You are here: TUTWiki>Tietoturva/Tutkielmat>SyvajarviT?>2005-36

Heli Peltonen:

Julkisen WLAN -verkon tietoturva loppukäyttäjän kannalta

Johdanto

Julkisia mm. kirjastoissa ja kahviloissa olevia WLAN-palveluita (Wireless Local Area Network) ilmestyy kasvavaan tahtiin. WLAN-palvelu tarjoaa siis langattoman lähiverkkoyhteyden ja julkinen WLAN-palvelu tarjoaa yhteyden Internettiin. Palvelut ovat yleensä tarkoitettuja asiakkaille ja asiakkaiden omilla koneilla käytettäviksi. Tampereella kirjastot ja useat ns. nettikahvilat ja jopa baarit tarjoavat WLAN-palveluita asiakkailleen. Palvelu tuo lisäarvoa asiakkaille varsinaisen palvelun yhteydessä. Kannettavien tietokoneiden ja WLAN-sovittimien hyödyntäminen on myös kasvanut, joten palveluille alkaa myös olla käyttäjiä. Asioinnin yhteydessä voi hyvin lukea esim. sähköpostit ja etsiä tietoa Internetistä omalla koneella. WLAN-palvelu ja tarve ovat siis kohtaamassa toisiaan.

Työn tarkoitus

Tämän työn tarkoitus on pääasiassa testata muutamaa julkista WLAN-palvelua, kerätä niistä kokemusta ja analysoida julkisen WLAN-palvelun tietoturvaa. Työssä ei pyritä kuvaamaan WLAN-tekniikkaa, eikä muitakaan liittyviä tekniikoita sen syvällisemmi, kuin asiayhteys vaatii.

Tampereen kaupungin pääkirjaston – Metso – WLAN-palvelu

Tampereen kaupungin pääkirjasto on yksi kaupungin kuudesta kirjastosta, joissa on WLAN-palvelu käytettävissä asiakkaiden omilla koneilla. WLAN-tunnukset saa pelkästään käsikirjaston kirjastonhoitajalta ja WLAN-verkko on käytettävissä pääasiassa käsikirjaston tiloissa. WLAN-verkko kantautuu myös osittain kahvion puolelle. Käytettävissä on 1, 2 ja 4 tunnin tunnuksia. Tunnukset lakkaavat toimimasta kirjaston aukioloajan jälkeen. Tällä pyritään estämään luvaton käyttö aukioloajan ulkopuolella. Sekä käyttäjätunnus ja salasana ovat hyvän salasanakäytännön mukaisia, eli sekä käyttäjätunnus että salasana sisältävät sekä kirjaimia että numeroja ja eivät muodosta minkäänlaisia sanoja. (Haastattelu, Harri Havanka.)

Tällä hetkellä WLAN-käyttäjiä on pääsääntöisesti yksi päivässä, vaikka palvelua ei ole varsinaisesti mainostettu. Tietoa löytyy kyllä Tampereen kaupungin web-sivuilta. (Haastattelu, Harri Havanka.)

Kirjastossa on asiakaskäyttöön myös pöytäkoneita. Koneissa ei ole käyttäjätunnus ja salasanatunnistusta. Koneille kyllä pyydetään käyttöoikeutta ja –aikaa käsikirjaston hoitajalta. Varsinaista kirjaa käyttäjistä ei pidetä. Pääkirjastoon on juuri tullut asiakkaiden käyttöön kannettavia Citrix-koneita. Citrix-kone ei itsessään sisällä varsinaisesti sovelluksia vaan kaikki sovellukset pyörivät Citrix-palvelimella ja asiakas käyttää sovelluksen näkymää lainaamallaan Citrix-koneella. Citrix-koneissa on erillinen Windows XP Embedded -käyttöjärjestelmä. Windows XP Embedded -toteutus on muodostettu siten, että käyttäjän on mahdollista käyttää sovelluksia Citrix:n kautta ja tallettaa tietoja vain mm. USB-muistikortille. (Haastattelut, Harri Havanka ja Tuomo Mujunen.)

