360 likes | 519 Views
WLAN turvallisuus. Erik Taavila TiTe 3. WLAN turvallisuus. Yleistä Standardit 802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN Toteutuksesta Laitteistotuki tekniikoille Tulevaisuus Yhteenveto. WLAN turvallisuus. Yleistä Langattoman verkon luonne turvaton
E N D
WLAN turvallisuus Erik Taavila TiTe 3
WLAN turvallisuus • Yleistä • Standardit • 802.11, WEP ja SSID • 802.1x ja EAP • WPA • 802.11i eli WPA2 ja RSN • VPN • Toteutuksesta • Laitteistotuki tekniikoille • Tulevaisuus • Yhteenveto
WLAN turvallisuus • Yleistä • Langattoman verkon luonne turvaton • Verkon käytön rajaaminen • Käyttäjätunnistus • Verkon tunnistaminen • Liikenteen salaaminen • Verkon suunnittelu
WLAN turvallisuus • 802.11 • IEEE:n määritelmä on pohjana WLAN:ille • Sisältää turvaratkaisun – WEP (Wired Equivalent Privacy) • Tavoitteena oli antaa yhtäläinen suoja kuin kaapeloidulla verkolla
WLAN turvallisuus • 802.11 jatkuu • WEP sisältää useita heikkouksia • Sama salausavain koko verkolle • Ei avaimenvaihtopolitiikkaa määritelty • avaimet toteutuksissa yleensä staattisia • 24-bittinen alustusvektori
WLAN turvallisuus WEP-MPDU
WLAN turvallisuus WEP-salaus
WLAN turvallisuus • WEP:n hakkerointi • Staattinen WEP-avain, joka on käytössä kaikille yhteyksille • Lyhyt alustusvektori • Tavallisilla laitteilla ja ohjelmilla • Valmiit skriptit kuka vain osaa
WLAN turvallisuus • WEP-hakkerointi jatkuu • Paketin ensimmäinen selväkielinen tavu voidaan arvata melko suurella varmuudella • Voidaan selvittää ensimmäinen satunnaissekvenssi ensimmäisestä salatusta tavusta saadaan avaimen ensimmäisen tavut voidaan iteroida loppu avaimesta • N.5-6miljoonaa pakettia riittää
WLAN turvallisuus • SSID • Service Set Identifier • Langattoman verkon tunniste • Tukiasema mainostaa, jollei estetä • Syytä vaihtaa ja estää mainostus • Oltava, jotta voidaan muodostaa yhteys • Ei varsinainen suojaus
WLAN turvallisuus • 802.1x ja EAP • IEEE:n 802.1x perustuu IETF:n EAP:iin (Extensible Authentication Protocol) • 802.1x sisältää autentikointiprosessit • 802.1x autentikoinnissa 3 osaa • Supplikantti (WinXP sp2) • Autentikoija (Cisco AP 1231) • Autentikointipalvelin (MS IAS)
WLAN turvallisuus • 802.1x jatkuu • 802.1x yhteensopivat kytkimet ja tukiasemat toimivat autentikoijina ja vain välittävät EAP viestejä • 802.1x mahdollistaa myös salausavainten dynaamisen jakamisen
WLAN turvallisuus 802.1x autentikointi
WLAN turvallisuus • EAP • EAP on 802.1x:n autentikointikehys • Useita erilaisia EAPeja • EAP-TLS • EAP-MD5 • EAP-SIM • LEAP • PEAP • EAP-TTLS
WLAN turvallisuus • WPA • Wi-Fi Protected Access • 802.11i työryhmän esiversio • Käyttää WEPiä • Tuo mukaan tilapäiset avaimet – TKIP (Temporal Key Integrity Protocol) • Sisältää aitouden tarkistuksen – MIC (Message Integrity Code) • Mahdollistaa vanhan laitteiston käytön turvallisemmin
WLAN turvallisuus TKIP-MPDU
WLAN turvallisuus TKIP-kapsulointi
WLAN turvallisuus • 802.11i eli WPA2 ja RSN • Robust Security Network • 802.11i julkaistiin loppuvuonna 2004 • Tavoitteena taata WLAN turvallisuus • 802.11i on taaksepäin yhteensopiva TKIP:n kautta • CCMP (Counter mode/CBC-MAC Protocol)
