Upload
zaria
View
52
Download
4
Embed Size (px)
DESCRIPTION
WLAN turvallisuus. Erik Taavila TiTe 3. WLAN turvallisuus. Yleistä Standardit 802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN Toteutuksesta Laitteistotuki tekniikoille Tulevaisuus Yhteenveto. WLAN turvallisuus. Yleistä Langattoman verkon luonne turvaton - PowerPoint PPT Presentation
Citation preview
WLAN turvallisuus
Erik TaavilaTiTe 3
WLAN turvallisuus
Yleistä Standardit
802.11, WEP ja SSID 802.1x ja EAP WPA 802.11i eli WPA2 ja RSN VPN
Toteutuksesta Laitteistotuki tekniikoille Tulevaisuus Yhteenveto
WLAN turvallisuus
Yleistä Langattoman verkon luonne turvaton Verkon käytön rajaaminen
Käyttäjätunnistus Verkon tunnistaminen Liikenteen salaaminen Verkon suunnittelu
WLAN turvallisuus
802.11 IEEE:n määritelmä on pohjana
WLAN:ille Sisältää turvaratkaisun – WEP (Wired
Equivalent Privacy) Tavoitteena oli antaa yhtäläinen suoja
kuin kaapeloidulla verkolla
WLAN turvallisuus
802.11 jatkuu WEP sisältää useita heikkouksia
Sama salausavain koko verkolle Ei avaimenvaihtopolitiikkaa määritelty avaimet toteutuksissa yleensä
staattisia 24-bittinen alustusvektori
WLAN turvallisuus
WEP-MPDU
WLAN turvallisuus
WEP-salaus
WLAN turvallisuus
WEP:n hakkerointi Staattinen WEP-avain, joka on käytössä
kaikille yhteyksille Lyhyt alustusvektori Tavallisilla laitteilla ja ohjelmilla Valmiit skriptit kuka vain osaa
WLAN turvallisuus
WEP-hakkerointi jatkuu Paketin ensimmäinen selväkielinen
tavu voidaan arvata melko suurella varmuudella
Voidaan selvittää ensimmäinen satunnaissekvenssi ensimmäisestä salatusta tavusta saadaan avaimen ensimmäisen tavut voidaan iteroida loppu avaimesta
N.5-6miljoonaa pakettia riittää
WLAN turvallisuus
SSID Service Set Identifier Langattoman verkon tunniste Tukiasema mainostaa, jollei estetä Syytä vaihtaa ja estää mainostus Oltava, jotta voidaan muodostaa yhteys Ei varsinainen suojaus
WLAN turvallisuus
802.1x ja EAP IEEE:n 802.1x perustuu IETF:n EAP:iin
(Extensible Authentication Protocol) 802.1x sisältää autentikointiprosessit 802.1x autentikoinnissa 3 osaa
Supplikantti (WinXP sp2) Autentikoija (Cisco AP 1231) Autentikointipalvelin (MS IAS)
WLAN turvallisuus
802.1x jatkuu 802.1x yhteensopivat kytkimet ja
tukiasemat toimivat autentikoijina ja vain välittävät EAP viestejä
802.1x mahdollistaa myös salausavainten dynaamisen jakamisen
WLAN turvallisuus
802.1x autentikointi
WLAN turvallisuus
EAP EAP on 802.1x:n autentikointikehys Useita erilaisia EAPeja
EAP-TLS EAP-MD5 EAP-SIM LEAP PEAP EAP-TTLS
WLAN turvallisuus
WPA Wi-Fi Protected Access 802.11i työryhmän esiversio Käyttää WEPiä Tuo mukaan tilapäiset avaimet – TKIP
(Temporal Key Integrity Protocol) Sisältää aitouden tarkistuksen – MIC
(Message Integrity Code) Mahdollistaa vanhan laitteiston käytön
turvallisemmin
WLAN turvallisuus
TKIP-MPDU
WLAN turvallisuus
TKIP-kapsulointi
WLAN turvallisuus
802.11i eli WPA2 ja RSN Robust Security Network 802.11i julkaistiin loppuvuonna 2004 Tavoitteena taata WLAN turvallisuus 802.11i on taaksepäin yhteensopiva
