WLAN turvallisuus
Securus
k�ytell� minil�pp�rin kanssa. Minil�pp�ri on nyky��n aina k�den
saatavilla, keitti�n tai telkkarin suunnalla. Ty�asioitakin tulee sill�
hoideltua.
Mutta pari p�iv�� sitten luin ett� eih�n tuo WLAN olekaan mill��n lailla
turvallinen. Vaikka purkin WPA-salasanalla pystynkin est�m��n ett� muut
eiv�t p��se WLAN-purkkiini kytkeytym��n, niin minun omaa
tietoliikennett�ni pystyy ilmeisesti silti kuuntelemaan koko ajan.
Koetin Wikipediastakin sivist�� iste�ni, ett� onko asia tosiaan n�in
http://en.wikipedia.org/wiki/Wireless_security
En vaan p��se tuota kautta ihan varmuuteen, ett� meneek� tosiaan kaikki
liikenne jotenkin salaamattomana. Tai niin heikosti salattuna, ett� sit�
pystyy ulkopuolinen sopivan apuohjelman kanssa helposti seuraamaan.
Ainakin filtter�im��n teksti� jos tule eeteen vaikka "password"
avainsana tms.
Oliskos kell��n suht selke�� tietoa tai mielikuvaa t�st� puolesta?
Ent� millainen WLAN-purkki pit�isi ty�paikalle ostaa jos haluaa sinne
kunnollisen salauksen liikenteelle? -sec
Ari Laitinen
> En vaan pääse tuota kautta ihan varmuuteen, että meneekö tosiaan
> kaikki liikenne jotenkin salaamattomana. Tai niin heikosti salattuna,
> seuraamaan. Ainakin filtteröimään tekstiä jos tule eeteen vaikka
> "password" avainsana tms.
Nykytilanne on se että et voi saada asiasta täyttä varmuutta.
> Entä millainen WLAN-purkki pitäisi työpaikalle ostaa jos haluaa sinne
> kunnollisen salauksen liikenteelle? -sec
Ei minkäänlaista noilla ehdoilla. Erilaisia ratkaisuja ongelmaan on toki
olemassa mutta mikään niistä ei perustune pelkästään WLAN liikenteen
salaamiseen.
Jouko Holopainen
> Mutta pari päivää sitten luin että eihän tuo WLAN olekaan millään lailla
> turvallinen. Vaikka purkin WPA-salasanalla pystynkin estämään että muut
> eivät pääse WLAN-purkkiini kytkeytymään, niin minun omaa
> tietoliikennettäni pystyy ilmeisesti silti kuuntelemaan koko ajan.
Jos tietoliikenteesi on WPA2 salattua ei sinulla ole mitään hätää.
> Entä millainen WLAN-purkki pitäisi työpaikalle ostaa jos haluaa sinne
> kunnollisen salauksen liikenteelle? -sec
Sellaisen joka osaa WPA2:sen, eli käytännössä mikä tahansa uusi.
--
@jhol
Asko Ikävalko
> Vaikka purkin WPA-salasanalla pystynkin estämään että muut
> eivät pääse WLAN-purkkiini kytkeytymään, niin minun omaa
Kyllä mun tietääkseni sekä WEP että WPA salauksessa on salattu myös
radiotiellä kulkeva dataliikenne, eikä pelkästään tukiasemaan kytkeytyminen.
WEP salauksen murtamiseen piti kuunnella radiosignaalia muutaman
gigatavun verran, jonka jälkeen siitä oli mahdollista laskea käytetty
salausavain. WPA salauksessa vaihdetaan salausavainta niin tiheästi,
että radiotiellä ei ehdi gigatolkulla dataa kulkea, kun avain onkin jo
vanhentunut.
Huhuja olen kuullut, että joku olisi WPA:nkin jo murtanut, mutta niin
fiksuja kavereita tuskin löytyy joka kerrostalosta, jos edes joka
kaupunginosasta. Jos jollakulla on tähän valmis työkalu tai workaround,
niin linkkivinkki jakoon vaan, jotta nähdään kuinka helppoa murtaminen on?
Toki, jos siellä WLAN:issa jotain "huippusalaista" tietoa liikuttelee,
kannattaa käyttää lisäksi HTTPS, SSH tai VPN tunneleita.
-Asko
Securus
>
> Huhuja olen kuullut, ett� joku olisi WPA:nkin jo murtanut, mutta niin
> fiksuja kavereita tuskin l�ytyy joka kerrostalosta, jos edes joka
> kaupunginosasta.
Mit�h�n tuo Wikipedian l�tin� sitten kaikkiaan tarkoitti, t�m�n
perusteella olisi kovinkin helppoja ty�kaluja olemassa:
"However, there are a great number of security risks associated with the
current wireless protocols and encryption methods, and in the
carelessness and ignorance that exists at the user and corporate IT
level.[4] Cracking methods have become much more sophisticated and
innovative with wireless. Cracking has also become much easier and more
accessible with easy-to-use Windows or Linux-based tools being made
available on the web at no charge."
> Toki, jos siell� WLAN:issa jotain "huippusalaista" tietoa liikuttelee,
> kannattaa k�ytt�� lis�ksi HTTPS, SSH tai VPN tunneleita.
No melkein kaikkihan on jollain lailla salaista. Vaikka ohjelmasource
jostakin 50.000 rivin sovelluksesta. Jos se ZIP:in� liikkuu ilmateill�
ja joku sen pystyy siit� ker��m��n haltuunsa, niin onhan se sik�li
huippusalaista ja rahanarvoista tavaraa. -sec
Securus
> On 15/03/11 12:11, Securus wrote:
>> Mutta pari päivää sitten luin että eihän tuo WLAN olekaan millään lailla
>> turvallinen. Vaikka purkin WPA-salasanalla pystynkin estämään että muut
>> eivät pääse WLAN-purkkiini kytkeytymään, niin minun omaa
>> tietoliikennettäni pystyy ilmeisesti silti kuuntelemaan koko ajan.
>
> Jos tietoliikenteesi on WPA2 salattua ei sinulla ole mitään hätää.
>
Tällaiset asetukset päällä tuosta Asusin Wlan -halpispurkista löytyy:
Wireless mode: Auto
Authentiction method: WPA-Personal
WPA Encryption: TKIP
WPA Pre-Shared Key : xxxxxxxxx
WEP Encryption: None
Enable WPS: Enabled
WPS Configure Status: You have configured wireless security. Please
enter Client PIN code and Start a new connection. You can click [Reset]
to back unconfigured status.
Tuon Authentiction methodin voisin valita nostettavaksi
WPA-Personal:ista vaikka WPA2-Personal tai WPA2-Enterpeise tasoille
saakka. Mutta tekeekö nämä algoritmit nyt juuri sitä linjaliikenteen
salausta, vai onko tässä vain sisäänkirjautumisvaiheen (Authentication)
salasanasuojauksista kyse?
Kohdan WPA Encryption ainoa valittavissa oleva vaihtoehto on TKIP, joka
on siis päällä. Mutta kryptaako tämä silloin? Kun kohta WEP Encryption
asetus näyttää olevan arvossa None.
Lievästi tipahdin kärryiltä että mitkä ne tarkalleen oikeat W-alkuiset
asetukset ovat.
> Sellaisen joka osaa WPA2:sen, eli käytännössä mikä tahansa uusi.
Onkohan siellä kuitenkin AINA joku liikenteen kryptaus päällä? Vai
meneekö purkkien tehdasasetuksina kaikki liikenne oletusarvoisesti aina
salaamattomana?
Kyllä sinne jonkun tason kryptauksen nyt mielellään saisi päälle. En
halua kokeilumielessä sorkkia purkkia pimeäksi, kun aika vääntö oli että
tämä aikanaan alkoi tulille nousta. -sec
Securus
>> Entä millainen WLAN-purkki pitäisi työpaikalle ostaa jos haluaa sinne
>> kunnollisen salauksen liikenteelle? -sec
>
> Ei minkäänlaista noilla ehdoilla. Erilaisia ratkaisuja ongelmaan on toki
> olemassa mutta mikään niistä ei perustune pelkästään WLAN liikenteen
> salaamiseen.
>
No tuosta saa taas sen vaikutelman että kaikki on avoinna, eikä kaupasta
ostetun WLAN-purkin ominaisuuksilla edes saa sitä liikennettä suojattua.
Mitenkä tämänkin nyt ymmärtäisi? Kummatko täällä esitetyt, varsin
vastakkaiset, mielipiteet asian suhteen ovat niitä oikeampia? -sec
Asko Ikävalko
> Mit�h�n tuo Wikipedian l�tin� sitten kaikkiaan tarkoitti, t�m�n
> perusteella olisi kovinkin helppoja ty�kaluja olemassa:
Googleen kun laittaa "wpa crack tool", niin viiden ensimm�isen linkin
takaa l�ytyy enemm�n tarinaa aiheesta.
J�in siihen uskoon, ett� WPA:n murtamiseen ei t�n�k��n p�iv�n� ole muuta
helppoa konstia, kuin brute forcella kokeilla erilaisia salasanoja. Ei
siis kannata laittaa verkon salasanaksi mit��n sanakirjasta l�ytyv��
alle 10 merkki� pitk�� sanaa, vaan mielummin yli 20 sekalaista merkki�
sis�lt�en isoja ja pieni� kirjaimia, numeroita ja ASCII128 taulukon
erikoismerkkej�.
Joku oli laskenutkin, ett� yli 30 random merkin arvaamiseen menisi
keskim��rin muutama tuhat vuotta, vaikka ehtisikin kokeilla 100 eri
vaihtoehtoa sekunnissa.
> No melkein kaikkihan on jollain lailla salaista.
Totta. Silti ihmiset k�ytt�v�t esim. s�hk�postia, pikaviestimi� ja
sosiaalista mediaa t�ysin salaamattomillakin yhteyksill�. Itsekin
ruksailin facebookissa vasta pari viikkoa sitten SSL:n k�ytt��n. Mutta,
min� en kuulukaan riskiryhm��n, koska k�yt�n facebookia ainoastaan
kiinte��n verkkoon liitetylt� kotikoneeltani. Nettipankissakaan en ole
ikin� k�ynyt muilta p��telaitteilta, kuin omassa yll�pidossani olevilta
(kotikone, duunil�pp�ri, oma puhelimeni).
> Vaikka ohjelmasource
> jostakin 50.000 rivin sovelluksesta. Jos se ZIP:in� liikkuu ilmateill�
> ja joku sen pystyy siit� ker��m��n haltuunsa, niin onhan se sik�li
> huippusalaista ja rahanarvoista tavaraa.
Otat siin� ZIP-ohjelmassa vahvan AES salauksen k�ytt��n. Ja kun liikutat
sit� salattua pakettia, niin liikuttele mielummin SFTP:ll�, kuin
SMTP:ll�. N�ill� tempuilla jo aika pitk�lti taklaatkin ep�luotettavan
radioyhteyden aiheuttamat uhat.
Jos todella on kyseess� "ison rahan ohjelmakoodi", niin sit� ei kannata
l�hett�� WLAN-yhteydell�, vaan nielaista USB-tikku ja kuljettaa vartalon
sis�ss� se vastaanottajalle, jonka henkil�llisyys on syyt� varmistaa
parin p�iv�n kestoisella gestapokuulustelulla. :)
-Asko
Asko Ikävalko
> Mutta tekeekᅵ nᅵmᅵ algoritmit nyt juuri sitᅵ linjaliikenteen
> salausta, vai onko tᅵssᅵ vain sisᅵᅵnkirjautumisvaiheen (Authentication)
> salasanasuojauksista kyse?
Kyllᅵ nuo kaikki (WEP, WPA, WPA2) kᅵsittᅵᅵkseni salaavat kaiken
tyï¿œaseman ja tukiaseman vï¿œlisen liikenteen.
> Kohdan WPA Encryption ainoa valittavissa oleva vaihtoehto on TKIP, joka
> on siis pᅵᅵllᅵ. Mutta kryptaako tᅵmᅵ silloin? Kun kohta WEP Encryption
> asetus nᅵyttᅵᅵ olevan arvossa None.
WEP ja WPA ovat toistensa kilpailijoita, tuskin edes saat niitᅵ samaan
aikaan pᅵᅵlle purkin asetuksista?
