Ero sivun ”WLAN” versioiden välillä
Siirry navigaatioon
Siirry hakuun
→WPA & WEP-salaus
| Rivi 92: | Rivi 92: | ||
Yleensä kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant], että saadaan wpa-salaus toimimaan. Valitettava tosiasia on, että useimpien korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen. Osta kortti jonka tiedät toimivan. Nykyhetkellä näitä ovat rt2500 piirisarjaiset kortit (nämä eivät tarvitse wpa_supplicantia). | Yleensä kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant], että saadaan wpa-salaus toimimaan. Valitettava tosiasia on, että useimpien korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen. Osta kortti jonka tiedät toimivan. Nykyhetkellä näitä ovat rt2500 piirisarjaiset kortit (nämä eivät tarvitse wpa_supplicantia). | ||
WEP-salaus yleensä toimii kortilla vakiona, jos ajuria on kehitetty lähiaikoina. Kuitenkaan WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64->128 | WEP-salaus yleensä toimii kortilla vakiona, jos ajuria on kehitetty lähiaikoina. Kuitenkaan WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64->128->xxx) ei oleellisesti paranna salauksen tehoa. Uudehkoissa tukiasemissa ja korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), jossa "heikkojen" avainten generointi on estetty. Näin WEP-salauksen murtamiseen tarvittavan datan määrä kasvaa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa. | ||
Yritysverkossa on | Yritysverkossa ja miksei myös kotiverkoissa on syytä käyttää WPA-salausta. Muita mahdollisia suojaustapoja on VPN-tunnelointi ja lisäksi MAC-suodatus. MAC-suodatusksen tuoma lisäsuoja on lähinnä marginaalinen, koska wlan-kortin MAC voidaan ohjelmallisesti helposti vaihtaa. | ||
Yleensä myös kannattaa pudottaa tukiaseman lähetystehoja ja muuttaa asetukset niin, että tukiasema ei lähetä verkon-nimeä automaattisesti (eng. hide ssid broadcast). Tästä saatu hyöty on myös marginaalinen, koska käytnnössä tukiasema joutuu paljastamaan ssid:n enemmin tai myöhemmin, jolloin verkkoa passiivisesti kuunteleva sen näkee. | |||
Laajemmissa verkoissa on yleensä käytössä Radius+wep/wpa. Tällöin authentikointi tapahtuu Radius-palvelimelta ja myös avainta voidaan vaihtaa tietyn ajan kuluttua, joka tekee salauksen purkamisesta huomattavasti hankalempaa. | Laajemmissa verkoissa on yleensä käytössä Radius+wep/wpa (WPA-Enterprise). Tällöin authentikointi tapahtuu Radius-palvelimelta ja myös avainta voidaan vaihtaa tietyn ajan kuluttua, joka tekee salauksen purkamisesta huomattavasti hankalempaa. | ||
Yksityisten verkoissa | Yksityisten verkoissa ei yleensä ole Radius-serveriä, jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli sama avain jaetaan kaikille verkon laitteille. Tämä periaatteessa mahdollistaa esimerkiksi sanakirjoihin perustuvat hyökkäykset. Mutta täsät huolimatta salaus on toista luokkaa kuin WEP:ssä. Voidaan esim. käyttää 256-bit AES-algoritmia, johon ei ole tunnettua hakkerointimenetelmää olemassa. | ||
==Mistä ostan?== | ==Mistä ostan?== | ||