WLAN ja tietoturvallisuus
Tietoturvallisuus WLAN-verkossa Langattomissa verkoissa tietoturvallisuuteen on kiinnitettävä erityisesti huomiota Koska kaikki data liikkuu radioteitse, ulkopuolisen käyttäjän on helppo ottaa se talteen Salakuunteluun tarvitaan vain esimerkiksi kannettava, jossa WLAN-kortti, ja verkon kuunteluun sopiva ohjelma
Uhkatekijät Verkon salakuuntelu Palvelunestohyökkäys Luvattomat tukiasemat Sosiaalinen tietomurto
Verkon etsiminen (War Driving) Helppo toteuttaa Tarvitaan tietokone, jossa on WLAN-kortti, sekä verkkoliikenteentarkkailuun tarkoitettu ohjelmisto Beacon-viestit kuljettavat verkonnimeä (SSID) ja kanavaa salaamattomana Myös verkkoon liittyminen sekä poistuminen voidaan havaita
Vinkki tukiaseman sijoitukseen Jo tukiaseman sijoittamisella rakennuksessa voidaan parantaa tietoturvallisuutta Kun tukiasemat sijoitetaan rakennuksen keskelle, muodostunut verkko saadaan rajattua rakennuksen sisälle
Palvelunestohyökkäys Lähetetään liikaa sallittuja pyyntöjä palvelimelle aiheuttaa: - puskuri ylivuodon ja kaikkien yhteyksien katkeamisen Palvelimen ruuhkauttaminen turhilla pyynnöillä aiheuttaa: - yhteyden merkittävää hidastumista Koska langattomissa verkoissa käytettävänä oleva kaista on pieni, on verkon ruuhkauttaminen helppoa
Luvaton tukiasema Asetetaan verkon käyttäjien sekä luvallisen tukiaseman väliin Käytetään suuntaavaa ja suuritehoista antennia Luvaton tukiasema tarvitsee samat tiedot kuin luvallisessa tukiasemassa
Todentamis menetelmiä Avoin todentaminen MAC-pohjainen todentaminen Access Controller-pohjainen todentaminen
Avoin todentaminen Kaikki pääsevät liittymään verkkoon joilla on sama verkkonimi (SSID-tunnus) käytössä Standardin mukaan verkkoon pääsevät myös ne jotka eivät ole asettaneet mitään SSID-tunnusta SSID:n piilottaminen ei siis ole ratkaisu pääsynvalvontaan koska se lähetetään salaamattomana beacon-viesteissä.
MAC-pohjainen todentaminen Tukiasemalla tai yhteisellä palvelimella on lista verkkoon pääsevien koneiden MAC-osoitteista Listan ylläpito työlästä varsinkin isommilla verkoilla MAC-osoite lähetetään jokaisessa viestissä salaamattomana, joten MAC-pohjaisen todentamisen kiertäminen on helppoa
Access Controller-pohjainen todentaminen Tässä menetelmässä verkon käyttäjä kirjautuu ensin tunnistuspalvelimelle käyttäen esimerkiksi webselainta (käyttäjätunnus / salasana) Tunnistuspalvelimia isompiin verkkoihin ovat: - RADIUS (Remote Authentication Dial-In User Serice) palvelin - LDAP (Lightweight Directory Access Protocol) Ei salaa liikennettä VPN-yhteydellä suojataan liikenne tunnistuspalvelimen ja päätelaitteen välillä
Todentaminen RADIUS-palvelimella Ensin päätelaite assosioituu tukiaseman kanssa avoimella todentamisella Tukiasema lähettää päätelaitteelle EAP-Reguest-paketin (Extensible Authentication Protocol), jossa pyydetään verkkoon pyrkivän päätelaitteen tunnistetiedot Päätelaite vastaa lähettämällä tunnistetietonsa tukiasemalle, joka puolestaan lähettää tiedot eteenpäin RADIUS-palvelimelle Palvelin lähettää tunnistetietojen perusteella haastepaketin johon päätelaite vastaa Mikäli palvelin suorittaa onnistuneen todentamisen niin se lähettää EAP-Success-paketin tukiasemalle sekä päätelaitteelle Tukiasema lähettää vielä päätelaitteelle EAPOL-Key-viestin (Extensible Authentication Protocol over LANs), jota käytetään salausavainten lähetykseen Viesti sisältää salausavaimet tukiaseman ja päätelaitteen väliseen liikenteeseen sekä kaikille välittyvään liikenteeseen
WEP Wired Equivalent Privacy Ensimmäinen WLAN-verkkojen salausmenetelmä Käyttää RC4-salausalgoritmia Salausavain syötetään käsin sekä tukiasemaan että yhteyttä ottaviin laitteisiin
WEP-salauksen heikkoudet RC4:n käyttämä salasana eli KSA koostuu jaetusta salasanasta sekä alustusvektorista Alustusvektori on vain 24 bittiä ja se lähetetään salaamattomana Kohtuullisen kokoisen tiedoston siirto voi käyttää samoja alustusvektoreita bittien salaamiseen Alustusvektorien avulla voidaan selvittää käytetty salasana
WPA Korjattu WEP:n heikkouksia Salausavainta vaihdetaan automaattisesti 10 000 paketin välein. Käytetään TKIP-salausta (Temporal Key Integrity Protocol) WEP hyökkäyksiä vastaan on kehitetty TSC (TKIP Sequence Counter), joka estää samojen alustusvektorien käytön useampaan kertaan.
TKIP TKIP parantaa langattoman verkon turvallisuutta huomattavasti ottamalla käyttöön pakettikohtaiset salausavaimet TKIP salaa liikenteen RC4-algoritmilla mutta salausavaimen pituus on 128 bittiä.
WPA-salauksen heikkoudet Palvelinestohyökkäyksissä: koko verkko sulkeutuu minuutiksi, jolloin myös verkon oikeat käyttäjät jäävät ilman palvelua
802.11i (WPA2) Tätä standardia toteuttavia ratkaisuja kutsutaan RSN-verkoiksi (Robust Security Network) Salaukseen on käytettävissä kolme eri vaihtoehtoa TKIP, WRAP (Wireless Robust Authenticated Protocol) ja CCMP (Counter mode with Chipher-Block Chaining-Message Authentication Code Protocol) WRAP ja CCMP käyttävät datansalaamiseen 128-bittistä AES-algoritmia (Advanced Encryption Standard).