EAP KİMLİK DOĞRULAMA PROTOKOL ÇEŞİTLERİNİN ENERJİ TÜKETİMİNE ETKİSİ. Halil İbrahim GÜMÜŞ YÜKSEK LİSANS TEZİ BİLİŞİM SİSTEMLERİ ANABİLİM DALI

Transkript

1

2 EAP KİMLİK DOĞRULAMA PROTOKOL ÇEŞİTLERİNİN ENERJİ TÜKETİMİNE ETKİSİ Halil İbrahim GÜMÜŞ YÜKSEK LİSANS TEZİ BİLİŞİM SİSTEMLERİ ANABİLİM DALI GAZİ ÜNİVERSİTESİ BİLİŞİM ENSTİTÜSÜ HAZİRAN 2015

3 ... tarafından hazırlanan adlı tez çalışması aşağıdaki jüri tarafından OY BİRLİĞİ / OY ÇOKLUĞU ile Gazi Üniversitesi... Anabilim Dalında YÜKSEK LİSANS TEZİ olarak kabul edilmiştir. Danışman: Doç. Dr. Bünyamin CİYLAN Bilişim Enstitüsü, Gazi Üniversitesi Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum. Başkan: Bilişim Enstitüsü, Gazi Üniversitesi Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum. Üye: Bilişim Enstitüsü, Gazi Üniversitesi Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum. Tez Savunma Tarihi:.../. / Jüri tarafından kabul edilen bu tezin Yüksek Lisans Tezi olması için gerekli şartları yerine getirdiğini onaylıyorum. Doç. Dr. Nurettin TOPALOĞLU Bilişim Enstitüsü Müdürü

4 ETİK BEYAN Gazi Üniversitesi Bilişim Enstitüsü Tez Yazım Kurallarına uygun olarak hazırladığım bu tez çalışmasında; Tez içinde sunduğum verileri, bilgileri ve dokümanları akademik ve etik kurallar çerçevesinde elde ettiğimi, Tüm bilgi, belge, değerlendirme ve sonuçları bilimsel etik ve ahlak kurallarına uygun olarak sunduğumu, Tez çalışmasında yararlandığım eserlerin tümüne uygun atıfta bulunarak kaynak gösterdiğimi, Kullanılan verilerde herhangi bir değişiklik yapmadığımı, Bu tezde sunduğum çalışmanın özgün olduğunu, bildirir, aksi bir durumda aleyhime doğabilecek tüm hak kayıplarını kabullendiğimi beyan ederim. Halil İbrahim Gümüş

5

6 iv EAP KİMLİK DOĞRULAMA PROTOKOL ÇEŞİTLERİNİN ENERJİ TÜKETİMİNE ETKİSİ (Yüksek Lisans Tezi) Halil İbrahim GÜMÜŞ GAZİ ÜNİVERSİTESİ BİLİŞİM ENSTİTÜSÜ Haziran 2015 ÖZET Bilginin temel bileşenleri erişilebilirlik, gizlilik ve bütünlüktür. Bu temel bileşenlerin sürekli sağlanabilmesi için yetkisiz kişilerin bilgiye erişiminin engellenmesi gerekir. Bu amaçla kullanılan yöntemlerden biri kimlik doğrulama yöntemidir. Ayrıca, bilgiye erişmek için kullanılan mobil cihazların sayısının gün geçtikçe arttığı ve bu cihazlar için batarya süresinin kısıtlayıcı bir faktör olduğu bilinmektedir. Bu çalışmada, kimlik doğrulama yöntemlerinden biri olan 802.1X kimlik doğrulama yöntemi içerisinde kullanılan EAP protokolü çeşitlerinin, kimlik doğrulama esnasında harcadıkları enerji miktarları karşılaştırılmıştır. Yapılan çalışma sonucunda, kablolu bağlantılarda kablosuz bağlantılara göre çok daha az enerji harcandığı görülmüştür. Yapı ve çalışma prensibi olarak birbirlerine çok benzeyen PEAP ve TTLS metotlarının harcadıkları enerjiler arasında gözle görülür bir fark olduğu ortaya çıkmıştır. Alınan ve verilen paket sayısının kimlik doğrulama süresini ve harcanan enerji miktarını etkilediği teyit edilmiştir. Bu bilgiler ışığında, kimlik doğrulama amacıyla seçilen EAP protokolü çeşidinin, harcanan enerji miktarını ve dolayısıyla pil kullanım ömrünü etkilediği belirlenmiştir. Bilim Kodu : Anahtar Kelimeler : Kimlik doğrulama, 802.1X, EAP, pil kullanım ömrü, enerji Sayfa Adedi : 57 Danışman : Doç. Dr. Bünyamin CİYLAN

7 v EFFECT OF EAP AUTHENTICATION PROTOCOL TYPES ON ENERGY CONSUMPTION (M. Sc. Thesis) Halil İbrahim GÜMÜŞ GAZİ UNIVERSITY INSTITUTE OF INFORMATICS June 2015 ABSTRACT Confidentiality, integrity and availability are basic components of information. In order to enable these three basic components permanently, unauthorized persons should be prevented to reach the information. Authentication methods can be used to ensure this. Also, it is known that, number of mobile devices to reach the information are increasing and battery life time is limiting factor for mobile devices. In this research, energy consumption of EAP authentication types used in 802.1X authentication mechanism during authentication are compared. As a result, it is found that, there is a noticeable difference between energy consumption of PEAP and TTLS methods which are very similar according to their structure and working principle. It is confirmed that, number of packets that are sent affects authentication time and energy consumption. In the light of this information, it is shown that, making a selection between EAP authentication methods affects energy consumption and hence battery life time. Science Code : Key Words : Authentication, 802.1X, EAP, battery life time, energy Page Number : 57 Supervisor : Assoc. Prof. Dr. Bünyamin CİYLAN

8 vi TEŞEKKÜR Çalışmalarım boyunca değerli yardım ve katkılarıyla beni yönlendiren, kıymetli tecrübelerinden faydalandığım danışmanım Doç. Dr. Bünyamin CİYLAN a, ayrıca manevi destekleriyle beni hiçbir zaman yalnız bırakmayan çok değerli eşim Miraç GÜMÜŞ e ve ailemin diğer fertlerine teşekkürü bir borç bilirim.

9 vii İÇİNDEKİLER Sayfa ÖZET... ABSTRACT... TEŞEKKÜR... İÇİNDEKİLER... ÇİZELGELERİN LİSTESİ... ŞEKİLLERİN LİSTESİ... SİMGELER VE KISALTMALAR... iv v vi vii ix x xi 1. GİRİŞ KABLOSUZ AĞ GÜVENLİK YÖNTEMLERİ WEP WPA - WPA X EAP ve EAP Metotları RADIUS ENERJİ TÜKETİMİNİN HESAPLANMASI Ptop Powertutor YÖNTEM Test Ortamı İstemci (supplicant) Denetleyici (authenticator) Sunucu (authentication server) Yardımcı yazılımlar ARAŞTIRMA BULGULARI... 23

10 viii Sayfa 5.1. Dizüstü Bilgisayar ile Kablolu Bağlantı Dizüstü Bilgisayar ile Kablosuz Bağlantı Cep Telefonu ile Kablosuz Bağlantı Maksimum Sinyal Seviyesi Cep Telefonu ile Kablosuz Bağlantı Minimum Sinyal Seviyesi SONUÇ VE ÖNERİLER KAYNAKLAR EKLER EK-1. Cisco Switch Konfigürasyonu EK-2. Ortalama Kimlik Doğrulama Süreleri EK-3(a). MD5 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı EK-3(b). PEAP MD5 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı EK-3(c). PEAP MD5 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı EK-3(d). PEAP MSCHAPv2 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı EK-3(e). PEAP MSCHAPv2 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı EK-3(f). PEAP MSCHAPv2 Cep Telefonu ile Kablosuz Bağlantıda Mesaj Akışı EK-3(g). TTLS MD5 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı EK-3(h). TTLS MD5 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı EK-3(i). TTLS PAP Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı EK-3(j). TTLS PAP Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı EK-3(k). TTLS PAP Cep Telefonu ile Kablosuz Bağlantıda Mesaj Akışı EK-3(l). TTLS MSCHAPv2 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı EK-3(m). TTLS MSCHAPv2 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı EK-3(n). TTLS MSCHAPv2 Cep Telefonu ile Kablosuz Bağlantıda Mesaj Akışı ÖZGEÇMİŞ... 57

11 ix ÇİZELGELERİN LİSTESİ Çizelge Sayfa Çizelge 2.1. Gerçekleştirilmesi muhtemel saldırı türleri... 3 Çizelge 2.2. WEP yönteminin zafiyetleri... 4 Çizelge 5.1. Dizüstü bilgisayar ile yapılan kablolu ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü Çizelge 5.2. Dizüstü bilgisayar ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü Çizelge Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü (maksimum sinyal seviyesi) Çizelge 5.4. Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü (minimum sinyal seviyesi)... 29

12 x ŞEKİLLERİN LİSTESİ Şekil Sayfa Şekil 2.1. IEEE 802.1X düzeni... 6 Şekil 2.2. Tipik bir EAP mesaj akışı... 7 Şekil 3.1. Ptop genel yapısı Şekil 3.2. Ptop kullanıcı arayüzü Şekil 3.3. CPU güç tüketim değerlerinin karşılaştırması Şekil 3.4. Disk güç tüketim değerlerinin karşılaştırması Şekil 3.5. Ptop - Watts up karşılaştırma Şekil 3.6. Powertutor kullanıcı arayüzü Şekil 4.1. Test ortamının topolojik yapısı Şekil 5.1. Dizüstü bilgisayar ile yapılan kablolu ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri Şekil 5.2. Dizüstü bilgisayar ile yapılan kablolu ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları Şekil Dizüstü bilgisayar ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri Şekil 5.4. Dizüstü bilgisayar ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları Şekil 5.5. Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri (maksimum sinyal seviyesi) Şekil 5.6. Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları (maksimum sinyal seviyesi) Şekil 5.7 Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri (minimum sinyal seviyesi) Şekil Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları (minimum sinyal seviyesi)... 29

13 xi SİMGELER VE KISALTMALAR Bu çalışmada kullanılmış bazı kısaltmalar, açıklamaları ile birlikte aşağıda sunulmuştur. Kısaltmalar Açıklama API Uygulama Programı Arayüzü CHAP Sorgulama Mutabakat Kimlik Doğrulama Protokolü CPU Merkezi İşlemci Birimi EAP Genişletilebilir Kimlik Doğrulama Protokolü EAPOL Yerel Ağ Üzerinde Genişletilebilir Kimlik Doğrulama Protokolü IEEE Elektrik Elektronik Mühendisleri Birliği LAN Yerel Alan Ağı MD5 Mesaj Özetleme 5 MSCHAP Microsoft Sorgulama Mutabakat Kimlik Doğrulama Protokolü MSCHAPv2 Microsoft Sorgulama Mutabakat Kimlik Doğrulama Protokolü 2 PAP Şifre Kimlik Doğrulama Protokolü PBNAC Port Bazlı Ağ Erişim Kontrolü PEAP Korumalı Genişletilebilir Kimlik Doğrulama Protokolü POE Ethernet Üzerinden Güç RADIUS Arayan Kullanıcı Kimliğini Uzaktan Doğrulama Hizmeti RAM Rastgele Erişimli Bellek RFC Yorumlar İçin Rica SATA Seri ATA TLS İletim Katmanı Güvenliği TTLS Tünel İçerisinde İletim Katmanı Güvenliği WEP Kablolu Eşdeğer Mahremiyet WPA Kablosuz Korumalı Erişim

