wlan - turvallisuus
DESCRIPTION
Ti5316800 Lähiverkot - erikoistyökurssi. WLAN - Turvallisuus. Teemu Niemelä Petri Airaksinen. WLAN - lyhyesti. Wireless Local Area Network Radiotekniikkaan perustuva toimistoverkko 802.11 / Hiperlan Wi-Fi. Turvallisuus. Ei fyysistä johdotusta Liikenteen monitorointi - PowerPoint PPT PresentationTRANSCRIPT
WLAN - TurvallisuusWLAN - Turvallisuus
Teemu NiemeläTeemu Niemelä
Petri AiraksinenPetri Airaksinen
Ti5316800 Lähiverkot - erikoistyökurssi
WLAN - lyhyestiWLAN - lyhyesti
Wireless Local Area NetworkWireless Local Area Network
Radiotekniikkaan perustuva toimistoverkkoRadiotekniikkaan perustuva toimistoverkko
802.11 / Hiperlan802.11 / Hiperlan
Wi-FiWi-Fi
TurvallisuusTurvallisuus
Ei fyysistä johdotustaEi fyysistä johdotusta
Liikenteen monitorointiLiikenteen monitorointi
Käyttö ilman oikeuttaKäyttö ilman oikeutta
VälistävetohyökkäysVälistävetohyökkäys
PalvelunestohyökkäysPalvelunestohyökkäys
Liikenteen monitorointiLiikenteen monitorointi
Oletuksena salaamaton tietoliikenneOletuksena salaamaton tietoliikenne
Ulkopuolinen taho pyrkii saamaan tietoa seuraamalla verkon liikennettä
Käyttäjätunnukset, salasanat, luottokorttitiedot
AirMagnet, AirPeek
Ratkaisuna kryptografia
Käyttö ilman oikeuttaKäyttö ilman oikeutta
Riittää, kun ollaan suojaamattoman verkon Riittää, kun ollaan suojaamattoman verkon kantaman sisälläkantaman sisällä
Rogue Access PointRogue Access Point
Ratkaisuna autentikointimenetelmät: Ratkaisuna autentikointimenetelmät: käyttäjä / verkkolaitekäyttäjä / verkkolaite
VälistävetohyökkäysVälistävetohyökkäys
engl. Man-in-the-Middle Attackengl. Man-in-the-Middle Attack
Perustuu ARP-protokollan käyttöönPerustuu ARP-protokollan käyttöön
ARP sitoo verkko-osoitteen IP-ARP sitoo verkko-osoitteen IP-osoitteeseenosoitteeseen
Hyökkääjä ohjaa liikenteen oman Hyökkääjä ohjaa liikenteen oman laitteensa kauttalaitteensa kautta
Ratkaisuna SARP (Secure Address Ratkaisuna SARP (Secure Address Resolution Protocol)Resolution Protocol)
PalvelunestohyökkäysPalvelunestohyökkäys
DoS – Denial of ServiceDoS – Denial of Service
Pyrkii lamauttamaan verkonPyrkii lamauttamaan verkon
Tyyppillisesti tulvitetaan turhilla Tyyppillisesti tulvitetaan turhilla verkkopaketeillaverkkopaketeilla
Myös radiohäirintääMyös radiohäirintää
Ratkaisuna pakettitulvaan IDS-järjestelmätRatkaisuna pakettitulvaan IDS-järjestelmät
Radiohäirintään ei tietoteknistä ratkaisuaRadiohäirintään ei tietoteknistä ratkaisua
Standardit johdantoStandardit johdanto
802.11 yleistynyt802.11 yleistynyt
Hiperlan eurooppalainen standardi, ei Hiperlan eurooppalainen standardi, ei yleistynytyleistynyt
Tämä työ keskittyy 802.11-Tämä työ keskittyy 802.11-standardiperheeseen standardiperheeseen
IEEE 802.11IEEE 802.11
Määrittelee kaksi tietoturvaratkaisuaMäärittelee kaksi tietoturvaratkaisua
SSID (Service Set Identifier, ESSID) eli Network Name (NN)
WEP (Wired Equivalent Privacy)
SSIDSSID
Pääsynvalvonta alkeellisella tasolla. SSID (ESSID tai NN) toimii verkon nimenä
Asiakkaan tiedettävä voidakseen liittyä verkkoon.
