Ünite 6: İletim Katmanı ve Kablosuz Ağ Güvenliği

Giriş

Her geçen gün kullanıcı miktarı artan İnternet ve Web teknolojilerinin sunduğu avantajlardan en önemlisi kaynakların ortak kullanımıdır. Böylece kısıtlı kaynakların verimli kullanımı ve uzaktan erişimi sağlanmış olur. Ancak avantajlarının yanında bu teknolojilerin tehditlere açık olmasının önemi anlaşıldıkça güvenli web servislerine ihtiyaç artacaktır. Standart haline gelmiş ve SSL/TLS, HTTPS ve SSH olarak bilinen üç güvenlik protokolünden söz edilebilir.

Kablosuz ağların günümüzde birçok iletişim aracındaki artan kullanımı ile kablosuz ağ güvenliğinin de önemi artmıştır. Kablosuz ağlar, veriyi belirli frekans aralıklarında radyo dalgaları olarak iletir. Kötü niyetli kişilerin, bu verileri dinleyebilmesi veya karıştırıcılar (jammer) ile iletişime engel olabilmesi mümkündür. Kablosuz ağ standardı IEEE 802.11 olarak bilinmektedir.

İletim Katmanı Güvenliği

Kablolu bilgisayar ağları, kapsamına göre; Yerel Alan Ağı (LAN) ve Geniş Alan Ağı (WAN) olmak üzere ikiye ayrılır. Küçük alanlarda hizmet veren LAN’lar daha hızlı ve oluşturulması daha ekonomiktir. Bilgisayar ağları topolojilerine göre; Yıldız (Star), Halka (Ring), Ortak Yol (BUS) ve Örgü (Mesh) olmak üzere dört grubu ayrılır.

Bir ağda cihazların nasıl iletişim kuracakları Açık Sistemler Arabağlaşımı (Open Systems InterconnectionOSI) modeli tarafından tanımlanmıştır. Bu model; Fiziksel, Veri bağlantısı, Ağ, İletim, Oturum, Sunum ve Uygulama katmanlarından oluşur.

Web ile beraber yeni güvenlik tehditleri ortaya çıkmıştır. Bunlar; Kurumların sunmuş oldukları Web servislerinde ortaya çıkan sorunlar; Bilgisayar sistemlerine dışarıdan erişmek için bir giriş noktası olan Web sunucuların sebep olabileceği güvenlik problemleri; Bir iletişim ortamı olarak Web yayınlarının saldırılara daha açık olması; Web sunucularında çalışan ve güvenlik açıkları içerebilen yazılımlar ve Bazı kullanıcıların gerekli korunma araçlarına sahip olmaması şeklinde sıralanabilir.

Web güvenliği tehditleri dört farklı grupta incelenebilir:

  • I. Gizliliğe karşı tehditler arasında ağın gizli bir şekilde dinlenmesi, sunucu veya istemci verisinin çalınması gösterilebilir ve bilgi kaybı ve gizlilik ihlali ile sonuçlanır. Şifreleme algoritmaları ve Web vekil sunucular geliştirilen çözümlerdir.
  • II. Bütünlüğe yönelik tehditler arasında kullanıcı verisinin, iletim halindeki mesajın ve belleğin kötü amaçla değiştirilmesi yer alır ve bunlar bilgi kaybı, sistemin ele geçirilmesi ve saldırılara karşı savunmasız kalma ile sonuçlanabilir. Korunmak için kriptografik özet fonksiyonları kullanılır.
  • III. Hizmet engellemeye yönelik tehditler arasında kullanıcı iş parçacıklarının sonlandırılması, disk veya belleğin kapasitelerinin üzerinde kullanılmaya çalışılması ve gerçek olmayan istekler ile sistemi meşgul etme sayılabilir ve yetkili kullanıcıların gerektiğinde servislere erişmelerine engel olurlar.
  • IV. Kimlik doğrulama işlemine yönelik tehditler arasında meşru kullanıcıların kimliğine bürünme ve veri sahteciliği gösterilebilir. Başka kullanıcıların bilgilerine ulaşmayı amaçlayan bu tehditler, daha güvenilir kimlik doğrulama yöntemleri ile önlenebilir.