14

15 1 1. GİRİŞ Bilgi, kişiler ve kuruluşlar için oldukça değerli bir olgudur. Bilginin muhafaza edilmesi ve güvenliğinin sağlanması da bir o kadar önemlidir [1]. Bu nedenle bilgi güvenliğini sağlamaya yönelik uzun süredir araştırmalar yapılmakta, standartlar belirlenmekte ve karşılaşılacak problemlere karşı önlemler alınmaktadır [2]. Bilgiye güvenli bir şekilde erişmek de bilgi güvenliğinin sağlanmasında önemli bir adımdır ve kimlik doğrulama, ağ sistemleri güvenliğinin vazgeçilmez bir parçası olmuştur [1]. Ayrıca, teknolojinin gelişmesi ve sistem ve ağ bileşenlerinin daha çok kullanılmaya başlanması ile birlikte, mobil cihazların kullanımı da artmıştır [3 5]. Bununla birlikte pil kullanım süresinin mobil cihazlar için kısıtlayıcı bir faktör olduğu bilinmektedir [6]. Fiziksel olarak pillerin geliştirilmesi ile pil ömrünün uzatılabilmesi mümkündür. Ancak teknoloji ilerledikçe uygulamaların ihtiyaç duydukları enerji miktarı, pillerin sağlayabildiği enerjiden çok daha fazla olmaktadır [3]. Bu nedenle, mevcut enerjinin daha verimli kullanılması gerektiği düşüncesi ön plana çıkmaktadır. Mobil cihazlara kablosuz bağlantı üzerinden erişim sağlanırken, güvenliği sağlamak ve erişimi kontrol etmek amacıyla bazı güvenlik yöntemleri uygulanır. Kablosuz ağlarda kullanılan güvenlik yöntemleri WEP (Kablolu Eşdeğer Mahremiyet), WPA (Kablosuz Korumalı Erişim )/WPA2 ve IEEE 802.1X tir. En yaygın olarak kullanılan ve tercih edilen güvenlik yöntemi ise IEEE 802.1X tir [4]. IEEE 802.1X yöntemi bir çeşit kimlik doğrulama yöntemidir ve kimlik doğrulama mekanizmasını sağlamak amacıyla EAP (Genişletilebilir Kimlik Doğrulama Protokolü) protokolünü kullanır [7] X içerisinde yaygın olarak kullanılan EAP protokolü çeşitleri de EAP MD5, EAP TLS, EAP TTLS ve PEAP tır [5]. Yapılan çalışmada, farklı EAP metotlarının her birinin ne kadar enerji harcadıkları hesaplanmıştır. Seçilen EAP metodu ile kimlik doğrulama esnasında harcanan enerji arasındaki ilişki ortaya konulmuştur. Kimlik doğrulama amacıyla protokol seçimi yapılırken güvenlik seviyesi göz önünde bulundurulduğu gibi, seçilen metodun kullanılan cihazda harcanmasına sebep olduğu enerjinin de göz önünde bulundurulması ve pil kullanım süresinin uzatılması amaçlanmıştır. Daha önce yapılan çalışmalar ele alındığında, kablosuz bağlantıda güvenlik seviyesi ve enerji tüketimi arasındaki ilişkiyi tanımlayacak bir model oluşturulduğu görülmektedir [2,6,8]. Oluşturulan bu modele göre, güvenlik yönteminde kullanılan şifreleme algoritması

16 2 enerji tüketimini etkilememekte, şifrelemede kullanılan anahtar boyutu arttıkça enerji tüketimi artmakta, ancak bu çok küçük bir farklılığa sebep olmaktadır. Bu farklılığın göz ardı edilebileceği belirtilmektedir. İkinci olarak, EAP kimlik doğrulama protokolünün, WEP ve WPA yöntemlerine göre daha fazla enerji harcanmasına sebep olduğu belirtilmektedir. Yaptığımız çalışmada ise EAP ile diğer yöntemler karşılaştırılmamış, EAP metotları kendi aralarında değerlendirilmiştir. Ayrıca modele göre, aynı güvenlik seviyesine sahip kimlik doğrulama yöntemlerinin aynı miktarda enerji harcaması gerekmektedir [2,6,8]. Oysaki gerçekleştirilen testlerde, bazı metotlar için modelin doğru sonuçlar verdiği görülmekle birlikte, birbirlerinin aynısı olarak ifade edilen TTLS (Tünel İçerisinde İletim Katmanı Güvenliği) ve PEAP (Korumalı Genişletilebilir Kimlik Doğrulama Protokolü) metotlarının [3] farklı miktarlarda enerji harcadığı ortaya çıkmıştır. Tezin ilk bölümünde daha önce yapılan çalışmalar ile ilgili bilgiler verilmiş ve yapılan bu çalışmanın farklılıkları ortaya konulmuştur. İkinci bölümde, kablosuz ağlarda kullanılan güvenlik yöntemleri ile ilgili detaylara yer verilmiştir. Üçüncü bölümde, enerji ölçümü için kullanılan yazılımlar ile ilgili bilgiler bulunmaktadır. Dördüncü bölümde, uygulanacak yöntem ve çalışmanın detaylarıyla ilgili bilgiler yer almaktadır. Beşinci bölümde ise, yapılan testlerin çıktıları paylaşılmıştır. Son bölüm olan altıncı bölümde de, sonuç ve önerilere yer verilmiştir.

17 3 2. KABLOSUZ AĞ GÜVENLİK YÖNTEMLERİ Kablosuz ağlarda güvenliği sağlamak için kullanılan yöntemler WEP, WPA/WPA2 ve IEEE 802.1X dir. WEP kablosuz ağlarda kullanılan ilk güvenlik yöntemidir. Onu sırasıyla WPA ve WPA2 izlemiştir X ise ilk olarak kablolu ağlarda güvenlik mekanizması olarak kullanılmış, daha sonra IEEE i standardı ile kablosuz ağlarda kullanılmaya başlanmıştır WEP Kablolu ağlarda gerçekleştirilmesi muhtemel olan saldırı türleri kablosuz ağlarda da karşımıza çıkmaktadır. Bu saldırı türleri Çizelge 2.1 de görülebilir. Kablosuz ağlarda, saldırganların ağa dahil olması amacıyla cihazlara fiziksel olarak erişmeleri gerekmediği için, kablosuz ağlar güvenlik açısından daha zayıftır [9]. Bu nedenle, kablosuz ağ standardı olan , WEP güvenlik yöntemini bünyesinde barındıracak şekilde oluşturulmuştur. Bilgi güvenliğinin üç temel unsuru olan erişilebilirlik, bütünlük ve gizlilik ilkelerinin, verinin hava ortamında taşındığı kablosuz iletişimde de sağlanması amaçlanmış ve saldırganların işini zorlaştırmak hedeflenmiştir [9]. Çizelge 2.1. Gerçekleştirilmesi muhtemel saldırı türleri [9] Tehdit Denial of Service (Hizmet Dışı Bırakma) Eavesdropping (Gizlice Dinleme) Man in the Middle (İletişimde Araya Girme) Masquerading (Yetkili Görünme) Message Modification (Mesaj Değiştirme) Message Replay (Mesaj Tekrarlama) Traffic Analysis (Trafik Analizi) Açıklama Ağın normal kullanımının engellenmesi Veri ve kimlik bilgileri için iletişimin pasif olarak izlenmesi Veri iletişiminde alıcı ve verici arasına girerek kendini meşru olarak göstermek Başka bir ağa atak yapan kullanıcının kendisini atak yaptığı sistemin yetkili bir üyesi olarak göstermesi Alinıp verilen mesajların hedefe ulaşmadan ele geçirilip değiştirilmesi ve bu şekilde gönderilmesi Yetkili bir kullanıcı gibi gözükerek, gönderilen mesajların gereksiz yere tekrar ve takrar gönderilmesi Saldırı stratejilerinin belirlenmesi amacıyla trafik yapısının ve akan trafiğin analiz edilmesi WEP yöntemi, RC4 şifreleme algoritmasına dayanır ve 40 veya 104 bitlik anahtara ilave edilen ve IV (Initialization Vector) adı verilen 24 bitlik kısım ile şifreleme gerçekleştirilir

18 4 [10]. IV, alınıp verilen paketlerde değiştirilerek farklı anahtarların kullanılması ve böylece daha güvenli bir iletişimin gerçekleşmesi amaçlanır. Ancak WEP yönteminde IV ler açık şekilde gönderilir ve standardı IV lerin sürekli olarak değiştirilmesini zorunlu kılmaz. Tüm bu nedenlerden dolayı WEP yönteminin güvenliği tam olarak sağlayamadığı ve birçok saldırı türüne karşı savunmada başarısız olduğu belirtilmektedir [11-13]. Ayrıca, WEP yönteminin yayınlanmadan önce çok fazla incelenmemesinin de başarısız olmasında etken olduğu belirtilmektedir [14]. WEP yönteminin zafiyetleri Çizelge 2.2 de sıralanmıştır. Çizelge 2.2. WEP yönteminin zafiyetleri [9] Sıra WEP Zaafiyetleri 1 IV'ler kısa ve sabit 2 Kriptografik anahtarlar kısa 3 Kriptografik anahtarlar paylaşılmakta 4 5 Kriptografik anahtarlar otomatik olarak veya sıklıkla yenilenmiyor RC4 zayıf bir anahtar planlamasına sahip ve WEP yönteminde uygun bir şekilde kullanılmıyor 6 Paket bütünlüğü zayıf 7 Kullanıcı kimlik doğrulaması gerçekleştirilmiyor 8 9 Kimlik doğrulama yok. Sadece basit bir SSID doğrulaması yapılıyor Cihaz doğrulaması basit bir anahtar paylaşımı ile yapılıyor 2.2. WPA - WPA2 WPA, WEP yönteminde karşılaşılan problemlerin giderilmesi ve daha güvenilir bir yöntemin ortaya çıkarılması amacıyla Wi-Fi Alliance tarafından oluşturulmuştur. Aslında, IEEE (Elektrik Elektronik Mühendisleri Birliği) tarafından oluşturulan i standardının geç kalması ve üreticilerin acil güvenlik yöntemine ihtiyaç duymaları sonucu ortaya çıkmıştır [15]. Temelde i standardını kullanması ve benzer özellikleri taşıması nedeniyle, i standardının altkümesi olarak değerlendirilmektedir [15]. Mevcut donanımlarda, sadece yazılımsal olarak iyileştirme yapılması ile kullanılabilecek şekilde

