Langattoman lähiverkon tietoturva
Wikipedia
Langattomassa lähiverkossa on monenlaisia tapoja lisätä tiedonsiirron ja kirjautumisen turvallisuutta.
Tämä artikkeli käsittelee yleisluontoisesti yleisimmän käytössä olevan langattoman lähiverkon eli WLANin tietoturvatekniikat lähtien yksinkertaisista verkkoonpääsyn ja autentikoinnin ratkaisuista edeten aina moninkertaiseen tiedon salaamiseen.
Sisällysluettelo |
[muokkaa] SSID (Service Set Identifier)
Service Set ID (SSID) on korkeintaan 32 merkkiä pitkä, muutettavissa oleva tunnus, jonka perusteella asiakkaat kytkeytyvät haluamaansa langattoman verkon tukiasemaan eli Access Pointiin (AP).
Access Point -laite on yleensä mahdollista asettaa lähettämään SSID-tietoa ilmatielle, ja monessa laitteessa tämä ominaisuus on oletuksena päällä. Näin asiakkaan ei tarvitse tietää SSID:tä kytkeytyäkseen kyseiseen verkkoon. Tästä ominaisuudesta on hyötyä, jos esimerkiksi yrityksessä tai oppilaitoksessa halutaan antaa vierailijoiden käyttää jotain osaa verkosta tai jos verkko on muuten tarkoitettu julkiseksi. Jos kuitenkin halutaan vaikeuttaa asiattomien henkilöiden pääsyä verkkoon, on suositeltavaa kytkeä tämä ominaisuus pois käytöstä, tai valita ns. hidden-SSID toiminto.
Uusiin AP-laitteisiin on tavallisesti asennettu valmiiksi jokin SSID, joka on yleensä saman valmistajan tuotteissa sama. SSID kannattaakin muuttaa heti käyttöönoton yhteydessä, jotta vältetään sekaantuminen esimerkiksi naapurin verkon kanssa.
On kuitenkin huomattava, että yllä mainitut varotoimenpiteet estävät ainoastaan satunnaiset verkkoskannaukset. Uuden asiakkaan kirjautuessa langattomaan lähiverkkoon SSID-tieto kulkee salaamattomana asiakkaan ja Access Pointin välillä. Niinpä tarpeeksi kauan verkkoa kuuntelemalla on mahdollista saada SSID selville.
[muokkaa] Pääsylistat
Yksi mahdollisuus rajoittaa ulkopuolisten henkilöiden pääsy verkkoon on käyttää Access Pointissa listaa, jossa määritellään ne asiakaslaitteiden MAC-osoitteet, joille sallitaan pääsy verkkoon. Tämän metodin huono puoli on siinä, että se lisää verkon ylläpitäjän työtaakkaa, koska jokainen MAC-osoite on lisättävä manuaalisesti jokaisen verkon tukiaseman pääsylistaan. Jotkin tukiasemavalmistajat tosin tarjoavat tuotteilleen ohjelmistoja, joilla listojen hallinta voidaan toteuttaa koostetusti. Silti osoitteet on lisättävä edelleen manuaalisesti.
Verkkoon pääsyn suodattamista MAC-osoitelistalla ei missään nimessä tule pitää kovinkaan tehokkaana tapana verkkoon pääsyn rajoittamiseksi, koska MAC-osoitteet kulkevat selväkielisinä paketeissa, vaikka niissä itse data olisikin salakirjoitettu. Tunkeutujan on helppo selvittää verkkoliikenteen kuunteluohjelmalla jokin verkossa käytetty MAC ja muuttaa oman verkkokorttinsa MAC vastaamaan tätä. Lisäksi, tämä menetelmä ei ole erityisen sopiva lähiverkkoihin, joissa käy paljon vierailijoita tai jossa tietokoneet muuten vaihtuvat nopeasti. Täydellisen MAC-rekisterin ylläpitäminen tällaisessa tilanteessa voi olla hyvin hankalaa.
