Langattoman verkon suojaaminen

Vaikka langattomat lähiverkot (WLAN) ovat tänä päivänä yleistä tekniikkaa ja vaikka niiden suojaamisesta on puhuttu vuosia, ovat silti useat verkot täysin avoimina vierailijoille. Syy verkkojen avoimuuteen on usein se, että valmistajat toimittavat laitteet oletuksena ilman salausta. Kun laitteessa ei ole salaus päällä oletuksena, on sen käyttöönotto nopeampaa. Valmistajilla ei myöskään ole yhteistä standardia, siitä millainen salaus laitteissa tulisi olla oletuksena päällä.



Kotikäyttäjälle suojaamattoman verkkolaitteen käyttäminen on kuitenkin tietoturvariski. Lähistöltä joku saattaa kytkeä oman tietokoneensa tai matkapuhelimensa suojaamattomaan langattomaan verkkoon, joko tahallaan tai vahingossa. Kun suojaamattomassa verkossa on ulkopuolinen käyttäjä, hän pääsee käyttämään Internet-yhteyttä omiin tarkoituksiinsa tai kytkeytymään kiinni lähiverkon verkkojakoihin.

Suojaamattoman langattoman verkon riskit

Useissa kannettavissa tietokoneissa on kiinteästi mukana langaton verkkokortti ja uusissa Internet käyttöön tarkoitetuissa älypuhelimissa on jo tuki langattomille lähiverkoille. Laitteiden liikuteltavuuden helpottuessa, langattoman lähiverkon suojaamisen tarve kasvaa. Kuka tahansa voi ajaa auton parkkiin kotisi lähettyville ja ottaa yhteyttä langattomaan lähiverkkoosi.

• Internet-yhteyden jakaminen tuntemattomien kanssa
  Kun Internet-yhteyttäsi käytetään tietämättäsi kaikki verkkoliikenteen jättämät jäljet, johtavat Internet-operaattorillesi ja heidän kauttaan ne voidaan sitoa liittymääsi. Eli kun Internetissä tapahtuneita rikkeitä selvitellään IP-osoitteiden ja tapahtumatietojen perusteella jäljet osoittavat sinun Internet-liittymääsi. Kun sinulla ei ole mitään suojaa lähiverkossa, ei sinulla todennäköisesti ole myöskään mitään todisteita siitä, että verkkoasi olisi käytetty ilman lupaa.
• Luottamuksellisen tiedon vuotaminen
  Langaton tukiasema on kohtuullisen tehokas radiolähetin ja kaikki kantomatkan sisällä olevat langattomilla verkkokorteilla varustetut tietokoneet kuulevat liikenteen. Suojaamatonta langatonta lähiverkkoa voidaan ”salakuunnella” WLAN sniffer -ohjelmilla. Näillä verkkoliikenteen seurantaan tehdyillä ohjelmilla voidaan löytää langattomia verkkoja ja kerätä verkkojen liikennettä myöhempää tarkastelua varten. Suojaamattomasta verkosta saadaan helposti luettua salaamaton verkkoliikenne ja näin saadaan kerättyä käyttäjän huomaamatta mm. käyttäjätunnuksia, salasanoja, sähköpostiviestejä, pikaviestejä sekä Internet-selain liikennettä.
• Verkkoresurssien luvaton käyttö
  Suojaamattomaan langattomaan lähiverkkoon kirjautunut tietokone näkee usein myös lähiverkkoon sisäisesti tarkoitetut verkkojaot, kuten jaetut kansiot ja tulostimet.

Miten suojaat langattoman lähiverkon?

Ensimmäisenä kannattaa selvittää langattoman tukiasemalaitteen toimittajalta, onko laitteessa minkä tasoiset suojaukset käytettävissä ja löytyykö niiden kytkentään suomenkielisiä ohjeita. Esim. mikäli langaton verkkolaitteesi on Internet-operaattorin toimittama, heiltä kannattaa jo hankintavaiheessa tiedustella langattoman salauksen kytkennästä. Aina kun verkkolaitteesta löytyy tuki langattomille yhteyksille, tulisi tarkistaa onko suojaukset päällä. Jos et käytä langattomia toimintoja, kytke ne verkkolaitteesta ja tietokoneesta pois käytöstä.