19 5 oluşturulmuştur. Bu sayede mevcut donanımların da bu yöntemi desteklemesi hedeflenmiştir. WPA yönteminde veri şifrelemesini iyileştirme amacıyla TKIP (Temporal Key Integrity Protocol) şifreleme algoritması kullanılmaktadır [16]. TKIP şifreleme algoritmasının paket bazlı anahtar değişimi, mesaj bütünlük kontrolü, geliştirilmiş IV ve yeniden anahtarlama gibi özellikleriyle, WEP yönteminde karşılaşılan ve Çizelge 2.2 de bahsedilen tüm zafiyetlerin giderilmesi amaçlanmıştır [9]. Ayrıca, WEP yönteminde olmayan kullanıcı bazlı kimlik doğrulama özelliği WPA da bulunmaktadır. WPA2 ise, WPA yönteminden farklı olarak AES şifreleme algoritmasını kullanır. AES şifreleme algoritması TKIP e göre daha fazla ağ güvenliği sağlamaktadır [9]. Bunun dışında WPA ile benzer özelliklere sahiptir X 802.1X, kimlik doğrulama amacıyla kullanılan bir güvenlik mekanizmasıdır. Düşünüldüğü şekilde karmaşık bir yapı olmaktan ziyade en basit ifadeyle kimlik doğrulama işlemi esnasında kullanılan kimlik bilgilerinin taşınmasını sağlayan protokoldür [7]. Ağa dâhil olmak isteyen istemci (client), ilk aşamada yetkisiz durumdadır. Kullanıcı adı ve şifre ikilisi veya farklı bir takım kimlik bilgilerini ihtiva eden mekanizmalar vasıtasıyla kimlik doğrulama işlemini gerçekleştirerek ağa dâhil olabilir. Bu iletişim 802.1X vasıtasıyla gerçekleşmektedir. Aslında 802.1X yerine daha genel bir isim olan ve tüm bu kimlik doğrulama ve güvenlik mekanizmasını işaret eden port bazlı kimlik doğrulama (PBNAC - Port Bazlı Ağ Erişim Kontrolü) kullanılmaktadır [7] X e ilave olarak EAP ve RADIUS (Arayan Kullanıcı Kimliğini Uzaktan Doğrulama Hizmeti) protokolleri bir bütün olarak port bazlı kimlik doğrulamayı oluşturmaktadır. Kimlik doğrulama işlemi, üç farklı kısımdan oluşmaktadır. Bunlardan ilki, ağa dahil olmak isteyen istemci (supplicant); ikincisi, istemcinin bağlanmak istediği kimlik denetleyicisi (authenticator); üçüncüsü de kimlik doğrulama işlemini gerçekleştiren kimlik doğrulama sunucusudur (authentication server) [1].

20 6 Kimlik denetleyicisi, istemci ile sunucu arasında köprü vazifesi gören kısımdır. İstemcinin direkt olarak sunucuya erişimini engeller. Aynı zamanda istemcinin kimlik doğrulamasını gerçekleştirmeden ağa dahil olmasının da önüne geçer. Kimlik denetleyicisi, gelen ve giden paketlerin içeriğine bakmaz, genel çerçeve ile ilgilenir. Gelen paketleri anlar ve gideceği yerde anlaşılması için uygun kılıfa sokar. İstemci, ağa dahil olmak isteyen cihazdır. Kimlik denetleyicisi ile EAPOL (Yerel Ağ Üzerinde Genişletilebilir Kimlik Doğrulama Protokolü) protokolü vasıtasıyla konuşur. Denetleyiciden gelen kimlik bilgini gönder paketine karşılık olarak kimlik bilgilerini gönderir ve sunucudan gelip denetleyicinin ilettiği istekleri karşılayarak dahil olmak istediği ağa erişmeye çalışır. Sunucu, kimlik bilgilerinin doğruluğunun teyit edildiği yerdir. Denetleyici üzerinden istemci ile konuşur ve istediği bilgilerin doğruluğunu sorgular. Denetleyici ile RADIUS protokolü üzerinden konuşur. İstemciden gelen bilgilerin değerlendirilmesinden sonra ya ağa erişim izni verir veya erişimi engeller. Bu işlemi de denetleyici vasıtasıyla gerçekleştirir. Şekil 2.1 de, 802.1X in kısımları görülmektedir. Şekil 2.1. IEEE 802.1X düzeni [4] 802.1X yönteminde iletilen paketin içerisinde kimlik bilgisini EAP protokolü taşır. EAP protokolünün MD5 (Mesaj Özetleme 5), TLS (İletim Katmanı Güvenliği), TTLS ve PEAP

21 7 şeklinde metotları vardır. EAP metotları arasında da yapı, kullanılan şifreleme algoritmaları, alınan ve verilen paket sayısı vb. birçok farklılık bulunmaktadır. Seçilen EAP metoduna göre hangi bilginin taşınacağı ve nasıl taşınacağı da belirlenmiş olur. İstemci ve denetleyici EAP protokolünü EAPOL çerçevesi içerisinde gönderip alır. Denetleyici ve sunucu ise bu iletişim için RADIUS çerçevesini kullanır. Tüm bu sisteme 802.1X veya daha doğru bir ifadeyle port bazlı kimlik doğrulama denir [7] EAP ve EAP Metotları EAP ilk olarak point-to-point bağlantılarda kullanılmak amacıyla ortaya çıkarılmış bir protokoldür [17-18]. Sonrasında ise LAN (Yerel Alan Ağı) bağlantılarında kimlik doğrulama aracı olarak kullanılması planlanmış ve bu doğrultuda teknik altyapı oluşturulmuştur [7]. Şekil 2.2 de görüldüğü üzere, karşılıklı iki nokta arasında yapılan haberleşmeye dayanan EAP, 802.1X kimlik doğrulama işlemi esnasında en içte kimlik bilgilerini taşıyan protokoldür. LAN ağı üzerinde istemci ile denetleyici arasında EAP protokolünün ve dolayısıyla kimlik bilgisinin taşınmasını sağlayan çerçeve ise EAPOL olarak adlandırılır. Alınan ve verilen paketlerin sayısı ve paket boyutları ise, seçilen EAP metoduna bağlı olarak değişmektedir. Paket detayları, ekler kısmında görülebilir. Şekil 2.2. Tipik bir EAP mesaj akışı [5]

22 8 EAP MD5 EAP MD5 (Message-Digest 5), EAP protokolü ilk oluşturulduğunda ortaya çıkmış ve standartlaştırılmıştır [17]. Kullanıcı adı ve şifreye dayalı bir EAP metodudur. Sunucu, bir paket göndererek istemcinin kimliğini sorar. İstemci de gelen bu bilgiyi ve göndereceği şifreyi MD5 şifresine göre hash ler ve sunucuya gönderir. Sunucu da gönderdiği paketin hash ini alır ve gelen paketle karşılaştırır. Eğer doğruysa şifreyi değerlendirmeye alır. Kimlik doğrulanırsa erişime izin verir veya yanlışsa engeller. Oldukça hızlı çalışan bir metot olması yanında, tüm şifrelerin sunucu üzerinde barındırılması, kablosuz ağlarda yapılan atak türlerine karşı zayıf kalması gibi nedenlerden dolayı son zamanlarda yaygın olarak kullanılmamaktadır [3, 5]. EAP TLS EAP TLS (Transport Layer Security) sertifikaların kullanıldığı, karşılıklı kimlik doğrulamaya dayanan ve oluşturulan tünel içerisinde şifrelenmiş veri iletişimini sağlayan bir protokoldür [19]. Karşılıklı uzlaşma sağlandıktan sonra, iki uç nokta şifrelenmiş tünel içerisinden verileri iletir. Bu nedenle kullanıcı adı, şifre veya diğer gönderilen bilgilerin başkaları tarafından ele geçirilerek değerlendirilmesi zordur. Oldukça güvenli bir yöntem olmasına rağmen, karşılıklı olarak güvenilir sertifikaların bulunmasını sağlamak, yönetim açışından oldukça zordur. Sertifika bazlı kimlik doğrulamanın olduğu ağlar oldukça karışık ve yönetimi zor ağlar olabilirler. Ayrıca sertifikaların kullanılması haberleşme esnasında karşılıklı alınıp verilen paket sayısını da artırmaktadır. Bu da kimlik doğrulama süresini uzatmaktadır. Bu nedenlerden dolayı EAP TLS günümüzde çok fazla kullanılmamaktadır [3, 20]. EAP TTLS EAP TTLS, EAP TLS nin geliştirilmesi ile ortaya çıkmış bir metottur. İki fazdan oluşur. İlki yukarıda bahsedilen EAP TLS şeklindedir. Buradaki tek fark, istemci tarafında sertifika barındırılmasına gerek olmamasıdır. İç tünel olarak da adlandırılabilecek ikinci fazda ise, ilk fazda oluşturulan tünel içerisinden diğer EAP metotları veya PAP (Şifre Kimlik Doğrulama Protokolü), CHAP (Sorgulama Mutabakat Kimlik Doğrulama Protokolü) [21], MSCHAP (Microsoft Sorgulama Mutabakat Kimlik Doğrulama Protokolü) [22], MSCHAPv2

23 9 (Microsoft Sorgulama Mutabakat Kimlik Doğrulama Protokolü 2) [23] gibi güvenlik mekanizmaları kullanılarak kimlik doğrulama gerçekleştirilir [3, 20, 24]. PEAP PEAP (Protected Eaxtensible Authentication Protocol), aynı EAP TTLS gibi EAP TLS üzerine geliştirilmiş bir protokoldür. EAP TTLS de olduğu gibi iki fazdan oluşur. İlk kısımda EAP TLS de olduğu şekilde sertifikalar ile istemci ve sunucu birbirlerini doğrular. Sonrasında aralarında güvenli bir tünel oluşturulur. İkinci kısımda da, oluşturulan bu tünel içerinden diğer EAP metotları kullanılarak paket alışverişi gerçekleştirilir. PEAP, EAP TTLS ile çok büyük benzerlik göstermektedir [3]. Tek farkı, PEAP metodunda iç tünel içerisinde sadece EAP metotları desteklenir [20, 25] RADIUS RADIUS, ilk olarak 2000 yılında RFC (Yorumlar İçin Rica) 2865 ile özellikleri ortaya konulmuş bir protokoldür yılında ise EAP ve 802.1X ile entegrasyonu sağlanmıştır [26, 27]. Protokol olarak RADIUS, denetleyici ile sunucu arasında iletişimi sağlayan protokoldür. İçerisinden, EAPOL protokolünde olduğu gibi EAP geçer. İstemci ile sağlıklı bir iletişim kurabilmesi için aynı EAP dilinde konuşmaları gerekmektedir. Bu nedenle RADIUS sunucusu seçilirken istemcilerin konuştuğu dilden anlayan bir sistem seçilmelidir. RADIUS sunucusu denildiğinde, kimlik doğrulamayı gerçekleştiren ve RADIUS protokolü ile haberleşen sistem akla gelmelidir. RADIUS, istemci sunucu metoduyla çalışır ve denetleyici vasıtasıyla paket alışverişinin sağlanması gerekmektedir. Hiçbir zaman direkt olarak istemci ile haberleşmez. Kimlik doğrulama mekanizmasını işleten yer olması ve ilk aşamada istemcinin ağa bağlanmak için yetkisiz durumda olması nedeniyle, denetleyici üzerinden yalnızca uygun bir dil olan EAP ile konuşur [26 30].

