Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuTimo-Jaakko Korhonen Muutettu yli 8 vuotta sitten
1
WLAN - Turvallisuus Teemu Niemelä Petri Airaksinen Ti5316800 Lähiverkot - erikoistyökurssi
2
WLAN - lyhyesti Wireless Local Area Network Radiotekniikkaan perustuva toimistoverkko 802.11 / Hiperlan Wi-Fi
3
Turvallisuus Ei fyysistä johdotusta Liikenteen monitorointi Käyttö ilman oikeutta VälistävetohyökkäysPalvelunestohyökkäys
4
Liikenteen monitorointi Oletuksena salaamaton tietoliikenne Ulkopuolinen taho pyrkii saamaan tietoa seuraamalla verkon liikennettä Käyttäjätunnukset, salasanat, luottokorttitiedot AirMagnet, AirPeek Ratkaisuna kryptografia
5
Käyttö ilman oikeutta Riittää, kun ollaan suojaamattoman verkon kantaman sisällä Rogue Access Point Ratkaisuna autentikointimenetelmät: käyttäjä / verkkolaite
6
Välistävetohyökkäys engl. Man-in-the-Middle Attack Perustuu ARP-protokollan käyttöön ARP sitoo verkko-osoitteen IP- osoitteeseen Hyökkääjä ohjaa liikenteen oman laitteensa kautta Ratkaisuna SARP (Secure Address Resolution Protocol)
7
Palvelunestohyökkäys DoS – Denial of Service Pyrkii lamauttamaan verkon Tyyppillisesti tulvitetaan turhilla verkkopaketeilla Myös radiohäirintää Ratkaisuna pakettitulvaan IDS-järjestelmät Radiohäirintään ei tietoteknistä ratkaisua
8
Standardit johdanto 802.11 yleistynyt Hiperlan eurooppalainen standardi, ei yleistynyt Tämä työ keskittyy 802.11- standardiperheeseen
9
IEEE 802.11 Määrittelee kaksi tietoturvaratkaisua SSID (Service Set Identifier, ESSID) eli Network Name (NN) WEP (Wired Equivalent Privacy)
10
SSID Pääsynvalvonta alkeellisella tasolla. SSID (ESSID tai NN) toimii verkon nimenä Asiakkaan tiedettävä voidakseen liittyä verkkoon. Voidaan myös muodostaa ”suljettu” systeemi (nimeä ei broadcast-lähetetä). Ei juurikaan lisää tietoturvaa
11
WEP (1 / 3) Siirtoyhteyskerroksen salausmekanismi Ei ole pakollinen WLAN –verkossa. Salaus on symmetrinen, samaa avainta käytetään sekä salaukseen että purkamiseen Yleensä yhteinen avain kaikille verkon asiakkaille.
12
WEP (2 / 3) WEP:n tarkoitus: 1. Pääsynvalvonta: Estetään verkkoon pääsy salasanaa (WEP -avainta) tuntemattomilta. 2. Yksityisyys: Suojataan data salaamalla WEP - avaimella 3. Datan eheys: Estetään datan korruptoituminen CRC-32 tarkistussummalla
13
WEP (3 / 3) Avain 40 bittiä Pohjautuu RC4 –jonosalaukseen Voidaan käyttää neljää avainta lähetys/vastaanotto 40 bittiä. Avaimet yhteisiä kaikille Verkon turvallisuus vaatii: Ei salaamatonta liikennettä ja ainoastaan pitkät avaimet
14
802.11 puutteet WEP riittämätön takaamaan tietoturvan WEP ei kata koko tiedonsiirtoa vaan rajoittuu turvaamaan datapakettien tietoa WEP-salaus purettavissa hyvin helposti ”kotikonstein” RC4-salausalgoritmi, vain 40 bittinen avain
15
Asiakkaan autentikointi Asiakkaan autentikoimiseen kolme tapaa: 1. 1. Avoin (Salaamaton) autentikaatio 2. 2. Jaetun avaimen (Salattu) autentikaatio 3. 3. MAC –osoitteisiin pohjautuva todennus
16
802.11 a/b/g Nopeutta lisääviä standardipäivityksiä 802.11:een Eivät ota kantaa tietoturvaratkaisuihin
17
WPA (1 / 2) WPA (Wi-Fi Protected Access) Uuden 802.11i standardin osajoukko Toteuttaa TKIP:n, 802.1x autentikoinnin ja avaimenhallinnan TKIP (Temporal Key Integrity Protocol) on salausprotokolla
18
WPA (2 / 2) WPA-PSK (WPA-Preshared Key) PSK on ennalta jaettu avain: 1. 64 kpl hexadesimerkkiä eli 512 bittiä 2. Itse määritelty ASCII-muotoinen salasanalause, joka suojataan yksisuunta-algoritmillä
19
