Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

WLAN ja tietoturvallisuus

Samankaltaiset esitykset


Esitys aiheesta: "WLAN ja tietoturvallisuus"— Esityksen transkriptio:

1 WLAN ja tietoturvallisuus

2 Tietoturvallisuus WLAN-verkossa
Langattomissa verkoissa tietoturvallisuuteen on kiinnitettävä erityisesti huomiota Koska kaikki data liikkuu radioteitse, ulkopuolisen käyttäjän on helppo ottaa se talteen Salakuunteluun tarvitaan vain esimerkiksi kannettava, jossa WLAN-kortti, ja verkon kuunteluun sopiva ohjelma

3 Uhkatekijät Verkon salakuuntelu Palvelunestohyökkäys
Luvattomat tukiasemat Sosiaalinen tietomurto

4 Verkon etsiminen (War Driving)
Helppo toteuttaa Tarvitaan tietokone, jossa on WLAN-kortti, sekä verkkoliikenteentarkkailuun tarkoitettu ohjelmisto Beacon-viestit kuljettavat verkonnimeä (SSID) ja kanavaa salaamattomana Myös verkkoon liittyminen sekä poistuminen voidaan havaita

5 Vinkki tukiaseman sijoitukseen
Jo tukiaseman sijoittamisella rakennuksessa voidaan parantaa tietoturvallisuutta Kun tukiasemat sijoitetaan rakennuksen keskelle, muodostunut verkko saadaan rajattua rakennuksen sisälle

6 Palvelunestohyökkäys
Lähetetään liikaa sallittuja pyyntöjä palvelimelle aiheuttaa: - puskuri ylivuodon ja kaikkien yhteyksien katkeamisen Palvelimen ruuhkauttaminen turhilla pyynnöillä aiheuttaa: - yhteyden merkittävää hidastumista Koska langattomissa verkoissa käytettävänä oleva kaista on pieni, on verkon ruuhkauttaminen helppoa

7 Luvaton tukiasema Asetetaan verkon käyttäjien sekä luvallisen tukiaseman väliin Käytetään suuntaavaa ja suuritehoista antennia Luvaton tukiasema tarvitsee samat tiedot kuin luvallisessa tukiasemassa

8 Todentamis menetelmiä
Avoin todentaminen MAC-pohjainen todentaminen Access Controller-pohjainen todentaminen

9 Avoin todentaminen Kaikki pääsevät liittymään verkkoon joilla on sama verkkonimi (SSID-tunnus) käytössä Standardin mukaan verkkoon pääsevät myös ne jotka eivät ole asettaneet mitään SSID-tunnusta SSID:n piilottaminen ei siis ole ratkaisu pääsynvalvontaan koska se lähetetään salaamattomana beacon-viesteissä.

10 MAC-pohjainen todentaminen
Tukiasemalla tai yhteisellä palvelimella on lista verkkoon pääsevien koneiden MAC-osoitteista Listan ylläpito työlästä varsinkin isommilla verkoilla MAC-osoite lähetetään jokaisessa viestissä salaamattomana, joten MAC-pohjaisen todentamisen kiertäminen on helppoa

11 Access Controller-pohjainen todentaminen
Tässä menetelmässä verkon käyttäjä kirjautuu ensin tunnistuspalvelimelle käyttäen esimerkiksi webselainta (käyttäjätunnus / salasana) Tunnistuspalvelimia isompiin verkkoihin ovat: - RADIUS (Remote Authentication Dial-In User Serice) palvelin - LDAP (Lightweight Directory Access Protocol) Ei salaa liikennettä VPN-yhteydellä suojataan liikenne tunnistuspalvelimen ja päätelaitteen välillä

12 Todentaminen RADIUS-palvelimella
Ensin päätelaite assosioituu tukiaseman kanssa avoimella todentamisella Tukiasema lähettää päätelaitteelle EAP-Reguest-paketin (Extensible Authentication Protocol), jossa pyydetään verkkoon pyrkivän päätelaitteen tunnistetiedot Päätelaite vastaa lähettämällä tunnistetietonsa tukiasemalle, joka puolestaan lähettää tiedot eteenpäin RADIUS-palvelimelle Palvelin lähettää tunnistetietojen perusteella haastepaketin johon päätelaite vastaa Mikäli palvelin suorittaa onnistuneen todentamisen niin se lähettää EAP-Success-paketin tukiasemalle sekä päätelaitteelle Tukiasema lähettää vielä päätelaitteelle EAPOL-Key-viestin (Extensible Authentication Protocol over LANs), jota käytetään salausavainten lähetykseen Viesti sisältää salausavaimet tukiaseman ja päätelaitteen väliseen liikenteeseen sekä kaikille välittyvään liikenteeseen

13 WEP Wired Equivalent Privacy
Ensimmäinen WLAN-verkkojen salausmenetelmä Käyttää RC4-salausalgoritmia Salausavain syötetään käsin sekä tukiasemaan että yhteyttä ottaviin laitteisiin

14 WEP-salauksen heikkoudet
RC4:n käyttämä salasana eli KSA koostuu jaetusta salasanasta sekä alustusvektorista Alustusvektori on vain 24 bittiä ja se lähetetään salaamattomana Kohtuullisen kokoisen tiedoston siirto voi käyttää samoja alustusvektoreita bittien salaamiseen Alustusvektorien avulla voidaan selvittää käytetty salasana

15 WPA Korjattu WEP:n heikkouksia
Salausavainta vaihdetaan automaattisesti paketin välein. Käytetään TKIP-salausta (Temporal Key Integrity Protocol) WEP hyökkäyksiä vastaan on kehitetty TSC (TKIP Sequence Counter), joka estää samojen alustusvektorien käytön useampaan kertaan.

16 TKIP TKIP parantaa langattoman verkon turvallisuutta huomattavasti ottamalla käyttöön pakettikohtaiset salausavaimet TKIP salaa liikenteen RC4-algoritmilla mutta salausavaimen pituus on 128 bittiä.

17 WPA-salauksen heikkoudet
Palvelinestohyökkäyksissä: koko verkko sulkeutuu minuutiksi, jolloin myös verkon oikeat käyttäjät jäävät ilman palvelua

18 802.11i (WPA2) Tätä standardia toteuttavia ratkaisuja kutsutaan RSN-verkoiksi (Robust Security Network) Salaukseen on käytettävissä kolme eri vaihtoehtoa TKIP, WRAP (Wireless Robust Authenticated Protocol) ja CCMP (Counter mode with Chipher-Block Chaining-Message Authentication Code Protocol) WRAP ja CCMP käyttävät datansalaamiseen 128-bittistä AES-algoritmia (Advanced Encryption Standard).


Lataa ppt "WLAN ja tietoturvallisuus"

Samankaltaiset esitykset


Iklan oleh Google