24 10

25 11 3. ENERJİ TÜKETİMİNİN HESAPLANMASI Enerji tüketiminin hesaplanması için kullanılabilecek yöntemler iki çeşittir. İlk yöntem, fiziksel olarak donanım bağlamak suretiyle ölçüm yapmaktır. İkinci yöntem ise, dışarıdan herhangi bir bağlantıya ihtiyaç duymadan, yazılım vasıtasıyla enerji tüketiminin hesaplanmasıdır. Yapılan çalışmada, daha kolay ve uygulanabilir bir yöntem olan yazılımla enerji ölçümü gerçekleştirilmiştir. Bu amaçla, aşağıda bilgileri verilen yazılımlar kullanılmıştır Ptop Bilgisayarlarda enerji tüketimini hesaplamak için dışarıdan bağlanan ve ölçüm yapan donanımsal aygıtlara ihtiyaç vardır. Ancak bu tarz ölçümleri yapabilmek için ciddi gayret sarf etmek ve karışık test düzenekleri hazırlamak gerekmektedir. Bu sorunun çözümü için bilgisayardaki her bir işlemin harcadığı enerjiyi bir takım yönergeleri takip ederek gerçeğe çok yakın bir şekilde tahmin edebilecek bir yazılım geliştirilmiştir [31]. Bu yazılımın adı Ptop dır. Ptop yazılımı, oluşturulan algoritmaya göre işletim sisteminden aldığı bir takım bilgilerden yola çıkarak işlem bazlı enerji kullanımını joule cinsinden ölçebilmektedir. İş = Güc x Zaman (3.1) Eş. 3.1 de görüldüğü üzere joule cinsinden enerji tüketimi için zaman bilgisi gerekli olduğundan dolayı, program, ölçülmek istenen süre için zaman bilgisinin verilmesi ile birlikte harcanan enerji miktarını hesaplamaktadır. Şekil 3.1 de görüldüğü üzere, işletim sisteminin hemen üstünde çalışan ve energy profiling daemon olarak adlandırılan programın ana kısmı, işletim sisteminden gelen bilgileri toplamakla yükümlüdür. Sürekli olarak ihtiyacı olan bilgileri toplamakta ve takip etmektedir. Sonrasında t süresinde her bir işlem tarafından harcanan enerji hesaplanmakta ve geçici olarak bellekte depolanmaktadır. Display utility olarak belirtilen kısım ise kullanıcının ekranda gerekli bilgileri aldığı ara yüzdür.

26 12 Şekil 3.1. Ptop genel yapısı [31] Şekil 3.2. Ptop kullanıcı arayüzü

27 13 İlave olarak, Ptop yazılımı, faklı programlarda bilgi alınacak bir kaynak olarak da (API - İletim Katmanı Güvenliği) kullanılabilmekte ve farklı yazılımların geliştirilmesine olanak sağlamaktadır. Yapılan diğer bir çalışmada [32], Ptop API olarak kullanılmış ve bir uygulama geliştirilmiştir. Geliştirilen uygulamanın test sonuçları Şekil 3.3 ve Şekil 3.4 de görülebilir. Şekillerde, kırmızı çizgi ölçülen gerçek değeri, mavi çizgi ise model vasıtasıyla tahmin edilen değeri göstermektedir. Şekil 3.3. CPU güç tüketim değerlerinin karşılaştırması [32] Şekil 3.4. Disk güç tüketim değerlerinin karşılaştırması [32] Ptop yazılımının, enerji ölçümü yapan ve farklı bir yazılım olan Watts Up ile karşılaştırması da şekil 3.5 de görülebilmektedir. Watss Up yazılımı, akademik çalışmalarda enerji ölçümü için kullanılan bir yazılımdır [33].

28 14 Şekil 3.5. Ptop - Watts up karşılaştırma [33] 3.2. Powertutor Powertutor, test edilmiş ve doğruluğu kanıtlanmış bir enerji tüketim modelini kullanarak enerji tüketim ölçümü yapan bir yazılımdır [34]. Genel olarak mobil cihazların güç modellemesi ve enerji tüketim analizlerinin yapılması amacıyla kullanılmaktadır [34]. Android tabanlı telefonlarda kullanılması amacıyla geliştirilmiş bu yazılım, gerçek zamanlı ve oldukça gerçekçi değerler vermektedir [34]. Şekil 3.6. Powertutor kullanıcı arayüzü

29 15 Powertutor, yeni uygulamaların enerjiye aç şekilde geliştirilmeleri, ancak diğer yandan pil teknolojisinin bu açlığı giderecek biçimde ilerleyememesinin sonucu olarak ortaya çıkmıştır [34]. Oluşturulan güç modelini baz alarak cihaz üzerinde ekran, CPU (Merkezi İşlemci Birimi), kablosuz bağlantı, 3G bağlantısı ve ses sistemi gibi komponentlerin harcadıkları enerjileri hesaplar. Aynı zamanda çalışan uygulamaların harcadıkları enerjileri de uygulama bazlı göstermektedir. Powertutor yazılımında kullanılan modele benzer modellerin, enerji hesaplaması amacıyla farklı çalışmalarda da kullanıldığı görülmektedir [35-37].

30 16

31 17 4. YÖNTEM Yapılan çalışmada, ilk olarak, mobil cihazda kimlik doğrulama esnasında sadece bu işlem için harcanan enerjinin tespit edilmesinin gerekli olduğu görülmüştür. Harici cihaz bağlanarak akım, voltaj vb. değerlerin alınması oldukça zahmetli olduğundan, donanımdan bağımsız sadece yazılım vasıtasıyla bu işlemin gerçekleştirilebileceği düşünülmüştür. Yapılan araştırmada, enerji modellemesi vasıtasıyla gerçeğe çok yakın değerler veren yazılımların olduğu belirlenmiştir. Akademik çalışmanın ürünü olan Ptop yazılımı da bunlardan biridir. Daha önce bahsedildiği üzere Ptop, oluşturulan enerji modeli vasıtasıyla, o esnada çalışan tüm işlemlerin ayrı ayrı ne kadar enerji harcadığını hesaplama yeteneğine sahiptir. Kimlik doğrulama esnasında harcanan enerjinin bulunması için de o esnada çalışan işlemler tespit edilmiş ve harcadıkları enerjiler hesaplanmıştır. Android tabanlı işletim sistemlerinde de Powertutor yazılımı aynı amaçla kullanılmıştır. İkinci olarak, elde edilen enerji tüketim verilerinin doğru bir şekilde karşılaştırılması için uygulanacak yöntem belirlenmiştir. Kullanılan yazılımlar enerjiyi joule cinsinden ölçtüğü için bu bilginin içerisinde zaman da bulunmaktadır. Bu nedenle tüm ölçümler kimlik doğrulamanın başladığı andan itibaren belirli bir süre için yapılmış, tüketilen enerji miktarı da bu süreye bölünerek kimlik doğrulama işleminin gücü watt cinsinden bulunmuştur. Gerçekleştirilen testlerde bu süre 15 saniye olarak belirlenmiştir. Ayrıca, kimlik doğrulama süreleri hesaplanarak, kimlik doğrulama işleminin gücü ile birlikte, ilgili metot için harcanan toplam enerji hesaplanmıştır. Bu şekilde karşılaştırma yapılması mümkün olmuştur. Değerlerin hesaplanması esnasında kullanılan denklemler aşağıdaki şekildedir: xavg = kimlik doğrulama esnasında ilk 15 saniyede harcanan ortalama enerji (Joule) 20 adet testin ortalaması xavg= 20 i=1 x(i) 20 (4.1) y = kimlik doğrulama işleminin gücü (Watt) y= x(avg) 15 (s) (4.2) tavg = ortalama kimlik doğrulama süresi (Saniye) 20 adet testin ortalaması

32 18 tavg= 20 i=1 t(i) 20 (4.3) z = kimlik doğrulama esnasında harcanan toplam enerji (Joule) z=y.tavg (4.4) Oluşturulan test ortamı, port bazlı kimlik doğrulamanın 3 ana parçasını da içermektedir. İstemci, denetleyici ve kimlik doğrulama sunucusu uygun konfigürasyon ile yerlerine yerleştirilmiştir. İstemci tarafında harcanan enerjinin hesaplanması amacıyla Android işletim sistemi için Powertutor, Windows işletim sistemi için Ptop yazılımları yüklenmiştir. Sunucu tarafında ise, kimlik doğrulama esnasında geçen sürenin hesaplanması için tcpdump komutu işletilmiş ve farklı EAP metotları için geçen süreler hesaplanmıştır. Dizüstü bilgisayarda kablolu ve kablosuz bağlantı çeşitlerinin her ikisi de test edilerek bu iki ortamda da karşılaştırma yapılmıştır. Telefon için ise yalnızca kablosuz bağlantı üzerinden, desteklenen EAP metotları için karşılaştırma yapılmıştır. Cep telefonu için kablosuz bağlantılarda sinyal gücü de ele alınmış ve yapılan testlerde bu kriter de göz önünde bulundurulmuştur. Bu sayede sinyal gücünün harcanan enerjiyi etkileyip etkilemediği test edilmiştir Test Ortamı Test ortamı, port bazlı kimlik doğrulamanın 3 temel komponentini de barındıracak şekilde planlanmıştır. Bunlar istemci (supplicant), denetleyici (authenticator) ve kimlik doğrulama sunucusudur (authentication server). Kablolu bağlantı için denetleyici switch olurken, kablosuz bağlantılar için access point denetleyici görevini üstlenmiştir. İstemci tarafında hem dizüstü bilgisayar hem telefon test edilmiş, sunucu tarafında da farklı bir dizüstü bilgisayar üzerine kurulmuş Radius uygulaması görev yapmıştır. Şekil 4.1 de test ortamının topolojik yapısı görülmektedir.

33 19 Şekil 4.1. Test ortamının topolojik yapısı İstemci (supplicant) İstemci olarak kablolu ve kablosuz bağlantıdaki testleri gerçekleştirmek üzere aşağıda teknik detayları verilen dizüstü bilgisayar kullanılmıştır. Cihaz Adı: Apple MacBook Pro Model: MD322LL/A İşlemci: Intel i7 2.4 Ghz 2760QM RAM (Rastgele Erişimli Bellek): 4Gb Hard Disk: 750 Gb SATA (Seri ATA) İşletim Sistemi: Windows 7 Yazılım: Ptop Pil gücü ile çalışan dizüstü bilgisayarın farklı EAP metotları kullanıldığında harcadığı enerji miktarları hesaplanmıştır. Diğer istemci ise Android tabanlı Samsung Galaxy S4 cep telefonudur. Bu telefon kablosuz bağlantılarda EAP metodunun cep telefonlarında harcadığı enerji miktarının hesaplanması amacıyla kullanılmıştır. Cep telefonunun teknik özellikleri aşağıda belirtildiği şekildedir.