Tampereen kaupungin tietotekniikkakeskus vastaa kaikista Tampereen kaupungin tietoliikenne- ja tietotekniikkatoteutuksista. Näin on myös kirjastojen osalta.

WLAN-palvelun tekninen toteutus

Palvelu on toteutettu Handlink:n WG-601 WLAN-AP:lla (Access Point). Se tukee sekä IEEE802.11b (maks 11 Mbs) että IEEE 802.11g (maks 54 Mbs) standardeja. IEEE 802.11b on laajimmin levinnyt WLAN-tekniikka. Se on saanut myös WiFi?-määrityksen. IEEE 802.11g on kehitetty pääasiassa IEEE 802.11b standardin pohjalta, eli 802.11g on alaspäin yhteensopiva IEEE 802.11b kanssa, mutta tarjoaa nopeamman WLAN-yhteyden. Kummankin käyttämä kaista on 2,4 GHz ISM-taajuusalueella. (Secure Access Controller WG-601, Handlink.)

Palvelua pyytävä asiakas saa kuitin, josta käy selville käyttäjätunnus ja salasana. Käyttäjätunnuksen ja salasanan tulostamiseen hyödynnetään WG-601 kanssa samaan tuoteperheeseen kuuluvaa tulostuslaitetta Account Generator printer-AG200. Asiakas saa käyttöönsä WLAN-palvelun kirjautumalla WLAN-verkkoon saamillaan käyttäjätunnuksella ja salasanalla. GW-601 tuottaa loggautumissivun WLAN-palveluun. (Account Generator printer-AG200.)

GW-601 Access Point sisältää DHCP-palvelimen, mikä jakaa käyttäjälle automaattisesti IP-osoitteen. GW-601 mahdollistaisi myös Raduis-Clientin käyttämisen, mikäli haluttaisiin hyödyntää olemassa olevaa Radius-palvelinta käyttäjätunnuksien luontiin ja käyttäjien tunnistamiseen. Tampereen kaupungin tapauksessa hyödynnetään GW-601:n DHCP-palvelinta ja osoiteavaruus on määritetty A-privat-osoiteavaruudesta.

Verkkoteknisesti WLAN AP:itä yhdistävä verkko, mikä on teknisesti toteutettu VLAN:na, on erillään koko muusta Tampereen kaupungin verkosta. WLAN-VLAN yhdistyy internettiin FW:n kautta. WLAN-verkkoon tuleekin suhtautua kuin se olisi internettiä. FW:ssa tehdään NAT -osoitteenmuunnos internetin ja sisäverkon välillä. Internettiin liikenne yhdestä Access Point:sta näkyy yhtenä julkisena IP-osoitteena, vaikka ko. Access Point:ssa olisi useampi yhtäaikainen käyttäjä.

WG-601 tukee WPA ja WEP -salauksia. Kumpaakaan ei hyödynnetä kirjaston toteutuksessa. Ongelmaksi nähdään WEP:n yhteydessä avainten jako ja WPA:n yhteydessä tunnuksien luonti olisi hankalaa satunnaisille käyttäjille.

Ping on estetty kirjaston asiakasverkosta. Myöskään IPsec ei onnistunut. IPsec mahdollistaa salatun yhteyden esim. yrityksen verkkoon. Tämä estää etätyön tekemistä, mikäli VPN (Virtual Privat Network) yrityksen verkkoon on toteutettu IPsec:llä. (Haastattelu, Tuomo Mujunen.)

