1 / 36

WLAN - Turvallisuus

Ti5316800 Lähiverkot - erikoistyökurssi. WLAN - Turvallisuus. Teemu Niemelä Petri Airaksinen. WLAN - lyhyesti. Wireless Local Area Network Radiotekniikkaan perustuva toimistoverkko 802.11 / Hiperlan Wi-Fi. Turvallisuus. Ei fyysistä johdotusta Liikenteen monitorointi

shaina
Download Presentation

WLAN - Turvallisuus

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Ti5316800 Lähiverkot - erikoistyökurssi WLAN - Turvallisuus Teemu Niemelä Petri Airaksinen

  2. WLAN - lyhyesti • Wireless Local Area Network • Radiotekniikkaan perustuva toimistoverkko • 802.11 / Hiperlan • Wi-Fi

  3. Turvallisuus • Ei fyysistä johdotusta • Liikenteen monitorointi • Käyttö ilman oikeutta • Välistävetohyökkäys • Palvelunestohyökkäys

  4. Liikenteen monitorointi • Oletuksena salaamaton tietoliikenne • Ulkopuolinen taho pyrkii saamaan tietoa seuraamalla verkon liikennettä • Käyttäjätunnukset, salasanat, luottokorttitiedot • AirMagnet, AirPeek • Ratkaisuna kryptografia

  5. Käyttö ilman oikeutta • Riittää, kun ollaan suojaamattoman verkon kantaman sisällä • Rogue Access Point • Ratkaisuna autentikointimenetelmät: käyttäjä / verkkolaite

  6. Välistävetohyökkäys • engl. Man-in-the-Middle Attack • Perustuu ARP-protokollan käyttöön • ARP sitoo verkko-osoitteen IP-osoitteeseen • Hyökkääjä ohjaa liikenteen oman laitteensa kautta • Ratkaisuna SARP (Secure Address Resolution Protocol)

  7. Palvelunestohyökkäys • DoS – Denial of Service • Pyrkii lamauttamaan verkon • Tyyppillisesti tulvitetaan turhilla verkkopaketeilla • Myös radiohäirintää • Ratkaisuna pakettitulvaan IDS-järjestelmät • Radiohäirintään ei tietoteknistä ratkaisua

  8. Standardit johdanto • 802.11 yleistynyt • Hiperlan eurooppalainen standardi, ei yleistynyt • Tämä työ keskittyy 802.11-standardiperheeseen

  9. IEEE 802.11 • Määrittelee kaksi tietoturvaratkaisua • SSID (Service Set Identifier, ESSID) eli Network Name (NN) • WEP (Wired Equivalent Privacy)

  10. SSID • Pääsynvalvonta alkeellisella tasolla. SSID (ESSID tai NN) toimii verkon nimenä • Asiakkaan tiedettävä voidakseen liittyä verkkoon. • Voidaan myös muodostaa ”suljettu” systeemi (nimeä ei broadcast-lähetetä). • Ei juurikaan lisää tietoturvaa

  11. WEP (1 / 3) • Siirtoyhteyskerroksen salausmekanismi • Ei ole pakollinen WLAN –verkossa. • Salaus on symmetrinen, samaa avainta käytetään sekä salaukseen että purkamiseen • Yleensä yhteinen avain kaikille verkon asiakkaille.

  12. WEP (2 / 3) • WEP:n tarkoitus: 1. Pääsynvalvonta: Estetään verkkoon pääsy salasanaa (WEP -avainta) tuntemattomilta. 2. Yksityisyys: Suojataan data salaamalla WEP - avaimella 3. Datan eheys: Estetään datan korruptoituminen CRC-32 tarkistussummalla

  13. WEP (3 / 3) • Avain 40 bittiä • Pohjautuu RC4 –jonosalaukseen • Voidaan käyttää neljää avainta lähetys/vastaanotto 40 bittiä. • Avaimet yhteisiä kaikille • Verkon turvallisuus vaatii: Ei salaamatonta liikennettä ja ainoastaan pitkät avaimet

  14. 802.11 puutteet • WEP riittämätön takaamaan tietoturvan • WEP ei kata koko tiedonsiirtoa vaan rajoittuu turvaamaan datapakettien tietoa • WEP-salaus purettavissa hyvin helposti ”kotikonstein” • RC4-salausalgoritmi, vain 40 bittinen avain

  15. Asiakkaan autentikointi • Asiakkaan autentikoimiseen kolme tapaa: • Avoin (Salaamaton) autentikaatio • Jaetun avaimen (Salattu) autentikaatio • MAC –osoitteisiin pohjautuva todennus

  16. 802.11 a/b/g • Nopeutta lisääviä standardipäivityksiä 802.11:een • Eivät ota kantaa tietoturvaratkaisuihin