[muokkaa] Autentikointi
[muokkaa] WEP
WEP (engl. Wired Equivalent Privacy), tarjoaa rajoitetun tavan verkossa tunnistautumiseen. Asiakkaan laitteistopohjainen tunnistaminen voi olla joko avoin tai perustua jaettuun avaimeen AP:n ja asiakkaan välillä. Jos käyttäjän tunnistaminen on tarpeen, se voidaan toteuttaa RADIUS (Remote Authentication Dial In User Service)-protokollaa käyttäen. RADIUS-palvelin voi toimia useammantyyppisen tunnistamisen perustana, joten sitä voidaan käyttää vaikkapa VPN (Virtual Private Network)-asiakkaiden tunnistamiseen. OpenSpark autentikointi perustuu pääasiassa WEP autentikointiin jossa asiakkaan laite kommunikoi autentikoiti serverin kanssa.
[muokkaa] WPA- ja WPA2
WPA- ja WPA2-standardeissa molemminpuoleinen autentikointi alkaa asiakkaan yrittäessä kirjautua tukiaseman piirissä olevaan verkkoon. Tukiasema tiedostaa asiakkaan läsnäolon, mutta estää tältä pääsyn verkkoon, kunnes tämä saadaan tunnistettua. Asiakas toimittaa tunnistetiedot, jotka tukiasema toimittaa autentikointipalvelimelle. Tunnistautuminen verkkoon tapahtuu käyttäen IEEE 802.1X/EAP -rajapintaa. Sekä asiakas että autentikoitumispalvelin tunnistautuvat toisilleen tukiaseman kautta. Molemminpuoleinen tunnistautuminen lisää verkon turvallisuutta huomattavasti, koska myös palvelin tunnistautuu asiakkaalle. Näin asiakas tietää tunnistautuvansa oikealle autentikoimispalvelimelle, eikä ole vaaraa joutua ns. evil twin -hyökkäyksen kohteeksi.
Kirjautumispalvelimen hyväksyessä asiakkaan, tämä liitetään WLAN-verkkoon. Jos tunnistamista ei tapahdu, asiakas pysyy edelleen estettynä verkkoon pääsystä. Kun asiakas tunnistetaan, asiakaskone ja palvelin luovat samanaikaisesti PMK (Pairwise Master Key)-avainparin.
Kun kirjautumispalvelin on hyväksynyt asiakkaan verkkoon käyttäjäksi, kirjautuminen saatetaan loppuun tukiaseman ja asiakkaan välillä. Tähän kuuluu salausavainten muodostaminen ja asentaminen asiakkaalle, johon käytetty protokolla on WPA-standardissa TKIP (Temporal Key Integrity Protocol) ja WPA2-standardissa AES (Advanced Encryption Standard).
[muokkaa] Salausprotokollat
[muokkaa] WEP
WLAN-tekniikan alkuperäinen, vanhentunut ja verkkohyökkäyksille alttiiksi osoittautunut salausprotokolla. WEP käyttää 40-, 104 tai 232-bittistä salausta, mutta sen RC4-salausprotokollassa olevan puutteen vuoksi joidenkin pakettien kehyksissä lähetetään salaamattomia bittejä, alustusvektoreita (initialization vector, IV) ja niiden perusteella voidaan helposti laskea käytetty salausavain. Monet uudemmista WLAN-korteista sisältävätkin tekniikkaa, jolla pystytään vähentämään näiden tietojen lähettämistä.
AirSnort-ohjelman UKK-sivun mukaan tehokkaampaa salausta käytettäessä 16 miljoonasta lähetetystä paketista keskimäärin 9 000 sisältää ohjausvektoritietoa. Useimmat salausavaimet pystytään selvittämään noin 2 000 "heikon paketin" perusteella. Mitä enemmän tietoa verkossa liikkuu, sitä nopeammin salausavain saadaan selvitettyä. WEP-salausta ei suositella käytettäväksi, sillä se on purettavissa hyvin helposti. Ks.WEP.
