Ero sivun ”WLAN” versioiden välillä

Siirry navigaatioon Siirry hakuun

WLAN (muokkaa)

Versio 24. toukokuuta 2005 kello 19.23

105 merkkiä lisätty ,  24. toukokuuta 2005
p
Dynamic WEP Keying
p (Dynamic WEP Keying)
Rivi 165: Rivi 165:
Nykyisin tuki WEP-salaukselle löytyy kaikista Linux ajureista ja toimii yleensä hyvin. Osassa ajureista (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajuria kryptaamiseen. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta WEP-salauksessa (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa. Uudehkoissa tukiasemissa ja Wlan-korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), estämällä "heikkojen" avainten generointi. Koska heikkoja avaimia ei synny, WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa.
Nykyisin tuki WEP-salaukselle löytyy kaikista Linux ajureista ja toimii yleensä hyvin. Osassa ajureista (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajuria kryptaamiseen. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta WEP-salauksessa (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei enää pidetä turvallisena. WEP salauksessa salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa. Uudehkoissa tukiasemissa ja Wlan-korteissa on firmwaressa paikkailtu WEP-salauksen heikkouksia (weak keys avoidance), estämällä "heikkojen" avainten generointi. Koska heikkoja avaimia ei synny, WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 2GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Riippuu hieman tuurista, mutta esim. 64-bit avain voi murtua 2 minuutissa ja 128-bit 20 minuutissa.


WEP-salauksen "tehoa" voidaan parantaa käyttämällä dynaamista-avainta (Dynamic WEP Keying), jossa salausavain vaihdetaan määrävälein, esim. 5 minuutin välein. Dynaamisen avaimen käyttö vaatii IEEE802.1X protokollan (Port Based Authentication Protocol) käytttöä ja vaatii siten myös Radius-palvelimen, josta wlan-asiakas autentikoidaan. Tukiasemassa pitää olla IEEE802.1X tuki ja wlan-asiakas tarvitsee IEEE802.1X-Supplicantin. Supplicant voi ola esim.  
WEP-salauksen "tehoa" voidaan parantaa käyttämällä dynaamista-avainta (Dynamic WEP Keying), jossa WEP-salausavain (128-bit) vaihdetaan määrävälein, esim. 5 minuutin välein. Dynaamisen avaimen käyttö edellyttää IEEE802.1X protokollan (Port Based Authentication Protocol) käyttöä ja vaatii siten myös Radius-palvelimen autentikointiin. Tukiasemassa pitää olla IEEE802.1X tuki ja wlan-asiakas tarvitsee IEEE802.1X-Supplicantin. Supplicant voi ola esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].


'''WPA'''
'''WPA'''
Rivi 171: Rivi 171:
Yleensä Wlan-kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on ajurissa "sisään rakennettuna" ), jotta saadaan wpa/wpa2-salaus toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen joten toimivuus ei siten välttämättä ole täydellinen.
Yleensä Wlan-kortin driverin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on ajurissa "sisään rakennettuna" ), jotta saadaan wpa/wpa2-salaus toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit ovat vielä "vaiheessa" wpa_supplicantin suhteen joten toimivuus ei siten välttämättä ole täydellinen.


Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salaus käyttää salaukseen vaihtuvaa avainta (TKIP=Temporal Key Integrity Protocol). Eli jokainen paketti joka lähetetään radiotielle salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC=Message identity check:llä. Kummassakin käytetään RC4 salausalgoritmia.
Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salaus käyttää salaukseen vaihtuvaa avainta (TKIP=Temporal Key Integrity Protocol). Eli jokainen paketti joka lähetetään radiotielle salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC=Message identity check:llä. Kummatkin käyttävt siis RC4 algoritmia salaukseen.


Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu omalla protokollalla (EAP=Extensible authentication protocol) Radius-palvelimelta.
Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu omalla protokollalla (EAP=Extensible authentication protocol) Radius-palvelimelta.
Luser
445

muokkausta

Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/1180

Navigointivalikko