|
|
| Rivi 229: |
Rivi 229: |
| ottaa ytimeen mukaan. Toinen syy on se, että yleinen rajapinta wlan-ajureille ei ole vielä valmis. Wlan-ajureiden asentaminen voi olla aloittelijoille varsin haastavaa hommaa. | | ottaa ytimeen mukaan. Toinen syy on se, että yleinen rajapinta wlan-ajureille ei ole vielä valmis. Wlan-ajureiden asentaminen voi olla aloittelijoille varsin haastavaa hommaa. |
|
| |
|
| ==WEP-, WPA- ja WPA2-salaus==
| |
|
| |
|
| [[wikipedia:fi:WEP|'''WEP''']] (Wired Equivalent Privacy)
| |
|
| |
| Nykyisin tuki WEP-salaukselle löytyy kaikista Linux-ajureista ja toimii yleensä hyvin. Osassa ajureita (esim. hostap), voidaan jopa valita käytetäänkö kortin firmwarea vai ajurin ohjelmallista salausta. Johtuen RC4-salausalgoritmin virheellisestä toteutustavasta (ei siis suoranaisesti RC4-algoritmista itsestään), WEP-salausta ei pidetä enää turvallisena. WEP-salauksessa myöskään salausavaimen pituuden kasvattaminen (64 bit->128 bit->256 bit) ei oleellisesti paranna salauksen tehoa.
| |
|
| |
| Uudehkoissa tukiasemissa ja WLAN-korteissa on paikkailtu WEP-salauksen heikkouksia estämällä ns. ''heikkojen avainten luominen'' (''weak keys avoidance''). Näin ollen WEP-salauksen murtamiseen tarvitaan enemmän dataa. Salauksen murtamiseen tarvitaan noin 500-1000 GB liikennettä, jonka jälkeen salausavaimen selvittäminen yleensä onnistuu. Tapauksesta ja onnesta riippuen esimerkiksi 64 bittiä pitkä avain voi murtua 5 minuutissa ja 128 bittinen 20 minuutissa.
| |
|
| |
| WEP-salauksen vahvuutta voidaan parantaa myös käyttämällä '''dynaamista avainta''' (''Dynamic WEP Keying''), jolloin 128-bittinen WEP-salausavain vaihdetaan määrävälein (esimerkiksi 5 minuutin välein). Dynaaminen avain edellyttää IEEE802.1X-protokollan ("Port Based Authentication Protocol") käyttöä ja vaatii autentikointipalvelimeksi Radius-palvelimen. Tukiasemassa pitää olla IEEE802.1X-tuki ja WLAN-asiakas (client) tarvitsee IEEE802.1X supplicantin. Supplicant voi olla esim. [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] tai [http://www.open1x.org/ Xsupplicant].
| |
|
| |
| [[wikipedia:fi:WPA|'''WPA''']] (WiFi Protected Access)
| |
|
| |
| Yleensä WLAN-kortin ajurin lisäksi tarvitaan [http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant] (poikeuksena on Ralink rt2500, jossa supplicant on ajurissa "sisään rakennettuna" ), jotta WPA/WPA2-salaus saadaan toimimaan. Valitettava tosiasia kuitenkin on, että joidenkin korttien ajurit (esim. prism54) ovat vielä keskeneräisiä wpa_supplicantin suhteen ja toimivuus ei siten ole välttämättä täydellinen.
| |
|
| |
| Yritys- ja kotiverkoissa on syytä käyttää vähintään WPA/WPA2-salausta, mikäli se suinkin on mahdollista. WPA-salauksessa käytetään vaihtuvaa avainta salaukseen (TKIP eli Temporal Key Integrity Protocol), eli jokainen radiotielle lähetettävä paketti salataan eri avaimella. TKIP on "laajennus" 128-bittisestä WEP:stä lisättynä MIC:llä (Message Identity Check). Kummatkin käyttävät RC4-algoritmia salaukseen.
| |
|
| |
| Laajemmissa verkoissa on yleensä käytössä WPA-Enterprise (Radius+IEEE802.1X+TKIP). Tällöin käyttäjien autentikointi tapahtuu erillisellä protokollalla (EAP eli Extensible Authentication Protocol) Radius-palvelimelta.
| |
|
| |
| Pienissä verkoissa ei yleensä ole Radius-palvelinta (tosin Linux maailmassa tälläisenkin saa helposti pystyyn esim. [http://www.freeradius.org/ FreeRADIUS:lla]), jolloin joudutaan käyttämään WPA-PSK:ta (Preshared Key, "WPA-Personal") eli kaikille verkon laitteille jaetaan yhteinen avain, jota vasten autentikoidaan. Tämä mahdollistaa periaatteessa esimerkiksi sanakirjoihin perustuvat hyökkäykset.
| |
|
| |
| '''WPA2/RSN''' (802.11i/RSN Robust Security Network)
| |
|
| |
| WPA2 on seuraavan sukupolven WPA. Myös siitä on Personal- ja Enterprise- (Radius+IEEE802.1X+AES) muodot. Erona WPA:han on, että WPA2 käyttää salaukseen vahvempaa AES-salausalgoritmia TKIP:n RC4:n sijaan. WPA/WPA2:ssa salaus on huomattavasti tehokkaampaa kuin perinteisessä WEP:ssä. WPA2:n AES-algoritmille ei tunneta tehokkaita murtomenetelmiä.
| |
|
| |
| '''MUUT'''
| |
|
| |
| Muita suojausmentelmiä ovat muun muassa MAC-suodatus, jossa tukiasemalle kerrotaan etukäteen WLAN-asiakkaiden (client) MAC osoitteet. Vain tunnettujen laitteiden sallitaan liikennöidä tukiaseman kautta. MAC-suodatuksen tuoma lisäsuoja on heikko, koska WLAN-kortin MAC-osoite on helppo vaihtaa ohjelmallisesti.
| |
|
| |
| Tukiasemalle voidaan määrittää, että verkon-nimeä (SSID) ei lähetetä automaattisesti (hide SSID). Tästä saatu hyöty on niin ikään pieni: tukiasema joutuu paljastamaan SSID:n kun uusi WLAN-asiakas liittyy verkkoon, jolloin myös passiivinen kuuntelija saa sen selville.
| |
|
| |
| Lähetystehon pudottaminen voi olla järkevää. Myös WLAN-liikenteen VPN-tunnelointi voi olla perusteltua joissain tapauksissa.
| |
|
| |
| '''Hyökkäystyökalut'''
| |
|
| |
| [http://airsnort.shmoo.com/ Airsnort] ja [http://wepcrack.sourceforge.net/ Wepcrack] ovat yleisimpiä WEP-salauksen murtamiseen käytettyjä työkaluja. Uusien salaustekniikoiden (WPA/WPA2) yleistyessä nämä työkalut ovat jo lähes menettäneet käytännön hyödyllisyytensä.
| |
|
| |
| Toinen mielenkiintoinen hyökkäystapa on esiintyä tukiasemana HostAP-ajurin avulla ja syöttää (inject) omaa dataa verkon asiakkaille.
| |
|
| |
|
| ==WPA Supplicant (wpa_supplicant)== | | ==WPA Supplicant (wpa_supplicant)== |