Langattoman verkon termejä

Kun verkon suojauksia kytketään päälle verkkolaitteista, joudutaan tekemisiin englanninkielisten termien ja käyttöliittymien kanssa. Ennen kuin laitteiden suojausasetuksia alkaa muuttamaan olisi hyvä tietää joitain perusasioita termeistä ja niihin taustoilla olevista tekniikoista. 

• Network type – verkon tyyppi
  Verkon tyyppi voi olla Infrastructure tai AD-hoc. Näistä ensimmäinen on tukiasemaa käyttävä langaton verkko ja jälkimmäinen työasemien keskenään muodostava langaton lähiverkko. Verkon tyypin valinnan yhteydessä voidaan myös kysyä verkon nopeustyyppiä (B-tyyppi 4.5-11Mb/s, G-tyyppi 19-54Mb/s tai N-tyyppi 74-300Mb/s), nopeustyyppi riippuu käytettävistä tukiasemalaitteista ja verkkokorteista. 
• Channel – radiokanava
  Langattoman verkon radiokanavan valinnalla on merkitystä, jos samassa rakennuksessa tai lähistöllä on useita langattomia tukiasemia. Usein kotikäyttäjät jättävät tukiasemat oletuskanavalle ja liian lähekkäiset samalla kanavalla olevat tukiasemat voivat häiritä toisiaan. Euroopassa käytettävät kanavat on numeroitu 1-13 (2412 MHz - 2472 MHz) ja maakohtaisia rajoituksia voi olla, liittyen tehoihin ja taajuuksiin. Laitteiston tehot riippuvat siitä, mille markkina-alueella laite on suunniteltu. Normaalit langattomat tukiasemat tarjoavat 100-300m kantaman avoimessa tilassa ja suljetussa tilassa noin 50m kantaman.
• SSID – verkkonimi
  SSID -toiminnolla määritellään langattomalle verkolle nimi, jota tarvitaan verkkojen erottelemiseksi toisistaan. SSID ei ole verkon salasana vaikka niin usein luullaan. Joissain verkkolaitteissa on mahdollisuus piilottaa verkon nimen mainostus (SSID broadcast) ja usein tätä pidetään hyvänä tietoturvakäytäntönä. Valitettavasti piilotettu SSID -nimi paljastuu kuitenkin jossain vaiheessa, kun koneet liikennöivät langattomassa verkossa. Piilotettu SSID myös hidastaa joidenkin Windows-koneiden verkkoon liittymistä. Hyvä SSID-nimi kertoo muille WLAN -käyttäjille, että verkkosi ei todellakaan ole julkinen ja että olet käyttämässä juuri tätä WLAN -radiokanavaa.
• Security mode – tietoturvatila
  Tietoturvatilassa valitaan millaista suojausta langattoman verkossa käytetään. Usein listalta löytyy WEP, WPA personal / enterprice ja WPA2 personal / enterprice. WEP-suojaus on kevein ja kohtuullisen helposti murrettavissa, sitä tulisi käyttää vain jos muita suojauksia ei saa toimimaan. WPA ja WPA2 ovat vahvempia ja niistä kannattaa ensin kokeilla WPA2:sta. Personal ja Enterprise -valinnan välinen erona on, että jälkimmäinen on tarkoitettu yrityskäyttöön ja siinä on mahdollisuus käyttää radius-palvelinta työasemien tunnistuksessa.
• WPA algorithm – WPA -salausalgoritmi
  Salausalgoritmia valittaessa on normaalisti vaihtoehtona TKIP tai AES, näistä kannattaa kokeilla uudempaa AES -algoritmia ensin.
• Shared key – jaettu salausavain
  Salausavain on verkon kaikille laitteille yhteinen ja sen valinnassa kannattaa olla tarkkana, mikäli avain valitaan liian huonosti, sen arvaaminen mahdollistaa pääsyn verkkoon. Avaimen valinnassa kannattaa käyttää samoja periaatteita kuin valittaessa vahvaa salasanaa. 
• MAC filter – MAC suodatin
  MAC -osoite on jokaiselle verkkokortille sisään rakennettu yksilöllinen tunniste ja langaton tukiasema voidaan määrittää sallimaan yhteydet vain tunnetuilta verkkokorteilta. MAC-suodatin antaa langattomalle tukiasemalle hieman lisäturvaa, varsinkin jos joudutaan käyttämään heikompia salauksia. 

