Oulun yliopisto, tietohallinto
Kari Tolonen
Langaton lähiverkko eli WLAN mahdollistaa nimensä mukaan tietoliikenneverkon käytön langattomasti. Oulun yliopistolla oleva KampusWLAN on langaton verkko, joka kattaa yliopiston pääväylän ja sen varrella sijaitsevat yleiset tilat, suurimmat luentosalit, pääkirjaston, Tietotalo I:n sekä joitain erillisiä tiloja. KampusWLAN on osa laajempaa panOULU-verkkoa.
Julkisten langattomien verkkojen lisäksi langaton verkko soveltuu myös kotikäyttöön. Kotona verkon tarkoitus voi olla Internet-yhteyden jakaminen useammalle eri koneelle tai vain käyttömukavuuden lisääminen poistamalla johtojen tuomia rajoituksia. Langattoman verkon asentaminen on usein yksinkertaista, mutta tietoturva-asetuksien kanssa kokeneempikin käyttäjä on usein ihmeissään. Kuitenkin myös kotona tulee langattomat verkot suojata, sillä suojaamattomat verkot ovat merkittävä riski niin käyttäjälle kuin koko tietoliikenneverkolle.
Tämän artikkelin tarkoitus on opastaa, miten säädetään kotona olevan langattoman verkon asetukset turvalliseksi. Tässä esitetyt toimenpiteet eivät ole riittäviä yritys- tai laitoskäyttöön tuleville verkoille.
Periaatekuva käyttäjän oman langattoman verkon suhteesta yliopiston
verkkoon ja Internetiin.
Langaton verkko koostuu yhdestä tai useammasta tukiasemasta sekä langattoman liitännän omaavista työasemista. Suositeltavaa on, että tukiasema(t) ja muu langaton laitteisto ovat saman valmistajan tekemiä, niin vältytään yhteensopivuusongelmilta ja saadaan kaikki ominaisuudet käyttöön. Tosin nykyisin enää harvoin eri valmistajien laitteiden välillä esiintyy vakavia ongelmia.
Kotikäyttöön sopivia langattomia verkkostandardeja on kaksi: 802.11b eli b-verkko ja 802.11g eli g-verkko. Joista g-verkon laitteet ovat 2-3 kertaa nopeampia kuin b-verkon laitteet. G-verkon laitteet toimivat myös b-verkossa (tosin b-verkon nopeuksilla), joten suositeltavaa on hankkia g-verkon laitteita.
Yhden tukiaseman verkko on yksikertaisin, sillä tukiasema voidaan kytkeä suoraan xDSL-päätelaitteeseen. Useamman tukiaseman verkossa tukiasemat tulee kytkeä myös keskenään, joko ethernet-kaapelilla tai langattomasti. Suositeltavin vaihtoehto on kaapelointi. Jos kotona ei ennestään ole kytkin- ja palomuurilaitteistoa, niin kannattaa ostaa sellainen tukiasema, jossa nämä toiminnot ovat mukana. Tällaisesta laitteesta käytetään usein nimeä laajakaistareititin.
Työasemat voidaan muuttaa langattomaksi muutamalla eri tavalla. Uudemmissa kannettavissa tietokoneissa on sisäänrakennettu langaton verkkosovitin, joka on paras ratkaisu. Vanhempiin kannettaviin on järkevintä hankkia PCMCIA-paikkaan sopiva langaton verkkokortti. Markkinoilla olevia USB-paikkaan kiinnitettäviä sovittimia kannattaa hankkia vasta sitten, kun muuta mahdollisuutta ei ole. Pöytäkoneet kannattaa ensisijaisesti pyrkiä kytkemään kiinteällä kaapelilla, mutta tarvittaessa niihin saa PCI-paikkaan sopivia langattomia verkkokortteja.
Mitään yksiselitteistä ohjetta tukiaseman sijoittamiselle ei voida antaa. Nopeus ja toimivuus selviävät vain kokeilemalla. Turvallisinta ja usein järkevintä on sijoittaa tukiasema rakennuksen/huoneiston keskelle, tällöin signaali ei leviä tarpeettoman kauas ulkona. Tosin signaalin leviämisellä ulos ei ole suurta merkitystä kotikäytössä, jos verkon turva-asetukset ovat kohdallaan.
