WLAN turvallisuus Erik Taavila TiTe 3. WLAN turvallisuus  Yleistä  Standardit 802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN  Toteutuksesta.

Esitys aiheesta: "WLAN turvallisuus Erik Taavila TiTe 3. WLAN turvallisuus  Yleistä  Standardit 802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN  Toteutuksesta."— Esityksen transkriptio:

1 WLAN turvallisuus Erik Taavila TiTe 3

2 WLAN turvallisuus  Yleistä  Standardit 802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN  Toteutuksesta  Laitteistotuki tekniikoille  Tulevaisuus  Yhteenveto

3 WLAN turvallisuus  Yleistä Langattoman verkon luonne turvaton Verkon käytön rajaaminen  Käyttäjätunnistus  Verkon tunnistaminen  Liikenteen salaaminen  Verkon suunnittelu

4 WLAN turvallisuus  802.11 IEEE:n määritelmä on pohjana WLAN:ille Sisältää turvaratkaisun – WEP (Wired Equivalent Privacy) Tavoitteena oli antaa yhtäläinen suoja kuin kaapeloidulla verkolla

5 WLAN turvallisuus  802.11 jatkuu WEP sisältää useita heikkouksia  Sama salausavain koko verkolle  Ei avaimenvaihtopolitiikkaa määritelty   avaimet toteutuksissa yleensä staattisia  24-bittinen alustusvektori

6 WLAN turvallisuus WEP-MPDU

7 WLAN turvallisuus WEP-salaus

8 WLAN turvallisuus  WEP:n hakkerointi Staattinen WEP-avain, joka on käytössä kaikille yhteyksille Lyhyt alustusvektori Tavallisilla laitteilla ja ohjelmilla Valmiit skriptit  kuka vain osaa

9 WLAN turvallisuus  WEP-hakkerointi jatkuu Paketin ensimmäinen selväkielinen tavu voidaan arvata melko suurella varmuudella  Voidaan selvittää ensimmäinen satunnaissekvenssi ensimmäisestä salatusta tavusta  saadaan avaimen ensimmäisen tavut  voidaan iteroida loppu avaimesta N.5-6miljoonaa pakettia riittää

10 WLAN turvallisuus  SSID Service Set Identifier Langattoman verkon tunniste Tukiasema mainostaa, jollei estetä Syytä vaihtaa ja estää mainostus Oltava, jotta voidaan muodostaa yhteys Ei varsinainen suojaus

11 WLAN turvallisuus  802.1x ja EAP IEEE:n 802.1x perustuu IETF:n EAP:iin (Extensible Authentication Protocol) 802.1x sisältää autentikointiprosessit 802.1x autentikoinnissa 3 osaa  Supplikantti (WinXP sp2)  Autentikoija (Cisco AP 1231)  Autentikointipalvelin (MS IAS)

12 WLAN turvallisuus  802.1x jatkuu 802.1x yhteensopivat kytkimet ja tukiasemat toimivat autentikoijina ja vain välittävät EAP viestejä 802.1x mahdollistaa myös salausavainten dynaamisen jakamisen

13 WLAN turvallisuus 802.1x autentikointi

14 WLAN turvallisuus  EAP EAP on 802.1x:n autentikointikehys Useita erilaisia EAPeja  EAP-TLS  EAP-MD5  EAP-SIM  LEAP  PEAP  EAP-TTLS

15 WLAN turvallisuus  WPA Wi-Fi Protected Access 802.11i työryhmän esiversio Käyttää WEPiä Tuo mukaan tilapäiset avaimet – TKIP (Temporal Key Integrity Protocol) Sisältää aitouden tarkistuksen – MIC (Message Integrity Code) Mahdollistaa vanhan laitteiston käytön turvallisemmin

16 WLAN turvallisuus TKIP-MPDU

17 WLAN turvallisuus TKIP-kapsulointi

18 WLAN turvallisuus  802.11i eli WPA2 ja RSN Robust Security Network 802.11i julkaistiin loppuvuonna 2004 Tavoitteena taata WLAN turvallisuus 802.11i on taaksepäin yhteensopiva TKIP:n kautta CCMP (Counter mode/CBC-MAC Protocol)