Olutravintola Konttori, Tampere

Tampereen kaupungissä on jo monta ns. nettikahvilaa. Olutravintola, Konttori, on yksi niistä. WLAN-palveluun on tarjolla rajoitettu oikeus asiakkailla. Palvelun käyttö vaatii oman koneen ja WLAN-sovittimen. WLAN-tunnukset saa myyjältä. Sekä käyttäjätunnus että salasana nuodattavat hyvää salasanakäytäntöä. Ne muodostuvat sekä kirjaimista että numeroista ja eivät muistuta mitään sanaa, jolla olisi jokin tarkoitus. Tunnuksilla on rajoitettu käyttöaika.

Käyttäjät ovat lähinnä Tampereen Teknillisen Yliopiston opiskelijoita. Kerrallaan palvelua saattaa käyttää siis useampikin käyttäjä. Käyttöä on päasiassa iltaisin.

Teknisesti WLAN-palvelu on toteutettu Handlink:n Wireless PnP Subscriber Gateway-laitteella. Se tukee IEEE 802.11b WLAN-standardia. Laite soveltuu hyvin pienempien liikkeiden toteutuksiin. Liikkeen ei tarvitse hankkia juurikaan oheistarvikkeita rakentaessaan palvelua. Laitteen kautta on mahdollista mm. ottaa käyttöön NAT, DNS ja SSL-pohjainen authentikoitumissivu. Käyttäjätunnus- ja salasanatulostus tapahtuu AG100 kuittitulostimella. (PnP? Subscriber Gateway.) (AG100 kuittitulostin.)

IP-osoitteet tulevat automaattisesti DHCP:llä, joten asiakkaan ei tarvitse tehdä koneellensa mitään asetuksia palvelun takia - kunhan koneesta löytyy WLAN-sovitin. Asiakkaan saamalle privat-IP-osoitteelle (10.0.0.0 m. 255.0.0.0) tehdään NAT ja Internetiin liikenne näkyy virallisella IP-osoitteella - eri osoitteella siis kuin, minkä asiakas DHCP:ltä sai. WLAN-palvelussa ei ole käytössä WEP eikä WPA. Liikennen kulkee siis salaamattomana WLAN-radiotaajuuksilla.

Testausjärjestelmä

Muutaman julkisen WLAN-palvelun testaamisessa käytetty laitteisto koostuu Compaq Evo N800c –kannettavasta ja Nokia D211 –datasovittimesta. Käytössä on Windows XP Professional –käyttöjärjestelmä sovelluksineen kattaen mm. IE-selaimen ja Cisco VNP Secur ID -tunnelointiratkaisun. Järjestelmään on asennettu myös Ethereal 0.10.13 analysaattorisovellus, mikä tukee jo 724 protokollaa. Ethereal on ”open source” lisenssillä oleva analysattorisovellus, jota mm. koulutustarkoitukseen paljon hyödynnetään. Testauskoneelle on asennettu myös WinPcap 3.1, mikä “käsittää ajurin, joka laajentaa käyttöjärjestelmää tukemaan alemman tason verkkoyhteyttä”. WinPcap? tulee automaattisesti Ethereal asennuspaketin mukana. WinPcap? 3.1 mahdollistaa myös WLAN-pakettien analysoinnin. Valitettavasti Nokia D211 –datasovitin ei ole tuettujen listalla. Tästä johtuen analysaattoriin saa näkymään protokollia vain ethernet, eli siirtoyhteys tasosta ylöspäin. Nokia D211 –datasovitin tukee IEEE 802.11b protokollaa. IEEE 802.11b tarjoaa maksimissaan 11 Mbs datanopeuden.

Julkinen WLAN-palvelu loppukäyttäjän kannalta

Kannettava tietokone ja WLAN-sovitin alkavat olla jo aika yleisesti käytettyjä, joten käyttäjäpotentiaalia alkaa pikkuhiljaa syntyä julkisille WLAN-palveluille. Julkinen WLAN-palvelu mahdollistaa asioiden hoidon Internetissä vaikkapa kesken ostosmatkan. Myös palveluntarjoajat, julkiset tahot ja mm. kahviot, voivat tarjota asiakkailleen lisäarvoa varsinaisen palvelunsa ohessa.

