Esaretten Kaçış
If you are looking for an English version of this article, please visit here.
Yıllarca internet servis sağlayıcılarının ADSL modemini kullanmış ve bunlar üzerinde yapmış olduğum güvenlik araştırmaları (Hediye Modemler Ne Kadar Güvenli? , Donanım Yazılımı Analizinin Önemi) ile bilgi güvenliği farkındalığını arttırmaya çalışmış biri olarak hediye modem kullanmaya bireysel olarak sıcak baktığımı pek söyleyemem. Bunun başlıca nedenlerinden bazılarını sayacak olursam; modemlerde internet servis sağlayıcıları tarafından kullanılan gömülü kullanıcı hesaplarının herkes tarafından öğrenilebilmesi ve son kullanıcının modemin/yönlendiricinin yönetim sayfasını internetten erişime açması durumunda başkaları tarafından kötüye kullanılabilmesi, donanım yazılımının (firmware) özel sürüm olması sebebiyle son, en güvenli sürüme güncellenememesi, bağlantı kısıtlamasının (firewall) her bağlantı noktası (port) için yapılamaması, kısıtlı yönetim sayfaları diyebilirim.
Yaklaşık iki yıl önce evime fiber internet altyapısının gelmesi ile birlikte ADSL modemin yerini yönlendirici (router) aldı. Internet servis sağlayıcımın kullanmaya zorunlu tuttuğu Tılgın marka, kendi web sitesinde dahi adı sanı bulunmayan HG1332 model yönlendirici ile internetten aldığım keyifli günler yerini esarete bıraktı. Vasat ötesi WiFi sinyal gücü, 7 yıl önce yönlendiricilerin desteklemeye başlayıp günümüzde sıradan hale gelmiş OpenVPN desteğinin olmaması, modern güvenlik dünyasının şifreli dns iletişimini (DoH) desteklememesi, dinamik dns (DDNS) desteğinin oldukça sınırlı olması gibi bir çok olumsuz neden sayabilirim.
Bu yönlendirici ile kısa süreli mutsuz bir beraberlikten sonra internet servis sağlayıcımla yönlendiriciyi değiştirmek üzere iletişime geçtiğimde ne yazık ki olumsuz yanıt aldım. Internet üzerinde bu yönlendiriciden kurtulmak için araştırma yaptığımda da bol bol şikayet dışında elle tutulur 1 kaynak bulamadığım ve buna ayıracak zamanım da pek olmadığı için zaman içinde kaderime boyun eğmek zorunda kaldım.
Tılgın HG1332 ile geçirdiğim mutsuz zamanların süresi arttıkça bu yönlendiriciden kurtulmak için aradan 1 yıl geçtikten sonra internette arama yaptığımda internet servis sağlayıcısının bu yönlendiriciyi köprü modunda kullanarak kendi yönlendiricinizi kullamaya izin verdiğini öğrendim. Zaman içinde HG1332’den nefret ettiğim için tamamiyle kurtulmanın yollarını aramaya başladım. Sosyal ağ hesaplarım üzerinden yardım çağrısında bulunduğumda sağolsun epey bir kişi bu konuda yardımcı olmak için seferber oldu. Aykut ALPER‘in farklı bir internet servis sağlayıcısında Mikrotik yönlendirici ile bunu yaptığını, bir başka yardımseverin VLAN ID ve PPOE kullanıcı adı ve parolası ile HG1332’den kurtulabileceğimi belirtmesinden sonra ihtiyaç listesi üzerinde çalışmaya başladım. Listeyi hazırlamak için aklıma gelen sorulardan bazıları şunlar oldu;
Yıllarca Asus modem ve yönlendiricilere DD-WRT, Tomato, Asuswrt-Merlin gibi özel donanım yazılımlarının (custom firmware) kolayca yüklenebildiğini bildiğim için tercihimi Asus markasından yana yaptım. Donanım yazılımı olarak da güvenlik özellikleri hoşuma gittiği için Asuswrt-Merlin‘i tercih ettim. Asuswrt-Merlin’in desteklediği modeller genel olarak pahalı olduğu için, fiyat ve performans açısından benim için en uygun olan RT-AC1900U modelini satın aldım.
Tılgın HG1332’nin arayüzüne admin kullanıcısı ile bağlandığımda maalesef VLAN ID’mi görebileceğim yönetim sayfalarının çoğu gizlenmişti. Internet üzerinde HG1332’ye yönelik araştırma yaptığımda, bu yönlendiriciden kurtulmaya çalışan bir kişinin yazdığı bir yazıdan, HG1332 yönlendiricisinde de tanımlı olan kullanıcı adı ve parolaları elde etmeye başaran İlteriş EROĞLU isimli genç bir arkadaşın başarılı çalışmasına rastladım. 2015 yılında Donanım Yazılımı Analizinin Önemi başlıklı yazımda benim de dikkat çektiğim şifresiz kanal üzerinden TR-069 iletişimin gerçekleşmesinin yıllar sonra İlteriş’in çalışmasında da hala devam ettiğini görmek beni oldukça şaşırttı. Yazıda yer alan root kullanıcısı ile HG1332’nin arayüzüne bağlandıktan sonra VLAN ID’mi kolay bir şekilde öğrenebildim.
root kullanıcısı ile arayüze girdikten sonra PPOE kullanıcısının parolası maskeli olduğu için mevcut konfigürasyonu yönlendiriciden indirip içinden PPOE parolasını elde edebildim.
