Ohje 2/2011 Langattomien verkkojen tietoturvasta

CERT-FI on julkaissut vuonna 2002 ohjeen 7/2002, jossa käsiteltiin langattomien verkkojen turvallisuuteen liittyviä asioita. Tekniikan kehittymisestä huolimatta edelleen pätevät monet tuolloin kerrotut perusasiat. 15.3.2011 tuli voimaan rikoslain muutos, jonka perusteella suojaamattoman langattoman tietoverkon käyttäminen ei ole lain vastaista.

WLAN-verkot

WLAN-verkko (Wireless Local Area Network) on yleinen langaton lähiverkkoratkaisu. WLAN-verkkoja käytetään julkisten tilojen, toimistojen ja kotien internet-liityntäverkkona. Suomessa on rakennettu myös koko kaupungin tai kaupunginosan kattavia ilmaisia WLAN-verkkoja, kuten esimerkiksi PANOulu-verkko.

WLAN on maailmanlaajuinen standardi

WLAN-verkot toimivat eri puolilla maailmaa käytännöllisesti katsoen samoilla 2,4 GHz ja 5,6 GHz taajuusalueilla. Käytettävissä olevien kanavien määrä ja taajuudet vaihtelevat, mutta samat päätelaitteet toimivat kuitenkin kaikissa WLAN-verkoissa.

WLAN-verkkoihin voi kytkeytyä kannettavien tietokoneiden lisäksi myös lähes kaikilla uusilla matkapuhelimilla, muilla kannettavilla päätelaitteilla ja yhteyden mahdollistavalla lisälaitteella varustetulla pöytäkoneella.

Avoimet ja suljetut verkot

WLAN-standardi mahdollistaa yhteydet kahden WLAN-käyttäjän välillä (ad-hoc -yhteys), mutta tavallisesti yhteys muodostetaan tukiaseman ja käyttäjän WLAN-päätelaitteen välille. Tukiasemasta on puolestaan tavallisesti yhteys edelleen kaapeleilla toteutettuun lähiverkkoon ja internetiin.

Käyttäjä voi valita käyttämänsä verkon tukiasemaan annetun verkkonimen (SSID-tunnuksen) perusteella. Verkko voi olla myös piilotettu, jolloin käyttäjän on ennalta tiedettävä verkon nimi. Usein nimi on valittu niin, että siitä voi päätellä verkon omistajan ja käyttötarkoituksen. WLAN-tukiaseman mainostamaan verkkoon liittyy myös tieto siitä, että onko verkko avoin vai suljettu. Suljettu (verkkoavaimella suojattu) verkko näkyy käyttäjälle esimerkiksi siten, että valittavan verkkonimen perässä on lukon kuva.

Avointen verkkojen liikenne ei ole salakirjoitettua

Yhteys tukiasemaan voi olla avoin, jolloin liikennettä ei salakirjoiteta päätelaitteen ja tukiaseman välillä eikä yhteyden muodostamiseksi tarvita salasanaa. Eri tahot tarjoavat avoimia WLAN-verkkoja niin, että kuka tahansa voi käyttää niitä kytkeytyäkseen internetiin. Avoimia verkkoja voi olla esimerkiksi lentoasemilla, kahviloissa, kauppakeskuksissa tai muissa julkisissa tiloissa.

On huomattava, että avoimeen WLAN-verkkoon voi kytkeytyä kuka tahansa ja että yhteyden kautta siirrettävä tietoliikenne on helposti kenen tahansa sivullisen kuunneltavissa ja tallennettavissa, jos käytettävät sovellukset eivät salakirjoita liikennettä. Avoin WLAN-yhteys ei siis tarjoa itse suojaa, mutta tietoliikenteen salakuuntelulta voi välttyä esimerkiksi käyttämällä vain sellaisia www-palveluja, jotka tarjoavat SSL-suojatun yhteyden.

Myös yksityishenkilöt voivat tarjota henkilökohtaista WLAN-verkkoaan yleisesti käytettäväksi. On erityisiä yhteisöjä, joiden jäsenet jakavat langattoman verkon kautta internetyhteytensä muiden yhteisön jäsenten käyttöön. Tällaisia ovat esimerkiksi Fon ja Wippies. Lain mukaan avoimen WLAN-verkon käyttäminen ei ole rangasitavaa.