Web güvenliğini sağlamak için çözüm sunan servisler benzer olmakla birlikte uygulama alanları ve protokollerin TCP/IP kümesindeki yerlerinden dolayı farklılaşır. Webtabanlı uygulamalar için bir güvenlik sağlama tekniği olan SSL, kriptografik yöntemler, dijital imzalar, özet fonksiyonlar ve sertifikalar kullanarak gizlilik, mesaj bütünlüğü ve kimlik doğrulamasını sağlar.

İki katmanda yer alan protokollerden oluşan SSL, TCP’nin uçtan uca güvenli bir hizmet sunmasını sağlamak amacıyla tasarlanmıştır. SSL kayıt protokolü, SSL’in bir parçası olarak tanımlanan üç üst katman protokolü olan; El Sıkışma, Şifre Değiştirme ve Uyarı protokollerine temel güvenlik hizmetlerini sağlar. Ayrıca Http protokolü SSL üstünde çalışabilir.

SSL bağlantısı, sunucu ve istemci arasında gerekli servisi sağlayan bir iletim aracıdır. Her bir bağlantı tek bir oturum ile ilişkili olup, belirli bir süre sonra sonlandırılır. SSL oturumu, oturumlar el sıkışma protokolü tarafından oluşturulur ve birden fazla bağlantı arasında paylaşılabilir bir dizi kriptografik güvenlik parametreleri tanımlarlar.

Bir oturum durumunu tanımlamak için gerekli bazı parametreler şöyledir:

  • Oturum Tanımlayıcısı: Aktif veya devam ettirilebilir oturum durumlarını tanımlar.
  • Veri Sıkıştırma Metodu: Şifrelemeden önce veri sıkıştırmak için kullanılır.
  • Mesaj Doğrulama Kodu: Hesaplamada kullanılan toplu veri şifreleme algoritmasını ve karma algoritmayı tanımlar.
  • Ana Sır: İstemci ile sunucu arasında paylaşılan 48 baytlık sırdır.
  • Yenilenebilir: Bir oturumun yeni bağlantılar başlatmak için kullanılma durumunu belirler.

Bir bağlantı durumunu tanımlamak için kullanılan parametreler şöyledir:

  • Rastgele sayı: Her bağlantı için sunucu ve istemci tarafından oluşturulur.
  • Sunucuya ait MAC gizli anahtarı: Sunucu tarafından istemciye iletilecek veri için MAC operasyonlarında kullanılır.
  • İstemciye ait MAC gizli anahtarı: İstemci tarafından sunucuya iletilecek veri için kullanılır.
  • Gizli Anahtar: Simetrik şifreleme algoritması anahtarıdır.
  • Başlatma Vektörleri: İlk olarak SSL el sıkışma protokolü tarafından başlatılır.
  • Sıra Numaraları: Her iki taraf, her bağlantıda alınan ve iletilen mesajlar için farklı sıra numaraları tutar.

SSL kayıt protokolü, bağlantılar için Gizlilik ve Mesaj Bütünlüğü servislerini sağlar. El sıkışma protokolü, SSL yüklerinin şifrelenmesi için gerekli gizli anahtarı ve mesaj doğrulama kodu oluşturmak için gerekli gizli anahtarı tanımlar.

Kayıt protokolü, iletilecek veriyi boyutu en fazla 214 baytlık bloklar halinde parçalar ve sonra isteğe bağlı olarak veri kaybına sebep olmadan sıkıştırma işlemi uygulanır. Sonraki adımda sıkıştırılmış veri üzerinden gizli anahtar kullanılarak MAC hesaplanır ve hem MAC hem de sıkıştırılmış mesaj, simetrik şifreleme algoritmalarından biri kullanılarak şifrelenir. SSL kayıt protokolü işleminin son adımında, İçerik Tipi (8 bit), Başlıca Sürüm (8 bit), İkincil Sürüm (8 bit) ve Sıkıştırılmış Uzunluk (16 bit) alanlarını içeren bir başlık hazırlamaktır.