RT-AC1900U için Asuswrt-Merlin’in web sayfasından ilgili donanım yazılımı sürümünü (RT-AC1900U için RT-AC68U yazılımı kullanılmalıdır.) indirip, web arayüzü üzerinden sorunsuz bir şekilde kurulumu gerçekleştirdim. Ardından PPOE ve VLAN ID tanımlarını da yaptıktan sonra yönlendiricinin başarıyla internete bağlanabildiğini gördüm.
Sıra yönlendiricinin gerçekleştirdiği tüm DNS trafiğini şifreli (Dns over HTTPS – DoH) hale getirmeye geldiğinde ilk işim yönlendiriciye yüklenen paketleri kurabileceğim ve çalıştırabileceğim bir USB disk bağlamak oldu. Ardından komut satırından entware-setup.sh komutunu çalıştırarak kurulumu kısa sürede tamamladım. DoH desteğine sahip dnscrypt-proxy aracını kurmak için ise curl -L -s -k -O https://raw.githubusercontent.com/thuantran/dnscrypt-asuswrt-installer/master/installer && sh installer ; rm installer komutunu çalıştırıp kurulumu gerçekleştirdim. dnscrypt-proxy aracının başarıyla çalıştığını teyit etmek için de ülkemizde hala yasaklı olan wikipedia.org adresinin ip adresini çözümlemeye çalıştığımda aracın başarıyla çalıştığını gördüm.
Yönlendiricinin etinden sütünden faydalanmak için bir de VPN servisleri ile olan bağlantısını (Netflix kullanıcıları nedenini çok iyi anlayacaklardır. :)) test etmeye karar verdim. Bunun için ABD seyahatim esnasında televizyonda çokça reklamını gördüğüm NordVPN VPN servis sağlayıcısına üye oldum. Asuswrt-Merlin kullanıcıları için özel olarak oluşturdukları yardım sayfasındaki adımları gerçekleştirdikten sonra yönlendiricinin NordVPN sunucularından biriyle başarıyla bağlantı kurmasını sağladım.
NordVPN ile bağlantı kurduktan sonra internet bağlantımın herhangi bir web sitesine bağlanamayacak şekilde aşırı derecede yavaşladığını farkettim. “Bu VPN sunucusunda problem var sanırım”, “Bu VPN sunucusu da mı yavaş ?” derken bağlandığım 10’a yakın sunucudan web sitelerine bağlanamadığımı farkettim. Tam NordVPN’in hizmet kalitesini sorgulamaya başlamışken bir anda aklıma sosyal medyada VPN servislerinin yavaşlatıldığı iddialarına yönelik okuduğum mesajlardan biri geldi.
Bağlandığım NordVPN sunucularından Google’ın DNS sunucusu olan 8.8.8.8 ip adresini pinglediğimde sürelerin katlanarak arttığını farkettim.
NordVPN’in Double VPN özelliğine sahip sunucularından birine bağlandığımda bu defa ping süresinin çok daha makul seviyelerde olduğunu ve web sitelerine bağlanabildiğimi gördüm. Başka bir Double VPN sunucusuna bağlandığımda ise bu yine bağlantımın inanılmaz derecede yavaş olduğunu farkettim. İki vpn sunucusunun OpenVPN bağlantı ayarlarını kıyasladığımda, mesaj doğrulamasında kullanılan AUTH parametresinin (HMAC digest algorithm) farklı (SHA512 yerine SHA1) olduğunu tespit ettim. Tüm NordVPN sunucularının arasından AUTH parametresinin SHA1 olanlarına bağlanmayı denediğimde bağlantının yavaşlamadığını dolayısıyla bu yavaşlamayı tetikleyen unsurun SHA512 algoritması ile ilişkili olabileceğine kanaat getirdim.
PING sürelerinin gecikmesine neyin sebep olabileceğini LinkedIn üzerinden sorduğumda genel olarak gelen yanıtlar; hattın sature olabileceği, aradaki yönlendiricinin bozuk olabileceği, ethernet kartında sorun olabileceği, yerel ağda topraklama sorunu olabileceği, firewall bağlantı listesinin dolduğu, sistemin saldırı altında olabileceği oldu. Ben de paylaştığım ekran görüntüleri ve Linkedin’den gelen yorumlar ışığında bu gecikmeye neyin sebep olduğunun bulunmasını, alıştırma olması adına siz sevgili okurlarıma bırakmaya karar verdim.
Sonuç olarak yıllarca istemeyerek, şikayet ederek kullandığım Tılgın HG1332 yönlendiriciden kurtularak, güvenliğini kendimin sağlayabildiği, güvenlik özellikleri ile dopdolu yeni yönlendiricime yıllar sonra kavuşmuş oldum. Özellikle OpenVPN desteği sayesinde, alışveriş merkezleri, oteller, cafeler, havaalanları gibi halka açık alanlarda ücretsiz olarak sunulan fakat bilgi güvenliği adına kullanıcılar için risk teşkil eden ücretsiz/ortak WiFi hizmetlerinden faydalanmak istediğimde, evimdeki yönlendiricime VPN ile güvenli bir şekilde bilgisayarımdan veya cep telefonumdan bağlanabilmek ve bu riski minimuma indirgeyebilmek de beni fazlasıyla mutlu etti.
Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.