Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

WLAN - Turvallisuus Teemu Niemelä Petri Airaksinen Ti5316800 Lähiverkot - erikoistyökurssi.

JulkaistuTimo-Jaakko Korhonen Muutettu yli 8 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "WLAN - Turvallisuus Teemu Niemelä Petri Airaksinen Ti5316800 Lähiverkot - erikoistyökurssi."— Esityksen transkriptio:

1 WLAN - Turvallisuus Teemu Niemelä Petri Airaksinen Ti5316800 Lähiverkot - erikoistyökurssi

2 WLAN - lyhyesti Wireless Local Area Network Radiotekniikkaan perustuva toimistoverkko 802.11 / Hiperlan Wi-Fi

3 Turvallisuus Ei fyysistä johdotusta Liikenteen monitorointi Käyttö ilman oikeutta VälistävetohyökkäysPalvelunestohyökkäys

4 Liikenteen monitorointi Oletuksena salaamaton tietoliikenne Ulkopuolinen taho pyrkii saamaan tietoa seuraamalla verkon liikennettä Käyttäjätunnukset, salasanat, luottokorttitiedot AirMagnet, AirPeek Ratkaisuna kryptografia

5 Käyttö ilman oikeutta Riittää, kun ollaan suojaamattoman verkon kantaman sisällä Rogue Access Point Ratkaisuna autentikointimenetelmät: käyttäjä / verkkolaite

6 Välistävetohyökkäys engl. Man-in-the-Middle Attack Perustuu ARP-protokollan käyttöön ARP sitoo verkko-osoitteen IP- osoitteeseen Hyökkääjä ohjaa liikenteen oman laitteensa kautta Ratkaisuna SARP (Secure Address Resolution Protocol)

7 Palvelunestohyökkäys DoS – Denial of Service Pyrkii lamauttamaan verkon Tyyppillisesti tulvitetaan turhilla verkkopaketeilla Myös radiohäirintää Ratkaisuna pakettitulvaan IDS-järjestelmät Radiohäirintään ei tietoteknistä ratkaisua

8 Standardit johdanto 802.11 yleistynyt Hiperlan eurooppalainen standardi, ei yleistynyt Tämä työ keskittyy 802.11- standardiperheeseen

9 IEEE 802.11 Määrittelee kaksi tietoturvaratkaisua SSID (Service Set Identifier, ESSID) eli Network Name (NN) WEP (Wired Equivalent Privacy)

10 SSID Pääsynvalvonta alkeellisella tasolla. SSID (ESSID tai NN) toimii verkon nimenä Asiakkaan tiedettävä voidakseen liittyä verkkoon. Voidaan myös muodostaa ”suljettu” systeemi (nimeä ei broadcast-lähetetä). Ei juurikaan lisää tietoturvaa

11 WEP (1 / 3) Siirtoyhteyskerroksen salausmekanismi Ei ole pakollinen WLAN –verkossa. Salaus on symmetrinen, samaa avainta käytetään sekä salaukseen että purkamiseen Yleensä yhteinen avain kaikille verkon asiakkaille.

12 WEP (2 / 3) WEP:n tarkoitus: 1. Pääsynvalvonta: Estetään verkkoon pääsy salasanaa (WEP -avainta) tuntemattomilta. 2. Yksityisyys: Suojataan data salaamalla WEP - avaimella 3. Datan eheys: Estetään datan korruptoituminen CRC-32 tarkistussummalla

13 WEP (3 / 3) Avain 40 bittiä Pohjautuu RC4 –jonosalaukseen Voidaan käyttää neljää avainta lähetys/vastaanotto 40 bittiä. Avaimet yhteisiä kaikille Verkon turvallisuus vaatii: Ei salaamatonta liikennettä ja ainoastaan pitkät avaimet

14 802.11 puutteet WEP riittämätön takaamaan tietoturvan WEP ei kata koko tiedonsiirtoa vaan rajoittuu turvaamaan datapakettien tietoa WEP-salaus purettavissa hyvin helposti ”kotikonstein” RC4-salausalgoritmi, vain 40 bittinen avain