-Asko
Ari Laitinen
> Ari Laitinen wrote:
>>> Entä millainen WLAN-purkki pitäisi työpaikalle ostaa jos haluaa
>>> sinne kunnollisen salauksen liikenteelle? -sec
>>
>> Ei minkäänlaista noilla ehdoilla. Erilaisia ratkaisuja ongelmaan on
>> toki olemassa mutta mikään niistä ei perustune pelkästään WLAN
>> liikenteen salaamiseen.
>>
>
> No tuosta saa taas sen vaikutelman että kaikki on avoinna, eikä
> kaupasta ostetun WLAN-purkin ominaisuuksilla edes saa sitä
> liikennettä suojattua.
Saa se suojattua mutta ketä vastaan on olennaisempi kysymys?
> Mitenkä tämänkin nyt ymmärtäisi? Kummatko täällä esitetyt, varsin
> vastakkaiset, mielipiteet asian suhteen ovat niitä oikeampia? -sec
En nähnyt vastakkaisia mielipiteitä. Kyse on ihan samasta kuin siinä
kysymyksessä, löytyykö henkilö, joka lupaa ydinvoiman olevan täysin
turvallinen. Vaikka langaton verkko olisi jonain ajan hetkenä vahvastikin
salattu voi käyttäjä itse mokata salauksen esim. huonolla salausavaimella
laiskuuttaan. Myös protokollassa voi olla suunnitteluvirhe, joka altistaa
sen hyökkäykselle - jos ei tänään niin ehkä jo vuoden päästä.
Timo Pietilä
> Jäin siihen uskoon, että WPA:n murtamiseen ei tänäkään päivänä ole
> muuta helppoa konstia, kuin brute forcella kokeilla erilaisia
> salasanoja.
...
> Joku oli laskenutkin, että yli 30 random merkin arvaamiseen menisi
> keskimäärin muutama tuhat vuotta, vaikka ehtisikin kokeilla 100 eri
> vaihtoehtoa sekunnissa.
Tämän http://dl.aircrack-ng.org/wiki-files/doc/enhanced_tkip_michael.pdf
mukaan WEP TKIP murtamiseen menee joitain millisekunteja, kunhan ensin
on kerätty kylliksi dataa kuuntelemalla liikennettä.
Ehdotus on vaihtaa TKIP CCMP:ksi sen sijaan (WEP1 WEP2:ksi) tai joitain
muita kiertoteitä kuten "rekeying timeout 120ms".
> Joku oli laskenutkin, että yli 30 random merkin arvaamiseen menisi
> keskimäärin muutama tuhat vuotta, vaikka ehtisikin kokeilla 100 eri
> vaihtoehtoa sekunnissa.
100 vaihtoehtoa sekunnissa 30^30 on jotain 6*10^34 vuotta. Hiukka
enemmän kuin muutama tuhat. Nykykoneet toki kykenevät laskemaan noita
miljoonia sekunnissa, mutta siltikin 34-6 on yhä 6*10^28 vuotta.
Timo Pietilä
Securus
>
> mukaan WEP TKIP murtamiseen menee joitain millisekunteja, kunhan ensin
Halpispurnukastani l�ytyy, ilmeisesti markkinamiesten ideoimana "WPA2"
stringi, ainakin k�sikirjasta. Tuosta �kikselt��n kaupassa notkuessa
tulee mielikuva ett� kovan luokan salattuna menee kaikki WLAN-liikenne.
Mutta tarkemmin katsottuna tuo maaginen "WPA2" ominaisuus (ehk�?)
luvataankin vain kohdassa "Authentiction method". Eli ilmeisesti vain
sis��nloggautumisen salasanatarkistuksen yhteydess�.
Sen sijaan webiselaimella purkkia nyt konffatessa "WPA Encryption"
kohtaan tarjolla on vain tuo TKIP, joka olisi siis helppo murtaa.
"WEP Encryption" kohdassa asetuskent�t ainakin t�ll� hetkell� ovat
harmaina, disabled, ik��nkuin t�t� arvoa ei voisi muuttaa lainkaan.
Osanneeko kukaan tulkita millaista salausta t�m� Asusin mainos/manuaali
itse asiassa N10-purkille oikein lupaa?
http://www.asus.com/product.aspx?P_ID=1bPnstlXm6zKqtWW&content=specifications
Tulkitseeko kukaan asiaa niin ett� t�ss� purkissa hyvinkin on ihan
vakiona tarjolla kaiken liikenteen liikkuminen WPA2 salattuna?
Jos on, niin pit�� itse koettaa viel� katsella ett� mit� kautta nuo
harmaat asetukset saisi avattua kirkkaiksi. -sec
Tuomo
> No melkein kaikkihan on jollain lailla salaista. Vaikka ohjelmasource
> jostakin 50.000 rivin sovelluksesta. Jos se ZIP:in� liikkuu ilmateill�
> ja joku sen pystyy siit� ker��m��n haltuunsa, niin onhan se sik�li
> huippusalaista ja rahanarvoista tavaraa. -sec
"Huippusalainen ja rahanarvoinen tavara" pit�� salata yhteyden p��st�
p��h�n. WLAN-salaus toimii vain koneesi ja WLAN-tukiaseman v�lill�,
mutta siit� eteenp�in WLAN-salaus ei auta.
Analogia: Kirjoitat salaisen viestin postikorttiin ja viet sen
postilaatikkoon s�kkiin k��rittyn� (WLAN-salaus). Matkalla
postilaatikkolle kukaan ei voinut n�hd� postikorttisi sis�lt��, mutta
siit� eteenp�in kuka tahansa matkan varrelle osunut henkil� voi sen
lukea. Olisi pit�nyt salata postikortti tai k�ytt�� kirjett�, eik�
pelkk�� matkaa postilaatikolle.
Esimerkiksi verkkopankissa k�ytet��n TLS/SSL -salausta, jolla liikenne
salataan selaimen ja pankin palvelimen v�lill� koko matka riippumatta
siit� sattuuko k�ytt�j� k�ytt�m��n WLANia vai ei.
WLAN-salausta on tietysti syyt� k�ytt��, mutta on hyv� muistaa ettei se
est� (tai hidasta) muita kuin uteliaita naapureita.
--
Tuomo
Jouko Holopainen
> Osanneeko kukaan tulkita millaista salausta tämä Asusin mainos/manuaali
> itse asiassa N10-purkille oikein lupaa?
> http://www.asus.com/product.aspx?P_ID=1bPnstlXm6zKqtWW&content=specifications
"Encryption: 64/128-bit WEP, WPA, WPA2, TKIP, AES, WPA-PSK, WPA2-PSK"
Olisin todella hämmästynyt jos WPA2-PSK ("pre shared key") ei toimisi.
Nyt vaan valitset tuon "pre-sahred-keyn" kunnolla eikä tarvi enää
huolestua mistään. Parikytä merkkiä satunnaista tekstiä on hyvä - ei
sinun kuitenkaan tarvi laittaa se avain kuin kerran läppäriisi.
head -c20 /dev/random | uuencode -m - | sed -n '2s/=*$//;2p'
--
@jhol
Asko Ikävalko
> WEP TKIP murtamiseen menee joitain millisekunteja, kunhan ensin
> on kerätty kylliksi dataa kuuntelemalla liikennettä.
Joo, kuten jo kerroin, niin "kylliksi" lienee parin gigatavun luokkaa.
Kukin arvioikoon onko se paljon vai vähän, mutta ainakin meidän WLAN:ia
joutuisi kuuntelemaan useamman viikon tuollaisen datamäärän kerätäkseen.
En ole ihan satavarma, mutta väittäisin, että WPA:ssa käytetään
erilaista TKIP-salausta, kuin WEP:ssä, eikä sen murtaminen onnistukaan
yhtä helposti.
> Nykykoneet toki kykenevät laskemaan noita
> miljoonia sekunnissa, mutta siltikin 34-6 on yhä 6*10^28 vuotta.
Vaikka murtautujalla laskentatehoa riittäisikin, niin se hyökkäyksen
kohteeksi valittu WLAN-tukiasema saattaa huutaa hoosiannaa jo sillä 100
hyökkäyksen sekuntinopeudellakin.
-Asko
Nospam
> WEP ja WPA ovat toistensa kilpailijoita, tuskin edes saat niitä samaan
> aikaan päälle purkin asetuksista?
Sekoitat nyt salauksen (encryption) ja käyttäjien tunistuksen
(authentication).
WEP on se murrettu salausalgoritmi joka keksittiin ensimmäisenä.
TKIP on salausalgoritmi joka käyttää WEP salausta lisättynä muutamalla
lisäominaisudella. Se mm. käyttää eri avainta jokaiselle datapaketille
joka radiotielle lähetetään. Mutta ei siis kovin turvallinen, mutta
parempi kuin pelkkä WEP. Kehitettiin väliratkaisuksi ennen AES:ia.
AES on salausalgoritmi johon ei ole tiedossa olevia purkumenetelmiä.
WPA on autentikoitiprotokolla joka voi käyttää salaukseen joko TKIP:ä ta
AES:a. Jotkut valmistajat toteuttivat AES:n jo tässä vaiheessa ennen
kuin WPA2 standardisoitiin.
WPA2 on autentikoitiprotokolla jonka on spexin mukaan on tuetteva AES
(CCMP) salausta.
WPA ja WPA2 kättelevät (Client<->AP) hieman eri tavalla, mutta kummatkin
ovat yhtä turvallisia autentikointimielessä.
Terv, Nospam
Securus
> postilaatikkolle kukaan ei voinut nähdä postikorttisi sisältöä, mutta
> siitä eteenpäin kuka tahansa matkan varrelle osunut henkilö voi sen
> lukea.
Nääkin menee äkkiä vähän tällaiseksi kevyeksi keskustelutyypin
lätinäksi. Kun ei näistä paperikirjeen päässä ajattelemisista lopulta
mihinkään arkipäivän IT-probleemeihin ratkaisuja oikeen löydy.
> Esimerkiksi verkkopankissa käytetään TLS/SSL -salausta, jolla liikenne
> salataan selaimen ja pankin palvelimen välillä koko matka riippumatta
> siitä sattuuko käyttäjä käyttämään WLANia vai ei.
No onhan se WLAN:issakin salattua "päästä päähän". Mutta kysymys tuntuu
nyt enemmän fokusoituvan siihen että onko se samalla silloin riittävän
turvallista salausta vai ei.
> WLAN-salausta on tietysti syytä käyttää, mutta on hyvä muistaa ettei se
> estä (tai hidasta) muita kuin uteliaita naapureita.
Kun nyt taas sinustakin ottaisi selvää, että oletko vaan joku ohikulkeva
lätisijä. Vai onko sinulla oikeasti asioista jotakin tietämystä?
Millaisiin osoitettavissa oleviin www-linkkeihin sinä perustat
näkemystäsi että WLAN-liikenne on noin heikosti suojassa?
Alun perin tosin itsekin luin tuollaista juttua, ja sen perusteella
tämän koko threadin aloitinkin.
Toiset tuntuvat olevan sitä mieltä että kunhan WLAN-purkista vaan
WPA2-salausluokka löytyy, ja sen saa käännettyä päälle niin liikenne
olisi täysin varmassa turvassa. Nykykoneiden murtotehoa vasten ajatellen.
Sinun heittosi taas viittaisi siihen suuntaan että likimain melkein kuka
vaan noukkii sopivilla keräilyvälineillä WLAN dataa ilmasta. -sec
Asko Ikävalko
> No onhan se WLAN:issakin salattua "p��st� p��h�n".
On joo, jos tykk�� "datailla" ainoastaan oman tukiasemansa hallintasivulla.
Joillekin on hankala k�sitt�� mit� tarkoittaa "p��st� p��h�n". Tunnen
jopa tietoturvaan & tietoliikenteeseen erikoistuneita asiantuntijoita,
joiden mielenkiinto loppuu oman firman ulkomuurille ja siit� eteenp�in
vaan sokeasti luotetaan operaattorin ja vastapuolen
tietoliikennej�rjestelyihin.
-Asko
Tuomo
> No onhan se WLAN:issakin salattua "päästä päähän".
Vain, jos WLAN-yhteyttä ei käytetä mihinkään sellaiseen, jota
tavantallaaja pitää internettinä. Siitä tuskin oli kyse.
Esimerkki: liikenne Suomessa olevasta läppäristäni http://www.debian.org
-palvelimeen kiertää ainakin 15 eri koneen kautta mukaanlukien
reitittimiä Ruotsissa ja Saksassa. Minun käyttämä WLAN-salaus ei voi
luonnollisestikaan vaikuttaa pätkääkään ruotsalaisen IP-operaattorin
reitittimeen.