Şifre değiştirme protokolü değeri 1 olan ve bir bayttan oluşan bir mesaj içerir. Bu mesaj ile bekleyen durumun güncel durumun içine kopyalanması sağlanır.

Uyarı protokolü SSL ile ilgili uyarıları iletmek için kullanılır. 2 bayttan oluşan mesajın ilk baytı mesajın şiddetini (uyarı veya ölümcül) ikinci baytı ise belirli uyarıları belirten bir kod içerir.

SSL’nin en karmaşık kısmı olan el sıkışma protokolü istemci ve sunucunun birbirlerinin kimliklerinin doğrulamasını sağlar ve ayrıca kullanılacak şifreleme ve MAC algoritması ile şifreleme anahtarlarına karar verilmesini sağlar. El sıkışma protokolünde istemci ve sunucu arasındaki değişim dört evreli olarak görülebilir. Birinci evre güvenlik kabiliyetlerinin kurulması evresidir. Bu evre mantıksal bağlantı başlatmak ve onunla ilgili güvenlik yeteneklerini kurmak için kullanılır. İstemci tarafından gönderilen mesaj şu parametrelere sahiptir.

  • Sürüm: Kullanılabilecek en yüksek SSL sürümünü belirtir.
  • Rastgele: Bağlantıya özel rastgele değerler üretilir ve anahtar değişiminde tekrar saldırılarını (replay) önlemek için kullanılır.
  • Oturum Kimliği: Değişken uzunlukta oturum tanımlayıcısını gösterir.
  • Şifre Kümesi: Azalan tercih sırasına göre, istemci tarafından desteklenen şifreleme algoritmalarını içeren bir listedir.
  • Sıkıştırma Metodu : İstemci tarafından desteklenen sıkıştırma metotlarının listesini gösterir.

İkinci evre sunucu kimlik doğrulaması ve anahtar değişimi evresi olarak adlandırılır. Kimlik doğrulaması gerekiyorsa, sunucu sertifikasını göndererek bu aşamaya başlar. Mesaj X.509 sertifikaları içerir. Üçüncü evre istemci kimlik doğrulaması ve anahtar değişimi evresidir. İstemci sunucunun geçerli bir sertifika sağladığını doğrulamalıdır.

Son evre ise bitiş evresi olarak adlandırılır. Bu evre güvenli bir bağlantı kurulmasını tamamlar.

TLS (İletim Katmanı Güvenliği) SSL’nin İnternet standart sürümünü oluşturma girişimidir. TLS temel olarak; TLS kayıt protokolü ve TLS el sıkışma protokolü olarak iki protokolden oluşmaktadır.

TLS kayıt protokolü bağlantı güvenliği sağlar. Protokol, bağlantı özeldir ve veri şifreleme için kullanılan simetrik şifreleme anahtarları her bağlantı için yeniden oluşturulur. Aynı zamanda bağlantı güvenilirdir ve mesaj taşıma anahtarlı MAC kullanarak mesaj bütünlük denetimi sağlar. TLS el sıkışma protokolü istemci ve sunucunun birbirlerinin kimlik doğrulaması yapmasına olanak verir ve üç temel özelliği olan bağlantı güvenliği sağlar:

  • Birincisi eşdüzeylinin kimliği doğrulanabilir.
  • İkincisi ise paylaşılan sırrın müzakeresi güvenlidir.
  • Üçüncüsü ise müzakere güvenilir olmasıdır.

TLS protokolünün temel amaçları; Kriptografik güvenlik, Birlikte çalışabilirlik, Geliştirilebilirlik ve Bağıl verim olarak sıralanabilir.