15 Asiakkaan autentikointi Asiakkaan autentikoimiseen kolme tapaa: 1. 1. Avoin (Salaamaton) autentikaatio 2. 2. Jaetun avaimen (Salattu) autentikaatio 3. 3. MAC –osoitteisiin pohjautuva todennus

16 802.11 a/b/g Nopeutta lisääviä standardipäivityksiä 802.11:een Eivät ota kantaa tietoturvaratkaisuihin

17 WPA (1 / 2) WPA (Wi-Fi Protected Access) Uuden 802.11i standardin osajoukko Toteuttaa TKIP:n, 802.1x autentikoinnin ja avaimenhallinnan TKIP (Temporal Key Integrity Protocol) on salausprotokolla

18 WPA (2 / 2) WPA-PSK (WPA-Preshared Key) PSK on ennalta jaettu avain: 1. 64 kpl hexadesimerkkiä eli 512 bittiä 2. Itse määritelty ASCII-muotoinen salasanalause, joka suojataan yksisuunta-algoritmillä

19 802.11i (1 / 3) Uuden sukupolven tietoturvastandardi RSN (Robust Security Network) Ei ole vielä valmis Odotettavissa hidas yleistyminen Tunnetaan myös nimellä WPA2

20 802.11i (2 / 3) RSN tuottaa vahvaa autentikointia RSN menetelminä: 1. 802.1x 2. EAP 3. RADIUS RSN:n salaustekniikka AES-lohkosalain (Advanced Encryption Standard)

21 802.11i (3 / 3) TSN (Transitional Security Network) TSN mahdollistaa RSN- ja WEP- järjestelmien käytön rinnakkain TSN helpottaa siirtymistä 802.11i:n

22 802.1x (1 / 3) Porttikohtainen (fyysinen portti esim. kytkimessä) autentikointiprotokolla Kolme osapuolta: 1. Anoja, joka haluaa liittyä verkkoon 2. Autentikoija, joka kontrolloi pääsyä 3. Autentikointipalvelin (RADIUS), joka tekee autentikointipäätökset

23 802.1x (2 / 3) EAP (Extensible Authentication Protocol) PPP-protokollan yhteydessä kehitetty käyttäjien tunnistusprotokolla IEEE sovittanut 802.1x kanssa toimivaksi Useita todennusprotokollia, kuten EAP- SRP ja EAP-TLS

24 802.1x (3 / 3)

25 VPN (1 / 2) VPN (Virtual Private Network) Salattu kommunikointikanava julkisen verkon yli Lisää ylemmän tason salausta verkkoliikenteeseen

26 VPN (2 / 2)

27 IDS (1 / 2) IDS (Intrusion Detection System) Järjestelmä tunkeutumisyrityksien tunnistamiseen Suunnattu tunnistamaan yritykset, joita palomuuri ei pysty estämään: 1. Datapohjaiset hyökkäykset 2. Virukset, troijalaiset ja muut haittaohjelmat

28 IDS (2 / 2) Datavirrasta tunnistetaan kuvioita, joiden perusteella päätellään tunkeutumisyritykset Altis palvelunestohyökkäyksille (DoS) Vaikutusalue rajoittunut lähimpään kytkimeen

29 Käytännön tietoturvaratkaisut Tietoturvaratkaisu tulee suhteuttaa turvattavaan tietoon Valheellinen turvallisuuden tunne Vastuu verkon ylläpitäjällä

30 Käytännön tietoturvaratkaisut (koti) WLAN yleistynyt kotikäytössä helppoutensa takia Suositeltavia tapoja kotiverkon suojaamiseen: 1. SSID piilotus 2. MAC-suodatus 3. WEP-salaus ja riittävän usein vaihdetut avaimet 4. WPA-salaus mikäli laitteisto tukee

31 Käytännön tietoturvaratkaisut (yritys) Suositeltavaa lisätä tietoturvaa kerrosmallin eri tasoille: 1. 802.1x verkkoautentikointi 2. Keskitetty RADIUS-pohjainen autentikointipalvelin 3. VPN-tunnelointijärjestelmät MAC-suodatus ei käytännöllistä