Voidaan myös muodostaa ”suljettu” systeemi (nimeä ei broadcast-lähetetä).
Ei juurikaan lisää tietoturvaa
WEP (1 / 3)WEP (1 / 3)
Siirtoyhteyskerroksen salausmekanismi
Ei ole pakollinen WLAN –verkossa.
Salaus on symmetrinen, samaa avainta käytetään sekä salaukseen että purkamiseen
Yleensä yhteinen avain kaikille verkon asiakkaille.
WEP (2 / 3)WEP (2 / 3)
WEP:n tarkoitus:1. Pääsynvalvonta: Estetään verkkoon
pääsy salasanaa (WEP -avainta) tuntemattomilta.
2. Yksityisyys: Suojataan data salaamalla WEP - avaimella
3. Datan eheys: Estetään datan korruptoituminen CRC-32 tarkistussummalla
WEP (3 / 3)WEP (3 / 3)
Avain 40 bittiä
Pohjautuu RC4 –jonosalaukseen
Voidaan käyttää neljää avainta lähetys/vastaanotto 40 bittiä.
Avaimet yhteisiä kaikille
Verkon turvallisuus vaatii: Ei salaamatonta liikennettä ja ainoastaan pitkät avaimet
802.11 puutteet802.11 puutteet
WEP riittämätön takaamaan tietoturvanWEP riittämätön takaamaan tietoturvan
WEP ei kata koko tiedonsiirtoa vaan WEP ei kata koko tiedonsiirtoa vaan rajoittuu turvaamaan datapakettien tietoarajoittuu turvaamaan datapakettien tietoa
WEP-salaus purettavissa hyvin helposti WEP-salaus purettavissa hyvin helposti ”kotikonstein””kotikonstein”
RC4-salausalgoritmi, vain 40 bittinen avainRC4-salausalgoritmi, vain 40 bittinen avain
Asiakkaan autentikointiAsiakkaan autentikointi
Asiakkaan autentikoimiseen kolme Asiakkaan autentikoimiseen kolme tapaa:tapaa:
1. Avoin (Salaamaton) autentikaatio
2. Jaetun avaimen (Salattu) autentikaatio
3. MAC –osoitteisiin pohjautuva todennus
802.11 a/b/g802.11 a/b/g
Nopeutta lisääviä standardipäivityksiä Nopeutta lisääviä standardipäivityksiä 802.11:een802.11:een
Eivät ota kantaa tietoturvaratkaisuihinEivät ota kantaa tietoturvaratkaisuihin
WPA (1 / 2)WPA (1 / 2)
WPA (Wi-Fi Protected Access)WPA (Wi-Fi Protected Access)
Uuden 802.11i standardin osajoukkoUuden 802.11i standardin osajoukko
Toteuttaa TKIP:n, 802.1x autentikoinnin ja Toteuttaa TKIP:n, 802.1x autentikoinnin ja avaimenhallinnanavaimenhallinnan
TKIP (Temporal Key Integrity Protocol) on TKIP (Temporal Key Integrity Protocol) on salausprotokollasalausprotokolla
WPA (2 / 2)WPA (2 / 2)
WPA-PSK (WPA-Preshared Key)WPA-PSK (WPA-Preshared Key)
PSK on ennalta jaettu avain:PSK on ennalta jaettu avain:
1.1. 64 kpl hexadesimerkkiä eli 512 bittiä64 kpl hexadesimerkkiä eli 512 bittiä
2.2. Itse määritelty ASCII-muotoinen Itse määritelty ASCII-muotoinen salasanalause, joka suojataan salasanalause, joka suojataan yksisuunta-algoritmilläyksisuunta-algoritmillä
802.11i (1 / 3)802.11i (1 / 3)
Uuden sukupolven tietoturvastandardiUuden sukupolven tietoturvastandardi
RSN (Robust Security Network)RSN (Robust Security Network)
Ei ole vielä valmisEi ole vielä valmis
Odotettavissa hidas yleistyminenOdotettavissa hidas yleistyminen
Tunnetaan myös nimellä WPA2Tunnetaan myös nimellä WPA2
802.11i (2 / 3)802.11i (2 / 3)
RSN tuottaa vahvaa autentikointiaRSN tuottaa vahvaa autentikointia
RSN menetelminä:RSN menetelminä:
1.1. 802.1x802.1x
2.2. EAPEAP
3.3. RADIUSRADIUS
RSN:n salaustekniikka AES-lohkosalain RSN:n salaustekniikka AES-lohkosalain (Advanced Encryption Standard)(Advanced Encryption Standard)
802.11i (3 / 3)802.11i (3 / 3)
TSN (Transitional Security Network)TSN (Transitional Security Network)
TSN mahdollistaa RSN- ja WEP-TSN mahdollistaa RSN- ja WEP-järjestelmien käytön rinnakkainjärjestelmien käytön rinnakkain
TSN helpottaa siirtymistä 802.11i:nTSN helpottaa siirtymistä 802.11i:n
802.1x (1 / 3)802.1x (1 / 3)
Porttikohtainen (fyysinen portti esim. Porttikohtainen (fyysinen portti esim. kytkimessä) autentikointiprotokollakytkimessä) autentikointiprotokolla
Kolme osapuolta:Kolme osapuolta:
1.1. Anoja, joka haluaa liittyä verkkoonAnoja, joka haluaa liittyä verkkoon
2.2. Autentikoija, joka kontrolloi pääsyäAutentikoija, joka kontrolloi pääsyä
3.3. Autentikointipalvelin (RADIUS), joka Autentikointipalvelin (RADIUS), joka tekee autentikointipäätöksettekee autentikointipäätökset
802.1x (2 / 3)802.1x (2 / 3)
EAP (Extensible Authentication Protocol)EAP (Extensible Authentication Protocol)
PPP-protokollan yhteydessä kehitetty PPP-protokollan yhteydessä kehitetty käyttäjien tunnistusprotokollakäyttäjien tunnistusprotokolla
IEEE sovittanut 802.1x kanssa toimivaksiIEEE sovittanut 802.1x kanssa toimivaksi
Useita todennusprotokollia, kuten EAP-Useita todennusprotokollia, kuten EAP-SRP ja EAP-TLSSRP ja EAP-TLS
802.1x (3 / 3)802.1x (3 / 3)
VPN (1 / 2)VPN (1 / 2)
VPN (Virtual Private Network)VPN (Virtual Private Network)
Salattu kommunikointikanava julkisen Salattu kommunikointikanava julkisen verkon yliverkon yli
Lisää ylemmän tason salausta Lisää ylemmän tason salausta verkkoliikenteeseenverkkoliikenteeseen
VPN (2 / 2)VPN (2 / 2)
IDS (1 / 2)IDS (1 / 2)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
Järjestelmä tunkeutumisyrityksien Järjestelmä tunkeutumisyrityksien tunnistamiseentunnistamiseen
Suunnattu tunnistamaan yritykset, joita Suunnattu tunnistamaan yritykset, joita palomuuri ei pysty estämään:palomuuri ei pysty estämään:
1.1. Datapohjaiset hyökkäyksetDatapohjaiset hyökkäykset
2.2. Virukset, troijalaiset ja muut Virukset, troijalaiset ja muut haittaohjelmathaittaohjelmat
IDS (2 / 2)IDS (2 / 2)
Datavirrasta tunnistetaan kuvioita, joiden Datavirrasta tunnistetaan kuvioita, joiden perusteella päätellään perusteella päätellään tunkeutumisyrityksettunkeutumisyritykset
Altis palvelunestohyökkäyksille (DoS)Altis palvelunestohyökkäyksille (DoS)
Vaikutusalue rajoittunut lähimpään Vaikutusalue rajoittunut lähimpään kytkimeenkytkimeen
Käytännön tietoturvaratkaisutKäytännön tietoturvaratkaisut
Tietoturvaratkaisu tulee suhteuttaa Tietoturvaratkaisu tulee suhteuttaa turvattavaan tietoonturvattavaan tietoon
Valheellinen turvallisuuden tunneValheellinen turvallisuuden tunne
Vastuu verkon ylläpitäjälläVastuu verkon ylläpitäjällä
Käytännön tietoturvaratkaisut (koti)Käytännön tietoturvaratkaisut (koti)