Myös avoimen verkon käyttö voi vaatia salasanan

Vaikka WLAN-yhteys olisikin avoin, voi internetyhteyden käyttäminen sen kautta kuitenkin vaatia erillisen käyttäjätunnuksen ja salasanan.
Käyttäjä voidaan tällöin ohjata kirjautumissivulle, johon syötetään palvelun käyttäjätunnus ja salasana. Vasta tämän jälkeen käyttäjän tietokoneesta pääsee muille sivustoille. Esimerkiksi monet hotellien asiakkaille tarkoitetut tai muiden julkisten tilojen WLAN-verkot toimivat näin, ja niiden käyttö vaatii määräajan voimassa olevan käyttäjätunnuksen ja salasanan.

Avoimen WLAN-tukiaseman voi pystyttää kuka tahansa, mikä avaa mahdollisuuden myös huijauksille. Julkisissa tiloissa on tavattu WLAN-verkkoja, jotka näyttävät tarjoavan maksullista internetyhteyttä ja ohjaavat käyttäjän aidon näköiselle kirjautumissivulle. Sivulla käyttäjältä voidaan pyytää luottokorttinumeroa maksuksi yhteyden määräaikaisesta käyttöoikeudesta. Tämä on aivan normaali menettelytapa monissa julkisesti tarjottavissa yhteyspalveluissa, mutta tässä tapauksessa huijarin tarkoituksena onkin kerätä luvatta käyttäjän tietoja. Avoimen WLAN-verkon käyttäjien olisikin syytä varmistaa verkon tarjoajalta käytettävän verkon tiedot ja käyttöehdot.

Suljetut verkot tarjoavat salakirjoitetun yhteyden

Suljetun WLAN-verkon käyttämiseksi tarvitaan verkon nimen lisäksi salasana. Liikenne on salakirjoitettua eikä sivullinen voi sitä helposti tarkkailla tai salakuunnella. WLAN-verkoissa voidaan käyttää useita eri salausmenetelmiä, joista vanhimpia ei voi enää lainkaan suositella, sillä niiden käyttämä salaus on melko helposti purettavissa.

Verkossa käytettävän salausmenetelmän valitsee verkon ylläpitäjä WLAN-tukiaseman asetuksissa. Useimmat nykyaikaiset laitteet osaavat asettaa käytettävän salausmenetelmän automaattisesti kun käyttäjä valitsee haluamansa verkon ensimmäistä kertaa. Tavallisesti laitteet myös muistavat salasanan niin, ettei sitä tarvitse syöttää kuin ensimmäisellä kirjautumiskerralla.

WEP-salausta ei suositella käytettäväksi.

WLAN-verkoissa aikaisemmin yleisesti käytetty WEP-salaus (Wired Equivalent Privacy) sisältää heikkouksia, joiden takia se on helposti murrettavissa. Jos WEP-salaus murretaan, voi ulkopuolinen paitsi kuunnella verkon liikennettä, myös käyttää verkkoa omiin tarkoituksiinsa. WEP-salauksesta on olemassa 40-bittistä tai 128-bittistä avainta käyttävä versio. Kumpaakaan ei suositella käytettäväksi, sillä WEP-suojauksen heikkoudet eivät liity pelkästään salausavaimen pituuteen.

WPA2 on suositeltava salausmenetelmä

Tällä hetkellä suositellaan käytettäväksi WPA2-salausta (Wi-Fi Protected Access 2). Lähes kaikki WLAN-yhteyksiin pystyvät uudet laitteet tukevat WPA2-salausta.

