1 / 36

WLAN turvallisuus

WLAN turvallisuus. Erik Taavila TiTe 3. WLAN turvallisuus. Yleistä Standardit 802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN Toteutuksesta Laitteistotuki tekniikoille Tulevaisuus Yhteenveto. WLAN turvallisuus. Yleistä Langattoman verkon luonne turvaton

zaria
Download Presentation

WLAN turvallisuus

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WLAN turvallisuus Erik Taavila TiTe 3

  2. WLAN turvallisuus • Yleistä • Standardit • 802.11, WEP ja SSID • 802.1x ja EAP • WPA • 802.11i eli WPA2 ja RSN • VPN • Toteutuksesta • Laitteistotuki tekniikoille • Tulevaisuus • Yhteenveto

  3. WLAN turvallisuus • Yleistä • Langattoman verkon luonne turvaton • Verkon käytön rajaaminen • Käyttäjätunnistus • Verkon tunnistaminen • Liikenteen salaaminen • Verkon suunnittelu

  4. WLAN turvallisuus • 802.11 • IEEE:n määritelmä on pohjana WLAN:ille • Sisältää turvaratkaisun – WEP (Wired Equivalent Privacy) • Tavoitteena oli antaa yhtäläinen suoja kuin kaapeloidulla verkolla

  5. WLAN turvallisuus • 802.11 jatkuu • WEP sisältää useita heikkouksia • Sama salausavain koko verkolle • Ei avaimenvaihtopolitiikkaa määritelty •  avaimet toteutuksissa yleensä staattisia • 24-bittinen alustusvektori

  6. WLAN turvallisuus WEP-MPDU

  7. WLAN turvallisuus WEP-salaus

  8. WLAN turvallisuus • WEP:n hakkerointi • Staattinen WEP-avain, joka on käytössä kaikille yhteyksille • Lyhyt alustusvektori • Tavallisilla laitteilla ja ohjelmilla • Valmiit skriptit  kuka vain osaa

  9. WLAN turvallisuus • WEP-hakkerointi jatkuu • Paketin ensimmäinen selväkielinen tavu voidaan arvata melko suurella varmuudella •  Voidaan selvittää ensimmäinen satunnaissekvenssi ensimmäisestä salatusta tavusta  saadaan avaimen ensimmäisen tavut  voidaan iteroida loppu avaimesta • N.5-6miljoonaa pakettia riittää

  10. WLAN turvallisuus • SSID • Service Set Identifier • Langattoman verkon tunniste • Tukiasema mainostaa, jollei estetä • Syytä vaihtaa ja estää mainostus • Oltava, jotta voidaan muodostaa yhteys • Ei varsinainen suojaus

  11. WLAN turvallisuus • 802.1x ja EAP • IEEE:n 802.1x perustuu IETF:n EAP:iin (Extensible Authentication Protocol) • 802.1x sisältää autentikointiprosessit • 802.1x autentikoinnissa 3 osaa • Supplikantti (WinXP sp2) • Autentikoija (Cisco AP 1231) • Autentikointipalvelin (MS IAS)

  12. WLAN turvallisuus • 802.1x jatkuu • 802.1x yhteensopivat kytkimet ja tukiasemat toimivat autentikoijina ja vain välittävät EAP viestejä • 802.1x mahdollistaa myös salausavainten dynaamisen jakamisen

  13. WLAN turvallisuus 802.1x autentikointi

  14. WLAN turvallisuus • EAP • EAP on 802.1x:n autentikointikehys • Useita erilaisia EAPeja • EAP-TLS • EAP-MD5 • EAP-SIM • LEAP • PEAP • EAP-TTLS

  15. WLAN turvallisuus • WPA • Wi-Fi Protected Access • 802.11i työryhmän esiversio • Käyttää WEPiä • Tuo mukaan tilapäiset avaimet – TKIP (Temporal Key Integrity Protocol) • Sisältää aitouden tarkistuksen – MIC (Message Integrity Code) • Mahdollistaa vanhan laitteiston käytön turvallisemmin