WLAN yleistynyt kotikäytössä WLAN yleistynyt kotikäytössä helppoutensa takiahelppoutensa takiaSuositeltavia tapoja kotiverkon Suositeltavia tapoja kotiverkon suojaamiseen:suojaamiseen:
1.1. SSID piilotusSSID piilotus2.2. MAC-suodatusMAC-suodatus3.3. WEP-salaus ja riittävän usein vaihdetut WEP-salaus ja riittävän usein vaihdetut
avaimetavaimet4.4. WPA-salaus mikäli laitteisto tukeeWPA-salaus mikäli laitteisto tukee
Käytännön tietoturvaratkaisut Käytännön tietoturvaratkaisut (yritys)(yritys)
Suositeltavaa lisätä tietoturvaa Suositeltavaa lisätä tietoturvaa kerrosmallin eri tasoille:kerrosmallin eri tasoille:
1.1. 802.1x verkkoautentikointi802.1x verkkoautentikointi
2.2. Keskitetty RADIUS-pohjainen Keskitetty RADIUS-pohjainen autentikointipalvelinautentikointipalvelin
3.3. VPN-tunnelointijärjestelmätVPN-tunnelointijärjestelmät
MAC-suodatus ei käytännöllistäMAC-suodatus ei käytännöllistä
EsimerkkiratkaisuEsimerkkiratkaisu
Koti Pieni yritys tai kotitoimisto Suuri yritys
fyysinen taso verkkokantaman optimointi kiinteistön alueelle
verkkokantaman optimointi kiinteistön alueelle
verkkotaso MAC-listat
MAC-listat, SSID piilotus SSID piilotus, Secure ARP
verkkolaite-autentikointi
802.1x, mikäli uhka ”Rogue-asennukseen” on olemassa
802.1x
perusturva WPA-PSK
WPA-PSK RADIUS-WPASingle Sign On
liikenteen salaus
VPN tapauksesta riippuen VPN
Kotitehtävä: SARPKotitehtävä: SARP
Autentikoitu ARPAutentikoitu ARP
Lisää kryptatun ARP-otsikonLisää kryptatun ARP-otsikon
Perustuu DSA:iin (Digital Signature Perustuu DSA:iin (Digital Signature Algorithm)Algorithm)
Kolmas osapuoli AKD (Authoritative Key Kolmas osapuoli AKD (Authoritative Key Distributor)Distributor)
Perinteisen ARP:n kanssa yhteensopivaPerinteisen ARP:n kanssa yhteensopiva
Kotitehtävä: WPA:n toiminta (1 / 2)Kotitehtävä: WPA:n toiminta (1 / 2)
Käyttää TKIPKäyttää TKIP
TKIP:ssä 128 bittiset pakettikohtaiset TKIP:ssä 128 bittiset pakettikohtaiset avaimetavaimet
RC4-salausalgoritmiRC4-salausalgoritmi
Eheystarkastus MIC (Message Integrity Eheystarkastus MIC (Message Integrity Check), virhe => kaikkien asiakkaiden Check), virhe => kaikkien asiakkaiden uudelleenautentikointi uudelleenautentikointi
Kotitehtävä: WPA:n toiminta (2 / 2)Kotitehtävä: WPA:n toiminta (2 / 2)
Asiakkaan autentikoituessa verkkoon Asiakkaan autentikoituessa verkkoon tukiasema luo yksilöivän pääavainparin tukiasema luo yksilöivän pääavainparin PMK:n (Pair-wise Master Key)PMK:n (Pair-wise Master Key)
TKIP luo pakettikohtaiset avaimet PMK:n TKIP luo pakettikohtaiset avaimet PMK:n pohjaltapohjalta
Kotitehtävä: 802.1x-toimintaKotitehtävä: 802.1x-toiminta
Sallitaan aluksi liikennöinti vain Sallitaan aluksi liikennöinti vain autentikointipalvelimelle (EAP-protokolla)autentikointipalvelimelle (EAP-protokolla)
Autentikointipalvelin hyväksyy tai hylkää Autentikointipalvelin hyväksyy tai hylkää asiakkaanasiakkaan
Hyväksytty asiakas pääsee käyttämään Hyväksytty asiakas pääsee käyttämään verkkoa normaalistiverkkoa normaalisti