Langattomat lähiverkot 1 FWL
2 FWL Salaus Radioaaltojen etenemistä ei voida rajoittaa vain halutulle alueelle. Liikenteen salauksen tavoitteena on turvata radiotiellä siirrettävien sanomien ja datan yksityisyys valitun tietoturvapolitiikan mukaisesti
3 FWL Salausmenetelmiä WEP-salaus: 40- ja 104-bittiset avaimet (802.11) TKIP-parannukset WEP-salaukseen (Wi-Fi Protected Access) Advanced Encryption Standard (802.11i) VPN: Virtual Private Networks (IPSec)
4 FWL Wired Equivalent Protocol Selväkielinen tavujono Eheyden tarkistus ICV-sormenjälki WEP-avain RC4-avain Alustusvektori IV
5 FWL Wired Equivalent Protocol Selväkielinen tavujono Eheyden tarkistus ICV-sormenjälki Selväkielinen tavujono ICV WEP-avain RC4-avain XOR + Salatut tavut IV RC-4 avainvuo
6 FWL Wired Equivalent Protocol Selväkielinen tavujono Eheyden tarkistus ICV-sormenjälki Selväkielinen tavujono ICV WEP-avain RC4-avain XOR + Salatut tavut IV RC-4 avainvuo Otsikko Kehyksen runko Initialisointivektori Täyte Eheystarkistus FCS Avaintunnus
7 FWL WEP-salauksen ongelmia symmetrinen vuosalaus, vain 40- tai 104-bittinen salausavain alustusvektori (IV) selväkielisenä 802.11-kehyksessä avainten käyttö uudestaan noin 16,8 miljoonan kehyksen välein (30 Mbit/s, 250 tavun kehyksiä -> 19 minuutin välein) heikot alustusvektorit ((B-3):ff:N: ) ja tunnettu LLC-otsikon alku (aa: ) avaintenjakelun ongelmat
Temporal Key Interchange Protocol 128-bitin kehyskohtaisesti muuttuva salausavain -> ei avaimen uudellenkäytön ongelmia Alustusvektorin 48-bitin osoiteavaruus ja määrittelyt alustusvektorin vaihtosekvenssille -> ei heikkojen alustusvektorien ongelmaa Ryhmälähetysten salausavaimen kierrätys -> vähemmän analysoitavaa tietoa Vahva sanomien eheyden tarkistus -> turva bittien järjestyksen vaihdolle 8 FWL
9 FWL Uusi 802.11i-standardi (kesä -04) TKIP-laajennukset (kehyskohtainen avain jne.) Avainten hallinta ja vaihto turvallisesti CCMP-lohkosalaus vahvalla AES-salauksella Esitunnistus ja vaeltaminen ilman uudelleentunnistusta Parannuksia satunnaislukujen generointiin, kaksisuuntainen PEAP-tunnistus ja muita laajennuksia
802.11i-avaintenhallinta Yleisavain (Master Key) Supplicant Authenticator Yleisavain (Master Key) RADIUS Server GTK 10 FWL
11 FWL 802.11i-avaintenhallinta RADIUS Server Supplicant Authenticator :n siirto Radiuksella Pareittainen yleisavain (Pairwise Master Key)
12 FWL 802.11i-avaintenhallinta RADIUS Server Supplicant Authenticator PTK PTK:n siirto, salattu :lla, nelinkertainen kättely PTK :n siirto Radiuksella PTK Pareittainen tilapäisavain (Pairwise Transient Key)
802.11i-avaintenhallinta RADIUS Server Supplicant Authenticator PTK GTK PTK:n siirto, salattu :lla, nelinkertainen kättely PTK GTK:n siirto, salattu KEK:lla ryhmäavainkättely GTK :n siirto Radiuksella PTK GTK 13 FWL Avaintenvaihdon salausavain (Key Exchange Key) Ryhmälähetysavain (Group Transmit Key)
14 FWL Virtual Private Networks Kehitetty salaamaan IP-liikenne turvattoman verkon yli Verkkokerroksen IPSec tarjoaa lähettäjän tunnistuksen, luottamuksellisuuden ja datan eheyden varmistuksen Tunnelimoodi (Tunnel) WLAN-työasemalta VPN-keskittimeen, läpinäkyvä moodi (Transparent) asemalta toiselle VPN:ssä
15 FWL IPSec-arkkitehtuuri ESP Arkkitehtuuri AH Salausalgoritmi Tunnistusalgoritmi Soveltamisalue Encapsulation Security Payload: Diffie-Hellman, DES, 3DES, AES-salaus osallistuu myös eheyden varmistamiseen Authentication Header: HMAC, MD5, SHA-tunnistusalgoritmit Internet Key Exchange: ISAKMP Oakley Avainten hallinta Politiikka
16 FWL End IPSec-tunnelit Tunnistuspalvelin VPN-keskitin DB Käyttäjätiedot VPN-asiakas VPN Datatunneli (ESP) Avaintenvaihtotunneli