Julkinen WLAN-palvelu nostaa kysymyksiä palvelun tietoturvasta, voiko WLAN-palvelun kautta mm. maksaa laskujaan, entä lukea sähköpostiaan. Herkästi herää myös kysymys, voiko joku kuunnella pankkiasiointi- tai sähköpostiliikennettä.

WLAN-verkko on LLC-toteutukseltaan aivan vastaava LAN-verkon kanssa, eli WLAN-verkko on myös jaettu media kaikkien käyttäjien suhteen (CSMA/CA). LLC on OSI-mallin siirtoyhteyskerroksen (2. kerros) protokolla. Jokainen käyttäjä voi siis kuunnella jonkin toisen käyttäjän liikennettä. Valitettavasti muiden käyttäjien liikennettä ei ollut mahdollisuus kuunnella ja analysoida, koska muita käyttäjiä ei samaan aikaan ollut.

WLAN salaus

802.11b mahdollistaa WEP-salauksen käytön ja 802.11g mahdollistaa myös WPA-salauksen. WEP-salauksessa käytetään samaa avainta sekä tunnistukseen ja liikenteen salaukseen. WEP salaus voidaan helposti purkaa kuuntelemalla liikennettä. Myös Internetistä löytää salauksen purkamisohjeet. WPA on kehittyneempi salausprotokolla. Siinä on erilaiset menettelyt sekä tunnistukselle että liikenteen salaukselle.

WEP -salauksen ongelmana on sen tapa käyttää alustusvektoria salauksessa. Alustusvektoriin kuuluvat bitit lähetetään salaamattomina jokaisen kehyksen ensimmäisissä biteissä. (TLT-3201 luentomateriaali) WEP -salauksen avain on vain 40 bittinen, mikä ei ole kovin raskas murtaa nykytehoisilla tietokoneilla liikennettä kuuntelemalla. (Wikipedia) Toinen Wep – salauksen ongelma on mahdollisuus tehdä salattuun viestiin muutoksia siten, että eheystarkistus ei näitä muutoksia huomaa. (TLT-3201 luentomateriaali)

Sekä WEP että WPA -salauksien hyödyntäminen julkisissa WLAN-palveluissa saattaa olla hallinnollisesti haastavaa. Palvelun tarjoajan tulee hallinnoida käyttäjätunnuksen ja salasanan lisäksi riittävät tiedot salaukseen. WEP:n osalta esim. avain ja WPA:n osalta salasana.

WEP:n yhteydessä salauksen avain tulee antaa kaikille asiakkaille, joten periaatteessa salauksen avain on tällöin julkinen, eli kaikilla on se mahdollisuus saada ja kuunnella liikennettä. Avain tulisi vaihtaa riittävän usein. Käytännössä tämä olisi mahdollista vaihtaa esim. päivittäin. Kuitenkin haluttaessa salasana saadaan palvelun tarjoaalta käyttämällä palvelua.

WPA:n osalta asiakkaalle tulee antaa salasana verkkoon. Tämän saatuaan asiakkaalla on mahdollisuus hyödyntää verkkoa myös mahdollisesti epärehellisiin tarkoituksiin. Salasana voidaan myös vaihtaa päivittäin, mutta edelleen salasana on periaatteessa kaikkien saatavilla. WPA ei ole tuettu 802.11b standardin kanssa, joten sitä ei voida hyödyntää julkisissa WLAN-palveluissa, koska suurin osa käyttäjistä eivät tällöin olisi tuettuja. 802.11b standardi on tällä hetkellä laajemmin käytetty.

Eräs vaihtoehto olisi tarjota asiakkaille langattomia verkkoja eri standardeilla, jolloin tietoturvatietoisemmat ja uudemmilla laitteilla verkkoon kytkeytyvät saisivat tietoliikenteelleen asianmukaisen suojan. Esimerkiksi salattu yhteys voisi olla WPA -salattu ja tarjolla olisi myös salaamatonta yhteyttä, minkä käyttöä ei kuitenkaan suositeltaisi kenellekään.

Julkisessa verkossa asioivat voivat kaikki olla esim. eri yrityksen työntekijöitä ja täten siis eivät millään muotoa osa jotain kokonaisuutta, kuten on esim. yrityksen sisäverkossa, jossa verkon liikenne halutaan salata ulkopuolisilta verkon kuuntelijoilta. Julkisessa WLAN:ssa voivat vierekkäin istua kahden eri kilpailevan yrityksen työntekijää työstämässä luottamuksellista aineistoa.

Jäljitettävyys ja anonyymius

Kummassakaan testatussa ympäristössä ei vaadittu käyttäjän tunnistusta, vaan tunnukset sai pyytämällä mahdollisuutta käyttää palvelua. Käyttäjää ei siis pyritty tunnistamaan millään tavalla.

Palvelun tarjoajan kannalta on oleellista pystyä jäljittämään käyttäjä, mikäli jokin muu organisaatio tekee ilmoituksen, että ko. palveluntarjoajan verkosta on ollut asiatonta liikennettä. Mikäli käyttäjillä on tiedossaan, että käyttäjät ovat jäljitettävissä, antaa se myös turvaa käyttäjille, koska he tietävät, että palvelun tarjoaja hallinnoi luotettavasti julkista WLAN-verkkoa.

Yksi kysymys nousee esille tietysti heti, että kuinka anonyymia liikennöinti on. WLAN-palvelun tarjoajan tulee tietysti myös vakuuttaa käyttäjät, että liikennöintitietoa ei käytetä käyttäjän anonyymiuden rikkomiseen. Jos kirjautumistietoja käytetään vain statistiikkaraporttien tekemiseen yleensä palvelun käyttöprofiilista ja käyttömäärästä sekä laadusta, yksittäinen käyttäjä ei näy luvuissa, vaan kaikkien käyttäjien massa tiettynä aikayksikkönä. Ja jos kirjautumistietoja käytetään epärehellisen käytön selvittämiseen, tietää rehellinen käyttäjä, että hänen liikkennöintiään ei tarkkailla erikseen.

Koneen turvallisuus

Yksi oleellinen käyttäjän tietoturvallisuuteen vaikuttava tekijä on nimen omaan mahdollisuus käyttää omaa konetta. Tällöin ei ole riskiä, että seuraava käyttäjä käy selaamassa esim. selaimen välimuistia. Omalla koneella on melko todennäköisesti omia sovelluksia, joita tarvitaan liikennöissä esim. erillinen omalle koneelle asennettu sähköpostiohjelma. Kellään ei ole myöskään ole ollut mahdollisuutta (ainakaan periaatteessa) asentaa vakoilusovellusta koneelle juuri ennen käyttöä, eli pankkiyhteys ja sähköpostin lukeminen omalta koneelta on turvallisempaa.

Käyttäjän kannalta oleellista on myös ennaltaehkäistä laite- ja tietovarkauksia. Päätalaitteen fyysistä suojausta parantavat erilaiset lukitusohjelmistot. Koneessa on hyvä olla useampia eritason salasanoja ja niiden on syytä olla vahvoja.

Viruksia varten tulee olla ajantasalla oleva virustorjuntohjelmisto. Myös FireWall?-ohjelmisto kannattaa olla omalla koneella asioitaessa julkisessa verkossa. Mahdollisuuksien mukaan kannattaa käytää salaavia ohjelmistoja. Selainpohjaisen sähköpostisovelluksen olisi hyvä tukea SSL:ää. Etätyötä tekevän olisi syytä käyttää jotain salaavaa tunnelointiratkaisua, esim. IPsec-pohjaista salaavaa tunnelointia. SSL:ää ja IPsec-salausta yhdistettynä vahvaan tunnistukseen pidetään luotettavina menetelminä tietoturvan takaamiseen. (Turvallinen etäkäyttö turvattomista verkoista, 2/2003.)