19 WLAN turvallisuus

20  802.11i jatkuu Autentikointi muodostuu kättelyistä Kättelyin vaihdetaan yhteinen salaisuus, jota käytetään lopulliseen salaukseen (supplikantti- autentikointipalvelin) Autentikoijalle annetaan samat tiedot, jotta autentikointi voidaan toistaa uudestaan nopeammin

21 WLAN turvallisuus  802.11i jatkuu CCMP perustuu AES-salaukseen (Advanced Encryption Standardiin), joka vaatii enemmän konetehoa toimiakseen  ei taaksepäin yhteensopiva

22 WLAN turvallisuus CCMP-MPDU

23 WLAN turvallisuus CCMP-kapsulointi

24 WLAN turvallisuus  802.11i jatkuu 802.1x:n luotettavuus taattava, jotta voidaan luottaa 802.11i:hen 802.11i yhdistää tehokkaasti 802.1x autentikoinnin, CCMP:n salauksen ja kättelyin vaihdettavat salausavaimet

25 WLAN turvallisuus  VPN (Virtual Private Network) VPN:n avulla voidaan luoda suojattu yhteystunneli verkkoyhteyden yli Toimii myös WLANissa

26 WLAN turvallisuus

27  Tietoturvaratkaisut – Teollisuus Toimintatapojen linjakkuus kaikissa toimipisteissä  tehokas ympäristön hallinta (  ) Yhtenäinen laitekanta Tietoturvapolitiikka määrittelee langattoman lähiverkon käyttöä

28 WLAN turvallisuus  Tietoturvaratkaisut – Teollisuus Tarve standardeille ratkaisuille tai oma standardi ratkaisu yrityksen sisällä Toteutuksessa käytännössä 2 vaihtoehtoa VPN WPA / WPA2 Molemmissa tapauksissa tukiasemat sijoitetaan verkon ulkopuolelle

29 WLAN turvallisuus  Tietoturvaratkaisut – Teollisuus VPN mahdollistaa etäyhteydet muualtakin Laajassa toteutuksessa kalliit laitteet Keskitetyn ratkaisun kaistan käyttö

30 WLAN turvallisuus

31  Tietoturvaratkaisut – Teollisuus WPA säästää VPN:n oikeille etäyhteyksille WPA-laitteita jo hyvin saatavilla

32 WLAN turvallisuus  Tietoturvaratkaisut – Teollisuus WPA säästää VPN:n oikeille etäyhteyksille WPA-laitteita jo hyvin saatavilla EAP tuessa kehittämisen varaa EAP-TLS tuetuin  PKI (Public Key Infrastructure) ratkaistava Muut EAPit saatavilla vaihtelevasti

33 WLAN turvallisuus  Tietoturvaratkaisut – Kotikäyttö Kotikäyttäjän kannalta tärkeintä on suojata oma verkko luvattomalta käytöltä MAC-tunnistuksella ja jopa WEP- salauksella, johon vaihdetaan silloin tällöin avainta voidaan estää luvaton käyttö tavallisilta harrastelijoilta

34 WLAN turvallisuus  Tietoturvaratkaisut – Hotspotit Julkisia WLAN palveluita käytettäessä (WLPR.NET) on muistettava, että jos käytössä ei ole salausta kaikki liikenne on kuunneltavissa  tulisi käyttää korkeamman tason suojausta kuten VPN:ää tai SSH:ta

35 WLAN turvallisuus  Laitteistotuki Kaikki markkinoilla olevat laitteet tukevat WEPiä Suurimmassa osassa on myös WPA- TKIP tuki yhden 802.1x EAP kanssa Kuluttajien harhaanjohtaminen termistöllä

36 WLAN turvallisuus  Tulevaisuus ja yhteenveto WEP salaus on rikki WPA-TKIP antaa tarvittavan suojan WPA2/802.11i tulevaisuudessa käytetty standardi Käyttäjien tietotaidosta johtuvat ongelmat jatkuvat ja langattomat verkot yleistyvät