34 20 Cihaz Adı: Samsung Galaxy Cep Telefonu Model: I9500 S4 İşlemci: Quad-core 1.6 Ghz Cortex-A15 & Quad-core 1.2 Ghz Cortex-A7 RAM: 2 Gb Hafıza: 16 Gb İşletim Sistemi: Android Yazılım: Power Tutor Denetleyici (authenticator) Gerçekleştirilen testlerde kablolu bağlantı üzerinden kimlik doğrulama esnasında denetleyici olarak çalışan Cisco 3560X 48G POE (Ethernet Üzerinden Güç) switch kullanılmıştır. Bu switch, 802.1X kimlik doğrulama işleminde rol alacak biçimde konfigüre edilmiş, istemcinin ethernet kablo vasıtasıyla bağlandığı port bu doğrultuda yapılandırılmıştır [38]. Aynı zamanda bu switch üzerinde sunucu IP si Radius server olarak tanımlıdır. Bu şekilde istemciden gelen paketleri sunucuya gönderebilmektedir. Konfigürasyon detayları Ek-1 de verilmiştir. Cihaz Adı: Cisco Layer 3 Switch Model: 3560X 48G POE Versiyon: 12.2(55)SE5 Kablosuz bağlantılarda kullanılmak amacıyla da Airties AP 300 access point topolojiye dahil edilmiştir. Bu erişim noktası da kimlik doğrulama sunucuyla iletişime geçebilecek şekilde yapılandırılmıştır. Hem dizüstü bilgisayar hem de cep telefonu farklı zamanlarda bu erişim noktası üzerinden kimlik doğrulama sunucusuna erişerek kimlik doğrulama işlemlerini gerçekleştirmişlerdir. Cihaz Adı: Air Ties Access Point Model: AP 300 Testler esnasında, kablosuz ağa farklı bir cihazın bağlanıp bağlanmadığı da takip edilmiştir. Sunucu tarafında tcpdump ile gelen ve giden paketler izlenerek, test sırasında sadece ilgili cihazın bağlandığı teyit edilmiştir.

35 Sunucu (authentication server) Kimlik doğrulama sunucusu olarak DELL marka dizüstü bilgisayar kullanılmıştır. Virtualbox yazılımı yardımıyla, Debian tabanlı Linux sürümü üzerine Radius yazılımı kurularak kimlik doğrulama sunucusu topolojiye dahil edilmiştir. Sunucunun özellikleri aşağıda verilmiştir. Cihaz Adı: Dell Latitude Model: E6230 İşlemci: Intel i7 2.9 Ghz 3520M RAM: 8Gb Hard Disk: 500 Gb SATA İşletim Sistemi: Debian Yazılım: Freeradius Yardımcı yazılımlar İstemci tarafında kullanılan yazılımlar, bilgileri daha önce verilen Ptop ve Powertutor yazılımlarıdır. Bunlardan Ptop, dizüstü bilgisayarda harcanan enerji miktarını ölçmek için kullanılmıştır. Ptop yazılımı, istemci bilgisayara yüklenmiş ve testler sırasında kimlik doğrulama işleminin harcadığı enerji miktarını hesaplamak amacıyla kullanılmıştır. Cep telefonuna da Google Play Store dan indirilebilen Powertutor yazılımı yüklenmiştir. Powertutor yazılımı cep telefonunun wi-fi kartı üzerinde harcanan enerjinin hesaplanması için kullanılmıştır. Denetleyici tarafında özel bir yazılım kullanılmamış; donanımların sahip oldukları işletim sistemleri, oluşturduğumuz topolojiye uygun biçimde konfigüre edilmiştir. Sunucu tarafında, işletim sistemi olarak Debian tercih edilmiştir [39]. Debian işletim sistemi üzerine de açık kaynak kodlu olan ve dünya çapında oldukça yaygın kullanılan Freeradius yazılımı kurulmuştur [40]. Freeradius, hem ücretsiz olması, hem de birçok EAP metodunu desteklemesi sebebiyle tercih edilmiştir. Ayrıca, sunucu üzerinde, kimlik doğrulama süresinin hesaplanması amacıyla istemci ile sunucu arasında gelip giden paketleri yakalayarak süreyi ölçmemize yarayan paket yakalama yazılımı tcpdump kullanılmıştır [41]. Bu sayede ilk paket ile son paket arasında geçen süre hesaplanarak kimlik doğrulamanın ne kadar sürede gerçekleştiği belirlenmiştir.

36 22 Tcpdump, komut satırı üzerinde çalışır ve network kartı üzerinden geçen trafiğin yakalanması için kullanılır. Açık kaynak kodlu ücretsiz bir yazılımdır ve Linux işletim sistemlerinde kullanılmaktadır. Varsayılan EAP metotları arasında EAP MD5 bulunmamaktadır. MD5 desteğini aktif etmek amacıyla istemci olarak kullanılan dizüstü bilgisayar üzerindeki Windows 7 işletim sisteminde de değişiklikler gerçekleştirilmiştir. Bu sayede, MD5 metodu ile testler gerçekleştirilmiştir.

37 23 5. ARAŞTIRMA BULGULARI Yapılan testler sonucu elde edilen sonuçlar bu bölümde paylaşılmıştır. Sırasıyla aşağıdaki testler gerçekleştirilmiştir: Dizüstü bilgisayar ile kablolu bağlantı, Dizüstü bilgisayar ile kablosuz bağlantı, Cep telefonu ile maksimum sinyal seviyesinde kablosuz bağlantı, Cep telefonu ile minimum sinyal seviyesinde kablosuz bağlantı. Her bir alt bölüm içerisinde de aşağıdaki sonuçlara yer verilmiştir: Protokol çeşitleri için kimlik doğrulama süreleri, Kimlik doğrulama işleminin gücü, Kimlik doğrulama esnasında harcanan enerji miktarları Dizüstü Bilgisayar ile Kablolu Bağlantı Şekil 5.1 de görüldüğü üzere, MD5 metodunun kimlik doğrulama süresi, 0,017 saniye ile diğer metotlara göre oldukça azdır. PEAP MSCHAPv2 ve TTLS MSCHAPv2 yöntemlerinin ise çok daha fazla süreye ihtiyacı olduğu görülmüştür. Bu iki protokol çeşidi karşılaştırıldığında, PEAP MSCHAPv2 nin TTLS MSCHAPv2 ye göre %21 daha fazla sürede kimlik doğrulamayı gerçekleştirdiği görülmektedir. İç tünelde kullanılan güvenlik yönteminin süreye etki ettiği de böylelikle söylenebilir. Çizelge 5.1 de, farklı EAP metotları için kimlik doğrulama işleminin gücü birbirine oldukça yakın değerlere sahiptir. En büyük fark %3 gibi ihmal edilebilecek düzeyde olduğu için bu değerler farklı protokol çeşitleri için aynı kabul edilebilir.

38 24 Şekil 5.1. Dizüstü bilgisayar ile yapılan kablolu ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri Çizelge 5.1. Dizüstü bilgisayar ile yapılan kablolu ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü Kimlik Doğrulama İşleminin Gücü (Watt) MD5 2,2 PEAP MD5 2,17 PEAP MSCHAPv2 2,26 TTLS MD5 2,18 TTLS PAP 2,24 TTLS MSCHAPv2 2,24 Şekil 5.2. Dizüstü bilgisayar ile yapılan kablolu ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları

39 25 Şekil 5.2 de belirtilen kimlik doğrulama esnasında harcanan toplam enerji değerleri hesaplanırken Eş. 4.4 kullanılmış olup, test sonucu elde edilmiş olan kimlik doğrulama süreleri ile kimlik doğrulama işleminin gücü Eş. 4.4 teki yerlerine konularak sonuçlar bulunmuştur. Aynı denklem, gerçekleştirilen diğer testlerde de kimlik doğrulama esnasında harcanan toplam enerjinin hesaplanması amacıyla kullanılmıştır. MD5 Joule = Watt x Saniye 2,2 x 0,017 = 0,037 Joule PEAP MD5 Joule = Watt x Saniye 2,17 x 0,219 = 0,4752 Joule PEAP MSCHAPv2 Joule = Watt x Saniye 2,26 x 0,295 = 0,667 Joule TTLS MD5 Joule = Watt x Saniye 2,18 x 0,201 = 0,4382 Joule TTLS PAP Joule = Watt x Saniye 2,24 x 0,176 = 0,3942 Joule TTLS MSCHAPv2 Joule = Watt x Saniye 2,24 x 0,233 = 0,5219 Joule Şekil 5.2 de görüldüğü üzere MD5, 0,0374 joule ile en az enerji tüketimine sahip metottur. Onu sırasıyla TTLS PAP, TTLS MD5, PEAP MD5, TTLS MSCHAPv2 ve PEAP MSCHAPv2 izlemektedir. En fazla enerjiyi tüketen PEAP MSCHAPv2 ile TTLS MSCHAPv2 arasında %21 fark olduğu görülmektedir Dizüstü Bilgisayar ile Kablosuz Bağlantı Şekil 5.3 deki bilgiler ışığında; PEAP metodunun TTLS metoduna göre, iç iletişimde kullanılan metoda göre değişmekle birlikte, %17 ila %22 arasında daha fazla sürede kimlik doğrulama işlemini gerçekleştirdiği görülmektedir. İçteki EAP metodu bakımından aynı olan PEAP ve TTLS metotlarının birbirlerine yakın değerlere sahip olduğu ancak TTLS metodunun daha az sürede kimlik doğrulamayı gerçekleştirdiği açıktır. Çizelge 5.2 deki bilgilere göre, farklı metotların birbirlerine çok yakın değerlere sahip olduğu açıkça görülmektedir. Bu sonuç, dizüstü bilgisayar ile kablolu bağlantı testinde elde edilen sonuç ile aynıdır. Şekil 5.4 deki bilgilere göre, PEAP metodunun TTLS metodundan fazla enerji harcadığı açıkça görülmektedir. PEAP MD5, TTLS MD5 metoduna göre %20; PEAP MSCHAPv2, TTLS MSCHAPv2 metoduna göre %15 fazla enerji harcamaktadır.