TKIP:n kautta CCMP (Counter mode/CBC-MAC
Protocol)
WLAN turvallisuus
WLAN turvallisuus
802.11i jatkuu Autentikointi muodostuu kättelyistä Kättelyin vaihdetaan yhteinen
salaisuus, jota käytetään lopulliseen salaukseen (supplikantti-autentikointipalvelin)
Autentikoijalle annetaan samat tiedot, jotta autentikointi voidaan toistaa uudestaan nopeammin
WLAN turvallisuus
802.11i jatkuu CCMP perustuu AES-salaukseen
(Advanced Encryption Standardiin), joka vaatii enemmän konetehoa toimiakseen ei taaksepäin yhteensopiva
WLAN turvallisuus
CCMP-MPDU
WLAN turvallisuus
CCMP-kapsulointi
WLAN turvallisuus
802.11i jatkuu 802.1x:n luotettavuus taattava, jotta
voidaan luottaa 802.11i:hen 802.11i yhdistää tehokkaasti 802.1x
autentikoinnin, CCMP:n salauksen ja kättelyin vaihdettavat salausavaimet
WLAN turvallisuus
VPN (Virtual Private Network) VPN:n avulla voidaan luoda suojattu
yhteystunneli verkkoyhteyden yli Toimii myös WLANissa
WLAN turvallisuus
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus Toimintatapojen linjakkuus kaikissa
toimipisteissä tehokas ympäristön hallinta
() Yhtenäinen laitekanta Tietoturvapolitiikka määrittelee
langattoman lähiverkon käyttöä
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus Tarve standardeille ratkaisuille tai oma
standardi ratkaisu yrityksen sisällä Toteutuksessa käytännössä 2
vaihtoehtoa VPN WPA / WPA2 Molemmissa tapauksissa tukiasemat
sijoitetaan verkon ulkopuolelle
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus VPN mahdollistaa etäyhteydet
muualtakin Laajassa toteutuksessa kalliit laitteet Keskitetyn ratkaisun kaistan käyttö
WLAN turvallisuus
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus WPA säästää VPN:n oikeille
etäyhteyksille WPA-laitteita jo hyvin saatavilla
WLAN turvallisuus
Tietoturvaratkaisut – Teollisuus WPA säästää VPN:n oikeille
etäyhteyksille WPA-laitteita jo hyvin saatavilla EAP tuessa kehittämisen varaa EAP-TLS tuetuin PKI (Public Key
Infrastructure) ratkaistava Muut EAPit saatavilla vaihtelevasti
WLAN turvallisuus
Tietoturvaratkaisut – Kotikäyttö Kotikäyttäjän kannalta tärkeintä on
suojata oma verkko luvattomalta käytöltä
MAC-tunnistuksella ja jopa WEP-salauksella, johon vaihdetaan silloin tällöin avainta voidaan estää luvaton käyttö tavallisilta harrastelijoilta
WLAN turvallisuus
Tietoturvaratkaisut – Hotspotit Julkisia WLAN palveluita käytettäessä
(WLPR.NET) on muistettava, että jos käytössä ei ole salausta kaikki liikenne on kuunneltavissa tulisi käyttää korkeamman tason suojausta kuten VPN:ää tai SSH:ta
WLAN turvallisuus
Laitteistotuki Kaikki markkinoilla olevat laitteet
tukevat WEPiä Suurimmassa osassa on myös WPA-
TKIP tuki yhden 802.1x EAP kanssa Kuluttajien harhaanjohtaminen
termistöllä
WLAN turvallisuus
Tulevaisuus ja yhteenveto WEP salaus on rikki WPA-TKIP antaa tarvittavan suojan WPA2/802.11i tulevaisuudessa käytetty
standardi Käyttäjien tietotaidosta johtuvat
ongelmat jatkuvat ja langattomat verkot yleistyvät