Asiantuntijat: Wlan-salaukset ovat yhä turvallisia
0
Julkisuudessa on puitu langattomien lähiverkkojen wpa- ja wpa2-salausten tietoturvaa, koska tietoturva-asiantuntijat väittävät saaneensa salauksia osittain murrettua. Viestintäviraston mukaan tämän hetken tiedot eivät anna aihetta suureen huoleen, vaan nykyisiin salausmenetelmiin voidaan luottaa. Tärkeää on kytkeä salaus päälle ja huolehtia riittävän vahvasta salasanasta.
Aiemmin julkistettu haavoittuvuus liittyi wpa- ja wpa2-salausten ennalta jaettuihin salasanoihin (psk, public shared key). Heikkoja salasanoja onnistuttiin murtamaan Playstation 3 -konsolin laskuteholla aiempaa nopeammin. Tätä vastaan voi ja kannattaa suojautua keksimällä vahvoja salasanoja.
Toissa päivänä tietoturva-asiantuntijat Erik Tews ja Michael Beck paljastivat hyökkäystavan wpa tkip -salauksessa, joka ei kuitenkaan avaa mahdollisuutta salakuunnella langattoman lähiverkon liikenteen sisältöä.
Sen sijaan hyökkääjä voi saada mahdollisuuden muuttaa wlan-liikennettä wpa tkip -salauksen (temporary key integrity protocol, avainten vaihtaminen istunnon aikana) ohi.
Näin hyökkääjä voisi päästä peukaloimaan langattoman verkon laite- ja ip-osoitteita, mitä voitaisiin hyödyntää wlan-verkkoon murtautumisessa. Yksin julkistetun haavoittuvuuden avulla ei kuitenkaan verkkoon pääse murtautumaan.
Hyvän salauksen saa kotitukiasemissakin
Käytti sitten wpa- tai wpa2-salausta, salasanaa kannattaa miettiä hetki. Yleinen ohje on vähintään kahdeksan merkkiä pitkä salasana, jossa on isoja ja pieniä kirjaimia sekä numeroita satunnaisesti.
Tietoturva-asiantuntija Pasi Hänninen Viestintävirastosta sanoo, että viraston näkemyksen mukaan nykyisten wlan-tukiasemien wpa- ja wpa2-salaukset ovat yhä riittäviä ainakin kotikäyttöön.
Yritykset taas arvioivat wlan-verkkoja hyvin vaihtelevasti liiketoiminnan riskien mukaan.
Jos turvallisuutta halutaan korostaa, wpa2 on parempi, sillä siinä käytetään vahvempaa aes-algoritmiä kuin wpa:n kanssa yleensä käytetty rc4-algoritmi.
Virastosta korostetaan sitä, että kotikäytössä kannattaa katsoa, että ylipäätään jokin salaus on päällä, koska hyvin usein näin ei ole. Langattomat tukiasemat ovat oletusasetuksiltaan täysin avoimia. Jopa heikkona ja vanhanaikaisena pidetty wep-salaus estää satunnaista kokeilijaa pääsemästä verkkoon.
Tietoliikenneyhtiö Cisco Systems Finlandin tekninen johtaja Tommi Saxelin toteaa myös, että wpa2-salauksiin voi luottaa tämän hetken tietojen mukaan.
Yhtiöltä saattaa tulla kannanotto tietoturvaohjeisiin yrityskäytössä, kun tietoturvatutkijoiden väittämistä matemaattisista läpimurroista on saatu lisätietoa. Ciscon tämän hetken suositus on käyttää wpa2 aes -salausta. Kumpikaan julkisuudessa olleista wlan-salausten hyökkäystavoista ei siis ole koskenut tätä salausta.
Jo ainakin keväästä 2006 alkaen wlan-laitteiden wi-fi-sertifikaatin saaminen on edellyttänyt wpa2 aes -salauksen tukemista. Se on siis valittavissa likimain kaikissa koti- ja pienyrityskäyttöön tarkoitetuissa laitteissa. Kodeissa voi tietysti olla yhä vanhempia laitteita, jotka tukevat vain heikkoa salausta.
Yrityskäytössä myös järeämpää tietoturvaa
Siinä missä koti- ja pienyrityskäytössä suositaan ennalta jaettuja avaimia, isoissa yrityksissä tietoturva saatetaan nostaa korkeammalle tasolle käyttäjäkohtaisilla vaihtuvilla salasanoilla. Laajasti tuettu ratkaisu on käyttää eap-protokollaa (extensible authentication protocol) ja käyttäjät tunnistavaa Radius-palvelinta.
Joissakin yrityksissä liikennettä suojataan myös vpn-tunneloinnilla. Tommi Saxelin sanoo, että vpn-tunnelin ajaminen wpa2-salauksen päällä on liioittelua. Sen sijaan vpn:ää käytetään tyypillisesti silloin, kun julkisesta internetistä on saatava yhteys yrityksen sisäverkkoon.
Ohjelmistojen ja tukiasemien tukemissa salaustavoissa on eroja. Huonoin vaihtoehto on asianntuntijoiden mukaan jättää wlan-verkko kokonaan salaamatta. Salaus otetaan käyttöön tukiaseman web-pohjaisen hallintaliittymän kautta.
Ohjelmistojen ja tukiasemien tukemissa salaustavoissa on eroja. Huonoin vaihtoehto on asianntuntijoiden mukaan jättää wlan-verkko kokonaan salaamatta. Salaus otetaan käyttöön tukiaseman web-pohjaisen hallintaliittymän kautta.
