Ero sivun ”WLAN” versioiden välillä

Siirry navigaatioon Siirry hakuun

WLAN (muokkaa)

Versio 28. kesäkuuta 2005 kello 15.13

8 merkkiä lisätty ,  28. kesäkuuta 2005
→‎WEP, WPA & WPA2-salaus: Pilkunviilausta ja kielellistä kaunistamista
(→‎WEP, WPA & WPA2-salaus: Pilkunviilausta ja kielellistä kaunistamista)
Rivi 184: Rivi 184:
ottaa ytimeen mukaan. Toinen syy on se, että yleinen rajapinta wlan-ajureille ei ole vielä valmis. Wlan-ajureiden asentaminen voi olla aloittelijoille varsin haastavaa hommaa.
ottaa ytimeen mukaan. Toinen syy on se, että yleinen rajapinta wlan-ajureille ei ole vielä valmis. Wlan-ajureiden asentaminen voi olla aloittelijoille varsin haastavaa hommaa.


==WEP, WPA & WPA2-salaus==
==WEP-, WPA- ja WPA2-salaus==


'''WEP'''
'''WEP'''


Nykyisin tuki WEP-salaukselle löytyy kaikista Linux ajureista ja toimii yleensä hyvin. Osassa ajureista (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajuria kryptaamiseen. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta WEP-salauksessa (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen "tehoa". Uudehkoissa tukiasemissa ja Wlan-korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), estämällä "heikkojen" avainten generointi. Koska heikkoja avaimia ei synny, WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa.
Nykyisin tuki WEP-salaukselle löytyy kaikista Linux-ajureista ja toimii yleensä hyvin. Osassa ajureita (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajurin ohjelmallista salausta. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei pidetä enää turvallisena. WEP-salauksessa myöskään salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen "tehoa".


WEP-salauksen "tehoa" voidaan hieman parantaa käyttämällä dynaamista-avainta (Dynamic WEP Keying), jossa WEP-salausavain (128-bit) vaihdetaan määrävälein, esim. 5 minuutin välein. Dynaamiminen avain edellyttää IEEE802.1X protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X tuki ja wlan-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].
Uudehkoissa tukiasemissa ja WLAN-korteissa on paikkailtu WEP-salauksen heikkouksia estämällä ns. heikkojen avainten luominen (weak keys avoidance). Näin ollen WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Tapauksesta ja onnesta riippuen esimerkiksi 64 bittiä pitkä avain voi murtua 2 minuutissa ja 128 bittiä 20 minuutissa.
 
WEP-salauksen vahvuutta voidaan parantaa myös käyttämällä dynaamista avainta (Dynamic WEP Keying), jolloin 128-bittinen WEP-salausavain vaihdetaan määrävälein (esimerkiksi 5 minuutin välein). Dynaaminen avain edellyttää IEEE802.1X-protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X-tuki ja WLAN-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].


'''WPA'''
'''WPA'''


Yleensä Wlan-kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on ajurissa "sisään rakennettuna" ), jotta saadaan wpa/wpa2-salaus toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä "vaiheessa" wpa_supplicantin suhteen joten toimivuus ei siten ole välttämättä täydellinen.
Yleensä WLAN-kortin ajurin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on ajurissa "sisään rakennettuna" ), jotta WPA/WPA2-salaus saadaan toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä keskeneräisiä wpa_supplicantin suhteen ja toimivuus ei siten ole välttämättä täydellinen.


Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP=Temporal Key Integrity Protocol). Eli jokainen paketti joka lähetetään radiotielle salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC=Message identity check:llä. Kummatkin käyttävät RC4 algoritmia salaukseen.
Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP eli Temporal Key Integrity Protocol), eli jokainen radiotielle lähetettävä paketti salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC:llä (Message Identity Check). Kummatkin käyttävät RC4-algoritmia salaukseen.


Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu omalla protokollalla (EAP=Extensible authentication protocol) Radius-palvelimelta.
Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu erillisellä protokollalla (EAP eli Extensible Authentication Protocol) Radius-palvelimelta.