Yksinkertaisinta on sijoittaa tukiasema ensin laajakaista-päätelaitteen viereen ja kokeilla yltääkö signaali haluttuihin paikkoihin. Jos ei yllä, niin eräs keino peittoalueen parantamiseksi on nostaa tukiasemaa ylemmäs, sillä katonrajassa on vähemmän signaalia vaimentavia esteitä. Toinen tapa etsiä sopiva tukiaseman paikka on sijoittaa tukiasema ensin halutun peittoalueen reunalle ja edetä siitä kohti loogista tukiaseman paikkaa, kun kenttä alkaa heikkenemään niin siinä on (ensimmäisen) tukiaseman paikka.
Signaali kantaa esteettömässä tilassa jopa satoja metrejä, mutta sisätiloissa esteiden paksuudesta riippuen joitakin kymmeniä metrejä. Teräsbetoniseinät vaimentavat tehokkaasti signaalia, kevyet väliseinät ja ovet vähemmän. Signaali myös siroaa esteistä, joten esimerkiksi kirjahyllyn siirto voi vaikuttaa yllättävästi peittoalueeseen. Tukiaseman kantavuutta ja peittoalueen suuntaa voidaan tarvittaessa muuttaa erillisillä lisäantenneilla.
Langattomat verkot ovat turvattomia perusrakenteeltaan, mutta ne voidaan rakentaa suhteellisen turvallisiksi yrityskäyttöön ja vähintäänkin riittävän turvalliseksi kotikäyttöön. Langaton verkko pitää käyttäjän itse säätää turvalliseksi, sillä yleensä tehdasasetuksissa eli tukiaseman oletusasetuksissa eivät turvaominaisuudet ole käytössä.
Turva-asetukset kannattaa kytkeä vasta sitten päälle, kun ensin on testannut verkon peittoalueen ja toimivuuden. Tämä siksi, ettei tarpeettomasti luule niiden aiheuttavan häiriötä verkon toiminnalle ja tästä johtuen jättää ne asentamatta.
Tarpeellisia toimenpiteitä ovat vähintäänkin seuraavat:
1. Vaihda tukiaseman hallintaliittymän salasana omaksesi.
2. Vaihda tukiaseman langattomaan verkkoon lähettämä nimi (SSID, Service Set ID)
omaksesi. Oletusnimi on liian helposti arvattavissa.
Kuva 1: Vaihda SSID:nä olevan MyWLAN-nimen tilalle itse keksimäsi nimi!
3. Ota käyttöön 128-bittinen WEP-salaus (Wired Equivalent Privacy), jossa
todellinen salausavain on 104 bittiä, ja määritä oma, vaikeasti arvattava,
salausavain. Avaimen voi antaa joko heksadesimaalilukuna tai helpommin
muistettavana vakiomittaisena tekstinä.
Kuva 2: Salausasetuksia on moneen lähtöön, mutta tästäkin asetusikkunasta
löytyy sekä 64 että 128 bittinen WEP-salaus, joka tulee ottaa käyttöön.
Tosin tässä tukiasemassa voitaisiin käyttää myös WPA:n mukaisia
salaustekniikoita.
4. Verkkokorttien MAC-osoite (Media Access Control) on yksilöllinen tunniste ko. kortille. Tukiasemaan tuleekin määritellä niiden korttien MAC-osoitteet, joilta sallitaan yhteydet tukiasemaan.
Kuva 3: MAC-osoitteiden määritys tapahtuu syöttämällä osoitteet,
joko käsin kuten tässä mallilaitteessa tai joissain malleissa suoraan
sallimalla tukiaseman peittoalueella olevista asiakaskoneista haluamansa.
MAC-osoitteen näkee kortin ominaisuuksista, jossa osoitteesta käytetään
nimeä fyysinen osoite (Physical Address), tai Windows koneissa komento-
kehotteessa komennolla ipconfig/all.
5. Viimeisenä toimenpiteenä tulee poistaa käytöstä ”broadcast SSID” ominaisuus
eli tukiaseman nimen ilmoittelu WLAN-verkkoon aika ajoin. Tämä oleellinen
toimenpide kannattaa tehdä siksi viimeisenä, että verkon suojaaminen ja
toimivaksi testaaminen on helpompaa.
Kuva 4: Broadcast SSID valinta on yleensä SSID-nimen yhteydessä,
mutta mallilaitteessa ko. asetus oli eri valikossa. Ominaisuus tulee estää (disabled).
Usein tukiasemissa on edellä mainittujen turva-asetusten lisäksi valmistajakohtaisia turva-asetuksia, joita voi ottaa käyttöön jos työasemissa käytettävät verkkosovittimet tukevat näitä asetuksia.