40 26 Şekil Dizüstü bilgisayar ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri Çizelge 5.2. Dizüstü bilgisayar ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü Kimlik Doğrulama İşleminin Gücü (Watt) PEAP MD5 2,22 PEAP MSCHAPv2 2,23 TTLS MD5 2,29 TTLS PAP 2,26 TTLS MSCHAPv2 2,3 Şekil 5.4. Dizüstü bilgisayar ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları

41 Cep Telefonu ile Kablosuz Bağlantı Maksimum Sinyal Seviyesi Şekil 5.5 deki bilgilere göre kimlik doğrulama süreleri kıyaslanırsa, PEAP metodunun TTLS metoduna göre daha fazla süreye ihtiyaç duyduğu görülmektedir. Buradaki fark %28 olarak ölçülmüştür. Şekil 5.5. Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri (maksimum sinyal seviyesi) Çizelge Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü (maksimum sinyal seviyesi) Kimlik Doğrulama İşleminin Gücü (Watt) PEAP MSCHAPv2 0,13 TTLS PAP 0,12 TTLS MSCHAPv2 0,12 Çizelge 5.3 e göre dizüstü bilgisayar ile elde edilen değerlerin bir benzeri cep telefonu ile yapılan testlerde de elde edilmiştir. Tabloda belirtilen EAP metotları birbirlerine oldukça yakın değerlere sahiptirler.

42 28 Şekil 5.6. Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları (maksimum sinyal seviyesi) Şekil 5.6 ya göre, gerçekleştirilen diğer tüm testlerdeki sonucun aynısı burada da elde edilmiştir. PEAP, TTLS metoduna göre daha fazla enerji talep etmektedir Cep Telefonu ile Kablosuz Bağlantı Minimum Sinyal Seviyesi Şekil 5.7 deki değerlere göre, TTLS PAP en az enerji tüketen metottur. Daha sonrasında sırayla TTLS MSCHAPv2 ve PEAP MSCHAPv2 gelmektedir. TTLS MSCHAPv2 ve PEAP MSCHAPv2 arasındaki fark %30 olarak hesaplanmıştır. Şekil 5.7 Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama süreleri (minimum sinyal seviyesi)

43 29 Çizelge 5.4. Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama işleminin gücü (minimum sinyal seviyesi) Kimlik Doğrulama İşleminin Gücü (Watt) PEAP MSCHAPv2 0,13 TTLS PAP 0,12 TTLS MSCHAPv2 0,13 Çizelge 5.4 te, desteklenen farklı EAP metotlarının birbirlerine çok yakın değerlere sahip oldukları görülmektedir. Şekil Cep telefonu ile yapılan kablosuz ağ bağlantısında farklı EAP metotları için kimlik doğrulama esnasında harcanan toplam enerji miktarları (minimum sinyal seviyesi) Şekil 5.8 deki bilgiler ışığında, diğer tüm testlerde elde edilen sonucun aynısının bu testte de elde edildiği görülmektedir. PEAP, TTLS metodunda daha fazla enerji harcanmasına sebep olmaktadır. PEAP MSCHAPv2 ile TTLS MSCHAPv2 arasındaki fark %30 dur.

44 30

45 31 6. SONUÇ VE ÖNERİLER Gerçekleştirilen testler sonucu elde edilen bulgular yorumlandığında, birçok sonuç ortaya çıkmaktadır. İlk olarak, kimlik doğrulama süreleri değerlendirilmiştir. En kısa kimlik doğrulama süresinin kablolu bağlantıda elde edildiği, kablosuz bağlantıda bu sürenin oldukça fazla olduğu görülmektedir. Örneğin, PEAP MD5 metodu kablolu bağlantıda 0,219 saniyeye ihtiyaç duyarken, kablosuz bağlantıda bu 0,698 saniyeye çıkmaktadır. Diğer bir bulgu da, cep telefonu ile yapılan ve sinyal gücünün farklı olduğu durumlarda gerçekleştirilen testlerde birbirlerine çok yakın kimlik doğrulama sürelerinin elde edilmiş olmasıdır. Örnek olarak, PEAP MSCHAPv2 metodu kimlik doğrulama işlemini maksimum sinyal seviyesinde 0,891 saniyede gerçekleştirirken, minimum sinyal seviyesinde bu süre 0,897 saniye olarak ölçülmüştür. Bu da, sinyal seviyesindeki farklılıkların kimlik doğrulama süresini etkilemediğini göstermektedir. Kimlik doğrulama süreleri, kullanılan EAP metodu açısından değerlendirildiğinde, en hızlı yöntemin MD5 olduğu görülmüştür. Ancak MD5 ilk çıkan yöntemlerdendir ve güncel birçok cihaz ve işletim sistemi tarafından desteklenmemektedir. Dizüstü bilgisayar ile kablosuz bağlantıda EAP MD5 metodunun olmaması; cep telefonu ile yapılan testlerde hem EAP MD5 metodunun, hem iç yöntem olarak MD5 ın kullanılamaması buna işarettir. Diğer önemli bir sonuç da, içerik ve işleyiş olarak birbirlerine çok benzeyen ve neredeyse aynı olarak değerlendirilen PEAP ve TTLS metotlarının, kimlik doğrulama süreleri arasında fark olmasıdır. Bu fark yüzde 14 ile 30 arasında değişmekle birlikte, iç tünelde kullanılan yöntem aynı olduğunda PEAP, TTLS ye göre her zaman daha fazla süreye ihtiyaç duymaktadır. PEAP ve TTLS RFC leri incelendiğinde, tek farklarının iç tünelde destekledikleri güvenlik mekanizmalarındaki fark olduğu görülecektir. Buna rağmen kimlik doğrulama süreleri aynı değildir. Bu noktada, içerik ve işleyiş olarak birbirlerine çok benzeseler dahi, alınıp verilen paket sayısının farklı olması, kimlik doğrulama sürelerinin de farklı olmasına sebep olmaktadır. Tüm bağlantı çeşitleri için TTLS, PEAP metodundan daha kısa sürede kimlik doğrulamayı gerçekleştirmektedir. Gerçekleştirilen testlerde, kimlik doğrulama işlemi esnasında kimlik doğrulama işleminin gücü, o esnada kullanılan işlem veya işlemlerin (process) birim zamanda harcadığı enerji anlamına gelmektedir. Harcanan toplam enerji de, kimlik doğrulama işleminin gücü (watt) ve kullanıldığı süre (saniye) göz önüne alınarak joule cinsinden hesaplanmıştır. Bu doğrultuda, kimlik doğrulama işleminin gücü ile ilgili elde edilen veriler

46 32 değerlendirildiğinde, dizüstü bilgisayarda bağlantı türü ve kullanılan EAP metodu fark etmeksizin, kimlik doğrulama işleminin gücü neredeyse aynı hesaplanmıştır. Çok ufak farklılıklar olmakla birlikte, bunlar göz ardı edilebilecek düzeydedir. Örneğin PEAP MD5 metodu için kimlik doğrulama işleminin gücü kablolu bağlantıda 2,2 watt iken kablosuz bağlantıda 2,22 watt dır. Diğer metodlar için de 2,2 watt bandında sonuçlar elde edilmiştir. Bu sonucun ortaya çıkmasının sebebi de, cihaz üzerinde farklı EAP metotları için aynı işlem (process) işletilir ve kimlik doğrulama işleminin gücü de aynıdır. Bu nedenle elde ettiğimiz sonuçlar da aynıdır. Benzer sonuçlar cep telefonu için de geçerlidir. Sinyal gücünden ve kullanılan EAP metodundan bağımsız olarak, kimlik doğrulama işleminin gücü, birbirlerine çok yakın değerlere sahiptir. Son olarak, kimlik doğrulama süresince harcanan enerjiler değerlendirildiğinde, kablolu bağlantıda en az enerjiyi EAP MD5 metodunun, en çok enerjiyi de PEAP MSCHAPv2 metodunun harcadığı görülmüştür. Bu iki metot arasında 17,8 kat gibi oldukça büyük bir fark bulunmaktadır. Kablosuz bağlantıda EAP MD5 metodu olmadığından, kablolu bağlantıdaki gibi çok büyük farklar göze çarpmaz. Ancak PEAP ve TTLS metotları karşılaştırıldığında, PEAP ın daha fazla enerji harcadığı kolaylıkla görülebilmektedir. Örneğin kablosuz bağlantıda PEAP MSCHAPv2, TTLS MSCHAPv2 ye göre %21 daha fazla enerji tüketilmesine sebep olurken, kablolu bağlantıda %14 daha fazla enerji tüketilmesine sebep olmuştur. PEAP metotlarının fazla enerji harcamasının sebebinin alınan ve verilen paket sayısındaki farktan ve dolayısıyla kimlik doğrulama süresindeki farktan olduğu bilinmektedir. Cep telefonu ile kablosuz bağlantı testlerinin sonuçlarına bakıldığında, hem maksimum hem minimum sinyal seviyesi için, dizüstü bilgisayar ile yapılan testlerle aynı sonuçları verdiği görülmektedir. PEAP MSCHAPv2 en fazla enerjiyi tüketirken, onu sırasıyla TTLS MSCHAPv2 ve TTLS PAP takip etmektedir. Sonuç olarak, kablolu bağlantı her zaman için kablosuz bağlantıdan daha hızlıdır ve daha az enerji harcanmasına sebep olmaktadır. Ancak mobil cihazlar için kablolu bağlantının pek tercih edilen bir yöntem olmadığı bilindiğinden dolayı bu durum çok önemli değildir. Kablosuz bağlantı esnasında sinyal seviyesindeki farklılıkların enerji tüketiminde değişikliğe sebep olmadığı görülmüştür. Bu sonuç ise oldukça dikkat çekicidir. İç haberleşmede aynı EAP metoduna sahip PEAP ve TTLS yöntemlerinden PEAP daha fazla enerji tüketmektedir. Güvenlik seviyesi açısından tamamen aynı metotlar olmalarına rağmen farklı enerji tüketmeleri bu çalışmanın en dikkat çeken sonucudur. Tüm bu sonuçlar göz

47 33 önünde bulundurulduğunda PEAP yerine TTLS kullanılması önerilebilir. Güvenlik seviyesi, uygulanabilirlik ve desteklenme açısından neredeyse tamamen aynı olmalarına rağmen enerji tüketimleri açısında TTLS nin daha avantajlı olduğu görülmüştür. Yapılan bu çalışmaya ek olarak, farklı işletim sistemlerine ait dizüstü bilgisayar ve cep telefonu için testler gerçekleştirilerek bu çalışmada elde edilen sonuçlarla benzerlik gösterip göstermediği araştırılabilir.