[muokkaa] WPA (TKIP)
WPAn uusi salausmetodi poistaa kokonaan WEP-salauksen tunnetut ongelmakohdat, jotka johtuvat WEPin käyttämästä staattisesta salausavaimesta. TKIP korvaa WEPin käyttämän tukiasemaan ja asiakkaalle manuaalisesti syötetyn 40-bittisen staattisen avainparin 128-bittisellä pakettikohtaisella salausavaimella. WEPin purkamisessa oleellisena osana oleva salausavaimen ennustettavuus poistuu TKIP-avainta käytettäessä, koska avainparit luodaan dynaamisesti pakettikohtaisesti. WPA-salaus sisältää myös pakettien eheyttä valvovan MIC (Message Integrity Check)-toiminnon, joka tarkistaa jokaisen paketin, ettei mahdollinen hyökkääjä pysty ottamaan paketteja ja muuttamaan niiden tietoja. WPA toimii verkon fyysisellä MAC-kerroksella.
Kun käyttäjä on autentikoitu verkkoon käyttäjäksi jonkin edellä mainitun tavan mukaisesti, joko kirjautumispalvelin tai tukiasema luo uniikin pääavainparin (PMK, Pair-wise Master Key) käyttäjälle session ajaksi. TKIP-protokolla toimittaa avaimen käyttäjälle, eli luo avainhierarkian ja dynaamisten avainten hallintajärjestelmän. Tämän avaimen mukaan TKIP luo dynaamisesti pakettikohtaiset avaimet jokaisen verkkoon toimitetun paketin salaamiseksi.
Tämä tekniikka korvaa WEP-salauksen staattisen, manuaalisesti syötetyn avainparin noin 280 triljoonalla mahdollisella avaimella, joita voidaan käyttää jokaisen paketin salaamiseen.
MIC (Message Integrity Check) -toiminto estää hyökkääjää muuttamasta verkossa liikkuvien pakettien sisältöä vahvan matemaattisen funktion avulla, jossa sekä lähettäjä että vastaanottaja laskevat jokaisesta paketista tarkistussumman, joita verrataan keskenään pakettien eheyden takaamiseksi. Jos MICit eivät täsmää, paketin katsotaan olevan muutettu, ja se jätetään huomioimatta. MICissä on myös ylimääräinen turvallisuustoiminto, jossa havaittaessa virheellinen paketti kaikki verkon asiakkaat uudelleenautentikoidaan ja kaikki uudet tunnistuspyynnöt estetään minuutin ajaksi.
[muokkaa] WPA2 (AES)
AESia vastaan ei ole yhtään tunnustettua hyökkäystä. Kaikki AESia käyttävät tekniikat on hyväksytty salaamaan Yhdysvaltojen hallituksen “non-classified”-luokiteltu tieto Kansallisen turvallisuusviraston (NSA) puolesta. Tämä on ensimmäinen kerta, kun siviileillä on pääsy salaustekniikkaan, jonka NSA on hyväksynyt salaamaan TOP SECRET -luokittelemaansa aineistoa.
[muokkaa] Tietomurron havaitseminen
Useat WLAN-kortit on mahdollista asettaa kuuntelutilaan, jolloin ne eivät lähetä tietoa, vaan ainoastaan vastaanottavat verkossa liikkuvaa tietoa. Tässä tilassa tehtyä verkkokuuntelua ja pakettien keräystä salausavaimien purkamiseksi on mahdotonta havaita.
Tätä ominaisuutta on myös mahdollista käyttää täysin laillisesti, oman verkkonsa valvomiseen. Kuuntelemalla verkkoa voidaan nopeasti havaita yhteydenottoyritykset tuntemattomilla tai väärennetyillä MAC-osoitteilla. Hälyttävää on esimerkiksi se, jos jonkun oman koneen verkkokortin MAC-osoitteella näyttäisi olevan liikennettä aikana, jolloin se ei ole varmasti päällä.
Tällaisten tietojen perusteella voi harkita, onko syytä nostaa langattoman lähiverkkonsa tietoturvaa, esimerkiksi ottaa tehokkaampi algoritmi käyttöön salauksessa.
Verkkokuunteluun ja WEP-salauksen murtamiseen sopivia ohjelmia ovat esimerkiksi:
[muokkaa] Katso myös
[muokkaa] Aiheesta muualla
- MVnet :: Tietokoneet :: Langaton kotiverkko Langattoman kotiverkon rakentamisesta ja suojauksesta