Güvenli Hipermetin İletim Protokolü (HTTPS), SSL ve http protokollerini kullanarak Web tarayıcı ve Web sunucu arasında güvenli bir iletişimin alt yapısını oluşturur. HTTPS kullanıldığında iletişimin şu bileşenleri şifrelenir: İstenen dokümanın URL adresi, Doküman içeriği, Tarayıcı formların içeriği, Tarayıcıdan sunucuya, Sunucudan tarayıcıya gönderilen çerezler, HTTP başlığının içeriği.

HTTPS için HTTP istemcisi gibi davranan üstlenici aynı zamanda TLS istemcisi gibi davranır. İstemci uygun bir bağlantı noktasından sunucuya bir bağlantı başlatır. TLS’nin bağlantı kurma isteği sunucu tarafındaki TCP öğesiyle istemci tarafındaki TCP öğesi arasında bir TCP bağlantısı kurulmasıyla başlar. HTTPS bağlantısını kapatma, TLS bağlantısının kapatılmasını, bu durumda ilgili TCP bağlantısının sonlandırılmasını gerektirir. Sunucudaki programlama hatası veya iletişim hatası TCP bağlantısının aniden sonlanmasına neden olabilir. Ayrıca beklenmeyen TCP sonlanması bir çeşit saldırının göstergesi de olabilir.

Güvenli Kabuk (SSH), kimlik doğrulama ve şifreleme algoritmaları kullanarak güvenli olmayan bir ağ üzerinde uzaktan bağlanma ve diğer ağ hizmetlerini güvenli şekilde gerçekleştirmeyi sağlayan ve aynı zamanda veri sıkıştırmayı destekleyen bir protokoldür. Güvenli dosya transferi (SFTP) ve dosya kopyalama (SCP) protokolleri SSH üzerine inşa edilmiştir. SSH istemci-sunucu mimarisine sahip bir ağ protokolüdür. SSH iletim katmanı protokolü, SSH kullanıcı kimlik doğrulama protokolü ve SSH bağlantı protokolü olmak üzere üç protokole ayrılır.

SSH iletim katmanı protokolü sunucu kimlik doğrulama, veri gizliliği ve veri bütünlüğü hizmetlerini sağlar. SSH kullanıcı kimlik doğrulama protokolü istemcinin sunucuya kimlik doğrulaması yapabilmesi için gerekli araçları sağlar. SSH bağlantı protokolü birden çok mantıksal iletişim kanalını bir SSH bağlantısı üzerinden çoklar.

Kablosuz Ağ Güvenliği

Kablosuz ağ cihazları; Tasarsız (ad-hoc) ve Tasarlı (infrastructure) olmak üzere iki farklı mod ile bağlanırlar . Tasarsız mod için herhangi bir erişim noktası veya yönlendirici olmadan bir cihaz ile başka bir cihaz arasında bir bağlantı oluşturulur. Tasarlı modda ise cihazlar bir erişim noktası (access point) üzerinden bağlanırlar. Bütün veri erişim noktası üzerinden aktarılır.

Kablosuz ağlar; Kişisel ve Yerel alan ağları olmak üzere ikiye ayrılır. Kablosuz kişisel alan ağlar (Wireless Personal Area Network-WPAN) cihazların 10 metre civarı içerisinde oldukları durumlarda tercih edilir. WPAN standardının kullanıldığı teknolojilerin başında gelen Bluetooth teknolojisi için saptanan güvenlik açıkları; Bluejacking, Bluebugging, Bluesnarfing, Aradaki adam saldırısı, Tekrarlama saldırısı ve Hizmet engelleme saldırısı dır. Kablosuz yerel ağlar (Wireless Local Area Network-WLAN) mimarisinde kapsama alanları hücre olarak adlandırılan alt gruplara bölünür ve her bir hücreden bir erişim noktası sorumludur. IEEE 802.11i kablosuz yerel alan ağları için kimlik doğrulama, veri bütünlüğü, veri gizliliği ve anahtar yönetimi alanlarında güvenlik standartlarını belirler.