  17. WPA (1 / 2) • WPA (Wi-Fi Protected Access) • Uuden 802.11i standardin osajoukko • Toteuttaa TKIP:n, 802.1x autentikoinnin ja avaimenhallinnan • TKIP (Temporal Key Integrity Protocol) on salausprotokolla

  18. WPA (2 / 2) • WPA-PSK (WPA-Preshared Key) • PSK on ennalta jaettu avain: • 64 kpl hexadesimerkkiä eli 512 bittiä • Itse määritelty ASCII-muotoinen salasanalause, joka suojataan yksisuunta-algoritmillä

  19. 802.11i (1 / 3) • Uuden sukupolven tietoturvastandardi • RSN (Robust Security Network) • Ei ole vielä valmis • Odotettavissa hidas yleistyminen • Tunnetaan myös nimellä WPA2

  20. 802.11i (2 / 3) • RSN tuottaa vahvaa autentikointia • RSN menetelminä: • 802.1x • EAP • RADIUS • RSN:n salaustekniikka AES-lohkosalain (Advanced Encryption Standard)

  21. 802.11i (3 / 3) • TSN (Transitional Security Network) • TSN mahdollistaa RSN- ja WEP-järjestelmien käytön rinnakkain • TSN helpottaa siirtymistä 802.11i:n

  22. 802.1x (1 / 3) • Porttikohtainen (fyysinen portti esim. kytkimessä) autentikointiprotokolla • Kolme osapuolta: • Anoja, joka haluaa liittyä verkkoon • Autentikoija, joka kontrolloi pääsyä • Autentikointipalvelin (RADIUS), joka tekee autentikointipäätökset

  23. 802.1x (2 / 3) • EAP (Extensible Authentication Protocol) • PPP-protokollan yhteydessä kehitetty käyttäjien tunnistusprotokolla • IEEE sovittanut 802.1x kanssa toimivaksi • Useita todennusprotokollia, kuten EAP-SRP ja EAP-TLS

  24. 802.1x (3 / 3)

  25. VPN (1 / 2) • VPN (Virtual Private Network) • Salattu kommunikointikanava julkisen verkon yli • Lisää ylemmän tason salausta verkkoliikenteeseen

  26. VPN (2 / 2)

  27. IDS (1 / 2) • IDS (Intrusion Detection System) • Järjestelmä tunkeutumisyrityksien tunnistamiseen • Suunnattu tunnistamaan yritykset, joita palomuuri ei pysty estämään: • Datapohjaiset hyökkäykset • Virukset, troijalaiset ja muut haittaohjelmat

  28. IDS (2 / 2) • Datavirrasta tunnistetaan kuvioita, joiden perusteella päätellään tunkeutumisyritykset • Altis palvelunestohyökkäyksille (DoS) • Vaikutusalue rajoittunut lähimpään kytkimeen

  29. Käytännön tietoturvaratkaisut • Tietoturvaratkaisu tulee suhteuttaa turvattavaan tietoon • Valheellinen turvallisuuden tunne • Vastuu verkon ylläpitäjällä

  30. Käytännön tietoturvaratkaisut (koti) • WLAN yleistynyt kotikäytössä helppoutensa takia • Suositeltavia tapoja kotiverkon suojaamiseen: • SSID piilotus • MAC-suodatus • WEP-salaus ja riittävän usein vaihdetut avaimet • WPA-salaus mikäli laitteisto tukee

  31. Käytännön tietoturvaratkaisut (yritys) • Suositeltavaa lisätä tietoturvaa kerrosmallin eri tasoille: • 802.1x verkkoautentikointi • Keskitetty RADIUS-pohjainen autentikointipalvelin • VPN-tunnelointijärjestelmät • MAC-suodatus ei käytännöllistä

  32. Esimerkkiratkaisu

  33. Kotitehtävä: SARP • Autentikoitu ARP • Lisää kryptatun ARP-otsikon • Perustuu DSA:iin (Digital Signature Algorithm) • Kolmas osapuoli AKD (Authoritative Key Distributor) • Perinteisen ARP:n kanssa yhteensopiva

  34. Kotitehtävä: WPA:n toiminta (1 / 2) • Käyttää TKIP • TKIP:ssä 128 bittiset pakettikohtaiset avaimet • RC4-salausalgoritmi • Eheystarkastus MIC (Message Integrity Check), virhe => kaikkien asiakkaiden uudelleenautentikointi

  35. Kotitehtävä: WPA:n toiminta (2 / 2) • Asiakkaan autentikoituessa verkkoon tukiasema luo yksilöivän pääavainparin PMK:n (Pair-wise Master Key) • TKIP luo pakettikohtaiset avaimet PMK:n pohjalta

  36. Kotitehtävä: 802.1x-toiminta • Sallitaan aluksi liikennöinti vain autentikointipalvelimelle (EAP-protokolla) • Autentikointipalvelin hyväksyy tai hylkää asiakkaan • Hyväksytty asiakas pääsee käyttämään verkkoa normaalisti

More Related