Tätä tarkoitin termillä "päästä päähän": omalta koneelta koko matka
palvelimelle.
> Millaisiin osoitettavissa oleviin www-linkkeihin sinä perustat
> näkemystäsi että WLAN-liikenne on noin heikosti suojassa?
En väitä, että WLAN-liikenne erityisesti olisi heikosti suojassa. Yritän
oikaista sitä väärinkäsitystä, että pelkkä WLAN-liikenteen suojaus
riittäisi. Se ei riitä, jos liikenne _todella_ halutaan suojata
ulkopuolisilta.
--
Tuomo
Hantte
> On 16.03.2011 20:16, Securus wrote:
>> No onhan se WLAN:issakin salattua "päästä päähän".
>
> Vain, jos WLAN-yhteyttä ei käytetä mihinkään sellaiseen, jota
> tavantallaaja pitää internettinä. Siitä tuskin oli kyse.
>
> Esimerkki: liikenne Suomessa olevasta läppäristäni http://www.debian.org
> -palvelimeen kiertää ainakin 15 eri koneen kautta mukaanlukien
> reitittimiä Ruotsissa ja Saksassa.
mMä olen lähempänä, vain 14 hyppyä. ;)
:~> /sbin/tracepath www.debian.org
1: FIVNmunkone (192.168.100.27) 0.232ms pmtu
1500
1: wippies.Elisa (192.168.100.1) 1.141ms
2: a91-xxx-xxx-100.elisa-laajakaista.fi (91.xxx.xxx.100) asymm 1
1.256ms pmtu 1460
3: ge4-1-0.esptap-p1.fi.elisa.net (139.97.9.222) 33.682ms
4: ae7.helpa-p1.fi.elisa.net (139.97.6.197) 34.985ms
5: ae2.heltli-gw1.fi.elisa.net (139.97.6.246) 34.338ms
6: ae1-10.bbr2.hel1.fi.eunetip.net (213.192.191.49) asymm 5
35.147ms
7: as0-0.bbr1.ffm1.de.eunetip.net (213.192.191.197) asymm 6
60.913ms
8: ge-0-0-0.peer1.fra4.ix.f.man-da.net (80.81.192.6) asymm 7
63.345ms
9: ge-0-1-2-400.core1.fra1.ix.f.man-da.net (82.195.67.249) asymm 8
65.604ms
10: ge-2-0-2-401.core1.an.f.man-da.net (82.195.67.237) asymm 7 62.919ms
11: ge-2-0-6-400.core1.sm.tu.da.man-da.net (82.195.67.69) asymm 9
62.774ms
12: ge-0-2-400.cust1.sm.tu.da.man-da.net (82.195.67.82) asymm 9 63.399ms
13: fw01-da.ayous.org (82.195.78.38) asymm 10 63.515ms
14: kokkonen.debian.org (82.195.75.97) asymm 11
65.047ms reached
Resume: pmtu 1460 hops 14 back 11
--
Hantte
So many fantastic colours, I feel in a wonderland
Many fantastic colours, makes me feel so good
Heikki Kaskelma
> ..., vaan mielummin yli 20 sekalaista merkkiä
> sisältäen isoja ja pieniä kirjaimia, numeroita ja ASCII128 taulukon
> erikoismerkkejä.
Näinhän usein sanotaan, mutta kuinka paljon nopeammin
salasana itse asiassa on löydettävissä, jos käytän jotain
suppeampaa merkkivalikoimaa?
Ville Hietarinta
Salasanan vaikeustaso on suht helppoa matikkaa:
Numerot 0-9: 10^20, eli 100,000,000,000,000,000,000 vaihtoehtoa
kirjaimet a-z: 26^20, eli 19,928,148,895,209,409,152,340,197,376
Isot & pienet kirjaimet+numerot: 62^20
ascii 128: 128^20
...ja niin edelleen. WPA-salauksen maksimipituus on 63 merkkiä, eli
256^63. Käsittämättömän iso numero.
Jos bruteforcella yrittäisit vaikkapa tuota pelkistä numeroista koostuvaa
20-merkkistä avainta hakkeroida koneella joka pystyisi miljardin avaimen
testaamiseen sekunnissa (oletetaan että joku turvallisuuspalvelu
pystyisi), niin kaikkien avainten läpikäymiseen menisi yli 3000 vuotta
ellen vallan väärin laskenut. Nykyaikainen PC pystyy ehkä muutamaan
tuhanteen avaimeen / sekunti.
Mikko Saukkoriipi
> On Thu, 17 Mar 2011 00:37:02 +0200, "Heikki Kaskelma"
> <heikki....@nbl.fi.invalid> wrote:
>
>> Asko Ikävalko:
>>> ..., vaan mielummin yli 20 sekalaista merkkiä
>>> sisältäen isoja ja pieniä kirjaimia, numeroita ja ASCII128 taulukon
>>> erikoismerkkejä.
>>
>> Näinhän usein sanotaan, mutta kuinka paljon nopeammin
>> salasana itse asiassa on löydettävissä, jos käytän jotain
>> suppeampaa merkkivalikoimaa?
>
> Salasanan vaikeustaso on suht helppoa matikkaa:
>
> Numerot 0-9: 10^20, eli 100,000,000,000,000,000,000 vaihtoehtoa
> kirjaimet a-z: 26^20, eli 19,928,148,895,209,409,152,340,197,376
> ascii 128: 128^20
> ...ja niin edelleen. WPA-salauksen maksimipituus on 63 merkkiä, eli
> 256^63. Käsittämättömän iso numero.
>
> Jos bruteforcella yrittäisit vaikkapa tuota pelkistä numeroista koostuvaa
> 20-merkkistä avainta hakkeroida koneella joka pystyisi miljardin avaimen
> testaamiseen sekunnissa (oletetaan että joku turvallisuuspalvelu
> pystyisi), niin kaikkien avainten läpikäymiseen menisi yli 3000 vuotta
> ellen vallan väärin laskenut. Nykyaikainen PC pystyy ehkä muutamaan
> tuhanteen avaimeen / sekunti.
Meillä oli aiemmin työpaikan käyttäjätileissä käytössä systeemi, jossa 5
virheellisen salasanayrityksen jälkeen tunnus menee puoleksi tunniksi
lukkoon, eli tunnissa pystyisi testaamaan kymmenen salasanaa. Salasanaa
piti myös vaihtaa kerran vuodessa. Laskeskelin että käytännössä 6
numeroinen pinkoodi olisi ollut tarpeeksi turvallinen salasanaksi.
Securus
> Joillekin on hankala käsittää mitä tarkoittaa "päästä päähän".
a) Siis ideana on että läppärissäni on WLAN-kortti, ja otan sillä
yhteyden kotona tai omalla työpaikalla olevaan WLAN-tukipisteeseen.
b) Toinen vaihtoehtohan on että läppäri olisi verkkopiuhalla kiinni
samassa purkissa.
Se onko liikenne a) tapauksessa suojattomampaa kuin b) -tapauksessa,
siinä on alkuperäisen kysymykseni tietoturvaongelma tiivistettynä.
> Tunnen jopa tietoturvaan & tietoliikenteeseen erikoistuneita asiantuntijoita,
> joiden mielenkiinto loppuu oman firman ulkomuurille ja siitä eteenpäin
> vaan sokeasti luotetaan
Ite nyt lähdet tässä haahuilemaan aivan kummallisille alueille. Kyllä
nuo asiat voi aivan hyvin kiinnostaa muitakin.
Mutta yllä on tiivistettynä ja tarkasti rajattuna se alkuperäisen
kysymyksen tietoturvaongelma. En tosiaan kysellyt ratkaisua koko
internetin ja muidenkin maailmanlaajuisten tietoturvakysymysten
ratkaisemiseksi saman tuen. -sec
Securus
> Vain, jos WLAN-yhteyttä ei käytetä mihinkään sellaiseen, jota
> tavantallaaja pitää internettinä. Siitä tuskin oli kyse.
>
> Esimerkki: liikenne Suomessa olevasta läppäristäni http://www.debian.org
> -palvelimeen kiertää ainakin 15 eri koneen kautta mukaanlukien
> reitittimiä Ruotsissa ja Saksassa. Minun käyttämä WLAN-salaus ei voi
> luonnollisestikaan vaikuttaa pätkääkään ruotsalaisen IP-operaattorin
> reitittimeen.
Joo, mutta ihmettelen sitä että mitä nuo maailmankaikkeuden
webbiservereistä liittyvät listaukset tähän alkuperäiseen, varsin
tarkasti rajattuun kysymykseeni.
a) Siis ideana on että läppärissäni on WLAN-kortti, ja otan sillä
yhteyden kotona tai omalla työpaikalla olevaan WLAN-tukipisteeseen.
b) Toinen vaihtoehtohan on että läppäri olisi verkkopiuhalla kiinni
samassa purkissa.
Onko WLAN-liikenne, eli a) turvattomampaa kuin b).
> Tätä tarkoitin termillä "päästä päähän": omalta koneelta koko matka
> palvelimelle.
Ja minä tarkoitin "päästä päähän" kysymyksellä eitä että ollaan päästy
turvallisesti liikennöimään yrityksen WLAN-purkkiin saakka.
Siitä eteenpäin muualle, kaikesta nettiin saakka menevästä
liikenneturvallisuudesta vastaavat ihan muut järjestelyt ja instanssit.
Ymmärrän kyllä että tällainen sekaannus tulee, jos teillä päivätyönä
pyörivät tuollaiset kysymykset kaiken internet -käytön saamisesta
turvalliseksi "päästä päähän". Kaikissa nettikahviloiden yms. käytön
tapauksissa myös.
Itselläni oli nyt vain paljon suppeampi lähestymistapa ja scope koko
asiaan, ja sen vuoksi puhumme osittain ehkä eri asioista.
> Yritän
> oikaista sitä väärinkäsitystä, että pelkkä WLAN-liikenteen suojaus
> riittäisi.
Minulle tässä vaiheessa tsiaan riittää se kun OMAN wlan-purnukkani ja
läppärin välisen liikenteen pystyn toteamaan luotettavasi. Ei muuta
tällä kertaa. -sec
Sami Ketola
> Joo, mutta ihmettelen sitä että mitä nuo maailmankaikkeuden
> webbiservereistä liittyvät listaukset tähän alkuperäiseen, varsin
> tarkasti rajattuun kysymykseeni.
> a) Siis ideana on että läppärissäni on WLAN-kortti, ja otan sillä
> yhteyden kotona tai omalla työpaikalla olevaan WLAN-tukipisteeseen.
> b) Toinen vaihtoehtohan on että läppäri olisi verkkopiuhalla kiinni
> samassa purkissa.
>
> Onko WLAN-liikenne, eli a) turvattomampaa kuin b).
Näillä lähtötiedoilla b) lienee turvattomampaa, sillä lähtökohtaisesti
WLAN on yleensä aina kryptattua edes jollain tavalla, mutta b:n liikenteen
kryptaamisesta huolehditaan protokollatasolla.
Olennaisempi kysymys on, että ketä vastaan haluat suojautua? Naapurin
tenavia, vai NSA:ta?
Sami
Securus
> Olennaisempi kysymys on, ettᅵ ketᅵ vastaan haluat suojautua? Naapurin
> tenavia, vai NSA:ta?
>
Niin vaatimattomasti ollaan liikkeellᅵ ettᅵ ihan vaan niitᅵ naapurin
uteliaita tenavia. Ja niiden isï¿œukkoja vastaan.
Ja tietysti niitᅵ Hi-Tec yhtiᅵiden hautomossa naapurihuoneessa
WLAN-kuuntelusaittiaan auki pitï¿œvï¿œt isommat nï¿œrttitenavat.
Sekᅵ vielᅵ ne tuotakin pikkuisen isommat tenavat jotka toisinaan istuvat
Business Parkin, tai milloin minkï¿œkin alueen parkkiapaikalla
tummennetussa pakettiautossaan.
Kuuntelulaitteet on pᅵᅵllᅵ yᅵtᅵ pᅵivᅵᅵ, kᅵydᅵᅵn vain kerran viikossa
laittamassa uudet akut kehiin, ja viedᅵᅵn kertynyt data toisaalle
paremmilla ohjelmilla analysoitavaksi.
