WLAN turvallisuus Erik Taavila TiTe 3
WLAN turvallisuus Yleistä Standardit , WEP ja SSID 802.1x ja EAP WPA i eli WPA2 ja RSN VPN Toteutuksesta Laitteistotuki tekniikoille Tulevaisuus Yhteenveto
WLAN turvallisuus Yleistä Langattoman verkon luonne turvaton Verkon käytön rajaaminen Käyttäjätunnistus Verkon tunnistaminen Liikenteen salaaminen Verkon suunnittelu
WLAN turvallisuus IEEE:n määritelmä on pohjana WLAN:ille Sisältää turvaratkaisun – WEP (Wired Equivalent Privacy) Tavoitteena oli antaa yhtäläinen suoja kuin kaapeloidulla verkolla
WLAN turvallisuus jatkuu WEP sisältää useita heikkouksia Sama salausavain koko verkolle Ei avaimenvaihtopolitiikkaa määritelty avaimet toteutuksissa yleensä staattisia 24-bittinen alustusvektori
WLAN turvallisuus WEP-MPDU
WLAN turvallisuus WEP-salaus
WLAN turvallisuus WEP:n hakkerointi Staattinen WEP-avain, joka on käytössä kaikille yhteyksille Lyhyt alustusvektori Tavallisilla laitteilla ja ohjelmilla Valmiit skriptit kuka vain osaa
WLAN turvallisuus WEP-hakkerointi jatkuu Paketin ensimmäinen selväkielinen tavu voidaan arvata melko suurella varmuudella Voidaan selvittää ensimmäinen satunnaissekvenssi ensimmäisestä salatusta tavusta saadaan avaimen ensimmäisen tavut voidaan iteroida loppu avaimesta N.5-6miljoonaa pakettia riittää
WLAN turvallisuus SSID Service Set Identifier Langattoman verkon tunniste Tukiasema mainostaa, jollei estetä Syytä vaihtaa ja estää mainostus Oltava, jotta voidaan muodostaa yhteys Ei varsinainen suojaus
WLAN turvallisuus 802.1x ja EAP IEEE:n 802.1x perustuu IETF:n EAP:iin (Extensible Authentication Protocol) 802.1x sisältää autentikointiprosessit 802.1x autentikoinnissa 3 osaa Supplikantti (WinXP sp2) Autentikoija (Cisco AP 1231) Autentikointipalvelin (MS IAS)
WLAN turvallisuus 802.1x jatkuu 802.1x yhteensopivat kytkimet ja tukiasemat toimivat autentikoijina ja vain välittävät EAP viestejä 802.1x mahdollistaa myös salausavainten dynaamisen jakamisen
WLAN turvallisuus 802.1x autentikointi
WLAN turvallisuus EAP EAP on 802.1x:n autentikointikehys Useita erilaisia EAPeja EAP-TLS EAP-MD5 EAP-SIM LEAP PEAP EAP-TTLS
WLAN turvallisuus WPA Wi-Fi Protected Access i työryhmän esiversio Käyttää WEPiä Tuo mukaan tilapäiset avaimet – TKIP (Temporal Key Integrity Protocol) Sisältää aitouden tarkistuksen – MIC (Message Integrity Code) Mahdollistaa vanhan laitteiston käytön turvallisemmin
WLAN turvallisuus TKIP-MPDU
WLAN turvallisuus TKIP-kapsulointi
WLAN turvallisuus i eli WPA2 ja RSN Robust Security Network i julkaistiin loppuvuonna 2004 Tavoitteena taata WLAN turvallisuus i on taaksepäin yhteensopiva TKIP:n kautta CCMP (Counter mode/CBC-MAC Protocol)
WLAN turvallisuus
i jatkuu Autentikointi muodostuu kättelyistä Kättelyin vaihdetaan yhteinen salaisuus, jota käytetään lopulliseen salaukseen (supplikantti- autentikointipalvelin) Autentikoijalle annetaan samat tiedot, jotta autentikointi voidaan toistaa uudestaan nopeammin
WLAN turvallisuus i jatkuu CCMP perustuu AES-salaukseen (Advanced Encryption Standardiin), joka vaatii enemmän konetehoa toimiakseen ei taaksepäin yhteensopiva
WLAN turvallisuus CCMP-MPDU
WLAN turvallisuus CCMP-kapsulointi
WLAN turvallisuus i jatkuu 802.1x:n luotettavuus taattava, jotta voidaan luottaa i:hen i yhdistää tehokkaasti 802.1x autentikoinnin, CCMP:n salauksen ja kättelyin vaihdettavat salausavaimet
WLAN turvallisuus VPN (Virtual Private Network) VPN:n avulla voidaan luoda suojattu yhteystunneli verkkoyhteyden yli Toimii myös WLANissa
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus Toimintatapojen linjakkuus kaikissa toimipisteissä tehokas ympäristön hallinta ( ) Yhtenäinen laitekanta Tietoturvapolitiikka määrittelee langattoman lähiverkon käyttöä
WLAN turvallisuus Tietoturvaratkaisut – Teollisuus Tarve standardeille ratkaisuille tai oma standardi ratkaisu yrityksen sisällä Toteutuksessa käytännössä 2 vaihtoehtoa VPN WPA / WPA2 Molemmissa tapauksissa tukiasemat sijoitetaan verkon ulkopuolelle
WLAN turvallisuus Tietoturvaratkaisut – Teollisuus VPN mahdollistaa etäyhteydet muualtakin Laajassa toteutuksessa kalliit laitteet Keskitetyn ratkaisun kaistan käyttö
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus WPA säästää VPN:n oikeille etäyhteyksille WPA-laitteita jo hyvin saatavilla
WLAN turvallisuus Tietoturvaratkaisut – Teollisuus WPA säästää VPN:n oikeille etäyhteyksille WPA-laitteita jo hyvin saatavilla EAP tuessa kehittämisen varaa EAP-TLS tuetuin PKI (Public Key Infrastructure) ratkaistava Muut EAPit saatavilla vaihtelevasti
WLAN turvallisuus Tietoturvaratkaisut – Kotikäyttö Kotikäyttäjän kannalta tärkeintä on suojata oma verkko luvattomalta käytöltä MAC-tunnistuksella ja jopa WEP- salauksella, johon vaihdetaan silloin tällöin avainta voidaan estää luvaton käyttö tavallisilta harrastelijoilta
WLAN turvallisuus Tietoturvaratkaisut – Hotspotit Julkisia WLAN palveluita käytettäessä (WLPR.NET) on muistettava, että jos käytössä ei ole salausta kaikki liikenne on kuunneltavissa tulisi käyttää korkeamman tason suojausta kuten VPN:ää tai SSH:ta
WLAN turvallisuus Laitteistotuki Kaikki markkinoilla olevat laitteet tukevat WEPiä Suurimmassa osassa on myös WPA- TKIP tuki yhden 802.1x EAP kanssa Kuluttajien harhaanjohtaminen termistöllä
WLAN turvallisuus Tulevaisuus ja yhteenveto WEP salaus on rikki WPA-TKIP antaa tarvittavan suojan WPA2/802.11i tulevaisuudessa käytetty standardi Käyttäjien tietotaidosta johtuvat ongelmat jatkuvat ja langattomat verkot yleistyvät