48 34

49 35 KAYNAKLAR 1. Chiornita, A., Gheorghe, L. and Rosner, D. (2010, Haziran). A practical analysis of EAP authentication methods. In Roedunet International Conference (RoEduNet), th (pp ). IEEE. 2. Osorio, F. C. C., McKay, K. ve Agu, E. (2005, Eylül). Comparison of security protocols in mobile wireless environments: tradeoffs between level of security obtained and battery life. In Security and Privacy for Emerging Areas in Communication Networks, Workshop of the 1st International Conference on (pp ). IEEE. 3. Bakirdan, A., Qaddour, J. and Jalozie, I. K. (2003, Aralık). Security algorithms in wireless LAN: proprietary or nonproprietary. In Global Telecommunications Conference, GLOBECOM'03. IEEE (3), Mishra, A. and Arbaugh, W. A. (2002). An initial security analysis of the IEEE 802.1X standard. 5. Chen, J. C. and Wang, Y. P. (2005). Extensible authentication protocol (EAP) and IEEE x: tutorial and empirical experience. IEEE Communications Magazine, 43(12), Osorio, F. C., Agu, E. and McKay, K. (2005, Nisan). Measuring energy-security tradeoffs in wireless networks. In Performance, Computing, and Communications Conference, IPCCC th IEEE International IEEE, American National Standard Intitute (ANSI). (2001, Ekim). IEEE Std 802.1X-2001, IEEE Standard for local and metropolitan area networks, port-based network access control. 8. Osorio, F. C. C., Agu, E. and McKay, K. (2005). Tradeoffs between energy and security in wireless networks. Worcester Polytechnic Institute. 9. Rumale, A.S. and Dr. D. N., C. (2011). IEEE x, and WEP, EAP,WPA / WPA2. International Journal Of Computer Technology And Applications, (06), İnternet: Borisov, N., Goldberg, I. and Wagner, D. (2001). Security of the WEP algorithm. ISAAC, Computer Science Department, University of California Berkeley. isaac. cs. berkeley. edu/isaac/wep-faq. html. adresinden 18 Temmuz 2015 de alınmıştır. 11. Arbaugh, W. A., Shankar, N., Wan, Y. J. and Zhang, K. (2002). Your wireless network has no clothes. Wireless Communications, IEEE, 9(6), Fluhrer, S., Mantin, I. and Shamir, A. (2001, Ocak). Weaknesses in the key scheduling algorithm of RC4. In Selected areas in cryptography. Springer Berlin Heidelberg, 1-24.

50 Borisov, N., Goldberg, I. and Wagner, D. (2001, Temmuz). Intercepting mobile communications: the insecurity of In Proceedings of the 7th annual international conference on Mobile computing and networking (pp ). ACM. 14. Barnes, D. (2002). Network America: Wireless security? Read it and Wep. 15. İnternet: Wong, S. (2003). The evolution of wireless security in networks: WEP, WPA and standards. SANS Institute, 1-10 URL: ding-room%2fwhitepapers%2fwireless%2fevolution-wireless-security networks-wep-wpa standards-1109&date= , adresinden 3 Ağustos 2015 de alınmıştır. 16. Geier, J. (2002) security beyond wep. Retrieved from, Blunk, L. and Protocol, P. E. A. (1998). RFC PPP extensible authentication protocol (EAP). 18. Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. and Levkowetz, H. (2004). RFC Extensible authentication protocol (EAP). Network Working Group 19. Aboba, B., Simon, D. and Protocol, P. P. P. E. A. P. T. L. (1999). RFC 2716.IETE, Ekim. 20. Akhlaq, M., Aslam, B., Khan, M. A. and Jafri, M. N. (2007, Temmuz). Comparative analysis of IEEE x authentication methods. In 11th WSEAS International Conference on Communications (Vol. 11, pp. 1-6) 21. Simpson, W. and Protocol, P. C. H. A. (1996). RFC Internet Engineering Task Force. 22. Zorn, G. and Cobb, S. (1998). RFC Microsoft PPP CHAP Extensions. Internet Engineering Task Force. 23. Zorn, G. (2000). RFC 2759: Microsoft PPP CHAP Extensions Version 2. Internet Engineering Task Force. 24. Funk, P. and Blake-Wilson, S. (2008). RFC 5281: Extensible Authentication Protocol Tunneled Transport Layer Security. Network Working Group. 25. Anderson, H. (2002). Protected Extensible Authentication Protocol (PEAP), draftjosefsson-pppext-eap-tlseap-02. txt. 26. Aboba, B. and Calhoun, P. (2003). RFC 3579-RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP). 27. Congdon, P. R., Aboba, B., Smith, A., Zorn, G. and Roese, J. (2003). RFC 3580 IEEE X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines. 28. Rigney, C., Willens, S., Rubens, A. and Simpson, W. (2000). RFC 2865: Remote Authentication Dial in User Service. Internet Society.

51 Rigney, C., Rubens, A., Simpson, W. and Willens, S. (1997) RFC 2138: Remote authentication dial in user service (RADIUS). Obsoletes RFC Rigney, C., Willats, W. and Calhoun, P. (2003). RFC 2869: RADIUS Extensions. 31. Do, T., Rawshdeh, S. and Shi, W. (2009, Ekim). ptop: A process-level power profiling tool. In Proceedings of the 2nd Workshop on Power Aware Computing and Systems (HotPower 09). 32. Chen, H., Li, Y. and Shi, W. (2012). Fine-grained power management using processlevel profiling. Sustainable Computing: Informatics and Systems, 2(1), Chen, H., Wang, S. and Shi, W. (2011, Temmuz). Where does the power go in a computer system: Experimental analysis and implications. In Green Computing Conference and Workshops (IGCC), 2011 International. IEEE, Zhang, L., Tiwana, B., Qian, Z., Wang, Z., Dick, R. P., Mao, Z. M. and Yang, L. (2010, Ekim). Accurate online power estimation and automatic battery behavior based power model generation for smartphones. In Proceedings of the eighth IEEE/ACM/IFIP international conference on Hardware/software codesign and system synthesis. ACM, Dong, M. and Zhong, L. (2010). Sesame: A self-constructive virtual power meter for battery-powered mobile systems. Tech. Rep. 36. Gurun, S. and Krintz, C. (2006, Ekim). A run-time, feedback-based energy estimation model for embedded devices. In Proceedings of the 4th international conference on Hardware/software codesign and system synthesis. ACM, Dong, M., ve Zhong, L. (2011, Haziran). Self-constructive high-rate system energy modeling for battery-powered mobile systems. In Proceedings of the 9th international conference on Mobile systems, applications, and services. ACM, İnternet: URL: %2Fen%2Fus%2Ftd%2Fdocs%2Fswitches%2Flan%2Fcatalyst3750x_3560x%2Fsof tware%2frelease%2f12-2_55_se%2fconfiguration%2fguide%2f3750xscg%2fsw8021x.html&date= , adresinden 3 Ağustos 2015 de alınmıştır. 39. İnternet: URL: Freleases%2Fstable%2Famd64%2F&date= , adresinden 3 Ağustos2015 de alınmıştır. 40. İnternet: URL: c%2f&date= , adresinden 3 Ağustos 2015 de alınmıştır. 41. İnternet: URL: Ftcpdump_man.html&date= , adresinden 3 Ağustos 2015 de alınmıştır.

52 38

53 EKLER 39

54 40 EK-1. Cisco Switch Konfigürasyonu Building configuration... Current configuration : 4386 bytes version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Switch boot-start-marker boot-end-marker aaa new-model aaa authentication dot1x default group radius aaa session-id common system mtu routing 1500 dot1x system-auth-control spanning-tree mode pvst spanning-tree extend system-id vlan internal allocation policy ascending interface GigabitEthernet0/10 no switchport no ip address authentication port-control auto dot1x pae authenticator interface GigabitEthernet0/14 no switchport no ip address authentication port-control auto dot1x pae authenticator

55 41 EK-1. (devam) Cisco Switch Konfigürasyonu interface GigabitEthernet0/20 switchport access vlan 20 switchport mode access interface GigabitEthernet0/30 switchport access vlan 20 switchport mode access interface Vlan1 no ip address interface Vlan20 ip address ip classless ip http server ip http secure-server radius-server host auth-port 1812 acct-port 1813 key halil line con 0 line vty 5 15 end

56 42 EK-2. Ortalama Kimlik Doğrulama Süreleri Dizüstü Bilgisayar ile Kablolu Bağlantıda Kimlik Doğrulama Süresi (Saniye) MD5 0,017 PEAP MD5 0,219 PEAP MSCHAPv2 0,295 TTLS MD5 0,201 TTLS PAP 0,176 TTLS MSCHAPv2 0,233 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Kimlik Doğrulama Süresi (Saniye) PEAP MD5 0,698 PEAP MSCHAPv2 0,719 TTLS MD5 0,542 TTLS PAP 0,411 TTLS MSCHAPv2 0,596 Cep Telefonu İçin Kimlik Doğrulama Süresi (Saniye) - Maksimum Sinyal Seviyesi PEAP MSCHAPv2 0,891 TTLS PAP 0,515 TTLS MSCHAPv2 0,638 Cep Telefonu İçin Kimlik Doğrulama Süresi (Saniye) - Minimum Sinyal Seviyesi PEAP MSCHAPv2 0,897 TTLS PAP 0,574 TTLS MSCHAPv2 0,629

57 43 EK-3(a). MD5 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı 16:25: IP > : RADIUS, Access Request (1), id: 0x11 length: :25: IP > : RADIUS, Access Challenge (11), id: 0x11 length: 80 16:25: IP > : RADIUS, Access Request (1), id: 0x12 length: :25: IP > : RADIUS, Access Accept (2), id: 0x12 length: 51

58 44 EK-3(b). PEAP MD5 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı 14:06: IP > : RADIUS, Access Request (1), id: 0x0c length: :06: IP > : RADIUS, Access Challenge (11), id: 0x0c length: 64 14:06: IP > : RADIUS, Access Request (1), id: 0x0d length: :06: IP > : RADIUS, Access Challenge (11), id: 0x0d length: :06: IP > : RADIUS, Access Request (1), id: 0x0e length: :06: IP > : RADIUS, Access Challenge (11), id: 0x0e length: :06: IP > : RADIUS, Access Request (1), id: 0x0f length: :06: IP > : RADIUS, Access Challenge (11), id: 0x0f length: :06: IP > : RADIUS, Access Request (1), id: 0x10 length: :06: IP > : RADIUS, Access Challenge (11), id: 0x10 length: :06: IP > : RADIUS, Access Request (1), id: 0x11 length: :06: IP > : RADIUS, Access Challenge (11), id: 0x11 length: :06: IP > : RADIUS, Access Request (1), id: 0x12 length: :06: IP > : RADIUS, Access Accept (2), id: 0x12 length: 171

59 45 EK-3(c). PEAP MD5 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı 11:20: IP > : RADIUS, Access Request (1), id: 0x09 length: 99 11:20: IP > : RADIUS, Access Challenge (11), id: 0x09 length: 64 11:20: IP > : RADIUS, Access Request (1), id: 0x0a length: :20: IP > : RADIUS, Access Challenge (11), id: 0x0a length: :20: IP > : RADIUS, Access Request (1), id: 0x0b length: :20: IP > : RADIUS, Access Challenge (11), id: 0x0b length: :20: IP > : RADIUS, Access Request (1), id: 0x0c length: :20: IP > : RADIUS, Access Challenge (11), id: 0x0c length: :20: IP > : RADIUS, Access Request (1), id: 0x0d length: :20: IP > : RADIUS, Access Challenge (11), id: 0x0d length: :20: IP > : RADIUS, Access Request (1), id: 0x0e length: :20: IP > : RADIUS, Access Challenge (11), id: 0x0e length: :20: IP > : RADIUS, Access Request (1), id: 0x0f length: :20: IP > : RADIUS, Access Accept (2), id: 0x0f length: 171