Kablosuz ağlara yönelik saldırılar; Aktif veya Pasif olmak üzere iki gruba ayrılır. Pasif saldırılarda amaç iletilen verinin elde edilmesine yöneliktir. Aktif saldırı ise güvenli bir şekilde kablosuz iletişim kurmaya çalışan yetkili iki kullanıcının arasında oluşturmak iletişimi bozmaya veya verinin değiştirilmesine yönelik saldırılardır. Kablosuz ağların güvenlik zafiyetleri; İletişim yetkisiz kişiler tarafından kolaylıkla dinlenebilmesi, Radyo sinyallerinin karıştırılabilmesi ve ekleme yapılabilmesi, Yeterli hesaplama kabiliyeti olmayan cihazların bazı şifreleme algoritmalarını çalıştırmada sorun olması, İstemcilerin yetkisiz erişim noktalarına bağlanması olarak sayılabilir.

WLAN için bir standart olan IEEE 802.11’in amacı protokoller ve iletim özelliklerini geliştirmektir. IEEE 802.11 standartları katmanlı protokoller kümesi yapısı içinde tanımlanır. Bu yapı tüm IEEE 802 standartları için kullanılır ve üç katmandan oluşur:

  • Birinci katman olan fiziksel katman, Sinyallerin kodlanması ve kodlarının çözülmesi işlevi ve bitlerin iletimi ve alımı işlevlerini gerçekleştiren katmandır.
  • İkinci katman olan ortam erişim denetimi katmanı ise ağın iletim kapasitesini düzenli ve verimli kullanmak amacıyla iletim ortamına kontrollü erişimi sağlar. MAC protokol veri birimi çerçevesi; MAC Kontrol, Hedef MAC Adres, Kaynak MAC Adres, MAC Hizmet Veri Birimi, Döngüsel Artık Denetimi alanlarından oluşur.
  • Üçüncüsü ise mantıksal bağlantı denetimi katmanı olarak adlandırılmıştır. Mantıksal bağlantı denetimi katmanı gönderilme işlemi başarıyla tamamlanmış çerçevelerin kaydını tutar ve başarısız çerçeveleri tekrar gönderir.

Bir kablosuz yerel alan ağının en küçük yapı taşı aynı MAC protokolünü kullanan kablosuz istasyonlardan oluşan temel hizmet kümesidir. Temel hizmet kümesi izole olarak kalabilir veya erişim noktası kullanarak omurga dağıtım sistemine de bağlanabilir. Temel hizmet kümesi içindeki istasyonlar birbirleri ile doğrudan iletişimde bulunmazlar. Eğer istasyonlar birbirleri ile doğrudan iletişime geçen mobil istasyonlar ise bu hizmet kümesine bağımsız temel hizmet kümesi adı verilir. Bu durumda iletişimi sağlamak için erişim noktasına ihtiyaç yoktur.

IEEE 802.11 hizmetleri iki farklı bakış açısı ile değerlendirilebilir. Hizmet sağlayıcı, istasyonlar veya dağıtım sistemi olabilir. İstasyon hizmetleri erişim noktalarını da içeren her 802.11 istasyonunda uygulanır. Dağıtım hizmetleri temel hizmet kümeleri arasında gerçekleştirilir. Diğer bir bakış açısıyla, hizmetlerden üçü IEEE 802.11 yerel alan ağına erişimi ve gizliliği denetlemek için kullanılır. Diğer altı hizmet ise MAC hizmet veri birimlerinin istasyonlar arasında teslimatı için kullanılır. Mesajların dağıtım sistemi içindeki işlemlerinde; Bir temel hizmet kümesindeki istasyondan diğer bir temel hizmet kümesindeki istasyona ulaşmak için kullanılan dağıtım işlemi ve Kablosuz bir ağdaki istasyonla kablolu bir ağdaki istasyon arasındaki veri transferi işlemini mümkün kılan tümleştirme işlemi olmak üzere iki temel hizmet gereksinimi bulunmaktadır.

