panOULU-blogi

« Uusi kuu, uudet kujee… | Etusivulle | Asennuskertomus »

02.11.2006 - 17:37Langattomien verkkojen tietoturvasta

Toni Hakanen - yksi kommentti

Viime aikoina on ollut kovasti puhetta langattomien verkkojen tietoturvasta tai lähinnä sen puutteesta. Asioita voi aina katsoa monelta kannalta mutta näin itse jonkin verran langattomien verkkojen kanssa touhunneena haluaisin tuoda esiin muutamia asioita. Nämä eivät varmasti ole mitään absoluuttisia totuuksia ja kaukana subjektiivisestä, mutta elämä on...

Langattomien verkkojen tietoturvasta puhuttaessa yleisesti ensimmäinen asia mikä mainitaan on radiorajapinnan salaus eli ilmassa liikkuvien pakettien salaaminen jollain menetelmällä. Siihen on olemassa monia eri tapoja alun wep-salauksesta kehittyneempiin wpa-menetelmiin. Mutta kysymys kuuluu: Onko todellista hyötyä salata liikenne muutaman (kymmenen tai ehkä sadan) metrin matkalta jos liikenne kuitenkin kulkee isossa pahassa Internetissä salaamattomana? Onko oikein antaa käyttäjälle vääränlainen "turvallisuudentunne" mainostamalla salausta lyhyellä matkalla? Mielestäni ei ole. Parempi on jos ihmiset tietävät että uhkia on ja he osaavat varautua niihin. Tässäkin tapauksessa tietoisuuden lisääminen auttaa enemmän kuin tuhat "tietoturvaratkaisua", joilla on pahana tapana myös unohtaa eräs tietoturvan perusominaisuus eli saatavuus. Olemme aina pyrkineet suosittelemaan ns. päästä päähän suojauksia kuten ssh tai vpn. Silloin liikenne on salattu aina päätelaitteelta palvelimelle asti riippumatta välissä olevasta verkosta ja sen tietoturvasta. Tälläisiä yhteyksiähän käytetään esimerkiksi pankkipalveluissa, joissa on ssl-suojaus. Radiorajapinnan salauksessa käytettäviä metodeja on myös useita erilaisia, joka saattaa aiheuttaa joidenkin päätelaitteiden toimimattomuuden verkossa. Esimerkiksi wlan-kännyköiden kanssa voi odottaa ongelmia.

Miten langattoman verkon tietoturva sitten eroaa "normaalista" tietoturvasta. Siten että radiorajapinnan kuunteleminen on helpompaa kuin langallisen. Ei tarvitse etsiä verkkopistoketta mihin laittaa koneensa, vaan mennä vain tukiaseman lähelle. Mitä tämä sitten tarkoittaa? Sitä että käyttäjä on niin sanotusti pesäpallomailan ulottuvissa eikä jossain maapallon toisella puolella. Jokainen voi sitten miettiä kumpiko on parempi. Yksi ongelma voi myös olla ns. rogue access pointit eli tukiasemat joihin on laitettu tunnettu verkon tunniste (esim. panoulu), mutta liikenne kulkee väärän tahon kautta ja kyseinen taho tarkkailee verkkoliikennettä. Samanlaisia "man-in-the-middle" hyökkäyksiä voi tosin tapahtua myös langallisissa verkoissa. Kannattaa käyttää päästä päähän salattuja yhteyksiä aina kun vaaditaan käyttäjätunnuksia ja salasanoja. Yleisesti suurin osa mahdollisista tietoturvauhista koskevat samalla tavalla langattomia verkkoja ja langallisia verkkoja. Pitää muistaa että langattomassakin verkossa liikenne kulkee lopulta lankoja pitkin.

Langattoman verkon salaamisella on toki omat käyttökohteensa. Seuraavaksi muutamia esimerkkejä erilaisista tilanteista:

Matti Meikäläisellä on kotona 2mbps dsl-liitymä ja hän asentaa sen perään langattoman tukiaseman surffatakseen kotisohvalla. Hän ei halua että naapurin Pentti Peruskäyttäjä käyttää hänen yhteyttään omaan surffaukseensa. Matti määrittää tukiasemaan wep-salausavaimen ja saman avaimen myös kannettavaansa. Valitettavasti Matin uusi wlan-kykenevä kännykkä ei tue wep-salausta joten sillä hän ei pääse verkkoon. Pentti ei pysty käyttämään Matin verkkoa koska ei tiedä salausavainta (ainakaan ilman tietomurtoa).

Matti Meikäläisen firma Matin Mopo Oy haluaa ottaa käyttöönsä langattoman verkon josta on pääsy firman palveluihin. He eivät halua että ulkopuoliset pääsevät käyttämään verkkoa. Lisäksi verkon palvelut ovat niin kriittisiä että he kaipaavat vahvaa salausta. Matin Mopo Oy:n ylläpitäjät määrittävät tukiasemat käyttämään wpa-tason salausta tarpeellisen tietoturvan saavuttamiseksi. Valitettavasti puolet firman kannettavista joudutaan uusimaan.

Oulussa päätetään alkaa kehittämään kaikille käyttäjille avointa langatonta verkkoa. Aluksi tukiasemiin laitetaan wep-salaus. Salasana laitetaan verkon nettisivuille että ihmiset voivat oikeasti käyttää verkkoa. Joku insinööri alkaa miettimään, että mitä hyötyä on salausavaimesta, joka on kaikkien nähtävillä Internetissä. Salaus poistetaan. Kaikki IEEE 801.11a/b/g-standardeja tukevat päätelaitteet voivat käyttää verkkoa.

Tämä oli todellakin vain pintaraapaisu tietoturvan ihmeelliseen maailmaan ja esimerkiksi käyttäjien tunnistamista ei tässä nyt käsitelty ollenkaan. Ehkäpä jatkossa kirjoitamme jotain siitäkin asiasta. Jos ajatellaan Internetin tietoturvaa niin puhutaan miljoonista erilaisista "solmuista" joiden toteutuksesta ei tavallisella käyttäjällä ole mitään tietoa. Yhden solmun tietoturva on tässä mittakaavassa melko olematon tekijä. Mutta juuri näihin erilaisiin solmuihin koko Internetin kehittyminen perustuu. Välillä tuntuu samalta kuin katsellessa tähtitaivasta...

Kello alkaa olemaan yhteenvedon aika:

Langattoman verkon tietoturvattomuutta ei tulisi korostaa eikä langallisen verkon tietoturvaa pitää parempana. Tietoturva on kokonaisuus jota ei yksittäisillä menetelmillä pystytä ratkaisemaan. Riskien tiedostaminen on parempi kuin väärä turvallisuudentunne. Tietoturva kannattaa suhteuttaa erilaisiin tarpeisiin. Blogin kirjoittaja ei ole oikein ajan tasalla.