Viestintätoimisto Spring

Internet

Verkkoympäristö – käsitteet, uhat ja vinkit

Tässä artikkelissa kerron pintapuolisesti ja yleisellä tasolla mitä verkkoympäristö ja sen liikenne käytännössä on, mitä eri salaustekniikat tarkoittavat ja miten voit suojautua muutamalla peruskeinolla hyökkäyksiä vastaan.

Verkon rakenne lyhyesti

Tietokoneet, kännykät ja muut laitteet joissa on käytössä verkkovalmius kytkeytyvät verkkoon reitittimien kautta. Nämä ovat ns. yhteyspisteitä laitteidesi ja internetin välillä, eli kaikki tieto isäntälaitteen ja kohdelaitteen välillä kulkee niiden kautta. Eli reititin, mokkula, modeemi….miksi niitä nyt haluaakin kutsua.

Mikä se MAC-osoite oikein on?

MAC-osoite on laitteessa olevan verkkokortin piirille valmistajan toimesta kirjoitettu osoite. Se koostuu kuudesta kaksinumeroisesta luvusta tyyliin 00:11:22:33:44:55. Se on ns. fyysinen, pysyvä ja uniikki ja sitä käytetään laitteiden tunnistamiseen verkossa.

Hakkerit muuttavat myös usein omaa MAC-osoitettaan, jolloin he voivat pysyä verkossa ns. nimettöminä. Osoitetta muuttamalla voidaan myös ”esittää” toista konetta ja sitä kautta päästä esimerkiksi eri suodattimien ja palomuurien ohi. Kaikki liikenne verkon yli on ns. pakettien* lähettämistä isäntälaitteen ja kohdelaitteen välillä, ja jokainen paketti sisältää yksilöidyn MAC-osoitteen.

verkkoympäristö

Verkkoympäristö ja sen suojaus

Pääsääntöisesti langattomat verkot ovat nykyään riittävän suojattuja normaaliin käyttöön, kunhan niiden suojauksesta on muistettu huolehtia. Käsitteet WEP, WPA ja WPA2 (ehkä myös WPA3) ovat monelle tuttuja, ja niiden erot seuraavaksi todella lyhyesti…..

WEP on ns. jo ”vanhaa” salaustekniikkaa jota vielä kyllä tapaa käytössä, mutta koska sen salaus on alunperin luotu vain 40-bittiseksi, se on varsin helppo hakkerien murtaa. Siitäkin huolimatta että avaimen kokoa on saatu kasvatetuksi 64–128 bittiseksi uusien standardien myötä.

WPA puolestaan sisältää jo ns. pakettikohtaiset 128-bittiset salausavaimet, mutta tämä puolestaan on altis esimerkiksi ns. palvelunestohyökkäyksille.

WPA2 sitten puolestaan on viimeisin ”yleinen” standardi salaukselle johon kuuluu 128-256-bittiset salausavaimet. Tätä suositellaan käytettäväksi siis aina kun vain mahdollista!

WPA3 on uusin tulokas ja otettu käyttöön viimeisen vuoden aikana, ja eroaa edellisestä eli WPA2:sta siitä että salasanat todennetaan tässä eri tavalla. Eli muihin suojauksiin usein tehoavat ”määrään ja voimaan” perustuvat hyökkäykset ei pitäisi tässä enää onnistua. Ainakaan yhtä hyvin, aika näyttää.

Hakkerointi – mitä se on

Puhuttaessa yleisesti hakkeroinnista, sillä tarkoitetaan luvatonta tunkeutumista toisen verkkoon tai laitteeseen eli yleisesti tietokonejärjestelmiin. Helpoiten tämä onnistuu hyödyntämällä tietoturva-aukkoja esim. vanhentuneissa päivityksissä, tai sitten huijaamalla käyttäjää klikkaaman jotain linkkiä joka avaa hakkerille pääsyn koneeseen. Varsinaiset hyökkäykset kuitenkin tapahtuvat usein verkon kautta, jolla pyritään saamaan selville esim. salasanoja ja muita tunnuksia.

En ala tähän syvemmin kertomaan eri menetelmistä mitä hakkerit käyttävät, mutta mainitsen muutaman esimerkin…..

Lyhyesti, hakkerit pyrkivät sieppaamaan verkosta riittävän suuren määrän paketteja* joita analysoimalla saadaan selville verkon tietoja ja esimerkiksi siihen kytkeytyneet laitteet. Vaikka paketeissa kulkeutuva tieto on salattua eli kryptattua, hakkerit voivat murtaa salauksen ja saavat siten selville esimerkiksi verkon salasanat.

Yksi aika simppeli, mutta usein käytetty hyökkäyksen muoto on ns. deauthentication attack jonka tarkoituksena on kytkeä tietty verkko pois päältä. Tämän jälkeen voidaan saada käyttäjä liittymään hyökkääjän hallinnassa olevaan verkkoon joka on voitu naamioida sen tutun ja tunnetun verkon kaltaiseksi.

Toisessa esimerkissä hakkerit sieppaavat verkosta paketin, ja lähettävät sen uudelleen. Tällöin reititin joutuu luomaan uuden paketin uudella tunnisteella ja lähettämään sen uudelleen. Tämän jälkeen kun riittävä määrä paketteja on saatu verkkoon kaapattavaksi, voidaan murtaa salaus ja saada avain selville. Tätä kutsutaan yleisemmin arp request replayksi.

Tapoja ja keinoja joita hakkerit käyttävät verkkomurtoihin on tosiaan niin paljon, että niitä en lähde tässä tämän enempää listaamaan. Sisältöä siitä kun tulisi helposti monen sivun verran.

Miten voin suojautua

Älä käytä WEP-salausta.

Vaikka olisit asettanut kuinka monimutkaisen ja vaikean salasanan, se on kuitenkin suhteellisen helppo hakkereiden murtaa.

Älä käytä WPS-toimintoa.

Tällä siis liitetään tätä toimintoa tukevia laitteita helposti verkkoon ilman salasanan määritystä. Tätä ei voi suositella, koska WPS-pin eli salasana on vain 8 merkkiä ja ainoastaan numeroita, eli varsin helppo murtaa.

Käytä WPA2-salausta aina kun mahdollista.

Sisällytä vahvaan salasanaan aina pieniä ja isoja kirjaimia, symboleita ja numeroita.

Muuta reitittimen oletukset eli salasana ja käyttäjätunnus, sekä muuta vielä vaikka verkon nimikin.

Halutessasi voit vielä oman reitittimen hallinnassa määritellä mitkä laitteet pääsevät verkkoosi ”mac filter”-asetuksista. Eli tänne lisäät omassa verkossasi käyttämiesi laitteiden MAC-osoitteet (pc, puhelin, tabletti, tv ja IoT-laitteet)

Tässäkin oletuksena kun yleensä on vaihtoehtona se huonoin mahdollinen eli: salli kaikki.

Jarmo Laakso

Vieritä ylös