WLAN turvallisuus • 802.11i jatkuu • Autentikointi muodostuu kättelyistä • Kättelyin vaihdetaan yhteinen salaisuus, jota käytetään lopulliseen salaukseen (supplikantti-autentikointipalvelin) • Autentikoijalle annetaan samat tiedot, jotta autentikointi voidaan toistaa uudestaan nopeammin
WLAN turvallisuus • 802.11i jatkuu • CCMP perustuu AES-salaukseen (Advanced Encryption Standardiin), joka vaatii enemmän konetehoa toimiakseen ei taaksepäin yhteensopiva
WLAN turvallisuus CCMP-MPDU
WLAN turvallisuus CCMP-kapsulointi
WLAN turvallisuus • 802.11i jatkuu • 802.1x:n luotettavuus taattava, jotta voidaan luottaa 802.11i:hen • 802.11i yhdistää tehokkaasti 802.1x autentikoinnin, CCMP:n salauksen ja kättelyin vaihdettavat salausavaimet
WLAN turvallisuus • VPN (Virtual Private Network) • VPN:n avulla voidaan luoda suojattu yhteystunneli verkkoyhteyden yli • Toimii myös WLANissa
WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • Toimintatapojen linjakkuus kaikissa toimipisteissä tehokas ympäristön hallinta • () Yhtenäinen laitekanta • Tietoturvapolitiikka määrittelee langattoman lähiverkon käyttöä
WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • Tarve standardeille ratkaisuille tai oma standardi ratkaisu yrityksen sisällä • Toteutuksessa käytännössä 2 vaihtoehtoa • VPN • WPA / WPA2 • Molemmissa tapauksissa tukiasemat sijoitetaan verkon ulkopuolelle
WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • VPN mahdollistaa etäyhteydet muualtakin • Laajassa toteutuksessa kalliit laitteet • Keskitetyn ratkaisun kaistan käyttö
WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • WPA säästää VPN:n oikeille etäyhteyksille • WPA-laitteita jo hyvin saatavilla
WLAN turvallisuus • Tietoturvaratkaisut – Teollisuus • WPA säästää VPN:n oikeille etäyhteyksille • WPA-laitteita jo hyvin saatavilla • EAP tuessa kehittämisen varaa • EAP-TLS tuetuin PKI (Public Key Infrastructure) ratkaistava • Muut EAPit saatavilla vaihtelevasti
WLAN turvallisuus • Tietoturvaratkaisut – Kotikäyttö • Kotikäyttäjän kannalta tärkeintä on suojata oma verkko luvattomalta käytöltä • MAC-tunnistuksella ja jopa WEP-salauksella, johon vaihdetaan silloin tällöin avainta voidaan estää luvaton käyttö tavallisilta harrastelijoilta
WLAN turvallisuus • Tietoturvaratkaisut – Hotspotit • Julkisia WLAN palveluita käytettäessä (WLPR.NET) on muistettava, että jos käytössä ei ole salausta kaikki liikenne on kuunneltavissa tulisi käyttää korkeamman tason suojausta kuten VPN:ää tai SSH:ta
WLAN turvallisuus • Laitteistotuki • Kaikki markkinoilla olevat laitteet tukevat WEPiä • Suurimmassa osassa on myös WPA-TKIP tuki yhden 802.1x EAP kanssa • Kuluttajien harhaanjohtaminen termistöllä
WLAN turvallisuus • Tulevaisuus ja yhteenveto • WEP salaus on rikki • WPA-TKIP antaa tarvittavan suojan • WPA2/802.11i tulevaisuudessa käytetty standardi • Käyttäjien tietotaidosta johtuvat ongelmat jatkuvat ja langattomat verkot yleistyvät