Rekisteröitymätön käyttäjä
Ero sivun ”WLAN” versioiden välillä
Siirry navigaatioon
Siirry hakuun
→Langattoman verkon tietoturva (WEP/WPA/WPA2)
| Rivi 48: | Rivi 48: | ||
Pienissä verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. [http://www.freeradius.org/ FreeRADIUS:lla]), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli kaikille verkon laitteille jaetaan yhteinen avain, jota vasten autentikoidaan. Tämä mahdollistaa periaatteessa esimerkiksi sanakirjoihin perustuvat hyökkäykset. | Pienissä verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. [http://www.freeradius.org/ FreeRADIUS:lla]), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli kaikille verkon laitteille jaetaan yhteinen avain, jota vasten autentikoidaan. Tämä mahdollistaa periaatteessa esimerkiksi sanakirjoihin perustuvat hyökkäykset. | ||
On myös wlan-tuotteita joissa WPA:n kanssa voidaan käyttää AES-salausta TKIP-salauksen sijaan. Tämä johtuu siitä että, joillakin valmistajilla oli AES | On myös wlan-tuotteita joissa WPA:n kanssa voidaan käyttää AES-salausta TKIP-salauksen sijaan. Tämä johtuu siitä että, joillakin valmistajilla oli AES valmiina jo ennen kuin AES-salauksen mahdollistava WPA2 standardi 802.11i tuli voimaan. WPA:ssa AES voi olla optiona, mutta WPA2:ssa se kuuluu standardiin eli on siten pakollinen kaikkissa 802.11i standardin mukaisissa laitteissa. | ||
* '''WPA2/RSN''' (802.11i/RSN Robust Security Network) | * '''WPA2/RSN''' (802.11i/RSN Robust Security Network) | ||
WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on | WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on mm. että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP/RC4:n sijaan. 802.11i esittelee myös key caching:n ja pre-authentication:n. | ||
WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteisessä WEP:ssä. TKIP-algoritmille on olemassa salasanakirjoihin perustuvia murtomentelmä (eivät kovin tehokkaita mikäli PSK > 20 merkkiä eikä selväkielinen). AES-algoritmille ei tunneta tehokkaita murtomenetelmiä. | |||
* '''MUUT''' | * '''MUUT''' | ||
Muita suojausmentelmiä ovat muun muassa MAC-suodatus, jossa tukiasemalle kerrotaan etukäteen WLAN-asiakkaiden (client) MAC osoitteet. Vain tunnettujen laitteiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on heikko, koska WLAN-kortin MAC-osoite on helppo vaihtaa ohjelmallisesti. | Muita suojausmentelmiä ovat muun muassa MAC-suodatus, jossa tukiasemalle kerrotaan etukäteen WLAN-asiakkaiden (client) MAC osoitteet. Vain tunnettujen laitteiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on heikko, koska WLAN-kortin MAC-osoite on helppo vaihtaa ohjelmallisesti. | ||
Tukiasemalle voidaan määrittää, että verkon-nimeä (SSID) ei lähetetä automaattisesti (hide SSID). Tästä saatu hyöty on niin ikään pieni: tukiasema joutuu paljastamaan SSID:n kun uusi WLAN-asiakas liittyy verkkoon, jolloin myös passiivinen kuuntelija saa sen selville. | Tukiasemalle voidaan määrittää, että verkon-nimeä (SSID) ei lähetetä automaattisesti (hide SSID). Tästä saatu hyöty on niin ikään pieni: tukiasema joutuu paljastamaan SSID:n kun uusi WLAN-asiakas liittyy verkkoon, jolloin myös passiivinen kuuntelija saa sen selville. | ||
| Rivi 63: | Rivi 66: | ||
* '''Hyökkäystyökalut''' | * '''Hyökkäystyökalut''' | ||
[http://airsnort.shmoo.com/ Airsnort] ja [http://wepcrack.sourceforge.net/ Wepcrack] ovat yleisimpiä WEP-salauksen murtamiseen käytettyjä työkaluja. Uusien salaustekniikoiden ( | [http://airsnort.shmoo.com/ Airsnort] ja [http://wepcrack.sourceforge.net/ Wepcrack] ovat yleisimpiä WEP-salauksen murtamiseen käytettyjä työkaluja. Uusien salaustekniikoiden (AES) yleistyessä nämä työkalut ovat jo lähes menettäneet käytännön hyödyllisyytensä. | ||
Toinen mielenkiintoinen hyökkäystapa on esiintyä tukiasemana HostAP-ajurin avulla ja syöttää (inject) omaa dataa verkon asiakkaille. | Toinen mielenkiintoinen hyökkäystapa on esiintyä tukiasemana HostAP-ajurin avulla ja syöttää (inject) omaa dataa verkon asiakkaille. | ||