Sensijaan NSA puolestani pitᅵkᅵᅵt ihan kaiken mitᅵ ovat irti saaneet. -sec
Asko Ikävalko
> Se onko liikenne a) tapauksessa suojattomampaa kuin b) -tapauksessa,
> siinä on alkuperäisen kysymykseni tietoturvaongelma tiivistettynä.
Tottakai kämpän ulkopuolelle vuotava radioliikenne on aina
suojattomampaa, kuin oman valvovan silmän alla olevat kuparijohdot! Jos
ne kuparitkit kiemurtelee välikatolla ja/tai naapurin asunnossa, niin
vasta silloin niiden turvallisuutta voi kyseenalaistaa.
Oleellinen kysymys onkin, että kuinka paljon turvattomampaa tuo
radiosignaali on ja onko sillä mitään käytännön merkitystä? Vastaus
riippuu siitä kuinka salaisia juttuja puuhailet, kuinka moni tietää
sinun puuhailevan salaisia juttuja ja olisiko heistä jollakulla
intressejä murtautua WLAN-verkkoosi? Ja millaiset resurssit
(laitteet&tietotaito) mahdollisella hyökkääjällä voisi olla?
Jos olet tavallinen kotinörtti, joka ei ole ikinä tehnyt kenellekään
pahaa, niin tuskin kellään on suurta mielenkiintoa murtautua WLAN:iisi.
Jos olet Bin Ladenin kätyri ja seuraavan terrori-iskun suunnittelija,
voit olla lähes varma, että FBI on vuokrannut naapurikämpän ja sieltä
käsin tarkkailee sinua. :)
-Asko
Asko Ikävalko
> Siitä eteenpäin muualle, kaikesta nettiin saakka menevästä
> liikenneturvallisuudesta vastaavat ihan muut järjestelyt ja instanssit.
Tämä on juuri se asenne, josta varoitin eilisiltaisessa viestissäni.
Ihan turhaan huolehdit WLAN-verkkosi salauksesta, jos kuitenkin
lähettelet miljoonan euron arvoisen ohjelmistoprojektisi sorsat
kryptaamattomana ZIP-pakettina sähköpostin liitetiedostona
puolituntemattomalle vastaanottajalle. :)
"Tietoturva" on paljon kokonaisvaltaisempaa filosofointia, kuin
ainoastaan yksittäinen salaustekniikka.
> kysymykset kaiken internet -käytön saamisesta
> turvalliseksi "päästä päähän". Kaikissa nettikahviloiden yms. käytön
> tapauksissa myös.
Itse en nettikahvilan tietokoneelle syöttäisi _mitään_ henkilökohtaisia
käyttäjätunnuksiani. Jos minulla olisi oma läppäri kiinni nettikahvilan
WLAN:issa, niin silloinkin miettisin tarkasti, miten palomuurini on
sillä hetkellä konffittuna ja mitä ohjelmia käynnistelen. Esim s-postin
luku IMAP -laatikosta ei olisi kovin fiksua. Eikä Facebookin käyttö
ilman SSL:ää.
Nettipankin kertakäyttösalanatkin pidin pitkään visusti kotona
pöytälaatikossa, ettei vahingossakaan tulisi houkutus "ihan vaan
pikaisesti piipahtaa" pankissa joltain tuntemattomalta tietokoneelta. No
nykyisin ne jo kulkevat lompakossa mukana, mutta silti pyrin hoitamaan
pankkiasioinnin vain omalta kotikoneelta, duuniläppäriltä tai omalla
puhelimellani.
-Asko
Asko Ikävalko
> Jos bruteforcella yrittäisit vaikkapa tuota pelkistä numeroista koostuvaa
> 20-merkkistä avainta hakkeroida koneella joka pystyisi miljardin avaimen
> testaamiseen sekunnissa (oletetaan että joku turvallisuuspalvelu
> pystyisi), niin kaikkien avainten läpikäymiseen menisi yli 3000 vuotta
> ellen vallan väärin laskenut.
Ihan samaan laskutulokseen pääsin.
Mutta, keskimäärinhän se oikea arvaus osuu kohdalle jo 1500 vuoden
päästä. Jos se löytyy sitä nopeammin, murtautujalla kävi hyvä tuuri ja
jos se löytyykin vasta 2900 vuoden jälkeen, kävi todella huono tuuri.
Ja kun kokeillaan ensialkuun kaikkein todennäköisimmät vaihtoehdot
(esim. 00000...) ja sen jälkeen kahlataan vaikka puhelinluettelot ja
alle 50 vuotiaiden syntymäajat läpi, niin oikea osuma monesti löytyy jo
näistä. Vasta ihan viimeisenä kahlataan läpi jäljelle jääneet "täysin
satunnaiset" numeroyhdistelmät.
Tässä syy miksi salasanoina ei pitäisi käyttää sanakirjoista löytyviä
sanoja tai kalenterista löytyviä nimiä.
-Asko
Asko Ikävalko
> Sekä vielä ne tuotakin pikkuisen isommat tenavat jotka toisinaan istuvat
> Business Parkin, tai milloin minkäkin alueen parkkiapaikalla
> tummennetussa pakettiautossaan.
Ennenkun laittaisin firman verkkoon WLAN-tukiasemaa, miettisin mm.
seuraavia asioita:
- Pääseekö tukarilta suoraan kriittisimmälle palvelimelle?
- Kuinka kriittistä dataa palvelimella on?
- Onko firman toiminta vakavassa vaarassa, jos kriittinen data vuotaa?
- Ollaanko BusinessParkissa, vai keskellä metsää? ;)
- Auttaisiko firman verkon jakaminen WAN, DMZ ja LAN osioihin?
- Olisiko VLAN osioinnista hyötyä?
- Voisiko tukari olla "ulkoverkossa" ja sieltä tultaisiin VPN:llä
sisäverkkoon?
- Aiotaanko WLAN:iin päästää vierailijoita, vai ainoastaan oma porukka?
- Pitäisikö pystyttää Radius -autentikointipalvelin?
- Pitäisikö kerätä lokia WLAN kirjautumisista ja DHCP leaseista?
- Pitäisikö saada hälytyksiä, jos lokissa tapahtuu jotain "jännää"?
Nuo kysymykset siis tietoturvan kannalta. Verkon kuuluvuuden ja
toimintavarmuuden varmistamiseksi pitäisi vielä tehdä ns. Site Survey,
varsinkin jos halutaan useamman tukiaseman laajuinen roaming verkko.
Kuten keskustelusta on jo käynyt ilmi, on vaikea sanoa sinua ja firmaasi
tuntematta, että onko WLAN -salaukset riittävän turvallisia, kun ei
tiedetä millainen ympäristö teillä muuten on. Onhan niitä sellaisiakin
WLAN -verkkoja, joissa ei ole minkäänlaista salausta, mutta silti niissä
liikutellaan businesskriittistä dataa, esim. VPN-tunnelin läpi.
PS. Omalle toimistolle en ole vielä uskaltanut WLAN-tötteröä laittaa,
vaikka käyttäjät ovatkin sellaista kyselleet. Ehkä olen sitten vaan
liian perfektionisti kontrollifriikki. Mutta, kukin tavallaan... :)
-Asko
Sami Ketola
>> tenavia, vai NSA:ta?
>>
>
> Niin vaatimattomasti ollaan liikkeellä että ihan vaan niitä naapurin
> uteliaita tenavia. Ja niiden isäukkoja vastaan.
Niitä vastaan riittää mainiosti WPA2-PSK tai WPA AES salauksella.
Kaikissa muissa WLAN salausratkaisuissa on tunnettuja puutteita,
joista WEP on kaikkein heikoin.
Luultavasti WPA2-PSK riittää myös pitämään NSA:n ulkona liikenteestä,
mutta tästä ei voi koskaan olla täysin varma.
Sami
Securus
>
> AES on salausalgoritmi johon ei ole tiedossa olevia purkumenetelmiᅵ.
> WPA on autentikoitiprotokolla joka voi kᅵyttᅵᅵ salaukseen joko TKIP:ᅵ ta
> AES:a. Jotkut valmistajat toteuttivat AES:n jo tᅵssᅵ vaiheessa ennen
> WPA2 on autentikoitiprotokolla jonka on spexin mukaan on tuetteva AES
> (CCMP) salausta.
Tuossa selostuksessa tuntuu olevan aika lailla jᅵrkeᅵ ja selvᅵᅵ faktaa.
Ja kaiken lisï¿œksi selostus tuntuu matchaavan nï¿œiden uusien asetustenikin
kanssa.
1) Purnukassani oli tosiaan nᅵmᅵ asetukset:
-Authentiction method: WPA-Personal
-WPA Encryption: TKIP
Nᅵillᅵ asetuksilla purkin valikoista ei tullut tarjolle WPA
Encryption kohtaan muita vaihtoehtoja kuin tuo TKIP ainokaisena.
2) Laitoin pᅵᅵlle asetuksen:
-Authentiction method: WPA2-Enterprise
jolloin purkki automaattisesti muuttikin WPA Encryption:in kohdalle:
-WPA Encryption: AES
Kovempitasoisen Autentikointitavan valinta siis samalla laittoi purkkiin
pᅵᅵlle kovempitasoisen liikenteen salauksen myᅵs.
Omasta mielestᅵ, ja ainakin pᅵᅵltᅵ katsoen asetukset nyt "nᅵyttᅵvᅵt"
luotettavilta, koska oikeanlaisia W-alkuisia tekstinpᅵtkiᅵ noissa
asetuskohdissa on.
Kunhan vielᅵ osaisi luottaa tᅵhᅵn muutaman kympin ASUS:in
halpispurkkiin, ettᅵ se taustalla tosiaan tekee sen tason kryptausta
mitᅵ pᅵᅵllepᅵin asetukset nᅵyttᅵᅵ.
Jos vielᅵ laittaa lᅵppᅵriin asetuksen ettᅵ se ei saa hyvᅵksyᅵ muuta kuin
em. WPA2 salattuja WLAN-yhteyksiᅵ, niin ilmeisesti lᅵppᅵrin liikenne on
turvattu myï¿œs Nettikahvilassa ollessa WLAN-kuuntelijoita vastaan.
Toki jos nettikahvilan isᅵntᅵ itse kuuntelee ja vakoilee liikennettᅵ
WLAN-purkin jᅵlkeiseltᅵ osuudelta, ennen muualle kiinteisiin verkkoihin
menoa. Sitᅵhᅵn tᅵmᅵ ei tietenkᅵᅵn suojaa, siksi kannattaa olla tarkkana
nettikaveilla ollessa. -sec
Sami Ketola
> Jos vielä laittaa läppäriin asetuksen että se ei saa hyväksyä muuta kuin
> em. WPA2 salattuja WLAN-yhteyksiä, niin ilmeisesti läppärin liikenne on
> turvattu myös Nettikahvilassa ollessa WLAN-kuuntelijoita vastaan.
Nettikahviloissa WLANit ovat yleensä avoimia, joten siellä kuuntelijoita
vastaan joutuu taistelemaan kryptaamalla liikennettä protokollatasolla.
Sami
Securus
>
> kuinka moni tietää
> sinun puuhailevan salaisia juttuja ja olisiko heistä jollakulla
> intressejä murtautua WLAN-verkkoosi?
Eihän kenenkään tarvitse edes ennalta "tietää" että millä tietyllä
firmalla on jotakin rahanarvoista tietoa olemassa. Viittaan edelleen
siihen parkkipaikalle jätettyyn kuunteluautoon, joka skannaa *kaikkea*
WLAN-liikennettä, ja kerää siitä dataa talteen.
Sopivat analysointiohjelmat osaavat avainsanoilla, vaikka firmojen
nimillä tai tuotteiden ja ohjelmistojen nimillä tms. alkaa hakemaan onko
datamössössä jotakin kiinnostavaa olemassa.
> Ja millaiset resurssit
> (laitteet&tietotaito) mahdollisella hyökkääjällä voisi olla?
Tällä taas viittaan alkuperäisen viestini Wikipedia-linkkiin, jossa
sanottiin erilaisten kuunteluohjelmien tulleen niin helpoiksi että kuka
vaan voi niitä opetella käyttämään.
Jos tämä pitäisi paikkansa edes suunnilleen, niin kyllä niitä
kuuntelijoita silloin löytyisi. Vrt. laiton poliisiradion kuuntelu
takavuosina.