802.11i (1 / 3) Uuden sukupolven tietoturvastandardi RSN (Robust Security Network) Ei ole vielä valmis Odotettavissa hidas yleistyminen Tunnetaan myös nimellä WPA2
20
802.11i (2 / 3) RSN tuottaa vahvaa autentikointia RSN menetelminä: 1. 802.1x 2. EAP 3. RADIUS RSN:n salaustekniikka AES-lohkosalain (Advanced Encryption Standard)
21
802.11i (3 / 3) TSN (Transitional Security Network) TSN mahdollistaa RSN- ja WEP- järjestelmien käytön rinnakkain TSN helpottaa siirtymistä 802.11i:n
22
802.1x (1 / 3) Porttikohtainen (fyysinen portti esim. kytkimessä) autentikointiprotokolla Kolme osapuolta: 1. Anoja, joka haluaa liittyä verkkoon 2. Autentikoija, joka kontrolloi pääsyä 3. Autentikointipalvelin (RADIUS), joka tekee autentikointipäätökset
23
802.1x (2 / 3) EAP (Extensible Authentication Protocol) PPP-protokollan yhteydessä kehitetty käyttäjien tunnistusprotokolla IEEE sovittanut 802.1x kanssa toimivaksi Useita todennusprotokollia, kuten EAP- SRP ja EAP-TLS
24
802.1x (3 / 3)
25
VPN (1 / 2) VPN (Virtual Private Network) Salattu kommunikointikanava julkisen verkon yli Lisää ylemmän tason salausta verkkoliikenteeseen
26
VPN (2 / 2)
27
IDS (1 / 2) IDS (Intrusion Detection System) Järjestelmä tunkeutumisyrityksien tunnistamiseen Suunnattu tunnistamaan yritykset, joita palomuuri ei pysty estämään: 1. Datapohjaiset hyökkäykset 2. Virukset, troijalaiset ja muut haittaohjelmat
28
IDS (2 / 2) Datavirrasta tunnistetaan kuvioita, joiden perusteella päätellään tunkeutumisyritykset Altis palvelunestohyökkäyksille (DoS) Vaikutusalue rajoittunut lähimpään kytkimeen
29
Käytännön tietoturvaratkaisut Tietoturvaratkaisu tulee suhteuttaa turvattavaan tietoon Valheellinen turvallisuuden tunne Vastuu verkon ylläpitäjällä
30
Käytännön tietoturvaratkaisut (koti) WLAN yleistynyt kotikäytössä helppoutensa takia Suositeltavia tapoja kotiverkon suojaamiseen: 1. SSID piilotus 2. MAC-suodatus 3. WEP-salaus ja riittävän usein vaihdetut avaimet 4. WPA-salaus mikäli laitteisto tukee
31
Käytännön tietoturvaratkaisut (yritys) Suositeltavaa lisätä tietoturvaa kerrosmallin eri tasoille: 1. 802.1x verkkoautentikointi 2. Keskitetty RADIUS-pohjainen autentikointipalvelin 3. VPN-tunnelointijärjestelmät MAC-suodatus ei käytännöllistä
32
Esimerkkiratkaisu KotiPieni yritys tai kotitoimistoSuuri yritys fyysinen tasoverkkokantaman optimointi kiinteistön alueelle verkkotasoMAC- listat MAC-listat, SSID piilotusSSID piilotus, Secure ARP verkkolaite- autentikointi 802.1x, mikäli uhka ”Rogue- asennukseen” on olemassa 802.1x perusturvaWPA- PSK RADIUS-WPA Single Sign On liikenteen salaus VPN tapauksesta riippuenVPN
33
Kotitehtävä: SARP Autentikoitu ARP Lisää kryptatun ARP-otsikon Perustuu DSA:iin (Digital Signature Algorithm) Kolmas osapuoli AKD (Authoritative Key Distributor) Perinteisen ARP:n kanssa yhteensopiva
34
Kotitehtävä: WPA:n toiminta (1 / 2) Käyttää TKIP TKIP:ssä 128 bittiset pakettikohtaiset avaimet RC4-salausalgoritmi Eheystarkastus MIC (Message Integrity Check), virhe => kaikkien asiakkaiden uudelleenautentikointi
35
Kotitehtävä: WPA:n toiminta (2 / 2) Asiakkaan autentikoituessa verkkoon tukiasema luo yksilöivän pääavainparin PMK:n (Pair-wise Master Key) TKIP luo pakettikohtaiset avaimet PMK:n pohjalta
36
Kotitehtävä: 802.1x-toiminta Sallitaan aluksi liikennöinti vain autentikointipalvelimelle (EAP-protokolla) Autentikointipalvelin hyväksyy tai hylkää asiakkaan Hyväksytty asiakas pääsee käyttämään verkkoa normaalisti
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.