Mesajın istenen istasyona ulaşması için hangi erişim noktasına yönlendirilmesi gerektiği bilinmelidir. Bu noktada, bağlama hizmeti, istasyon ile erişim noktası arasındaki başlangıç ilişkisini kurar. Yeniden bağlama hizmeti, bir erişim noktasında kurulmuş bir ilişkiyi mobil cihazın yer değiştirmesinden dolayı başka bir erişim noktasına taşıma işlemini gerçekleştirir. Ayrışma hizmeti, istasyonun veya erişim noktasının var olan bir bağlantının bittiği konusunda yaptığı bilgilendirmedir.

Kablolu ağlar fiziksel bir bağlantı gereksinimi ile belirli bir seviyede gizlilik sağlar. Bu özelliğin kablosuz ağlar için geçerli olmaması dayanıklı güvenlik hizmetlerine olan ihtiyacı arttırmıştır. 802.11 standardının güvenlik özellikleri zayıflıklar içerdiğinden geliştirmeler yapılarak Dayanıklı Güvenlik Ağı (RSN) ortaya çıkmıştır.

802.11i RSN güvenlik şartnamesi sağladığı hizmetler şunlardır:

  • Kimlik Doğrulama; karşılıklı kimlik doğrulama sağlayan sunucu ile kullanıcı arasındaki değişimi tanımlamak için kullanılır.
  • Erişim Denetimi; mesajların uygun şekilde yönlendirilmesini sağlar ve anahtar değişimini gerçekleştirir.
  • Mesaj bütünlüğü ile gizlilik; MAC düzeyindeki veriler, ileti bütünlük kodu ile birlikte şifrelenir.

IEEE 802.11i Dayanıklı Güvenlik Ağı’nın operasyonu temelde; Keşif, Doğrulama, Anahtar yönetimi, Korumalı veri transferi ve Bağlantı s onlandırma olmak üzere beş farklı evrede değerlendirilebilir.

Keşif; bu evrenin amacı istasyon ile erişim noktasının birbirlerini tanımaları, güvenlik parametreleri üzerinde anlaşmaları ve bu parametreleri kullanarak gelecekteki iletişim için ilişki kurmalarıdır. Keşif aşaması;

  • Ağ ve güvenlik özelliklerinin belirlenmesi,
  • Açık sistem kimlik doğrulaması ve
  • Bağlama işlemi olmak üzere üç değiştirme işlemi içerir.

Doğrulama evresi, kimlik doğrulama için dağıtım sisteminde yer alan kimlik doğrulama sunucusu ile istasyon arasında karşılıklı kimlik doğrulama sağlar.

Anahtar yönetimi aşamasında çeşitli şifreleme anahtarları oluşturulur ve istasyonlara dağıtılır. İki çeşit anahtar bulunmaktadır:

  • İkili anahtarlar, EAPOL anahtar onay anahtarı, EAPOL anahtar şifreleme anahtarı ve Geçici anahtardan oluşup, istasyon ve erişim noktası arasındaki iletişimde kullanılır.
  • Grup anahtarlar çoklu iletişimlerde kullanılmaktadır. Grup ana anahtarı bir çeşit anahtar üretici anahtardır ve diğer girdilerle birlikte grup geçici anahtarını oluşturur.

Korumalı veri transferi aşamasında, IEEE 802.11i MAC protokol veri birimleri ile aktarılan veriyi korumak için iki protokol tanımlanmıştır. Bunlar;

  • Geçici anahtar bütünlüğü protokolü ve
  • CCMP olarak adlandırılmıştır.

Bağlantı sonlandırma aşamasında ise güvenli bağlantı sonlandırılır ve bağlantı özgün durumuna geri döner.

1999 yılında standartlaştırılan 802.11 kablosuz ağ protokolü için gerekli kimlik doğrulama, şifreleme ve veri bütünlüğü işlemleri için WEP protokolü tanımlanmıştır. Hem anahtar uzunluğunun yetersiz olması hem de barındırdığı zafiyetlerden dolayı WAP protokolüne geçiş yapıldı.

