1 / 18

WLAN ja tietoturvallisuus

WLAN ja tietoturvallisuus. Tietoturvallisuus WLAN-verkossa. Langattomissa verkoissa tietoturvallisuuteen on kiinnitettävä erityisesti huomiota Koska kaikki data liikkuu radioteitse, ulkopuolisen käyttäjän on helppo ottaa se talteen

clayton-sims
Download Presentation

WLAN ja tietoturvallisuus

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WLAN ja tietoturvallisuus

  2. Tietoturvallisuus WLAN-verkossa • Langattomissa verkoissa tietoturvallisuuteen on kiinnitettävä erityisesti huomiota • Koska kaikki data liikkuu radioteitse, ulkopuolisen käyttäjän on helppo ottaa se talteen • Salakuunteluun tarvitaan vain esimerkiksi kannettava, jossa WLAN-kortti, ja verkon kuunteluun sopiva ohjelma

  3. Uhkatekijät • Verkon salakuuntelu • Palvelunestohyökkäys • Luvattomat tukiasemat • Sosiaalinen tietomurto

  4. Verkon etsiminen (War Driving) • Helppo toteuttaa • Tarvitaan tietokone, jossa on WLAN-kortti, sekä verkkoliikenteentarkkailuun tarkoitettu ohjelmisto • Beacon-viestit kuljettavat verkonnimeä (SSID) ja kanavaa salaamattomana • Myös verkkoon liittyminen sekä poistuminen voidaan havaita

  5. Vinkki tukiaseman sijoitukseen • Jo tukiaseman sijoittamisella rakennuksessa voidaan parantaa tietoturvallisuutta • Kun tukiasemat sijoitetaan rakennuksen keskelle, muodostunut verkko saadaan rajattua rakennuksen sisälle

  6. Palvelunestohyökkäys • Lähetetään liikaa sallittuja pyyntöjä palvelimelle aiheuttaa:- puskuri ylivuodon ja kaikkien yhteyksien katkeamisen • Palvelimen ruuhkauttaminen turhilla pyynnöillä aiheuttaa: - yhteyden merkittävää hidastumista • Koska langattomissa verkoissa käytettävänä oleva kaista on pieni, on verkon ruuhkauttaminen helppoa

  7. Luvaton tukiasema • Asetetaan verkon käyttäjien sekä luvallisen tukiaseman väliin • Käytetään suuntaavaa ja suuritehoista antennia • Luvaton tukiasema tarvitsee samat tiedot kuin luvallisessa tukiasemassa

  8. Todentamis menetelmiä • Avoin todentaminen • MAC-pohjainen todentaminen • Access Controller-pohjainen todentaminen

  9. Avoin todentaminen • Kaikki pääsevät liittymään verkkoon joilla on sama verkkonimi (SSID-tunnus) käytössä • Standardin mukaan verkkoon pääsevät myös ne jotka eivät ole asettaneet mitään SSID-tunnusta • SSID:n piilottaminen ei siis ole ratkaisu pääsynvalvontaan koska se lähetetään salaamattomana beacon-viesteissä.

  10. MAC-pohjainen todentaminen • Tukiasemalla tai yhteisellä palvelimella on lista verkkoon pääsevien koneiden MAC-osoitteista • Listan ylläpito työlästä varsinkin isommilla verkoilla • MAC-osoite lähetetään jokaisessa viestissä salaamattomana, joten MAC-pohjaisen todentamisen kiertäminen on helppoa

  11. Access Controller-pohjainen todentaminen • Tässä menetelmässä verkon käyttäjä kirjautuu ensin tunnistuspalvelimelle käyttäen esimerkiksi webselainta (käyttäjätunnus / salasana) • Tunnistuspalvelimia isompiin verkkoihin ovat: - RADIUS (Remote Authentication Dial-In User Serice) palvelin - LDAP (Lightweight Directory Access Protocol) • Ei salaa liikennettä • VPN-yhteydellä suojataan liikenne tunnistuspalvelimen ja päätelaitteen välillä

  12. Todentaminen RADIUS-palvelimella • Ensin päätelaite assosioituu tukiaseman kanssa avoimella todentamisella • Tukiasema lähettää päätelaitteelle EAP-Reguest-paketin (Extensible Authentication Protocol), jossa pyydetään verkkoon pyrkivän päätelaitteen tunnistetiedot • Päätelaite vastaa lähettämällä tunnistetietonsa tukiasemalle, joka puolestaan lähettää tiedot eteenpäin RADIUS-palvelimelle • Palvelin lähettää tunnistetietojen perusteella haastepaketin johon päätelaite vastaa • Mikäli palvelin suorittaa onnistuneen todentamisen niin se lähettää EAP-Success-paketin tukiasemalle sekä päätelaitteelle • Tukiasema lähettää vielä päätelaitteelle EAPOL-Key-viestin (Extensible Authentication Protocol over LANs), jota käytetään salausavainten lähetykseen • Viesti sisältää salausavaimet tukiaseman ja päätelaitteen väliseen liikenteeseen sekä kaikille välittyvään liikenteeseen

  13. WEP • Wired Equivalent Privacy • Ensimmäinen WLAN-verkkojen salausmenetelmä • Käyttää RC4-salausalgoritmia • Salausavain syötetään käsin sekä tukiasemaan että yhteyttä ottaviin laitteisiin

  14. WEP-salauksen heikkoudet • RC4:n käyttämä salasana eli KSA koostuu jaetusta salasanasta sekä alustusvektorista • Alustusvektori on vain 24 bittiä ja se lähetetään salaamattomana • Kohtuullisen kokoisen tiedoston siirto voi käyttää samoja alustusvektoreita bittien salaamiseen • Alustusvektorien avulla voidaan selvittää käytetty salasana

  15. WPA • Korjattu WEP:n heikkouksia • Salausavainta vaihdetaan automaattisesti 10 000 paketin välein. • Käytetään TKIP-salausta (Temporal Key Integrity Protocol) • WEP hyökkäyksiä vastaan on kehitetty TSC (TKIP Sequence Counter), joka estää samojen alustusvektorien käytön useampaan kertaan.

  16. TKIP • TKIP parantaa langattoman verkon turvallisuutta huomattavasti ottamalla käyttöön pakettikohtaiset salausavaimet • TKIP salaa liikenteen RC4-algoritmilla mutta salausavaimen pituus on 128 bittiä.

  17. WPA-salauksen heikkoudet • Palvelinestohyökkäyksissä: koko verkko sulkeutuu minuutiksi, jolloin myös verkon oikeat käyttäjät jäävät ilman palvelua

  18. 802.11i (WPA2) • Tätä standardia toteuttavia ratkaisuja kutsutaan RSN-verkoiksi (Robust Security Network) • Salaukseen on käytettävissä kolme eri vaihtoehtoa TKIP, WRAP (Wireless Robust Authenticated Protocol) ja CCMP (Counter mode with Chipher-Block Chaining-Message Authentication Code Protocol) • WRAP ja CCMP käyttävät datansalaamiseen 128-bittistä AES-algoritmia (Advanced Encryption Standard).

More Related