> Jos olet Bin Ladenin kätyri ja seuraavan terrori-iskun suunnittelija,
Totta kai tuo länkytyksesi on tietyssä mielessä "hauskaa ja keventävää"
tänne kaiken muun joukkoon. Mutta kyllä siitä samalla tulee fiilis että
ehkei sinulla lopulta olisi kovin paljon oikeaa ja käyttökelpoisena
kiinnostavaa asiaa annettavana tähän kskusteluun.
En siis mitenkään pahalla sano, vitsailua arvostan itsekin, mutta
tällainen johtopäätöskin on samalla omia tarpeita, ja ajan säästämiseksi
vedettävä. -sec
Securus
>
> Nettikahviloissa WLANit ovat yleensä avoimia, joten siellä kuuntelijoita
> vastaan joutuu taistelemaan kryptaamalla liikennettä protokollatasolla.
>
Yksinkertaistettuna vielä. Onko niin että avoimet WLAN-verkot ovat
lähtökohtaisesti *aina* täysin avoimia kaiken liikenteen suhteen.
Minkäänmoista kryptausta ei sanomissa ole, WLAN-liikenteen sisällä.
Riittää kun läppärissä on vaikka joku samanlainen verkon kuunteluohjelma
kuin Ethernet-verkon kuunteluun ja sniffaamiseenkin tarvitaan. Niin
samanlaisella ohjelmalla voi kuunnella myös nettikahviloiden ym.
avoimien saittien WLAN-liikennettä, ilman mitään de-kryptailutarpeita
tms.? -sec
Sami Ketola
> Yksinkertaistettuna vielä. Onko niin että avoimet WLAN-verkot ovat
> lähtökohtaisesti *aina* täysin avoimia kaiken liikenteen suhteen.
> Minkäänmoista kryptausta ei sanomissa ole, WLAN-liikenteen sisällä.
Jos WLAN on avoin niin se on avain. Myös kuuntelijoille. WLAN ei
silloin tarjoa minkäänlaista kryptausta tai edes suojaa sen suhteen
voidaanko liikenne kaapata.
> Riittää kun läppärissä on vaikka joku samanlainen verkon kuunteluohjelma
> kuin Ethernet-verkon kuunteluun ja sniffaamiseenkin tarvitaan. Niin
> samanlaisella ohjelmalla voi kuunnella myös nettikahviloiden ym.
> avoimien saittien WLAN-liikennettä, ilman mitään de-kryptailutarpeita
> tms.? -sec
Juuri näin. Kaikki liikenne on vapaata riistaa kaikille jotka ovat
kuuntelemassa. Ja niiden kuuntelosoftienhan hankkiminen ei ole vaikeaa.
Sami
lurjus
> Juuri näin. Kaikki liikenne on vapaata riistaa kaikille jotka ovat
> kuuntelemassa. Ja niiden kuuntelosoftienhan hankkiminen ei ole vaikeaa.
>
> Sami
Vastalääkkeet voivat käydä konstikkaiksikin. Meillä firman vpn-ratkaisun
työasemasofta ei toimi 64-bittisessä Windows seiskassa.
Nettikahvilaratkaisuna on startata virtualisoitu XP ja avata vpn-putki
sen kautta. Toimii mutta maistuu vähän purkalta.
Nospam
> 2) Laitoin päälle asetuksen:
> -Authentiction method: WPA2-Enterprise
> jolloin purkki automaattisesti muuttikin WPA Encryption:in kohdalle:
> -WPA Encryption: AES
Sun pitäisi valita WPA2-Personal tms. eli se muoto jossa se yksi ja sama
esijaettu avain (WPA salasana, phass phrase) on koko WLAN verkolle
yhteinen ja jota sitten käytetään käyttjien tunnistamiseen.
WPA2-Enterprise on yrityksille jne. tarkoitettu autentikointiprotokolla
joka tarvitsee autentikointiserverin (radius) käyttäjien tunnistamiseen.
Kotikäyttäjällä normaalisti ei ole tälläistä.
Terv, Nospam
Ville Hietarinta
wrote:
>1) Purnukassani oli tosiaan nämä asetukset:
> -Authentiction method: WPA-Personal
> -WPA Encryption: TKIP
> Näillä asetuksilla purkin valikoista ei tullut tarjolle WPA
> Encryption kohtaan muita vaihtoehtoja kuin tuo TKIP ainokaisena.
>
>2) Laitoin päälle asetuksen:
> -Authentiction method: WPA2-Enterprise
> jolloin purkki automaattisesti muuttikin WPA Encryption:in kohdalle:
> -WPA Encryption: AES
WPA2-Enterprisella tarkoitetaan radius-palvelimen kautta autentikointia,
eli käyttäjätunnuksella JA salasanalla todentamista. Se taas vaatii että
sulla olisi jollain tietokoneella radius-palvelu toiminnassa ja sinne
tehty tunnuksia, tai että langaton tukiasemasi sisältää radius-palvelimen.
Luultavasti oikea valinta olisi purkissasi WPA2-Personal tai WPA2-PSK.
>Kunhan vielä osaisi luottaa tähän muutaman kympin ASUS:in
>halpispurkkiin, että se taustalla tosiaan tekee sen tason kryptausta
>mitä päällepäin asetukset näyttää.
Jos purkkisi ei kryptaisi liikennettä vaikka siitä tietokoneesi
käyttöjärjestelmä ilmoittaisikin, pysähtyisi liikennöinti heti alkuunsa
kun tietokoneesi kryptaisi ja tukiasema ei.
>Jos vielä laittaa läppäriin asetuksen että se ei saa hyväksyä muuta kuin
>em. WPA2 salattuja WLAN-yhteyksiä, niin ilmeisesti läppärin liikenne on
>turvattu myös Nettikahvilassa ollessa WLAN-kuuntelijoita vastaan.
On se sikäli turvattu että koneesi ei tuollaisella asetuksella yhdistyisi
lainkaan siihen kahvilan wlaniin jos siellä on WEP/WPA-salaus tai kokonaan
salaamaton netti. Salaamattomuushan on tyypillinen ratkaisu esim.
maksullisissa asiakasverkoissa.
Heikki Kaskelma
> Heikki Kaskelma:
> >Asko Ikävalko:
> >> ..., vaan mielummin yli 20 sekalaista merkkiä
> >> sisältäen isoja ja pieniä kirjaimia, numeroita ja ASCII128 taulukon
> >> erikoismerkkejä.
> >
> >Näinhän usein sanotaan, mutta kuinka paljon nopeammin
> >salasana itse asiassa on löydettävissä, jos käytän jotain
> >suppeampaa merkkivalikoimaa?
>
> Salasanan vaikeustaso on suht helppoa matikkaa:
>
> Numerot 0-9: 10^20, eli 100,000,000,000,000,000,000 vaihtoehtoa
> kirjaimet a-z: 26^20, eli 19,928,148,895,209,409,152,340,197,376
> Isot & pienet kirjaimet+numerot: 62^20
> ascii 128: 128^20
> ...ja niin edelleen.
No ei.
Tarkoitin tilannetta, jossa käytän vain esimerkiksi kolmea eri
(itse valitsemaani) merkkiä salasanassa. Kuinka paljon nopeammin
salasana on löydettävissä? Nämä kolme merkkiä olen valinnut
salasanassa sallituista merkeistä, esimerkiksi 128 ascii merkistä,
mutta en tietenkään ole kertonut kenellekään mitkä kolme merkkiä
ovat käytössä, enkä edes sitä, että käytössä on vain kolme merkkiä.
Tästä tuskin voi tehdä matematiikkaa, vaan kysymys on enemmänkin
siitä miten eri kräkkäysohjelmat toimivat.
Verkon salasanaksi tietysti voi laittaa monimutkaisenkin, kun sitä
ei tarvitse toistuvasti naputella sisään, mutta tavallisen henkilökohtaisen
salasanan, jonka käyttäjä joutuu naputtelemaan sisään (ja mahdollisesti
muistamaan) ei ehkä tarvitsekaan sisältää kaikkia erilaisia merkkilajeja.
Timo Pietilä
> On 15.3.2011 19:56, Timo Pietilä wrote:
>> WEP TKIP murtamiseen menee joitain millisekunteja, kunhan ensin
>> on kerätty kylliksi dataa kuuntelemalla liikennettä.
>
> Joo, kuten jo kerroin, niin "kylliksi" lienee parin gigatavun luokkaa.
> Kukin arvioikoon onko se paljon vai vähän, mutta ainakin meidän WLAN:ia
> joutuisi kuuntelemaan useamman viikon tuollaisen datamäärän kerätäkseen.
Alle kuukausi on vielä realistinen murtoaika. Toki jos salasanaa
vaihdetaan nopeammassa tahdissa kuin tuo niin sitten kuuntelusta ei ole
mitään hyötyä.
> En ole ihan satavarma, mutta väittäisin, että WPA:ssa käytetään
> erilaista TKIP-salausta, kuin WEP:ssä, eikä sen murtaminen onnistukaan
> yhtä helposti.
Pitää paikkaansa, WEP voidaan murtaa käytännössä reaaliajassa
nykyraudalla, WPA vaatii hieman monimutkaisemman lähestymistavan.
> > Nykykoneet toki kykenevät laskemaan noita
>> miljoonia sekunnissa, mutta siltikin 34-6 on yhä 6*10^28 vuotta.
>
> Vaikka murtautujalla laskentatehoa riittäisikin, niin se hyökkäyksen
> kohteeksi valittu WLAN-tukiasema saattaa huutaa hoosiannaa jo sillä 100
> hyökkäyksen sekuntinopeudellakin.
Vitsi piileekin siinä ettei niitä salasanahyökkäyksiä tarvitse tehdä,
kun tarvittavan datan saa kuuntelemalla. Murto tapahtuu omalla koneella
ilman ulkopuolista liikennettä. Vähän sama kuin Windowsin SAM:n
murtaminen kunhan ensin on saatu tietokanta koneesta.
Tuokin murtuu muuten todella nopeasti XP:n oletuksilla jos gp:ssä ei ole
otettu pois päältä lmhash-autentikointia. Alle 16 merkin salasana murtuu
joissakin sekunneissa.
Timo Pietilä
Tapio Väättänen
> On 15.3.2011 19:56, Timo Pietilä wrote:
>> WEP TKIP murtamiseen menee joitain millisekunteja, kunhan ensin
>> on kerätty kylliksi dataa kuuntelemalla liikennettä.
>
> Joo, kuten jo kerroin, niin "kylliksi" lienee parin gigatavun luokkaa.
> Kukin arvioikoon onko se paljon vai vähän, mutta ainakin meidän WLAN:ia
> joutuisi kuuntelemaan useamman viikon tuollaisen datamäärän kerätäkseen.
Ainakin aimemmin WLAN-tukiasemaa pystyi huijaamaan tuottamaan liikennettä.
Jos tosiaan joutuu vain passiivisesti keräämään dataa, niin sitten
murtamiseen menee aikaa aika lailla. Ellei ole ihan hirveän hyvä onni.
Itse testasin aikanaan, ja ei siinä murrossa hirveän pitkään mennyt. Olisiko
64bit WEP murtunut kolmessa minuuutissa ja 128bit alle 20 minuutissa. Mutta
minä tosiaan liikuttelin dataa siellä verkossa.
--
sip:t...@tav.iki.fi http://tav.iki.fi
"By the way, I was being sarcastic" -- Homer J. Simpson
Securus
>
> Itse testasin aikanaan, ja ei siinä murrossa hirveän pitkään mennyt. Olisiko
> 64bit WEP murtunut kolmessa minuuutissa ja 128bit alle 20 minuutissa. Mutta
> minä tosiaan liikuttelin dataa siellä verkossa.
>
Millaistakohan sen liikuteltavan datan tarvitsee olla, noin niin kuin
murtomiehen onnistuneita murtotarpeita silmällä pitäen? Onko esim.
mieluumminko oltava tekstitiedostoja, tai kenties HTML:ää tai ainakin
useita pieniä tiedostoja, vai mitä?
Vai käykö vaikka elokuva? Kotikoneella ei tarvitse laittaa kuin vaikka
joku Avatar-elokuva imutukseen WLAN-kortin kautta, niin kyllä siitä
äkkiä sellaiset 2 GB sisäänpäin tulevaa liikennettä syntyy.