32 Esimerkkiratkaisu KotiPieni yritys tai kotitoimistoSuuri yritys fyysinen tasoverkkokantaman optimointi kiinteistön alueelle verkkotasoMAC- listat MAC-listat, SSID piilotusSSID piilotus, Secure ARP verkkolaite- autentikointi 802.1x, mikäli uhka ”Rogue- asennukseen” on olemassa 802.1x perusturvaWPA- PSK RADIUS-WPA Single Sign On liikenteen salaus VPN tapauksesta riippuenVPN

33 Kotitehtävä: SARP Autentikoitu ARP Lisää kryptatun ARP-otsikon Perustuu DSA:iin (Digital Signature Algorithm) Kolmas osapuoli AKD (Authoritative Key Distributor) Perinteisen ARP:n kanssa yhteensopiva

34 Kotitehtävä: WPA:n toiminta (1 / 2) Käyttää TKIP TKIP:ssä 128 bittiset pakettikohtaiset avaimet RC4-salausalgoritmi Eheystarkastus MIC (Message Integrity Check), virhe => kaikkien asiakkaiden uudelleenautentikointi

35 Kotitehtävä: WPA:n toiminta (2 / 2) Asiakkaan autentikoituessa verkkoon tukiasema luo yksilöivän pääavainparin PMK:n (Pair-wise Master Key) TKIP luo pakettikohtaiset avaimet PMK:n pohjalta

36 Kotitehtävä: 802.1x-toiminta Sallitaan aluksi liikennöinti vain autentikointipalvelimelle (EAP-protokolla) Autentikointipalvelin hyväksyy tai hylkää asiakkaan Hyväksytty asiakas pääsee käyttämään verkkoa normaalisti

Lataa ppt "WLAN - Turvallisuus Teemu Niemelä Petri Airaksinen Ti5316800 Lähiverkot - erikoistyökurssi."

Samankaltaiset esitykset

Ti LÄHIVERKOT -ERIKOISTYÖKURSSI

Ti LÄHIVERKOT -ERIKOISTYÖKURSSI
LANGATTOMAT TEKNIIKAT

LANGATTOMAT TEKNIIKAT
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
Toni Kari Marko Kantola

Toni Kari Marko Kantola
WLAN Tekijät: Petri Koskinen Miika Kulla Veli-Pekka Koskinen.

WLAN Tekijät: Petri Koskinen Miika Kulla Veli-Pekka Koskinen.
Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)

Turvallinen etäyhteys – ratkaisuna: VPN (Virtual Private Network)
Tietoturva, 2 ov jukka.harju@ksao.fi.

Tietoturva, 2 ov
Janne Filppula Mikael Jaakkola Teemu Jokinen Tomas Carlsson

Janne Filppula Mikael Jaakkola Teemu Jokinen Tomas Carlsson
WLAN ja tietoturvallisuus

WLAN ja tietoturvallisuus
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Verkkopankkien tietoturva

Verkkopankkien tietoturva
Anne Hietaharju Pia Aaltonen TK1-1

Anne Hietaharju Pia Aaltonen TK1-1
1 1.

1 1.
Sisältö: Johdanto kryptografiaan Salakirjoitus

Sisältö: Johdanto kryptografiaan Salakirjoitus
Wireless Fidelity Systems + The Multimode 802.11 – IEEE 802.11a/b/g Teemu Tarkkonen.

Wireless Fidelity Systems + The Multimode – IEEE a/b/g Teemu Tarkkonen.
Wireless Local Area Network (Wireless LAN)

Wireless Local Area Network (Wireless LAN)
Wireless Local Area Network

Wireless Local Area Network
Wireless Local Area Network

Wireless Local Area Network
Valtteri, Simo, Mika Myllytulli, My-tlpt09E 2010

Valtteri, Simo, Mika Myllytulli, My-tlpt09E 2010
WLAN Langaton verkkoyhteys

WLAN Langaton verkkoyhteys

Samankaltaiset esitykset

Iklan oleh Google