Muokataan sivua Langattoman verkon tietoturva

[[WLAN|Langaton verkkoyhteys]] tuo myös omat ongelmansa [http://fi.wikipedia.org/wiki/Langattoman_l%C3%A4hiverkon_tietoturva tietoturvallisuuden] suhteen. Kun tieto kulkee ilman salausta, voi siihen päästä käsiksi ilkeämieliset henkilöt.

Tästä syystä tulisi aina käyttää turvallisinta mahdollista salaustekniikkaa. Jos wlan-laitteet — ajurit mukaan lukien — osaavat WPA:n tai WPA2:n, ei ole mitään järkeä käyttää WEP-salausta.

* [[wikipedia:fi:WEP|'''WEP''']] (Wired Equivalent Privacy)

Nykyisin tuki WEP-salaukselle löytyy kaikista Linux-ajureista ja WEP toimii yleensä hyvin. Osassa ajureita (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajurin mahdollistamaa ohjelmallista salausta. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei pidetä enää turvallisena. WEP-salauksessa myöskään salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa.

Uudehkoissa tukiasemissa ja WLAN-korteissa on paikkailtu WEP-salauksen heikkouksia estämällä ns. ''heikkojen avainten luominen'' (''weak keys avoidance''). Näin ollen WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 500-1000 GiB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Tapauksesta ja onnesta riippuen esimerkiksi 64 bittiä pitkä avain voi murtua 5 minuutissa ja 128 bittinen 20 minuutissa.

WEP-salauksen vahvuutta voidaan parantaa myös käyttämällä '''dynaamista avainta''' (''Dynamic WEP Keying''), jolloin 128-bittinen WEP-salausavain vaihdetaan määrävälein (esimerkiksi 5 minuutin välein). Dynaaminen avain edellyttää IEEE802.1X-protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X-tuki ja WLAN-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].

* [[wikipedia:fi:WPA|'''WPA''']] (WiFi Protected Access)

Yleensä WLAN-kortin ajurin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on toistaiseksi ajurissa "sisäänrakennettuna" ), jotta WPA/WPA2-salaus saadaan toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä keskeneräisiä wpa_supplicantin tuen suhteen, ja toimivuus ei siten ole välttämättä täydellinen.

Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP eli Temporal Key Integrity Protocol), eli jokainen radiotielle lähetettävä paketti salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC:llä (Message Identity Check). Kummatkin käyttävät RC4-algoritmia salaukseen.

Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu erillisellä protokollalla (EAP eli Extensible Authentication Protocol) Radius-palvelimelta.

Pienissä verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. [http://www.freeradius.org/ FreeRADIUS:lla]), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli kaikille verkon laitteille jaetaan yhteinen avain, jota vasten autentikoidaan. Tämä mahdollistaa periaatteessa esimerkiksi sanakirjoihin perustuvat hyökkäykset. 

On myös wlan-tuotteita joissa WPA:n kanssa voidaan käyttää AES-salausta TKIP-salauksen sijaan. Tämä johtuu siitä että, joillakin valmistajilla oli AES valmiina jo ennen kuin AES-salauksen mahdollistava WPA2 standardi 802.11i tuli voimaan. WPA:ssa AES voi olla optiona, mutta WPA2:ssa se kuuluu standardiin eli on siten pakollinen kaikkissa 802.11i standardin mukaisissa laitteissa.

* '''WPA2/RSN''' (802.11i/RSN Robust Security Network)

WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on mm. että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP/RC4:n sijaan. 802.11i esittelee myös key caching'n ja pre-authentication'n.

WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteisessä WEP:ssä. TKIP-algoritmille on olemassa salasanakirjoihin perustuvia murtomentelmä (eivät kovin tehokkaita mikäli PSK > 20 merkkiä eikä selväkielinen). AES-algoritmille ei tunneta tehokkaita murtomenetelmiä.

* '''MUUT'''

Muita suojausmentelmiä ovat muun muassa MAC-suodatus, jossa tukiasemalle kerrotaan etukäteen WLAN-asiakkaiden (client) MAC osoitteet. Vain tunnettujen laitteiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on heikko, koska WLAN-kortin MAC-osoite on helppo vaihtaa ohjelmallisesti.

Tukiasemalle voidaan määrittää, että verkon-nimeä (SSID) ei lähetetä automaattisesti (hide SSID). Tästä saatu hyöty on niin ikään pieni: tukiasema joutuu paljastamaan SSID:n kun uusi WLAN-asiakas liittyy verkkoon, jolloin myös passiivinen kuuntelija saa sen selville. 

Lähetystehon pudottaminen voi olla järkevää. Myös WLAN-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa.

* '''Hyökkäystyökalut'''

[http://airsnort.shmoo.com/ Airsnort] ja [http://wepcrack.sourceforge.net/ Wepcrack] ovat yleisimpiä WEP-salauksen murtamiseen käytettyjä työkaluja. Uusien salaustekniikoiden (AES) yleistyessä nämä työkalut ovat jo lähes menettäneet käytännön hyödyllisyytensä.

Toinen mielenkiintoinen hyökkäystapa on esiintyä tukiasemana HostAP-ajurin avulla ja syöttää (inject) omaa dataa verkon asiakkaille.

[[Luokka:WLAN]]