Yksityisten verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. [http://www.freeradius.org/ FreeRADIUS:lla]), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli sama avain jaetaan kaikille verkon laitteille, jota vasten autentikoidaan. Tämä periaatteessa mahdollistaisi esim. sanakirjoihin perustuvat hyökkäykset.  
Pienissä verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. [http://www.freeradius.org/ FreeRADIUS:lla]), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli kaikille verkon laitteille jaetaan yhteinen avain, jota vasten autentikoidaan. Tämä mahdollistaa periaatteessa esimerkiksi sanakirjoihin perustuvat hyökkäykset.  


'''WPA2'''
'''WPA2'''


WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal ja Enterprise (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on, että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP:n RC4:n sijaan. WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteissessä WEP:ssä. WPA2:n AES-algoritmiin ei ole tunnettua hakkerointimenetelmää olemassa.
WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on, että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP:n RC4:n sijaan. WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteissessä WEP:ssä. WPA2:n AES-algoritmille ei tunneta tehokkaita murtomenetelmiä.


'''MUUT'''
'''MUUT'''


Muita suojausmentelmiä ovat esim. MAC-suodatus, jossa tukiasemassa kerrtotaan wlan-asiakkaiden(client) MAC osoitteet. Vain näiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on kuitenkin lähinnä marginaalinen, koska wlan-kortin MAC voidaan helposti  ohjelmallisesti vaihtaa.   
Muita suojausmentelmiä ovat muun muassa MAC-suodatus, jossa tukiasemalle kerrotaan etukäteen WLAN-asiakkaiden (client) MAC osoitteet. Vain tunnettujen laitteiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on heikko, koska WLAN-kortin MAC-osoite on helppo vaihtaa ohjelmallisesti.   


Tukiasemassa voidaan kertoa, että verkon-nimeä (ssid) ei lähetetä automaattisesti (hide ssid). Tästä saatu hyöty on niin ikään marginaalinen, koska käytännössä tukiasema joutuu paljastamaan ssid:n enemmin tai myöhemmin uuden wlan-asiakas liittyessä verkkoon, jolloin verkkoa passiivisesti kuunteleva sen näkee.  
Tukiasemalle voidaan määrittää, että verkon-nimeä (SSID) ei lähetetä automaattisesti (hide SSID). Tästä saatu hyöty on niin ikään pieni: tukiasema joutuu paljastamaan SSID:n kun uusi WLAN-asiakas liittyy verkkoon, jolloin myös passiivinen kuuntelija saa sen selville.  


Lähetystehon pudottaminen voi olla järkevää. Myös Wlan-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa.
Lähetystehon pudottaminen voi olla järkevää. Myös WLAN-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa.


'''HYÖKKÄYSTYÖKALUT'''
'''HYÖKKÄYSTYÖKALUT'''


[http://airsnort.shmoo.com/ Airsnort] ja [http://wepcrack.sourceforge.net/ Wepcrack] ovat yleisimpiä työkaluja WEP-salauksen murtamiseen. Uusien salaustekniikoiden (WPA/WPA2) yleistyessä, nämä työkalut alkavat olla jo melko hyödyttömiä.
[http://airsnort.shmoo.com/ Airsnort] ja [http://wepcrack.sourceforge.net/ Wepcrack] ovat yleisimpiä WEP-salauksen murtamiseen käytettyjä työkaluja. Uusien salaustekniikoiden (WPA/WPA2) yleistyessä nämä työkalut ovat jo lähes menettäneet käytännön hyödyllisyytensä.


Toinen mielenkiintoinen hyökkäys on käyttää HostAP ajuria emuloimaan tukiasemaa ja päästä syöttämään (inject) omaa dataa muille.
Toinen mielenkiintoinen hyökkäystapa on esiintyä tukiasemana HostAP-ajurin avulla ja syöttää (inject) omaa dataa verkon asiakkaille.


==Mistä ostan?==
==Mistä ostan?==
Rekisteröitymätön käyttäjä
Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/1434

Navigointivalikko