Salauksien asettaminen

Ensimmäisenä kannattaa kartoittaa, mitä yhteisiä langattoman salauksia eri käyttöjärjestelmät ja verkkokorttiajurit tukevat. Mikäli verkkokortit on asennettu tietokoneisiin niiden tukemat salaukset näkyvät verkkokorttien ajurien asetuksista. Kun on tiedossa mitä salauksia voidaan kaikissa koneissa käyttää, valitaan näistä vahvin ja asetetaan se päälle tukiasemassa. Mikäli asetukset eivät toimi, kokeillaan keveämmällä salauksella ja lopuksi ilman salausta. Mikäli yhteys ei toimi ilman salausta, on vika todennäköisesti työaseman verkkokortin ajurin asetuksissa. Kotiverkon suojaksi hyvät salaukset ovat WPA2 - AES tai WPA - AES. Vältä käyttämästä WEP-salausta, sillä se on helposti murrettavissa.

Yleisiä langattomien verkkokorttien ja tukiasemien asetuksia.
WEP	64 bittinen
WEP	128 bittinen
WPA (PSK/Personal)	TKIP
WPA (EAP/Enterprise)	TKIP
WPA (PSK/Personal)	AES
WPA (EAP/Enterprise)	AES
WPA2 (PSK/Personal)	TKIP
WPA2 (EAP/Enterprise)	TKIP
WPA2 (PSK/Personal)	AES
WPA2 (EAP/Enterprise)	AES
PSK / Personal - soveltuu kodin ja pientoimiston verkkoihin.

Esim. Windows XP SP2-koneessa WLAN-salausasetukset saa näkyviin seuraavasti: Valitse käynnistä-painikken kautta Ohjauspaneeli, valitse Verkko ja internet-yhteydet, valitse Verkkoyhteydet, kilkkaa hiiren oikeanpuoleisella näppäimellä langattoman verkkoyhteyden kuvaketta ja valitse Ominaisuudet. Valitse välilehti Lagattomat verkot ja kohdasta ensisijaiset verkot Ominaisuudet ja Wlan-salausasetukset ikkuna aukeaa. Mikäli koneessa on käytössä verkkokortin valmistajan oma hallintaohjelma, salauksia ei pääse muuttamaan suoraan Windowsin asetuksien kautta vaan ne täytyy muuttaa valmistajan hallintaohjelman kautta.

Salauksen automaattinen asetus

Joissakin tukiasemissa on salauksen automaattiseen asetukseen tarkoitettu painike. Automaattinen asetus nopeuttaa salauksien käyttöönottoa, käyttäjän tarvitsee painaa vain nappia tukiasemasta ja vastaavaa kuvaketta langattoman verkkokortin ajuriohjelmassa. Automaattisen asetuksen tekniikoita löytyy mm. Broadcomin ja Linksysin käyttämä SES -tekniikka ja Buffalon AOSS -tekniikka. AOSS ja SES tekniikat eivät ole toistensa kanssa yhteensopivia. Automaattiset salausasetukset toimivat parhaiten kun langattomat verkkokortit ja tukiasemat ovat saman valmistajan tekemiä.

Avoin langaton verkko

Mikäli harkitset langattoman verkkon jakamista myös muiden käyttöön kannattaa miettiä liittymistä tätä varten tarkoitettuihin yhteisöpalveluihin mm. FON, Wippies ja OpenSpark. Usein yhteisöön liitetyn tukiaseman ylläpitäjä saa myös käyttöönsä Internet-yhteysoikeudet muiden yhteisön tukiasemien kautta, tästä on etua jos matkustaa paljon. Yhteisöön liittymisessä on lisäksi etuna selkeät pelisäännöt ja tietoturvan kannalta tärkeät käyttäjän tunnistukset.

Ennen kuin jaat Internet-yhteytesi muille tarkistaa liittymäsopimuksestasi onko jakaminen sallittua. Monet Internet-palveluntarjoajat eivät salli yhteyksiensä jakamista eteenpäin.

- Sivun alkuun -