You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2005-7 (revision 1)
! [Jarkko Ruokojärvi | http://moodle.tut.fi/archive/user/view.php?id=1589&course=201]:

!!! WPA, Wi-Fi Protected Access

!! Johdanto

WPA eli Wi-Fi Protected Access on vahva langattomien verkkojen tietoturvatekniikka, joka kehitettiin vastaukseksi edeltävästä WEP –salausmenetelmästä löydetyille vakaville tietoturvaongelmille. WPA on perustana täydelle IEEE 802.11i -standardille eli WPA2-tekniikalle. Tässä tutkielmassa esitellään WPA:n tekniikan perusteita; ominaisuuksia, toimintaa ja turvamekanismeja sekä pohditaan sen hyviä ja huonoja puolia. Lisäksi tarkastellaan hieman WPA:n kehityksen historiaa ja tulevaisuudennäkymiä.

Työ on rajattu käsittelemään WPA:ta yleisellä tasolla siten, että se kuitenkin antaisi aiheesta kattavan esittelyn WPA:han ennestään perehtymättömällekin ja useista eri näkökulmista. Aihe mahdollistaisi monen osa-alueen syvällisemmänkin tarkastelun, mutta tällainen rajaus tehtiin ymmärrettävyyden säilyttämiseksi, koska tutkielman ohjeellisen pituuden mukaan se tuli pitää melko lyhyenä. Työssä käsitellään jonkin verran myös WEP:n haavoittuvuuksia, mikä on tarpeellista sen tuntemiseksi, miksi WPA alunperin kehitettiin ja mitä ominaisuuksia siltä vaadittiin.

!! Kehitys

Voittoa tavoittelematon kansainvälinen yhdistys [Wi-Fi Alliance | http://www.wi-fi.org/OpenSection/index.asp] on yhdessä [IEEE | http://www.ieee.org/portal/site]:n kanssa kehittänyt ja tuonut markkinoille standardeihin perustuvan, vahvan sekä eri toimittajien laitteiden kanssa yhteensopivan langattomien verkkojen tietoturvaspesifikaation. Tämä turvatekniikka tunnetaan nimellä Wi-Fi (Wireless Fidelity) Protected Access (WPA), ja se pyrkii paikkaamaan kaikki edeltäjänsä Wired Equivalent Privacyn (WEP) tunnetut haavoittuvuudet. WPA nostaa merkittävästi niin nykyisten kuin tulevienkin WLAN –järjestelmien pääsynvalvonnan ja datan suojauksen tasoa. ![WAWP03, s. 1]

Tarvetta uudelle turvamekanismille ilmeni 2000-luvun vaihteessa, kun WEP:ssä – alkuperäisen IEEE 802.11 –standardin osassa – havaittiin useita kryptografisia heikkouksia. Tutkimusten mukaan kolmannet osapuolet saattoivat oikeanlaisia työkaluja hyödyntäen kerätä tietoa WEP:n avaimista ja murtautua kiireiseen yritysverkkoon jopa tunneissa, vaikka WEP olisikin käytössä. ![WAOver05, s. 1] WEP:stä osoittautuneet vakavat turvapuutteet johtuvat monista standardin tekijöistä; siinä ei esimerkiksi ole käyttäjäkohtaista tunnistusta tai autentikointia, eikä se tue dynaamista tapahtumakohtaista avaintenhallintaa tai älykorttien ja biometriikan kaltaisia autentikointimenetelmien laajennoksia ![MS03]. Siinä käytetään vain yhtä, helposti paljastuvaa avainta jokaisessa verkon liityntäpisteessä, joten verkko altistetaan hyökkäyksille ja passiiviselle tarkkailulle. WEP ei myöskään tuota suojausta väärennöksiltä ja toistolta, ja väärinkäyttää RC4 –salausalgoritmia. ![WAWC03, s. 6-7]

Kodeille ja pienille toimistoille, joissa verkon liikenne on pientä, WEP tarjosi kyllä minimaalisen suojan verrattuna siihen, ettei suojausta olisi ollut lainkaan. Suurissa yrityksissä jouduttiin kuitenkin tietoturvallisuuden saavuttamiseksi vahvistamaan WEP:iä lisäpalveluilla, kuten VPN:llä, ja kiinnostus kokonaisvaltaiselle ratkaisulle kasvoi. ![WAWP03, s. 1] Niinpä langattomien laitteiden toimittajat sopivat WPA:n kehittämisestä välivaiheen turvatekniikaksi ja perustaksi IEEE 802.11i –standardille, joka vuonna 2004 tuotiin markkinoille nimellä WPA2 ![WAQA05].

