Ero sivun ”WLAN” versioiden välillä

Siirry navigaatioon Siirry hakuun

WLAN (muokkaa)

Versio 30. huhtikuuta 2005 kello 22.47

188 merkkiä lisätty ,  30. huhtikuuta 2005
→‎WPA & WEP-salaus
Rivi 89: Rivi 89:
* [http://ndiswrapper.sourceforge.net/phpwiki/index.php/List Tuetut kortit]
* [http://ndiswrapper.sourceforge.net/phpwiki/index.php/List Tuetut kortit]


==WPA & WEP-salaus==
==WEP & WPA-salaus==
Yleensä kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant], että saadaan wpa-salaus toimimaan. Valitettava tosiasia on, että useimpien korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen. Osta kortti jonka tiedät toimivan. Nykyhetkellä näitä ovat rt2500 piirisarjaiset kortit (nämä eivät tarvitse wpa_supplicantia).
'''WEP'''
Nykyisin WEP-salaus löytyy kaikista Linux ajureista ja toimii yleensä hyvin. Kuitenkaan WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64->128->256) ei oleellisesti paranna salauksen tehoa. Uudehkoissa tukiasemissa ja korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), jossa "heikkojen" avainten generointi on estetty. Koska heikkoja avaimia ei synny, WEP-salauksen murtamiseen tarvittavan dataa tarvitaan enemmän. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa.


WEP-salaus yleensä toimii kortilla vakiona, jos ajuria on kehitetty lähiaikoina. Kuitenkaan WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64->128->xxx) ei oleellisesti paranna salauksen tehoa. Uudehkoissa tukiasemissa ja korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), jossa "heikkojen" avainten generointi on estetty. Näin WEP-salauksen murtamiseen tarvittavan datan määrä kasvaa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa.
Muita suojausmentelmiä ovat esim. MAC-suodatus, jossa tukiasemassa kerrtotaan wlan-asiakkaiden(client) MAC osoitteet joiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on kuitenkin lähinnä marginaalinen, koska wlan-kortin MAC voidaan ohjelmallisesti helposti vaihtaa. Yleensä myös kannattaa pudottaa tukiaseman lähetystehoa ja muuttaa asetukset niin, ettei tukiasema lähetä verkon-nimeä (ssid) automaattisesti (hide ssid). Tästä saatu hyöty on myös marginaalinen, koska käytännössä tukiasema joutuu paljastamaan ssid:n enemmin tai myöhemmin, jolloin verkkoa passiivisesti kuunteleva sen näkee.  


Yritysverkossa ja miksei myös kotiverkoissa on syytä käyttää WPA-salausta. Muita mahdollisia suojaustapoja on VPN-tunnelointi ja lisäksi MAC-suodatus. MAC-suodatuksen tuoma lisäsuoja on lähinnä marginaalinen, koska wlan-kortin MAC voidaan ohjelmallisesti helposti vaihtaa.
'''WPA'''
Yleensä myös kannattaa pudottaa tukiaseman lähetystehoja ja muuttaa asetukset niin, että tukiasema ei lähetä verkon-nimeä automaattisesti (eng. hide ssid). Tästä saatu hyöty on myös marginaalinen, koska käytännössä tukiasema joutuu paljastamaan ssid:n enemmin tai myöhemmin, jolloin verkkoa passiivisesti kuunteleva sen näkee.  
Yleensä Wlan-kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500), jotta saadaan wpa-salaus toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen ja toimivuus ei siten välttämättä ole 100%.


Laajemmissa verkoissa on yleensä käytössä Radius+wep/wpa (WPA-Enterprise). Tällöin authentikointi tapahtuu Radius-palvelimelta ja myös avainta voidaan vaihtaa tietyn ajan kuluttua, joka tekee salauksen purkamisesta huomattavasti hankalempaa.
Yritysverkossa ja miksei myös kotiverkoissa on syytä käyttää vähintään WPA-salausta. WPA-salaus käyttää salaukseen vaihtuvaa avainta (TKIP=Temporal Key Integrity Protocol). TKIP on "johdettu" WEP:stä lisättynä MIC:llä, eli kumpikin käyttää RC4 salausalgoritmia.


Yksityisten verkoissa ei yleensä ole Radius-palvelinta, jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli sama avain jaetaan kaikille verkon laitteille. Tämä periaatteessa mahdollistaa esimerkiksi sanakirjoihin perustuvat hyökkäykset. Mutta tästä huolimatta salaus on toista luokkaa kuin WEP:ssä. Voidaan käyttää 256-bit AES-algoritmia, johon ei ole tunnettua hakkerointimenetelmää olemassa.
Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien authentikointi tapahtuu omalla protokollalla (EAP) Radius-palvelimelta.


Mitä tehokkaampaa salausta käytetään, sitä lyhyemmäksi tukiaseman kantomatka muodostuu, sillä mitä vahvempi salaus on, sitä häiriöherkempi se on siirtotien ongelmille. Yleensä tämä ei ole ongelma, sillä voidaan käyttää tehokkaampia antenneja. Lähetysteho ei kummiskaan saa ylittää radiolain vaatimuksia tai rikotaan lakia.
Yksityisten verkoissa ei yleensä ole Radius-palvelinta, jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli sama avain jaetaan kaikille verkon laitteille, jota vasten autentikoidaan. Tämä periaatteessa mahdollistaisi esim. sanakirjoihin perustuvat hyökkäykset.
 
'''WPA2'''
WPA2 on seuraavan sukupolven WPA. Myös siitä löytyy Personal ja Enterprise muodot. Erona on WPA:han on, että WPA2 käyttää salaukseen vahvempaa AES-algortmia TKIP:n sijaan.
 
WPA/WPA2 salaus on toista luokkaa kuin WEP:ssä. WPA2:ssa voidaan käyttää esim. 256-bit AES-algoritmia, johon ei ole tunnettua hakkerointimenetelmää olemassa.
 
'''MUUT'''
Muita mahdollisia Wlan-liikenteen suojaustapoja on VPN-tunnelointi.


==Mistä ostan?==
==Mistä ostan?==
Luser
445

muokkausta

Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/614

Navigointivalikko