrudan bağlanır ve erişim noktasının MAC adresini taklit eden ARP talepleriyle onu bombardımana tutar. Sonuç olarak, kurbanın bilgisayarı giden trafiğini ağ yerine saldırgana yönlendirmeye başlar. Her iki çalma saldırısını aynı anda gerçekleştirerek, bir saldırgan çeşitli senaryolarda tam bir MitM saldırısı düzenleyebilir.

AirSnitch saldırılarının pratik sonuçları

Yukarıda açıklanan tekniklerin birçoğunu bir araya getirerek, bir hacker oldukça önemli saldırılar gerçekleştirebilir:

• Bir MitM saldırısı için tam çift yönlü trafik dinlemek: Bu, kurbanın haberi bile olmadan kurban ile erişim noktası arasında aktarılan verileri ele geçirip değiştirebilecekleri anlamına gelir.
• SSID’ler arasında geçiş yapmak: Konuk ağında bulunan bir saldırgan, her ikisi de aynı fiziksel erişim noktası üzerinden çalışıyorsa, güvenlik önlemleri alınmış kurumsal ağdaki bilgisayarlara erişebilir.
• RADIUS‘a yönelik saldırılar: Birçok şirket kurumsal Wi-Fi ağlarında RADIUS kimlik doğrulamasını kullandığından, bir saldırgan erişim noktasının MAC adresini taklit ederek ilk RADIUS kimlik doğrulama paketlerini ele geçirebilir. Buradan yola çıkarak, paylaşılan gizli anahtarı deneme yanılma yöntemiyle kırabilirler. Bunu başardıklarında, sahte bir RADIUS sunucusu ve erişim noktası kurarak, bu ağa bağlanan herhangi bir cihazdan verileri ele geçirebilirler.
• “Güvenli” alt ağlardan şifrelenmemiş verilerin açığa çıkması: WPA2/WPA3 koruması altında bir istemciye gönderilmesi gereken trafik, açık bir misafir ağına yeniden iletilebilir ve burada temelde herkesin duyabileceği şekilde yayınlanır.

Bu saldırıları başarılı bir şekilde gerçekleştirebilmek için, bir bilgisayar korsanının hem kurbanın ağ kartıyla hem de erişim noktasıyla aynı anda veri iletimi ve alımı yapabilen bir cihaza ihtiyacı vardır. Gerçek hayatta bu, genellikle özel olarak yapılandırılmış Linux sürücülerini çalıştıran iki Wi-Fi adaptörüne sahip bir dizüstü bilgisayar anlamına gelir. Bu saldırının tam anlamıyla sessiz olmadığını belirtmek gerekir; çok sayıda ARP paketi gerektirir, başladığında Wi-Fi bağlantısında kısa süreli aksaklıklara neden olabilir ve ağ hızları 10 Mbps civarına kadar düşebilir. Bu uyarı işaretlerine rağmen, bu durum birçok ortamda hâlâ ciddi bir tehdit teşkil etmektedir.

Güvenlik açığı bulunan cihazlar

Çalışma kapsamında, çeşitli kurumsal ve ev tipi erişim noktaları ile yönlendiriciler test edildi. Liste; Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, LANCOM ve ASUS markalı ürünlerin yanı sıra DD-WRT ve OpenWrt gibi popüler topluluk aygıt yazılımlarını çalıştıran yönlendiricileri de içeriyordu. Test edilen her bir cihaz, burada açıklanan saldırıların en azından bir kısmına karşı savunmasızdı. Daha da endişe verici olan ise, D-Link DIR-3040 ve LANCOM LX-6500’ün AirSnitch’in her bir varyasyonuna karşı savunmasız olmasıydı.

İlginç bir şekilde, bazı yönlendiriciler, altta yatan mimari kusurlar hâlâ mevcut olmasına rağmen, saldırıları engelleyen koruma mekanizmalarıyla donatılmıştı. Örneğin, Tenda RX2 Pro, MAC adresi aynı anda iki BSSID’de görünen tüm istemcilerin bağlantısını otomatik olarak keser; bu da port kapma sorununu etkili bir şekilde ortadan kaldırır.

Araştırmacılar, savunma konusunu ciddiye alan her ağ yöneticisinin veya BT güvenlik ekibinin kendi özel yapılandırmalarını test etmesi gerektiğini vurguluyorlar. Kuruluşunuzun yapısı açısından hangi tehditlerin önemli olduğunu tam olarak belirlemenin tek yolu budur.

Kurumsal ağınızı AirSnitch’ten nasıl koruyabilirsiniz?

Bu tehdit, ek VLAN bölümlemesi yapmadan aynı erişim noktalarında hem misafir hem de kurumsal Wi-Fi ağlarını çalıştıran kuruluşlar için en acil bir sorundur. Kablosuz kimlik doğrulama için güncel olmayan ayarlarla veya zayıf paylaşımlı şifrelerle RADIUS kullanan şirketler için de önemli riskler bulunmaktadır.

Sonuç olarak, erişim noktasında istemci yalıtımını gerçek bir güvenlik önlemi olarak görmeyi bırakmalı ve bunu sadece bir kolaylık özelliği olarak değerlendirmeye başlamalıyız. Gerçek güvenlik, farklı bir şekilde ele alınmalıdır:

• Ağı VLAN’lar kullanarak bölümlere ayırın. Her SSID’nin kendine ait bir VLAN’ı olmalı ve erişim noktasından güvenlik duvarına veya yönlendiriciye kadar tüm yol boyunca 802.1Q paket etiketlemesi sıkı bir şekilde uygulanmalıdır.
• Donanım özelliklerine bağlı olarak, yönlendirme düzeyinde daha sıkı paket denetimi uygulayın. Dinamik ARP Denetimi, DHCP izleme ve port başına MAC adresi sayısını sınırlama gibi özellikler, IP/MAC sahteciliğine karşı koruma sağlar.
• Donanımınız destekliyorsa, her istemci için ayrı GTK anahtarlarını etkinleştirin.
• Modern şifreleme takımları ve sağlam ortak anahtarlar dahil olmak üzere, daha dayanıklı RADIUS ve 802.1X ayarları kullanın.
• SIEM sisteminizde EAP/RADIUS kimlik doğrulama anormalliklerini kaydedin ve analiz edin. Bu, yalnızca AirSnitch’in ötesinde birçok saldırı girişimini takip etmenize yardımcı olur. Dikkat edilmesi gereken diğer uyarı sinyalleri arasında, farklı SSID’lerde aynı MAC adresinin görülmesi, ARP taleplerinde ani artışlar veya istemcilerin BSSID’ler ya da VLAN’lar arasında hızla geçiş yapması sayılabilir.
• Güvenlik düzeylerini ağ topolojisinin daha üst katmanlarında uygulayın. Kuruluş, tüm iş uygulaması trafiği için TLS ve HSTS’yi genel olarak uygulamışsa, tüm Wi-Fi bağlantıları için aktif bir VPN gerektiriyorsa veya Sıfır Güven mimarisini tam olarak benimsemişse, bu saldırıların çoğu etkisini yitirir.