Verkon käyttäjän muistilista

  • Muista, että avoin WLAN-yhteys on suojaamaton - sitä voivat sivulliset salakuunnella. Tällöin salasanat ja www-palvelujen yhteyskohtaiset evästeet ovat helposti kaapattavissa.
  • Muista, että myös suljettua WLAN-yhteyttä käytettäessä liikenne langattoman verkon tukiasemasta eteenpäin ei ole salakirjoitettua ja sitä voi tarkkailla - usein verkon rakenne ei ole tiedossa.
  • SSL-yhteyttä (https) käyttävät sivustot ovat paremmin suojattuja, mutta varo salaamattomia osia sivustoilla.
  • Jos mahdollista, käytä salattua VPN-yhteyttä, jolloin kaikki liikenne on suojattu VPN-yhteyden toiseen päähän saakka.


Verkon ylläpitäjän muistilista

  • Harkitse, että mihin kohtaan yrityksen verkkoa liität langattoman tukiaseman. Yleensä ainakin vierailijaverkot on syytä sijoittaa palomuurin ulkopuolelle.
  • Käytä parasta mahdollista salausta, jota käyttäjien laitteet tukevat. WPA2 on tällä hetkellä suositeltavin.
  • Mieti, täytyykö tukiaseman välttämättä mainostaa verkon nimeä - kokoushuoneissa se tosin helpottaa käyttöä. Verkon nimen piilottaminen ei kuitenkaan estä sen löytymistä.
  • Hallinnoi verkon tukiasemia vain lähiverkosta kaapeliyhteyden kautta, älä langattomasti.
  • Poista pääsy tukiaseman hallintakäyttöliittymään langattomasta verkosta.
  • Vaihda tukiasemasta oletussalasana.
  • Estä ad-hoc-toiminnallisuus yrityksesi tietokoneissa
  • Varmista, että verkkosi tukiasemat tuottavat aikaleimoilla varustettuja lokimerkintöjä verkkoon kytkeytyneistä päätelaitteista.
  • Rajoita tarvittaessa pääsyä verkkoon esimerkiksi laitteiden MAC-osoitteiden perusteella.
  • Suojaukseen saa lisää syvyyttä vaatimalla verkon palvelujen käyttämiseksi myös henkilökohtaisen tunnistautumisen esimerkiksi VPN-yhteyden tai kirjautumisportaalin kautta.

Ohjeita tietoturvaloukkausten varalta:

  • Selvitä, onko hallinnoimaasi tietoliikenneverkkoon kytketty luvattomia WLAN-tukiasemia. Tämä edellyttää radiolinkkien kartoittamista tai verkkoon liittyneiden luvattomien laitteiden tunnistamista.
  • Selvitä, että ovatko kaikki käyttämääsi SSID-tunnusta käyttävät tukiasemat todella hallinnassasi ja kytkeytyvätkö ne omiin verkkoihisi.
  • Tunnista verkkoon kytkeytyneet päätelaitteet esimerkiksi MAC-osoitteiden perusteella.

Dataliikenne matkapuhelinverkoissa

Matkapuhelinverkoissa datayhteydet ovat salakirjoitettuja. Salaus on kuitenkin toteutettu eri tavalla kuin WLAN-verkoissa.

Matkapuhelimen käyttäminen datasiirtoon voi olla kallista, varsinkin ulkomailla. Tämän vuoksi tulisi matkoille lähtiessä muistaa estää datayhteyksien automaattinen käyttö.

Bluetooth

Bluetooth on pienitehoisia signaaleja käyttävä lyhyen kantaman radioyhteys. Bluetooth on tarkoitettu samassa paikassa lähekkäin toimivien laitteiden väliseen langattomaan tiedonsiirtoon. Datasiirto matkapuhelimen ja tietokoneen välillä voi tapahtua Bluetoothin kautta. Liikenne laitteiden välillä on salakirjoitettua ja sen salakuuntelua vaikeuttaa myös yhteyden rajallinen kantavuus.

Joissakin Bluetooth-toteutuksissa on puutteita, jotka voivat mahdollistaa yhteyttä käyttävän laitteen sisällön luvattoman tutkimisen tai muokkaamisen. On suositeltavaa, että Bluetooth-yhteys tai ainakin laitteen "Bluetooth-nimen" mainostaminen pidetään pois päältä silloin kun yhteyttä ei tarvita.

Asiasanat: Tietoturva , Ohjeet


Muuta aiheeseen liittyvää:

LinkedIn Print