Entä mitä tuollaisen onnistuneen WEP-salauksen murtautumisen
lopputuloksena murtautuja saa haltuunsa? Saako hän esim. kasattua
itselleen sen Avatar-elokuvan kasaan, ja samalla ohessa lähetellyt parit
e-mailit, sekö on hänen palkkionsa?
Vai saako kerran tehdyllä onnistuneella murtautumisella haltuunsa
sellaisen WEP-kryptausavaimen, jolla avaimella voi seuraavinakin päivinä
vaivatta lukea kaikkea dataliikennettä ko. WLAN-verkossa? Ja tämä
onnistuu niin pitkään kuin samaa sisäänkirjautumisen salasanaa
WLAN-verkossa käytetään?
Vai saako onnistuneen murtautumisen tehnyt haltuunsa myöskin sen
WLAN-verkon kirjautumissalasanan? Pääsee kirjautumaan verkkoon sisään
milloin haluaa?
Oma arveluni on että oma verkko olisi nyt riittävällä tasolla (kop, kop)
WPA2-suojattu. Mutta ei ollut vielä 2 viikkoa sitten.
Että siinä mielessä, ja niinku yleissivisyksen kannalta olisi mukava
tietää mitä kaikkea onnistuneen WEP-murron tehnyt WLAN-murtautuja oikein
samalla saa haltuunsa -sec
Ari Laitinen
> Että siinä mielessä, ja niinku yleissivisyksen kannalta olisi mukava
> tietää mitä kaikkea onnistuneen WEP-murron tehnyt WLAN-murtautuja
> oikein samalla saa haltuunsa -sec
Liikennettä voi tallentaa jo etukäteen määräämättömän ajan ja purkaa
jälkeenpäin kaikilta niiltä osilta mitä katsoo tarpeelliseksi.
Jos esim. tarvittaisiin todisteita rikoksesta niin liikennettä voitaisiin
talleentaa ja purkaa sitten myöhemmin esim. hankkimalla salasana
takavarikoimalla tukiasema ja generoimalla siihen murtamiseen sopivaa
liikennettä ellei tukiasema suostu salasanaa muuten kertomaan.
Securus
>
> Jos esim. tarvittaisiin todisteita rikoksesta niin liikennettä voitaisiin
> talleentaa ja purkaa sitten myöhemmin esim. hankkimalla salasana
> takavarikoimalla tukiasema
Tässä en kuitenkaan epäile itseäni mistään rikoksesta. Eikä siinä
mielessä kenenkään tarvitse tulla polisiivoimin omaa
WLAN-tukiasemaanikaan takavarikoimaan.
Siksi en oikein osaa tuota asiaa mitenkään soveltaa edelliseen
kysymykseeni, siis omaa suojautumista ja WEP-murtumisen
kauhuskenaarioita ajatellen.
Toivottavasti siis jollakin muulla olisi vielä jotakin lisäsanottavaa
tai kommentoitavaa asiaan.
Sinänsä yllä sanottu varmaan sopinee jonnekin muualle. Johonkin ihan
toisenlaiseen tapaukseen ja aivan toisen suuntaiseen rikostutkintaan. -sec
Ari Laitinen
> Ari Laitinen wrote:
>>
>> Jos esim. tarvittaisiin todisteita rikoksesta niin liikennettä
>> voitaisiin talleentaa ja purkaa sitten myöhemmin esim. hankkimalla
>> salasana takavarikoimalla tukiasema
> Sinänsä yllä sanottu varmaan sopinee jonnekin muualle. Johonkin ihan
> toisenlaiseen tapaukseen ja aivan toisen suuntaiseen rikostutkintaan.
No annapa tarkempia tietoja siitä ketä vastaan suojaat ja mitä niin ehkä
arvaus osuu tarkemmin kohdalleen :-)
Jos et suojaa kiinteää liittymää mitenkään ja tavoitteesi on "suojautua"
uteliailta naapureilta niin olen nähnyt joidenkin käyttäneen tukiaseman
signaalin vaimennusta niin ettei se oikein kanna kovin pitkälle. Tämähän ei
tietenkään estä naapuria käyttämästä suunta-antennia kuunteluunsa.
Itse hyväksyisin tällaiseen suojaukseen tukiaseman tarjoaman WPA:n sen
enempää pohtimatta.
Nospam
> Tapio Väättänen wrote:
>>
>> Itse testasin aikanaan, ja ei siinä murrossa hirveän pitkään mennyt.
>> Olisiko
>> 64bit WEP murtunut kolmessa minuuutissa ja 128bit alle 20 minuutissa.
>> Mutta
>> minä tosiaan liikuttelin dataa siellä verkossa.
>>
>
> Millaistakohan sen liikuteltavan datan tarvitsee olla, noin niin kuin
> murtomiehen onnistuneita murtotarpeita silmällä pitäen?
Hyökkääjä voi myös generoida sitä dataa sinne verkkoon jos sitä ei ole
tarpeeksi. Mutta tällöin hän ei ole enää passiivinen kuuntelija, mikä
riittää jos verkkossa liikkuu luonnostaan paljon dataa.
Terv, Nospam
Sami Ketola
> Entä mitä tuollaisen onnistuneen WEP-salauksen murtautumisen
> lopputuloksena murtautuja saa haltuunsa? Saako hän esim. kasattua
> itselleen sen Avatar-elokuvan kasaan, ja samalla ohessa lähetellyt parit
> e-mailit, sekö on hänen palkkionsa?
Saa purettua kaiken liikenteen selväkieliseksi. Nykyisen, tulevan ja
kaiken valmiiksi nauhoitetun. Jos tallennustilaa vaan on tarpeeksi,
niin mustahatullahan voi olla levynkulmalla kaikki liikenne tallessa
edellisestä avaimenvaihdosta lähtien.
> Vai saako kerran tehdyllä onnistuneella murtautumisella haltuunsa
> sellaisen WEP-kryptausavaimen, jolla avaimella voi seuraavinakin päivinä
> vaivatta lukea kaikkea dataliikennettä ko. WLAN-verkossa?
Kaiken liikenteen saa dekrptattua siihen hetkeen asti jolloin salasana
vaihdetaan.
> Vai saako onnistuneen murtautumisen tehnyt haltuunsa myöskin sen
> WLAN-verkon kirjautumissalasanan? Pääsee kirjautumaan verkkoon sisään
> milloin haluaa?
Ei semmoista olekkaan. On vain liikenteen kryptaamiseen käytetty avain.
Jos asiakaspää ei osaa kryptata paketteja oikealla avaimella niin ne
vain ignoroidaan tukiaseman päässä.
Sami
Asko Ikävalko
> olen nähnyt joidenkin käyttäneen tukiaseman
> signaalin vaimennusta niin ettei se oikein kanna kovin pitkälle
Ikkunoihin on myytävänä sellaista läpinäkyvää kalvoa, joka pysäyttää 99%
radiosäteilystä. Ja seinät voi sitten tapetoida alumiinifoliolla. :)
F-securellakin on sellainen testilaboratorio, jossa testaavat
kännykkävirusten tartuttamista puhelimesta toiseen Bluetoothilla ym.
radioyhteyksillä. Tuo huone on eristetty niin tiiviiksi Faradayn
häkiksi, ettei sieltä pääse mitään radiosäteilyä ulos.
PS. Johan tässä Securukselle moneen kertaan on sanottu, että normaalille
kotikäyttäjälle yleensä riittää WPA salauksen enabloiminen, mutta tässä
tuli taas yksi näkökulma lisää tähän keskusteluun. Kuten jo aiemmin
sanoin, tietoturva on "kokonaisvaltainen käsite" eikä vain yksi tietty
protokolla.
PPS. Jos ei halua foliota käyttää, niin joissain tukiasemissa saa ihan
asetusten kautta pudotettua lähetystehoa pienemmälle. Tämä lienee se
jota Arikin tarkoitti.
-Asko
Jukka Marin
> PPS. Jos ei halua foliota k�ytt��, niin joissain tukiasemissa saa ihan
> asetusten kautta pudotettua l�hetystehoa pienemm�lle. T�m� lienee se
> jota Arikin tarkoitti.
Eih�n noiden tukiasemien teho riit� maksimiasetuksellakaan edes omakotitalon
kattamiseen, vaan taloon tarvitsisi ainakin kolme tukiasemaa, jotta peitto
olisi kunnollinen :-(
-jm
Securus
>
> Ikkunoihin on myytävänä sellaista läpinäkyvää kalvoa, joka pysäyttää 99%
> radiosäteilystä. Ja seinät voi sitten tapetoida alumiinifoliolla. :)
Okei, siis alkuun tollaista kevyesti heitettyä asiantuntijalässytystä.
> PS. Johan tässä Securukselle moneen kertaan on sanottu, että normaalille
> kotikäyttäjälle yleensä riittää WPA salauksen enabloiminen, mutta tässä
> tuli taas yksi näkökulma lisää tähän keskusteluun.
Minä en vaan ymmärrä miten kotona olijaa voisi jotkin asiat harmittaa
jotenkin vähemmän kuin töissä olijaa. Siis vaikka jos firman pankkitilin
sijasta joku onkin murtautunut kotiverkkosi kautta omalle
kotipankkitilillesi. Ja saanut sitä kautta pankkiavaimiasi tms. haltuunsa?
Puheistanne päätellen sekä sinä että Laitinen olette jonkinlaisia
IT-alan tuki-ihmisiä tms.? Ihmettelen että ettekö edes *tämänkään
keskustelun aikana* ole yhtään saaneet päivitettyä omia tietojanne
yhtään paremmin ajan tasalle.
Vaikka tässäkin on tarjottu lyhyitä tiivistelmiä noista salausasioista.
Kuten vaikka tämä Nospamin kirjoittamana:
""""
AES on salausalgoritmi johon ei ole tiedossa olevia purkumenetelmiä.
WPA on autentikoitiprotokolla joka voi käyttää salaukseen joko TKIP:ä ta
AES:a. Jotkut valmistajat toteuttivat AES:n jo tässä vaiheessa ennen
kuin WPA2 standardisoitiin.
WPA2 on autentikoitiprotokolla jonka on spexin mukaan on tuetteva AES
(CCMP) salausta.
""""
Tässä WLAN-suojausasiassa ei tosiaan ole keskeistä se että näkyykö
siellä purkin valikossa tuo mystinen "WPA" teksti. Tärkeintä on
varmistaa että purkki kryptauksessaaan käyttää AES-algoritmia.
Jos purkissa teksteinä näkyy merkkijonot "WPA" ja "TKIP", niin
Wikipedian mukaan tämä kombinaatio on vuodesta 2008 lähtien osittain
murrettu 15 minuutissa. Ja seuraavana vuonna lyhyitä TKIP-datapaketteja
oli murrettu ja niitä oli voitu muutella 1 minuutin hakkeroinnin jälkeen
http://tinyurl.com/4af6bgu
Ei oikein kuulosta hyvältä. Hiukan omaa hakkereiden sietotoleranssiani
hiukan kiristämällä ja parin viime vuoden aikaisen hakkeriaikajatkumon
huomioon ottaen, pitäisin tuota TKIP:iä nyt jo aika lailla suojattomana
ja täysmurrettuna.
Siis jos jonkin yhden (1) relevantin kirjainyhdistelmän haluatte
Laitisen kanssa jatkossa muistaa heitettäväksi omissa
asiantuntijalässytyksissänne, niin painakaa jatkossa mieleen WPA:n
sijasta merkkijono AES.
> Kuten jo aiemmin sanoin, tietoturva on "kokonaisvaltainen käsite"
> eikä vain yksi tietty protokolla.
Okei, just noin, tonne vaan huttuun joukkoon "AES". Menee taas
vuosikausia eteenpäin täydestä, ajan tasalla olevana verkko- ja
tietoturva-asiantuntijana.
> PPS. Jos ei halua foliota käyttää, niin joissain tukiasemissa saa ihan
> asetusten kautta pudotettua lähetystehoa pienemmälle. Tämä lienee se
> jota Arikin tarkoitti.
Tämän niksin ehkä sinä ja Ari voisitte jatkossa jättää vain omaan
henkilökohtaiseen kotikäyttöönne, kokonaan unohtaa sen päivätyön
asialistaltanne. Tuollainen "pienemmälle" on niin kovin epämääräinen
suure. Säädot vaihtelee täysin purkkikohtaisesti, ja myös kelit ja
lähetysolosuhteet ja salakuuntelijan lautasantennit ym. vaikuttaa.