!! Ominaisuudet

WPA:n suunnittelutavoitteina olivat vahvan salauksen ja yhteensopivuuden lisäksi tuottaa täydellinen korvaaja WEP:lle, mutta kuitenkin siten, että käyttöönotto voitaisiin helposti toteuttaa ohjelmistopäivityksenä olemassa olevan laitteiston päälle. WPA:han lisättiin myös WEP:stä suurelta osin puuttuva autentikointi ja sen haluttiin olevan saatavilla välittömästi sekä käyttökelpoinen yhtälailla kodeille kuin yrityksille. ![WAOver05, s. 1]

Yhteensopivuus WPA:ssa on toteutettu taaksepäin kaikkiin 802.11 laitteiden versioihin, eli se toimii kaikissa langattomien verkkojen verkkokorteissa ja liityntäpisteissä, ja eteenpäin toimivaksi tulevan WPA2:sen kanssa. ![WAWP03, s. 1] Jos ei halua ohjelmistopäivitystä, vaan aikoo hankkia kokonaan uusia langattomien verkkojen laitteita, tulee niistä Wi-Fi Alliancen mukaan varmistaa, että ne on varustettu Wi-Fi CERTIFIED –merkinnällä ja tietysti WPA:lla ![WAHome05, s. 2]. Jotkut laitteiden toimittajat tarjoavat siirtymävaiheeseen WEP:stä WPA:han näiden kahden tekniikan yhdistelmämoodia (mixed mode) suurille yrityksille, joissa WPA joudutaan päivittämään verkon liityntäpisteisiin ennen asiakas –työasemia. Sen käyttö ei kuitenkaan ole suositeltavaa ainakaan kovin pitkää aikaa, koska tuolloin verkko on pohjimmiltaan yhtä epäturvallinen kuin pelkällä WEP:llä. ![WAWP03, s. 3]

Koska verkon turvavaatimukset vaihtelevat sen liikenteen määrän, salauksen suuruuden tarpeen ja käytettyjen sovellusten mukaisesti, tarjoaa WPA erilaiset toimintamoodit yrityksille ja kotikäyttäjille. Yritysmoodissa käytetään verkkopalvelinta, edistyneitä autentikointimekanismeja sekä automaattista erityisten master –salausavainten jakelua, kun taas kotiympäristössä, jossa ei ole palvelimia käytettävissä, hyödynnetään manuaaliseen salasanojen syöttämiseen perustuvaa moodia. ![WAHome05, s. 1] Wi-Fi Alliance lupaa, että yrityksissä ei WPA:n lisäksi enää verkon langattomien osien suojaamiseen tarvita muita mekanismeja, ja WPA:n käyttö on henkilökunnalle helppoa ja joustavaa. He sanovat myös, että WPA:ta tutkineet kryptografit ovat todenneet sen olevan tehokas ehkäisykeino kaikkia tunnettuja hyökkäyksiä vastaan, jotta käyttäjien tiedot säilyvät suojattuina ja vain oikeilla käyttäjillä on oikeus päästä verkkoon. ![WAWP03, s. 1-2]

!! Turvamekanismit

WEP:n suurimpiin heikkouksiin kuului pienen, 40 –bittisen, staattisen salausavaimen käyttö. Avain tallennettaan manuaalisesti langattoman verkon liityntäpisteeseen (Access Point, AP) ja jokaiseen siihen liitettyyn asiakas –koneeseen. Suurissa organisaatioissa työlääksi koettiin myös se, ettei avain vaihdu, ellei sitä itse kirjata uudelleen kaikkiin näihin laitteisiin. Tällaisten syiden ja autentikointiominaisuuksien puuttumisen vuoksi tunkeutuja saattoi uhata WEP:llä suojattua verkkoa monella tavalla: salakuuntelemalla sen liikennettä, purkamalla sen salauksia, muuntelemalla verkon dataa sekä murtautumalla verkkoon päättelemällä ja väärentämällä WEP –avaimia. Nämä salaus- ja autentikointiongelmat korjataan WPA:ssa käyttämällä paranneltuja turvamekanismeja. Niitä ovat salausmenetelmä Temporal Key Integrity Protocol (TKIP), kotimoodi Pre-Shared Key (PSK), 802.1X –autentikointi yhdessä Extensible Authentication Protocol:in (EAP) kanssa sekä pakettivarkauksien suoja Message Integrity Check (MIC tai Michael). ![WAWP03, s. 3]

* Lisää tietoa WPA:n turvamekanismeista eli salauksesta ja autentikoinnista löytyy [Turvamekanismit -wikisivulta | Turvamekanismit-7].

