omWLAN
Följ omWLAN.se på Facebook Följ omWLAN.se på twitter Följ omWLAN.se på Google+
Startsidan Artiklar Guider Nyheter

Kryptera mera. WEP, WPA och WPA2.

WLAN och trådlösa nätverk är väldigt praktiskt och erbjuder en väldig frihet i att kunna klippa sladdarna. Med samma möjlighet får man tyvärr ett par andra problem på halsen. Säkerhetsaspekten är en av dessa.

En viktig pusselbit i säkerhetsarbetet kring att skapa ett så säkert trådlöst nätverk som möjligt är att kryptera trafiken i nätet. De flesta basstationer, accesspunkter och trådlösa routrar på marknaden stödjer idag flera olika tekniker och metoder för att kryptera nätverket. De flesta av dessa tekniker och metoder stödjer både kryptering och autentisering mot det trådlösa nätverket.

Berätta för dina vänner

WEP

WEP, Wired Equivalent Privecy, är en del av IEEE 802.11 standarden. WEP var ett tidigt försök att kryptera trådlösa nätverk som kom till under hösten 1999.

Avsändaren krypterar ett paket data, skickar paketet trådlöst till mottagaren där det dekrypteras. Krypteringen existerar bara under själva överföringen.

Avsändaren och mottagaren har en gemensam nyckel som används för själva krypteringen och dekrypteringen.

Det har väl knappast undgått någon att WEP idag inte anses speciellt säkert. Vad beror det på? Hanteringen av de gemensamma nycklarna som används vid krypteringen är den största svagheten i WEP. Det finns i WEP inget stöd för att olika enheter i nätverket dynamiskt och gemensamt kan byta ut krypteringsnyckeln mot en ny med jämna mellanrum.

Detta betyder att många WLAN använder samma nyckel väldigt lång tid. Ska nyckeln bytas måste administratören göra detta manuellt på alla enheter i nätverket. I större nätverk blir detta snabbt ett ganska stort jobb och därför en säkerhetsrisk om det inte blir gjort regelbundet.

Genom att titta på tillräckligt många krypterade informationspaket i nätverket kan man som angripare hitta mönstret och nyckeln relativt enkelt. Hur många paket som behövs varierar. Är trafiken intensiv med många paket går det snabbare att hitta nyckeln än om trafiken är mindre. En dator med rätt programvara som passivt lyssnar på trafiken i ett intensivt WLAN kan ibland hitta nyckeln på så lite som några minuter.

Redan från början fanns det en medvetenhet om att WEP krypteringen innehöll stora brister men det fanns vid tidpunkten då specifikationen publicerades helt enkelt inga bättre alternativ. Som tur är finns det idag.

WPA

WPA, WiFi Protected Access, har samma syfte som WEP, att kryptera trafiken i WLAN och hålla informationen i nätet hemlig från dem som inte har rätt att ta del av den.

Den kompletta specifikationen för WPA blev publicerad i mitten av 2004.

Till skillnad från WEP där en statisk nyckel används använder WPA ett system med en teknik som distribuerar nycklar till alla enheter som är anslutna till nätverket. Det gör WPA betydligt säkrare än WEP. Den här tekniken kallas TKIP, Temporal Key Integrity Protocol. Om nätverket hela tiden använder nya nycklar för att kryptera trafiken blir det svårare för en angripare att passivt lyssna och systematiskt försöka hitta rätt nyckel.

Förutom dynamiska nycklar använder WPA även en rad andra tekniker för att göra trafiken säkrare. Alla krypterade paket numreras och organiseras på ett bättre sätt, kallas MAC eller MIC. WPA använder även en bättre algoritm för krypteringen än WEP, algoritmen som används i WPA kallas Michael.

WPA låter onekligen som ett alternativ att föredra framför WEP men man ska ändå vara medveten om att även WPA har vissa säkerhetsbrister.

Ett problem är att en angripare kan använda en teknik som går ut på att preparera speciella krypterade paket och skicka in dem i nätverket för att se hur de blir mottagna och på det sättet bryta sig igenom krypteringen. WPA har visserligen ett visst skydd mot den här typen av angrepp men garanterat säkert är det inte.

En annan svaghet skulle vi kunna kalla den mänskliga faktorn. För att en dator eller annan enhet ska autentiseras mot basstationen behöver man fortfarande ett gemensamt lösenord. Ett enkelt lösenord, exempelvis efternamn, namn på hunden eller liknande kan vara enkelt att komma ihåg. Ett enkelt lösenord gör det på samma gång enklare för en angripare att ta sig in i nätverket. Använd därför ett komplext lösenord, gärna med slumpvis valda siffror och symboler.

WPA2

WPA2 är en vidareutveckling av WPA där man förbättrat vissa delar ytterligare.

I förra stycket nämndes att en av de största fördelarna med WPA jämfört med WEP är att enheterna själva och dynamiskt kan utbyta nya krypteringsnycklar. I WPA2 har man tagit detta ett steg längre. Genom en snillrik fyra stegs process identifierar avsändaren och mottagaren sig mot varandra och bestämmer en gemensam nyckel som i princip bara består vid ett tillfälle. Det kan således förekomma flera nycklar i samma trådlösa nätverk samtidigt. Det finns också ett bättre stöd för nycklar där strömmen av information har fler än en mottagare, sk. broadcasting.

WPA2 har även ett mycket bättre stöd för roaming mellan accesspunkter. Det betyder att man kan röra sig inom ett större trådlöst nätverk som täcks av flera accesspunkter utan att förbindelsen bryts när man går över till en ny basstation.

Sammanfattning

Jag tror att de flesta som redan idag administrerar och är ansvarig för ett trådlöst nätverk eller funderar på att sätta upp ett WLAN är införstådda med vikten av att göra nätet så säkert som möjligt.

Som en del i detta är kryptering en naturlig del.

WPA eller WPA2 är absolut de tekniker som man bör använda för att kryptera sitt trådlösa nätverk. Endast när dessa alternativ inte finns tillgängliga bör man fundera på WEP. WEP är fortfarande bättre än ingen kryptering alls.

Berätta för dina vänner