Ehdotan että jätät tietoturvashowssasi tuon lähetystehon alentamisen
osuuden jatkossa kokonaan pois. Heität kato vaan väliajalla täytteeksi
jotakin muuta IT-kevytläppää. Ja sitten loppua kohden uudelleen toistat
ja taas mainitset sen "AES"-salauksen välttämättömyyden.
Kaupassa myytävissä vakioissa WLAN-purkeissa, AES on tällä hetkellä se
merkkijono joka jotakin suojaa pystyy takaamaan. "Käyttäkää aina AES:ia
kaikkialla, sekä töissä että kotona." Täydestä menee! I guarantee it.
Hitsi, aloitin täällä kysellä runsas viikko sitten aivan peelona,
kahenkympin WLAN-purkin kotiverkkoa virittelevänä käyttäjänä. Ja nyt
olen jo tällainen tietotekniikan kuru itsekin. Pitäsköhän itekin vaihtaa
omia humanistin päivähommia jonnekin toisaalle:) -sec
Ari Laitinen
> jotenkin vähemmän kuin töissä olijaa. Siis vaikka jos firman
> pankkitilin sijasta joku onkin murtautunut kotiverkkosi kautta omalle
> kotipankkitilillesi. Ja saanut sitä kautta pankkiavaimiasi tms.
> haltuunsa?
Asiahan on yleensä päinvastoin. Kotikäyttäjät ovat paljon valveutuneempia
suojaamaan _erittäin_salaiset_kotiasiansa naapureilta. Sen sijaan
työpaikoille laitetaan sujuvasti avoimia hotspotteja. Olenpa nähnty
lääkäriaseman, jolle asiantuntijayritys oli asentanut avoimen WLAN verkon,
jossa oli kaikki talon PC:t kiinni langattomasti ilman mitään muuta
suojajärjestelyä.
Kotona ihmiset kiinnittävät asioihin siis huolta paljon enemmän kuin töissä.
Sen sijaan ne paikat, joissa jonkun perse on oikeasti uhattuna, jos asiat
ryssitään, saatetaan kiinnitttää asioihin huomiota ja olla laittamatta
langattomia paikkoihin, joissa niistä ei voi olla varma.
> Puheistanne päätellen sekä sinä että Laitinen olette jonkinlaisia
> IT-alan tuki-ihmisiä tms.? Ihmettelen että ettekö edes *tämänkään
> keskustelun aikana* ole yhtään saaneet päivitettyä omia tietojanne
> yhtään paremmin ajan tasalle.
Ei näissä asioissa ole ajantasaa vaan asiat muuttuvat. Tänään joku tekniikka
voi olla turvallinen - huomenna se on reikäjuusto. Vetoaminen johonkin
sellaiseen, mitä ei itse osaa vahvistaa, on pään pistämistä pensaaseen.
Sekään ei riitä että joku kirjainlyhenne on teoriassa turvallinen. Voitko
jotenkin vahvistaa että se laite, jota käytät, soveltaa teoreettista metodia
oikein ja että siinä ei ole takaporttia?
> Okei, just noin, tonne vaan huttuun joukkoon "AES". Menee taas
> vuosikausia eteenpäin täydestä, ajan tasalla olevana verkko- ja
> tietoturva-asiantuntijana.
Näinhän ne toimii, jotka osaavat vain kirjainlyhenteitä. Joidenkin pitää
myös tehdä ne lyhenteet.
> Hitsi, aloitin täällä kysellä runsas viikko sitten aivan peelona,
> kahenkympin WLAN-purkin kotiverkkoa virittelevänä käyttäjänä. Ja nyt
> olen jo tällainen tietotekniikan kuru itsekin. Pitäsköhän itekin
> vaihtaa omia humanistin päivähommia jonnekin toisaalle:) -sec
Oikeasti tiedät asiasta vasta sitten kun ymmärrät ettei tiedä asiasta
oikeasti mitään.
Näin se vain menee :-)
Sami Ketola
> Asiahan on yleensä päinvastoin. Kotikäyttäjät ovat paljon valveutuneempia
> suojaamaan _erittäin_salaiset_kotiasiansa naapureilta. Sen sijaan
> työpaikoille laitetaan sujuvasti avoimia hotspotteja. Olenpa nähnty
> lääkäriaseman, jolle asiantuntijayritys oli asentanut avoimen WLAN verkon,
> jossa oli kaikki talon PC:t kiinni langattomasti ilman mitään muuta
> suojajärjestelyä.
On meilläkin töissä langaton verkko täysin avoin. Se on hallinnallisesti
melko helppo niin. Siitä verkosta vaan ei pääse ihan yhtään mihinkään
ilman kryptattua VPN yhteyttä. Uskoisin että tälläinen järjestely ei
yrityksissä ole edes mitenkään harvinaista.
Sami
Ari Laitinen
Mitäpä luulet, jos otetaan sata satunnaista yrtystä, niin kumpia on suurempi
määrä niiden avoimista WLAN-verkoista. Niitäkö, joista pääsee nettiin ja
firman verkkoon suoraan, vaiko niitä, joista ei pääse? ;-)
Nospam
>
> Ikkunoihin on myytävänä sellaista läpinäkyvää kalvoa, joka pysäyttää 99%
> radiosäteilystä. Ja seinät voi sitten tapetoida alumiinifoliolla. :)
Tarkoitatko nyt selektiivilasia? Se nimittäin vaimentaa wlanin
erittäinkin hyvin.
Terv, Nospam
Securus
>
> Kotona ihmiset kiinnittävät asioihin siis huolta paljon enemmän kuin töissä.
Tuskin tietoturvamielessä pitää tämä paikkaansa, noin niinkuin
laajemminkin. Vaikkapa USA:ssa arvellaan olevan 2 miljoonaa konetta
saastuneina Botnet/Zombiekoneina.
http://techgenie.com/security/reports-suggests-2-million-u-s-computers-affected-by-botnets-2/
Valtaosan näistä yleisesti arvellaan olevan nimenomaan kotikoneita.
Saattaa kapalemääräisesti mennä niin että 10..20% on erilaisten
liikkeenharjoittajien, pikkufirmojen ja lepsujen lääkäriasemien ym.
monella, monella eri tavalla vuotavia PC-koneita.
Ja loput 80% sitten olisi niitä kotikäyttäjien koneita. Joilta voidaan
perhevalokuvien lisäksi pölliä salasanoja pankkeihin ja muihin
palveluihin, ja kotoa työpaikoille ja asiakkaille lähetettyjä e-maileja ym.
> Voitko jotenkin vahvistaa että se laite, jota käytät, soveltaa
> teoreettista metodia oikein
Eikö muka sitten itselläsi ole, vaikka päivävirkasi puolesta, mitään
testimenetelmiä tai keinoja kyetä vahvistamaan tuota?
Testasin oman purkkini, eikä se tällä hetkellä pysty ainakaan tässä
asiassa fuskaamaan. Läppärikoneeni on asetettu lähettämään ja
vastaanottamaan dataa vain AES-koodattuna. Ei siinä WLAN-purkki oikein
paljoa voi kryptauksessa slarvailla, jos purkki meinaa saada
dataliikenteen ylipäätään kulkemaan.
> ja että siinä ei ole takaporttia?
No totta kai ASUS:in Taiwanin tehtaat on pakotettu hyväksymään
tuotantolinjalla WLAN-boksiensa sisään Kiinan Salaisen Palvelun
toimittama takaporttichippi. Ja toinen NSA:n logolla varustettu chippi
juotetaan mukaan myös.
Nämä tällaiset Isommat Vieraat on normi-kotikäyttäjän vaan hyväksyttävä
purkkiliikenteensä mahdollisiksi vierailijoiksi.
> Näinhän ne toimii, jotka osaavat vain kirjainlyhenteitä. Joidenkin pitää
> myös tehdä ne lyhenteet.
Viittaatko tässä itseesi? Kun edellä tyrkkäsit sitä omaa WPA
lyhennettäsi peliin? Vai tuskin kuitenkaan itse olet "tehnyt" joitakin
noista salauslyhenteistä?
> Oikeasti tiedät asiasta vasta sitten kun ymmärrät ettei tiedä asiasta
> oikeasti mitään.
Tuollako viittaat siihen, että tällaisissa asioissa olisi "parempi
luottaa asiantuntijoiden apuun"? Sellaisten jotka tekevät tämän alan
hommia päivätyönään, kuin koettaa omin nokkinensa selvittää ja löytää
vastauksia asioihin?
Niiden mahdollisten tarjolla olevien asiantuntijoiden tunnistamisessa on
kuitenkin oma ongelmansa. Vielä eilen ainakin oma ehdotuksesi
WLAN-suojausasiaan oli tämä:
"a)...olen nähnyt joidenkin käyttäneen tukiaseman signaalin vaimennusta
niin ettei se oikein kanna kovin pitkälle
b) Itse hyväksyisin tällaiseen suojaukseen tukiaseman tarjoaman WPA:n
sen enempää pohtimatta."
Just juu noin, sen enempiä pohtimatta...
Johon vielä Ikävalko vastasi 'normaalille kotikäyttäjälle' kaikuna että:
"PS. Johan tässä Securukselle moneen kertaan on sanottu, että
normaalille kotikäyttäjälle yleensä riittää WPA salauksen enabloiminen,"
> Näin se vain menee :-)
Tästä kohdasta olemme vaihteeksi harvinaisen samaa mieltä. Näin se vaan
menee. -sec
Asko Ikävalko
> Tarkoitatko nyt selektiivilasia? Se nimittäin vaimentaa wlanin
> erittäinkin hyvin.
En, vaan tämmöistä:
http://www.itviikko.fi/muu/2005/04/27/brittifirma-vetaa-nakymattoman-verhon-wi-fin-eteen/20052133/7
-Asko
Asko Ikävalko
> Okei, siis alkuun tollaista kevyesti heitettyä asiantuntijalässytystä.
Okei, siis alkuun tollaista turhaa vittuilua, kun joku yrittää puhua
topicin mukaisesta aiheesta.
> Minä en vaan ymmärrä miten kotona olijaa voisi jotkin asiat harmittaa
> jotenkin vähemmän kuin töissä olijaa. Siis vaikka jos firman pankkitilin
> sijasta joku onkin murtautunut kotiverkkosi kautta omalle
> kotipankkitilillesi.
Riski joutua tietomurron kohteeksi == houkuttelevuus * helppous
Miljardiliikevaihtoa pyörittävän firman houkuttelevuus on aika paljon
isompi, kuin kotikäyttäjän.
> Puheistanne päätellen sekä sinä että Laitinen olette jonkinlaisia
> IT-alan tuki-ihmisiä tms.?
Arista en tiedä, mutta minä kyllä kuulun tuohon joukkoon, tuskinpa
muuten pyörisinkään täällä sfnet.atk.* hierarkiassa.
> Ihmettelen että ettekö edes *tämänkään
> keskustelun aikana* ole yhtään saaneet päivitettyä omia tietojanne
> yhtään paremmin ajan tasalle.
Kyllä, joiltain osin. Suurin osa täällä puhutusta asiasta oli kyllä jo
ennestään tuttua.
> Jos purkissa teksteinä näkyy merkkijonot "WPA" ja "TKIP", niin
> Wikipedian mukaan tämä kombinaatio on vuodesta 2008 lähtien osittain
> murrettu 15 minuutissa.
Näytä mulle se Suomalainen henkilö, joka on omakohtaisesti tuon
murtanut? Tapahtuiko murto arvailemalla verkon salasanoja bruteforcella,
vai analysoimalla liikennettä ja laskemalla siitä salausavain? Edelleen
väitän, ettei noin fiksuja kavereita löydy joka kerrostalosta, jos edes
joka kaupunginosasta.
> pitäisin tuota TKIP:iä nyt jo aika lailla suojattomana
> ja täysmurrettuna.
Jos lukisit tietoturva-alan kansainvälisiä foorumeita, huomaisit että
aika moni protokolla ja ohjelmisto on "murrettuja". ( http://dy.fi/z6b )
Mutta silti niitä "reikäjuustoja" käytetään ympäri maailman ihan päivittäin.