!! Tulevaisuus

WPA tulee pysymään turvallisena ja vakaana tekniikkana, vaikka uusia langattomia WPA2:lla varustettuja verkkolaitteita onkin jo saatavilla. WPA ratkaisee lähes kaikki tunnetut langattomien verkkojen tietoturvallisuuden haavoittuvuudet sekä parantaa niissä liikkuvan tiedon salausta ja käyttäjien pääsynvalvontaa huomattavasti. WPA2:n edelläkävijänä se on standardeihin perustuva ja yhteensopiva turvaratkaisu niin nykyisille kuin tulevillekin langattomille verkoille sekä kodeissa että yrityksissä.

Vielä WPA:ta ei ole murrettu, mutta siitä on löydetty joitakin heikkouksia. Se esimerkiksi yrittää selvitä hyökkäyksistä sulkemalla koko verkon 30 sekunniksi, mutta hyökkääjän tarvitseekin siten lähettää vain kaksi vihamielistä pakettia minuutissa jättääkseen kaikki verkon käyttäjät ilman palvelua. Lisäksi WPA:n PSK –moodissa huonosti valitut salasanat voidaan murtaa offline –sanakirjahyökkäyksellä ja ilman pääsyä verkkoon.

* Lisää tietoa [palvelunestohyökkäyksestä | http://world.std.com/~reinhold/airport.html] ja [salasanan valinnasta | http://wifinetnews.com/archives/002452.html] löytyy niitä käsitteleviltä www-sivuilta.

Merkittävin ero WPA:n ja WPA2:n välillä on se, että WPA2 käyttää vahvempaa AES –salausta. Siten sen hankinta saattaa edellyttää sijoituksia uusiin laitteisiin, ja erityisesti yritysten kannattaakin punnita parantuneen turvallisuuden edut sen kustannuksia kohden. WPA2 hyödyntää samanlaista autentikointia kuin WPA ja toimii yhdistelmämoodissa WPA:n kanssa. ![WAWP03, s. 6-7] Jollei WPA:sta löydy merkittävää puutetta tai RC4 –algoritmia murreta, tulee se olemaan käyttökelpoinen ja luotettava vielä useita vuosia.

!! Lähteet

* ![MS03] Microsoft Corporation; The Cable Guy 2003. Wi-Fi Protected Access (WPA) Overview. ([verkkosivu | http://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspx]) Viitattu 7.11.2005.

* ![WAHome05] Wi-Fi Alliance 2005. Wi-Fi Protected Access for the Home. 2 s. ([verkkodokumentti | http://www.wi-fi.org/membersonly/getfile.asp?f=WPA-WEP%20For%20Home.pdf]) Viitattu 18.11.2005.

* ![WAOver05] Wi-Fi Alliance 2005. Wi-Fi Protected Access Overview. 3 s. ([verkkodokumentti | http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf]) Viitattu 7.11.2005.

* ![WAWP03] Wi-Fi Alliance 2003. Wi-Fi Protected Access: Strong, standards-based, interoperable security for today’s Wi-Fi networks. 10 s. ([White Paper | http://www.wi-fi.org/membersonly/getfile.asp?f=Whitepaper_Wi-Fi_Security4-29-03.pdf]) Viitattu 7.11.2005.

* ![WAWC03] Wi-FI Alliance 2003. Wi-Fi Protected Access Web Cast. 31 s. ([verkkodokumentti | http://www.wi-fi.org/membersonly/getfile.asp?f=Wi-Fi_ProtectedAccessWebcast_2003.pdf]) Viitattu 18.11.2005.

* ![WAQA05] Wi-Fi Alliance 2005. WPA2 Q&A. ([verkkodokumentti | http://www.wi-fi.org/membersonly/getfile.asp?f=WPA2_Q_A.pdf]) Viitattu 18.11.2005.


[Mallitehtävät | m-7] | [Kommentit | k-7]

-- JarkkoSillanpaeae? - 18 Sep 2009
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r1 - 18 Sep 2009 - 11:11:58 - JarkkoSillanpaeae
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback