Ero sivun ”WLAN” versioiden välillä

Siirry navigaatioon Siirry hakuun

WLAN (muokkaa)

Versio 17. heinäkuuta 2006 kello 00.06

22 merkkiä poistettu ,  17. heinäkuuta 2006
→‎Langattoman verkon tietoturva (WEP/WPA/WPA2)
Rivi 50: Rivi 50:
==Langattoman verkon tietoturva (WEP/WPA/WPA2)==
==Langattoman verkon tietoturva (WEP/WPA/WPA2)==


Langaton verkkoyhteys tuo myös omat ongelmansa [http://fi.wikipedia.org/wiki/Langattoman_l%C3%A4hiverkon_tietoturva tietoturvallisuuden] suhteen, kun tieto kulkee ilman salausta voi siihen päästä käsiksi ilkeämieliset henkilöt.
Langaton verkkoyhteys tuo myös omat ongelmansa [http://fi.wikipedia.org/wiki/Langattoman_l%C3%A4hiverkon_tietoturva tietoturvallisuuden] suhteen. Kun tieto kulkee ilman salausta, voi siihen päästä käsiksi ilkeämieliset henkilöt.


Siksi tulisi aina käyttää turvallisinta mahdollista salaustekniikkaa mikä on laitteiston puolesta mahdollista. Eli jos wlan laitteet ajurit mukaan lukien osaavat WPA:n tai WPA2:n ei ole mitään järkeä käyttää WEP salausta.
Tästä syystä tulisi aina käyttää turvallisinta mahdollista salaustekniikkaa. Jos wlan-laitteet ajurit mukaan lukien osaavat WPA:n tai WPA2:n, ei ole mitään järkeä käyttää WEP-salausta.


* [[wikipedia:fi:WEP|'''WEP''']] (Wired Equivalent Privacy)
* [[wikipedia:fi:WEP|'''WEP''']] (Wired Equivalent Privacy)


Nykyisin tuki WEP-salaukselle löytyy kaikista Linux-ajureista ja toimii yleensä hyvin. Osassa ajureita (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajurin mahdollistamaa ohjelmallista salausta. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei pidetä enää turvallisena. WEP-salauksessa myöskään salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa.
Nykyisin tuki WEP-salaukselle löytyy kaikista Linux-ajureista ja WEP toimii yleensä hyvin. Osassa ajureita (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajurin mahdollistamaa ohjelmallista salausta. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei pidetä enää turvallisena. WEP-salauksessa myöskään salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa.


Uudehkoissa tukiasemissa ja WLAN-korteissa on paikkailtu WEP-salauksen heikkouksia estämällä ns. ''heikkojen avainten luominen'' (''weak keys avoidance''). Näin ollen WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 500-1000 GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Tapauksesta ja onnesta riippuen esimerkiksi 64 bittiä pitkä avain voi murtua 5 minuutissa ja 128 bittinen 20 minuutissa.
Uudehkoissa tukiasemissa ja WLAN-korteissa on paikkailtu WEP-salauksen heikkouksia estämällä ns. ''heikkojen avainten luominen'' (''weak keys avoidance''). Näin ollen WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 500-1000 GiB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Tapauksesta ja onnesta riippuen esimerkiksi 64 bittiä pitkä avain voi murtua 5 minuutissa ja 128 bittinen 20 minuutissa.


WEP-salauksen vahvuutta voidaan parantaa myös käyttämällä '''dynaamista avainta''' (''Dynamic WEP Keying''), jolloin 128-bittinen WEP-salausavain vaihdetaan määrävälein (esimerkiksi 5 minuutin välein). Dynaaminen avain edellyttää IEEE802.1X-protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X-tuki ja WLAN-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].
WEP-salauksen vahvuutta voidaan parantaa myös käyttämällä '''dynaamista avainta''' (''Dynamic WEP Keying''), jolloin 128-bittinen WEP-salausavain vaihdetaan määrävälein (esimerkiksi 5 minuutin välein). Dynaaminen avain edellyttää IEEE802.1X-protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X-tuki ja WLAN-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].
Rivi 64: Rivi 64:
* [[wikipedia:fi:WPA|'''WPA''']] (WiFi Protected Access)
* [[wikipedia:fi:WPA|'''WPA''']] (WiFi Protected Access)


Yleensä WLAN-kortin ajurin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on toistaiseksi ajurissa "sisään rakennettuna" ), jotta WPA/WPA2-salaus saadaan toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä keskeneräisiä wpa_supplicantin tuen suhteen ja toimivuus ei siten ole välttämättä täydellinen.
Yleensä WLAN-kortin ajurin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on toistaiseksi ajurissa "sisäänrakennettuna" ), jotta WPA/WPA2-salaus saadaan toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä keskeneräisiä wpa_supplicantin tuen suhteen, ja toimivuus ei siten ole välttämättä täydellinen.


Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP eli Temporal Key Integrity Protocol), eli jokainen radiotielle lähetettävä paketti salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC:llä (Message Identity Check). Kummatkin käyttävät RC4-algoritmia salaukseen.
Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP eli Temporal Key Integrity Protocol), eli jokainen radiotielle lähetettävä paketti salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC:llä (Message Identity Check). Kummatkin käyttävät RC4-algoritmia salaukseen.
Rivi 76: Rivi 76:
* '''WPA2/RSN''' (802.11i/RSN Robust Security Network)
* '''WPA2/RSN''' (802.11i/RSN Robust Security Network)


WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on mm. että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP/RC4:n sijaan. 802.11i esittelee myös key caching:n ja pre-authentication:n.
WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on mm. että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP/RC4:n sijaan. 802.11i esittelee myös key caching'n ja pre-authentication'n.


WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteisessä WEP:ssä. TKIP-algoritmille on olemassa salasanakirjoihin perustuvia murtomentelmä (eivät kovin tehokkaita mikäli PSK > 20 merkkiä eikä selväkielinen). AES-algoritmille ei tunneta tehokkaita murtomenetelmiä.
WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteisessä WEP:ssä. TKIP-algoritmille on olemassa salasanakirjoihin perustuvia murtomentelmä (eivät kovin tehokkaita mikäli PSK > 20 merkkiä eikä selväkielinen). AES-algoritmille ei tunneta tehokkaita murtomenetelmiä.


* '''MUUT'''
* '''MUUT'''
Rekisteröitymätön käyttäjä
Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/10808

Navigointivalikko