> Tuollainen "pienemmälle" on niin kovin epämääräinen
> suure. Säädot vaihtelee täysin purkkikohtaisesti
Site Surveyn yhteydessä tutkitaan, mikä on sopiva lähetysteho. Joskus se
on 100% teho, joskus 5% teho. Vaikea sitä on tässä sanoa, kuinka paljon
"pienemmälle" tehoja pitäisi kääntää. Toki riippuu myös käytetyistä
antenneista ja clienteista, paljonko tukiasemassa tarvitaan tehoa.
> Hitsi, aloitin täällä kysellä runsas viikko sitten aivan peelona,
> kahenkympin WLAN-purkin kotiverkkoa virittelevänä käyttäjänä. Ja nyt
> olen jo tällainen tietotekniikan kuru itsekin.
Kaltaisiasi on aika paljon sellaisissa "IT-konsulttifirmoissa", jotka
hoitavat mm. pienten lääkärikeskusten, lakitoimistojen, yhdistysten,
yms. IT-ylläpitoa. Tervemenoa joukkoon vaan! Niinhän me
"tosiammattilaisetkin" päivitämme servereitä, että laitamme silmät
kiinni ja klikkaamme "Next..." painiketta. :-)
-Asko
Asko Ikävalko
> Tuskin tietoturvamielessä pitää tämä paikkaansa, noin niinkuin
> laajemminkin.
No mutta jos puhutaan ihan Suomesta, niin täällä kotikäyttäjät ovat
tietoturva-asioissa _huomattavasti_ valveutuneempia, kuin USA:ssa.
> Ei siinä WLAN-purkki oikein
> paljoa voi kryptauksessa slarvailla, jos purkki meinaa saada
> dataliikenteen ylipäätään kulkemaan.
[...]
> NSA
No hyvin oot tämän keskusteluthreadin lukenut, kun osaat jo
papukaijamaisesti toistella täältä lukemiasi "viisauksia". Joko ymmärrät
myös, mitä nuo viisaudet ja hienot kolmikirjaimiset lyhenteet oikeasti
tarkoittavat? Entä, osaatko soveltaa niitä erilaisiin tilanteisiin,
esim: kotiverkko, pienen lääkäriaseman verkko, ison USA:laisen
monikansallisen firman verkko?
> koettaa omin nokkinensa selvittää ja löytää
> vastauksia asioihin?
Kyllä tämä on tähän asti ollut ihan antoisa keskustelu. Mutta, kun
rupeat vittuilemaan päin naamaa keskustelukumppaneillesi, niin
motivaationi tämän threadin jatkamiseen alkaa hiipua.
-Asko
Ari Laitinen
>> Voitko jotenkin vahvistaa ett� se laite, jota k�yt�t, soveltaa
>> teoreettista metodia oikein
>
> Eik� muka sitten itsell�si ole, vaikka p�iv�virkasi puolesta, mit��n
> testimenetelmi� tai keinoja kyet� vahvistamaan tuota?
Ei sellaisia joita reaalisesti haluaisi edes yritt�� k�ytt��.
> Testasin oman purkkini, eik� se t�ll� hetkell� pysty ainakaan t�ss�
> asiassa fuskaamaan. L�pp�rikoneeni on asetettu l�hett�m��n ja
> vastaanottamaan dataa vain AES-koodattuna. Ei siin� WLAN-purkki oikein
> paljoa voi kryptauksessa slarvailla, jos purkki meinaa saada
> dataliikenteen ylip��t��n kulkemaan.
Jopas olet v�h�n testannut. Ent�p� jos se laite sis�lt�� takaportin, joka
saa sen l�hett�m��n salausavaimen salakirjoitettuna 1s v�lein. Oletko
tutkinut ett� se ei l�het� mit��n signaaleita luvatta? Voihan se signaali
olla hyvinkin salattua mutta jos takaportti olisi olemassa siit� salauksesta
olisi iloa vain hy�kk��j�lle. Sano yksikin syy miksi vakoiluorganisaatiot
eiv�t asennuttaisi tuollaista takaporttia kaikkiin laitteisiin, joihin ne
kykenee sen saamaan?
> No totta kai ASUS:in Taiwanin tehtaat on pakotettu hyv�ksym��n
> tuotantolinjalla WLAN-boksiensa sis��n Kiinan Salaisen Palvelun
> toimittama takaporttichippi. Ja toinen NSA:n logolla varustettu chippi
> juotetaan mukaan my�s.
> N�m� t�llaiset Isommat Vieraat on normi-kotik�ytt�j�n vaan
> hyv�ksytt�v� purkkiliikenteens� mahdollisiksi vierailijoiksi.
Joten palaamme alkuun... ket� vastaan haluat suojata ja mit�. Se on
olennainen kysymys ennenkuin voi p��tell� mihin voi luottaa mink� verran.
>> N�inh�n ne toimii, jotka osaavat vain kirjainlyhenteit�. Joidenkin
>> pit�� my�s tehd� ne lyhenteet.
>
> Viittaatko t�ss� itseesi? Kun edell� tyrkk�sit sit� omaa WPA
> lyhennett�si peliin? Vai tuskin kuitenkaan itse olet "tehnyt" joitakin
> noista salauslyhenteist�?
En vittaa itseeni vaan siihen ett� jotkut niit� lyhenteit� tekev�t ja
tiet�v�t mist� on kyse ja jotkut k�ytt�v�t mutta eiv�t edes tied� mist� on
kyse.
>> Oikeasti tied�t asiasta vasta sitten kun ymm�rr�t ettei tied� asiasta
>> oikeasti mit��n.
>
> Tuollako viittaat siihen, ett� t�llaisissa asioissa olisi "parempi
> luottaa asiantuntijoiden apuun"? Sellaisten jotka tekev�t t�m�n alan
> hommia p�iv�ty�n��n, kuin koettaa omin nokkinensa selvitt�� ja l�yt��
> vastauksia asioihin?
Enp� tuollaista tarkoittanut. Tarkoitan sit� ett� mit� enemm�n tied�t
asioista sit� paremmin tied�t siit� mit� et tied�. Esimerkiksi loppujen
lopuksi tied�t ett� et tied� miten WLAN purkkisi toimii, joten et siis tied�
voiko siihen luottaa. Mit� v�hemm�n ymm�rr�t sit� enemm�n voit siihen
luottaa :-)
> Niiden mahdollisten tarjolla olevien asiantuntijoiden tunnistamisessa
> on kuitenkin oma ongelmansa. Viel� eilen ainakin oma ehdotuksesi
> WLAN-suojausasiaan oli t�m�:
> "a)...olen n�hnyt joidenkin k�ytt�neen tukiaseman signaalin
> vaimennusta niin ettei se oikein kanna kovin pitk�lle
Ei kuulosta ehdotukselta minun mielest�ni. Se oli vain tehty havainto.
> b) Itse hyv�ksyisin t�llaiseen suojaukseen tukiaseman tarjoaman WPA:n
> sen enemp�� pohtimatta."
>
> Just juu noin, sen enempi� pohtimatta...
N�in on koska pohtimalla asia ei parane. Ei se ole varmasti aukoton mutta
jos se ei haittaa niin mit� sitten?
Ari Laitinen
> Kyllä tämä on tähän asti ollut ihan antoisa keskustelu. Mutta, kun
> rupeat vittuilemaan päin naamaa keskustelukumppaneillesi, niin
> motivaationi tämän threadin jatkamiseen alkaa hiipua.
Securus vain haluaa tiristää viimeisetkin arvokkaat tiedonjyvät irti :-)
käyttäen tällaista agressiivista lähestymistapaa. Usein pienellä
trollauksella voi saada aikaan keskustelua joka ei muuten syntyisi.
Tapio Väättänen
> Tapio V��tt�nen wrote:
>>
>> Itse testasin aikanaan, ja ei siin� murrossa hirve�n pitk��n mennyt. Olisiko
>> 64bit WEP murtunut kolmessa minuuutissa ja 128bit alle 20 minuutissa. Mutta
>>
>
> Millaistakohan sen liikuteltavan datan tarvitsee olla, noin niin kuin
Itse siis iikuttelin ihan vaan CD-imagea, joka nyt sattui olemaan sopivan
iso. Mutta min� siis hoidin datan siiretelyn jo ollessani verkossa. Murrossa
sitten hy�dynsin t�t� verkossa tapahtuvan datan siirtoa. En siis aiheuttanut
datan siirtoa verkon ulkopuolelta esim. jotain AP:n heikkoutta hyv�ksi
k�ytt�en.
> Ent� mit� tuollaisen onnistuneen WEP-salauksen murtautumisen
> lopputuloksena murtautuja saa haltuunsa? Saako h�n esim. kasattua
> itselleen sen Avatar-elokuvan kasaan, ja samalla ohessa l�hetellyt parit
> e-mailit, sek� on h�nen palkkionsa?
T�m�h�n nyt riippuu ihan siit� mit� verkossa on, ja liikutellaanko siell�
data salaamattomana (huom, liikenteen voi salata k�ytetyst�
WLAN-protokollasta huolimatta). Minun kotiverkkooni p��see kyll� netist�
k�siksi muutenkin, ett� sinne p��syyn ei tarvitse murtaa minun WLAN:ia.
Jotain muuta kyll� t�ytyy murtaa.
> Vai saako kerran tehdyll� onnistuneella murtautumisella haltuunsa
> sellaisen WEP-kryptausavaimen, jolla avaimella voi seuraavinakin p�ivin�
> vaivatta lukea kaikkea dataliikennett� ko. WLAN-verkossa? Ja t�m�
> onnistuu niin pitk��n kuin samaa sis��nkirjautumisen salasanaa
> WLAN-verkossa k�ytet��n?
Juuri n�in. Siis WEP:in tapauksessa saa k�siin k�ytetyn kryptausavaimen.
Dokumentoin oman "murtoni" huvikseen ja t�m� on edelleen saatavilla.
Keskusteli l�hti aikanaan Janssonin kanssa siit�, ett� h�n v�itti pystyv�ns�
murtautumaan WEP:ll� salattuun verkkooni "heitt�m�ll�". Lopulta h�n pyysi
minua lupaamaan tuhat euroa onnistuneesta murrosta, ja tekisi murtautumisen
sen j�lkeen. Lupasin tuhat euroa, mutta kaveri ei viel�k��n murtautunut
verkkooni, joten kokeilin itse kuinka paljon vaivaa murtautuminen k�yt�nn�ss�
vaatii.
N�m� tulokset on edelleen saatavilla:
http://tav.iki.fi/wireless_study/
http://tav.iki.fi/wireless_study.pdf
Toki tuo dokumentti on tehty l�hinn� pilailu mieless�, mutta tulokset ovat
kyll� ihan paikkansa pit�vi�.
On kuitenkin huomattava, ett� itse tosiaan generoin dataa siirtelem�ll�
imagea koneella, joka oli jo kytketty verkkoon. Normaalisti t�llaista m��r��
dataa olisi joutunut kuutelemaan muutamia viikkoja, joka toki onnistuu
naapurilta, mutta ei kovin helposti kenelelt� tahansa.
> Oma arveluni on ett� oma verkko olisi nyt riitt�v�ll� tasolla (kop, kop)
> WPA2-suojattu. Mutta ei ollut viel� 2 viikkoa sitten.
WPA2 lienee riitt�v� kynnys est�� murtautuminen (murtautumiseen k�ytetyt
effortit muodostuvat huomattavasti suuremmiksi kuin siit� saatavat hy�dyt).
Keinoja toki on muitakin, kuin sen WLAN:in murto.
> Ett� siin� mieless�, ja niinku yleissivisyksen kannalta olisi mukava
> tiet�� mit� kaikkea onnistuneen WEP-murron tehnyt WLAN-murtautuja oikein
> samalla saa haltuunsa -sec
Sen voit helposti testata itse. Kytke verkkoosi joku kone, joka ker��
verkossa liikkuvaa dataa, ja hyv�ksik k�ytt�� sit�. Toki esim. salaamattoman
http:n l�pi kulkevat tunnukset ja salasanat on kohtuu helppo l�yt��. Lis�ksi
jo l�hes klassinen "pystyn lukemaan facebook mailisi" onnistuu kyll�, ellei
pakota kaikkeen facebook-k�ytt��n https:ia, joka taas on mahdollista
facebook-asetusten kautta.
Oma l�pp�rini on verkossa oman kotiverkkoni lis�ksi lukuisia kertoja
julkisissa salaamattomissa verkoissa, joten ei se oman koti-WLAN:in murron
kest�vyys ole mik��n suoja tuon muun k�yt�n osalta.
The Internet is *full* - go away! -- Gert Doering