Vaikka asetukset olisivat kuinka turvalliset, niin langaton verkko tulee silti kytkeä kokonaan pois käytöstä silloin kun sille ei ole tarvetta. Myös tietokoneen langaton verkkosovitin on hyvä kytkeä pois päältä, kun yhteydelle ei ole tarvetta. Uusissa kannettavissa tietokoneissa on kytkin, josta sisäänrakennetut yhteydet saa kytkettyä päälle ja pois. Ulkoiset laitteet kannattaa irrottaa silloin, kun niitä ei tarvita. Paremman tietoturvan lisäksi laitteiden poiskytkeminen pidentää akun kestoa.
Resurssien, kuten tiedostojen ja kansioiden, jakamisen kanssa tulee olla erittäin tarkkana langattomassa verkossa. Kaikki resurssien jakaminen tulee tehdä vain kiinteässä verkossa olevista työasemista. Esimerkiksi jos langattomaan työasemaan tehdään omassa turvallisessa langattomassa verkossa levynjako ja samaa langatonta työasemaa käytetään joskus myös julkisessa verkossa kuten panOULU, näkyvät levyjaot kaikille julkisen verkon käyttäjille.
Kanava (Channel)
Useamman tukiaseman verkossa tukiasemille tulee määrittää eri kanavat, jotta ne
eivät häiritsisi toisiaan. Kanavan vaihtaminen voi tulla tarpeelliseksi myös
silloin, jos naapurilla on samalla kanavalla toimiva langaton verkko. B- ja
g-verkoissa viereisten tukiasemien kanavien tulee ylikuulumisen takia erota
vähintään 5 pykälää toisistaan eli mahdollisesta 13 kanavasta viereisissä
asemissa voidaan käyttää esimerkiksi kanavia 1,6 ja 11.
MAC-osoite (Media Access Control), fyysinen osoite (Physical Address)
Verkkokortin yksilöllinen laitetason osoitin, esimerkiksi 00-10-60-A4-00-89.
SSID (Service Set Identifier)
Langattoman verkon nimi.
WEP (Wireless Equivalent Privacy)
Langattomien verkkojen perustason salaustekniikka, jonka vanhemmat versiot ovat
murrettu. Kotikäytössä riittävä salaus on 104/128-bittinen (40/64-bittinenkin
salaus on parempi kuin ei salausta ollenkaan). Tosin vahvempia salaustekniikoita
kannattaa käyttää, jos verkon laitteet niitä tukevat. Joissain tukiasemissa
esiintyvä WEPplus tai WEP+ termi tarkoittaa WEP-salausta, josta murtamisen
mahdollistava tietoturva-aukko on korjattu.
WEP-avain
Voidaan määrittää heksadesimaalilukuna (Hex value), joka sisältää numeroita 0–9
ja kirjaimia a–f, tai ASCII-tekstinä eli tekstinä, joka ei sisällä ääkkösiä tai
muita amerikkalaisille tuntemattomia merkkejä. Määritettävän avaimen pituus
riippuu salauksen vahvuudesta.
WPA ja WPA2 (Wi-Fi Protected Access)
Uudempi turvamääritys, joka pyrkii paikkaamaan WEP-salauksessa esiintyvät
heikkoudet. Käytännössä kattaa IEEE 802.11x -määrityksen mukaisen
käyttäjätunnistuksen ja IEEE 802.11i -määrityksen mukaisen liikenteen salauksen.
Käyttäjäntunnistus voidaan hoitaa Radius-palvelimelta (yrityksissä) tai
salasanalla (kotona). TKIP (Temporal Key Integrity Protocol) mahdollistaa
automaattisen salausavainten luonnin ja jatkuvan vaihtumisen. AES (Advanced
Encryption Standard) on suhteellisen turvallisena pidetty salausmenetelmä, joka
voidaan ottaa käyttöön WPA2 myötä jos kaikki verkon laitteet tukevat sitä.
WDS (Wireless Distribution System)
Tukiasemien välisen langattoman viestinnän mahdollistava tekniikka.
Tarpeellinen, jos tukiasemia ei ole mahdollista yhdistää toisiinsa fyysisellä
kaapeloinnilla.
--------------------------------------------------
Kari Tolonen siirtyi toisen työnantajan palvelukseen
syyskuun alusta lukien.
Karin läksiäiskahvitilaisuus ATK-keskuksen kahviossa 30.8.
SESSIO 220 - 3/2004