60 46 EK-3(d). PEAP MSCHAPv2 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı 15:43: IP > : RADIUS, Access Request (1), id: 0x41 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x41 length: 64 15:43: IP > : RADIUS, Access Request (1), id: 0x42 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x42 length: :43: IP > : RADIUS, Access Request (1), id: 0x43 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x43 length: :43: IP > : RADIUS, Access Request (1), id: 0x44 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x44 length: :43: IP > : RADIUS, Access Request (1), id: 0x45 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x45 length: :43: IP > : RADIUS, Access Request (1), id: 0x46 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x46 length: :43: IP > : RADIUS, Access Request (1), id: 0x47 length: :43: IP > : RADIUS, Access Challenge (11), id: 0x47 length: :43: IP > : RADIUS, Access Request (1), id: 0x48 length: :43: IP > : RADIUS, Access Accept (2), id: 0x48 length: 171

61 47 EK-3(e). PEAP MSCHAPv2 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı 10:10: IP > : RADIUS, Access Request (1), id: 0x18 length: 99 10:10: IP > : RADIUS, Access Challenge (11), id: 0x18 length: 64 10:10: IP > : RADIUS, Access Request (1), id: 0x19 length: :10: IP > : RADIUS, Access Challenge (11), id: 0x19 length: :10: IP > : RADIUS, Access Request (1), id: 0x1a length: :10: IP > : RADIUS, Access Challenge (11), id: 0x1a length: :10: IP > : RADIUS, Access Request (1), id: 0x1b length: :10: IP > : RADIUS, Access Challenge (11), id: 0x1b length: :10: IP > : RADIUS, Access Request (1), id: 0x1c length: :10: IP > : RADIUS, Access Challenge (11), id: 0x1c length: :10: IP > : RADIUS, Access Request (1), id: 0x1d length: :10: IP > : RADIUS, Access Challenge (11), id: 0x1d length: :10: IP > : RADIUS, Access Request (1), id: 0x1e length: :10: IP > : RADIUS, Access Challenge (11), id: 0x1e length: :10: IP > : RADIUS, Access Request (1), id: 0x1f length: :10: IP > : RADIUS, Access Accept (2), id: 0x1f length: 171

62 48 EK-3(f). PEAP MSCHAPv2 Cep Telefonu ile Kablosuz Bağlantıda Mesaj Akışı 10:38: IP > : RADIUS, Access Request (1), id: 0x30 length: 91 10:38: IP > : RADIUS, Access Challenge (11), id: 0x30 length: 64 10:38: IP > : RADIUS, Access Request (1), id: 0x31 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x31 length: :38: IP > : RADIUS, Access Request (1), id: 0x32 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x32 length: :38: IP > : RADIUS, Access Request (1), id: 0x33 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x33 length: :38: IP > : RADIUS, Access Request (1), id: 0x34 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x34 length: :38: IP > : RADIUS, Access Request (1), id: 0x35 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x35 length: :38: IP > : RADIUS, Access Request (1), id: 0x36 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x36 length: :38: IP > : RADIUS, Access Request (1), id: 0x37 length: :38: IP > : RADIUS, Access Challenge (11), id: 0x37 length: :38: IP > : RADIUS, Access Request (1), id: 0x38 length: :38: IP > : RADIUS, Access Accept (2), id: 0x38 length: 167

63 49 EK-3(g). TTLS MD5 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı 11:19: IP > : RADIUS, Access Request (1), id: 0xbf length: :19: IP > : RADIUS, Access Challenge (11), id: 0xbf length: 64 11:19: IP > : RADIUS, Access Request (1), id: 0xc0 length: :19: IP > : RADIUS, Access Challenge (11), id: 0xc0 length: :19: IP > : RADIUS, Access Request (1), id: 0xc1 length: :19: IP > : RADIUS, Access Challenge (11), id: 0xc1 length: :19: IP > : RADIUS, Access Request (1), id: 0xc2 length: :19: IP > : RADIUS, Access Challenge (11), id: 0xc2 length: :19: IP > : RADIUS, Access Request (1), id: 0xc3 length: :19: IP > : RADIUS, Access Accept (2), id: 0xc3 length: 171

64 50 EK-3(h). TTLS MD5 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı 14:44: IP > : RADIUS, Access Request (1), id: 0x07 length: 99 14:44: IP > : RADIUS, Access Challenge (11), id: 0x07 length: 64 14:44: IP > : RADIUS, Access Request (1), id: 0x08 length: :44: IP > : RADIUS, Access Challenge (11), id: 0x08 length: :44: IP > : RADIUS, Access Request (1), id: 0x09 length: :44: IP > : RADIUS, Access Challenge (11), id: 0x09 length: :44: IP > : RADIUS, Access Request (1), id: 0x0a length: :44: IP > : RADIUS, Access Challenge (11), id: 0x0a length: :44: IP > : RADIUS, Access Request (1), id: 0x0b length: :44: IP > : RADIUS, Access Accept (2), id: 0x0b length: 171

65 51 EK-3(i). TTLS PAP Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı 11:16: IP > : RADIUS, Access Request (1), id: 0x96 length: :16: IP > : RADIUS, Access Challenge (11), id: 0x96 length: 64 11:16: IP > : RADIUS, Access Request (1), id: 0x97 length: :16: IP > : RADIUS, Access Challenge (11), id: 0x97 length: :16: IP > : RADIUS, Access Request (1), id: 0x98 length: :16: IP > : RADIUS, Access Challenge (11), id: 0x98 length: :16: IP > : RADIUS, Access Request (1), id: 0x99 length: :16: IP > : RADIUS, Access Accept (2), id: 0x99 length: 171

66 52 EK-3(j). TTLS PAP Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı 17:44: IP > : RADIUS, Access Request (1), id: 0x20 length: 99 17:44: IP > : RADIUS, Access Challenge (11), id: 0x20 length: 64 17:44: IP > : RADIUS, Access Request (1), id: 0x21 length: :44: IP > : RADIUS, Access Challenge (11), id: 0x21 length: :44: IP > : RADIUS, Access Request (1), id: 0x22 length: :44: IP > : RADIUS, Access Challenge (11), id: 0x22 length: :44: IP > : RADIUS, Access Request (1), id: 0x23 length: :44: IP > : RADIUS, Access Accept (2), id: 0x23 length: 171

67 53 EK-3(k). TTLS PAP Cep Telefonu ile Kablosuz Bağlantıda Mesaj Akışı 09:09: IP > : RADIUS, Access Request (1), id: 0x0b length: 91 09:09: IP > : RADIUS, Access Challenge (11), id: 0x0b length: 64 09:09: IP > : RADIUS, Access Request (1), id: 0x0c length: :09: IP > : RADIUS, Access Challenge (11), id: 0x0c length: :09: IP > : RADIUS, Access Request (1), id: 0x0d length: :09: IP > : RADIUS, Access Challenge (11), id: 0x0d length: :09: IP > : RADIUS, Access Request (1), id: 0x0e length: :09: IP > : RADIUS, Access Challenge (11), id: 0x0e length: :09: IP > : RADIUS, Access Request (1), id: 0x0f length: :09: IP > : RADIUS, Access Accept (2), id: 0x0f length: 167

68 54 EK-3(l). TTLS MSCHAPv2 Dizüstü Bilgisayar ile Kablolu Bağlantıda Mesaj Akışı 10:25: IP > : RADIUS, Access Request (1), id: 0x49 length: :25: IP > : RADIUS, Access Challenge (11), id: 0x49 length: 64 10:25: IP > : RADIUS, Access Request (1), id: 0x4a length: :25: IP > : RADIUS, Access Challenge (11), id: 0x4a length: :25: IP > : RADIUS, Access Request (1), id: 0x4b length: :25: IP > : RADIUS, Access Challenge (11), id: 0x4b length: :25: IP > : RADIUS, Access Request (1), id: 0x4c length: :25: IP > : RADIUS, Access Challenge (11), id: 0x4c length: :25: IP > : RADIUS, Access Request (1), id: 0x4d length: :25: IP > : RADIUS, Access Accept (2), id: 0x4d length: 171

69 55 EK-3(m). TTLS MSCHAPv2 Dizüstü Bilgisayar ile Kablosuz Bağlantıda Mesaj Akışı 18:13: IP > : RADIUS, Access Request (1), id: 0x32 length: 99 18:13: IP > : RADIUS, Access Challenge (11), id: 0x32 length: 64 18:13: IP > : RADIUS, Access Request (1), id: 0x33 length: :13: IP > : RADIUS, Access Challenge (11), id: 0x33 length: :13: IP > : RADIUS, Access Request (1), id: 0x34 length: :13: IP > : RADIUS, Access Challenge (11), id: 0x34 length: :13: IP > : RADIUS, Access Request (1), id: 0x35 length: :13: IP > : RADIUS, Access Challenge (11), id: 0x35 length: :13: IP > : RADIUS, Access Request (1), id: 0x36 length: :13: IP > : RADIUS, Access Accept (2), id: 0x36 length: 171

70 56 EK-3(n). TTLS MSCHAPv2 Cep Telefonu ile Kablosuz Bağlantıda Mesaj Akışı 09:37: IP > : RADIUS, Access Request (1), id: 0x1d length: 91 09:37: IP > : RADIUS, Access Challenge (11), id: 0x1d length: 64 09:37: IP > : RADIUS, Access Request (1), id: 0x1e length: :37: IP > : RADIUS, Access Challenge (11), id: 0x1e length: :37: IP > : RADIUS, Access Request (1), id: 0x1f length: :37: IP > : RADIUS, Access Challenge (11), id: 0x1f length: :37: IP > : RADIUS, Access Request (1), id: 0x20 length: :37: IP > : RADIUS, Access Challenge (11), id: 0x20 length: :37: IP > : RADIUS, Access Request (1), id: 0x21 length: :37: IP > : RADIUS, Access Challenge (11), id: 0x21 length: :37: IP > : RADIUS, Access Request (1), id: 0x22 length: :37: IP > : RADIUS, Access Accept (2), id: 0x22 length: 167

71 57 ÖZGEÇMİŞ Kişisel Bilgiler Soyadı, Adı : GÜMÜŞ, Halil İbrahim Uyruğu : T.C. Doğum Tarihi ve Yeri : , Tekirdağ Medeni Hali : Evli Telefon : E-posta : gumus.hibrahim@gmail.com Eğitim Derecesi Okul/Program Mezuniyet Yılı Yüksek Lisans Gazi Üniversitesi Bilişim Sistemleri Devam Ediyor Lisans ODTÜ Elektrik Elektronik Mühendisliği 2011 Lise Tekirdağ Fen Lisesi 2006 İş Deneyimi, Yıl Çalıştığı Yer Görev 2013 devam ediyor TÜBİTAK Araştırmacı Türk Telekom Uzman Yardımcısı Hobiler Masa Tenisi, Fotoğrafçılık

72