  16. WLAN turvallisuus TKIP-MPDU

  17. WLAN turvallisuus TKIP-kapsulointi

  18. WLAN turvallisuus • 802.11i eli WPA2 ja RSN • Robust Security Network • 802.11i julkaistiin loppuvuonna 2004 • Tavoitteena taata WLAN turvallisuus • 802.11i on taaksepäin yhteensopiva TKIP:n kautta • CCMP (Counter mode/CBC-MAC Protocol)

  19. WLAN turvallisuus

  20. WLAN turvallisuus • 802.11i jatkuu • Autentikointi muodostuu kättelyistä • Kättelyin vaihdetaan yhteinen salaisuus, jota käytetään lopulliseen salaukseen (supplikantti-autentikointipalvelin) • Autentikoijalle annetaan samat tiedot, jotta autentikointi voidaan toistaa uudestaan nopeammin

  21. WLAN turvallisuus • 802.11i jatkuu • CCMP perustuu AES-salaukseen (Advanced Encryption Standardiin), joka vaatii enemmän konetehoa toimiakseen  ei taaksepäin yhteensopiva

  22. WLAN turvallisuus CCMP-MPDU

  23. WLAN turvallisuus CCMP-kapsulointi

  24. WLAN turvallisuus • 802.11i jatkuu • 802.1x:n luotettavuus taattava, jotta voidaan luottaa 802.11i:hen • 802.11i yhdistää tehokkaasti 802.1x autentikoinnin, CCMP:n salauksen ja kättelyin vaihdettavat salausavaimet

  25. WLAN turvallisuus • VPN (Virtual Private Network) • VPN:n avulla voidaan luoda suojattu yhteystunneli verkkoyhteyden yli • Toimii myös WLANissa

  26. WLAN turvallisuus

  27. WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • Toimintatapojen linjakkuus kaikissa toimipisteissä  tehokas ympäristön hallinta • () Yhtenäinen laitekanta • Tietoturvapolitiikka määrittelee langattoman lähiverkon käyttöä

  28. WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • Tarve standardeille ratkaisuille tai oma standardi ratkaisu yrityksen sisällä • Toteutuksessa käytännössä 2 vaihtoehtoa • VPN • WPA / WPA2 • Molemmissa tapauksissa tukiasemat sijoitetaan verkon ulkopuolelle

  29. WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • VPN mahdollistaa etäyhteydet muualtakin • Laajassa toteutuksessa kalliit laitteet • Keskitetyn ratkaisun kaistan käyttö

  30. WLAN turvallisuus

  31. WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • WPA säästää VPN:n oikeille etäyhteyksille • WPA-laitteita jo hyvin saatavilla

  32. WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • WPA säästää VPN:n oikeille etäyhteyksille • WPA-laitteita jo hyvin saatavilla • EAP tuessa kehittämisen varaa • EAP-TLS tuetuin  PKI (Public Key Infrastructure) ratkaistava • Muut EAPit saatavilla vaihtelevasti

  33. WLAN turvallisuus • Tietoturvaratkaisut – Kotikäyttö • Kotikäyttäjän kannalta tärkeintä on suojata oma verkko luvattomalta käytöltä • MAC-tunnistuksella ja jopa WEP-salauksella, johon vaihdetaan silloin tällöin avainta voidaan estää luvaton käyttö tavallisilta harrastelijoilta

  34. WLAN turvallisuus • Tietoturvaratkaisut – Hotspotit • Julkisia WLAN palveluita käytettäessä (WLPR.NET) on muistettava, että jos käytössä ei ole salausta kaikki liikenne on kuunneltavissa  tulisi käyttää korkeamman tason suojausta kuten VPN:ää tai SSH:ta

  35. WLAN turvallisuus • Laitteistotuki • Kaikki markkinoilla olevat laitteet tukevat WEPiä • Suurimmassa osassa on myös WPA-TKIP tuki yhden 802.1x EAP kanssa • Kuluttajien harhaanjohtaminen termistöllä

  36. WLAN turvallisuus • Tulevaisuus ja yhteenveto • WEP salaus on rikki • WPA-TKIP antaa tarvittavan suojan • WPA2/802.11i tulevaisuudessa käytetty standardi • Käyttäjien tietotaidosta johtuvat ongelmat jatkuvat ja langattomat verkot yleistyvät

More Related