Kablosuz uygulama protokolü (WAP) evrensel ve açık standart bir protokoldür. WAP, bütün kablosuz ağ teknolojileri ile çalışabilmek üzere tasarlanmıştır. Bu protokol IP, XML, HTML ve HTTP gibi İnternet standartlarına dayanmaktadır. Kablosuz uygulama protokolünde; WWW programlama modeline dayanan bir programlama modeli, XML’e bağlı kalan bir biçimlendirme dili (Kablosuz İşaretleme Dili), mobil, kablosuz terminal için uygun küçük tarayıcı, hafif iletişim protokolü yığını ve kablosuz telefon uygulamaları için bir çerçeve konuları ayrıntıları ile belirlenmiştir. WAP;

  • İstemci,
  • Ağ geçidi ve
  • Orijinal sunucu olmak üzere üç unsura dayanmaktadır.

HTTP protokolü, ağ geçidi ve orijinal sunucu arasında içerik aktarmak için kullanılır. Ağ geçidi, kablosuz etki alanı için bir vekil sunucu gibi hareket eder.

Kablosuz İşaretleme Dili (WML), sınırlı bant genişliği, sınırlı ekran boyutu ve sınırlı kullanıcı giriş özelliğine sahip cihazlarda verileri sunmak için içerik ve biçim tanımlamak için tasarlanmıştır. WML, Web sayfasının özünü yakalamaya yönelik metin tabanlı bilgi sunar.

WAP mimarisi beş katmanlı bir modeldir. Katmanlarda;

  • Sağlanan hizmetler, kriptografik kütüphaneler, kimlik doğrulama, güvenli iletim ve güvenli taşıyıcı gibi güvenlik hizmetleri ve
  • Dış işlevsellik ara yüzü, sağlama, navigasyon bulgulama ve hizmet arama gibi hizmet bulgulama hizmetleri olarak iki kategoride değerlendirilebilir.

TLS Web tarayıcı ve Web sunucular arasında kullanılan bir güvenlik protokolüdür ve WTLS protokolünün temelini oluşturur. Uçtan uca güvenlik sağlamak amacıyla istemci ile ağ geçidi arasında WTLS, ağ geçidi ile hedeflenen sunucu arasında TLS kullanılır.

WTLS tarafından mesaj bütünlüğü doğrulaması yöntemleri ile veri bütünlüğü sağlanır. Şifreleme algoritmaları ile gizlilik, dijital sertifikalar ile kimlik doğrulaması ve ayrıca hizmet engelleme koruması sağlanır.

Güvenli oturum ve güvenli bağlantı iki önemli WTLS kavramıdır. Oturumlar her bağlantı için yeni güvenlik parametrelerinin müzakere edilmesini önlemek için kullanılır.

WAP istemci, WAP ağ geçidi ve Web sunucu içeren temel WAP iletim modeli güvenlik boşlukları içerir. Ağ geçidi içinde çeviri sürecinde veri şifreli değildir. Bu nedenle ağ geçidi verinin riske atıldığı bir nokta olarak düşünülebilir. Mobil istemci ve web sunucu arasında uçtan uca güvenlik sağlayan çeşitli yaklaşımlar bulunmaktadır. İlk yaklaşımda, WAP ağ geçidi TCP düzeyinde ağ geçidi olarak görev yapar ve uç noktaları arasındaki trafiği taşımak için birlikte iki TCP bağlantısını ekler. TCP kullanıcı veri alanı (TLS kayıtları) ağ geçidini geçerken şifreli kalır, yani uçtan uca güvenlik sağlanır. Diğer bir yaklaşım da WAP ağ geçidinin basit bir yönlendirici gibi davranmasıdır. Bu durumda güvenlik IP düzeyinde IPsec protokolü kullanılarak sağlanır.