Johtopäätös

Julkisia WLAN-verkkoja tarjoavia palvelun tarjoajia tulee koko ajan lisää ja myös käyttäjien määrä on kasvamassa. Palvelu ja tarjoama ovat siis kohtaamassa toisiaan. Oleellista palvelun kannalta on sen hyvä hallinta. Käyttäjät tulee pystyä jäljittämään, mutta samalla tulee taata käyttäjien anonymius. Salauksen käyttö WLAN-radioyhteydellä ei välttämättä julkisessä ympäristössä tuo lisäarvoa tietoturvalle, koska kaikki käyttäjät ovat eri ilmentymiä ja periaatteessa kaikilla ihmisillä on oikeus käyttää verkkoa. Oleellisinta on varmistua, että palvelua ei käytetä epärehellisiin tarkoituksiin. Käyttäjän tietoturvaa lisää mahdollisuus käyttää omaa konetta, jolloin kukaan muu käyttäjä ei voi selata esim. selaimen välimuistia. Käyttäjän tulee vain itse huolehtia, että virustorjuntaohjelmisto on ajantasainen, koneella olisi mielellään FireWall?-ohjelmisto ja käyttäjän tulisi käyttää mahdollisimman paljon salaavia liikennointimenetelmiä, kuten SSL:ää ja IPsec:ä. Riittävän hyvän VPN-toteutuksen hyödyntämisellä käyttäjä saa itselleen hyvän päästä-päähän salauksen, mikä salaa liikenteen myös siis päästä-päähän yhteyden internet osuudella. Erittäin suuri merkitys on myös käyttäjän koneen riittävällä suojausella mm. viruksien ja vakoiluohjelmien suhteen. Julkinen WLAN-palvelu voitaisiin mieltään avoimeksi internet-yhteydeksi ilman mitään suojauksia.

Lyhenneluettelo

  • AP - Access Point
  • CSMA/CA - Carrier Sense Multible Access / Collicion Avoidance
  • DHCP - Dynamic Host Configuration Protocol
  • IEEE 802.11b - Institute of Electrical and Electronics Engineers, 11 Mbs nopeus
  • IEEE 802.11g - Institute of Electrical and Electronics Engineers, 54 Mbs nopeus
  • IPsec - Internet Protocol security architecture
  • ISM - Industrial, Scientific and Medical (ISM) ei-kaupallinen taajuusalue
  • LLC - Logical Link Control
  • NAT - Network Address Translation
  • OSI-malli - Open Systems Interconnection Reference Model
  • Ping - Ping on TCP/IP-protokollan työkalu, jonka avulla voidaan testata laitteen saatavuutta
  • Privat-osoite - Ei-julkinen IP-osoite
  • Radius - Remote Authentication Dial In User Service
  • VLAN - Virtuaalinen lähiverkko
  • VPN - Virtual Privat Network
  • WEP - Wired Equivalent Privacy
  • WLAN - Wireless Local Area Network
  • WPA - WiFi? Protected Access

Lähteet

Turvallinen etäkäyttö turvattomista verkoista Valtionvarainministeriö 2/2003

* Wikipedia Uusi lähde 3.11.2009 * TLT-3201Tietoturvallisuuden jatkokurssi, Seittiaineiston tekstit 21.11.2008 Uusi lähde 3.11.2009

Mallitehtävät Kommentit

-- TuomasSyvaejaervi? - 23 Sep 2009
Print version |  PDF  | History: r6 < r5 < r4 < r3 | 
Topic revision: r6 - 03 Nov 2009 - 23:20:08 - TuomasSyvaejaervi?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback