Pitäisikö salata?
WLAN-tekniikka perustuu vapaasti eteneviin radioaaltoihin samaan tapaan kuin
radiopuhelimissa. Muut asemat voivat siis kuulla lähettävän aseman viestin,
vaikka viesti olisi tarkoitettu vain tietylle asemalle. Hyvissä oloissa
signaali on kuultavissa yli sadan metrin etäisyydellä ja erikoisvälineillä
viestintä onnistuu kilometrinkin päästä. Kuka tahansa voi lähettää oikeita
tai väärennettyjä viestejä verkkoon.
Tietoturvallisuuden takaamiseksi WLAN-käyttäjän pitäisi pystyä varmistumaan,
että hänen laitteensa viestii tunnetun tukiaseman kanssa, ja että muut
kuulolla olevat laitteet eivät pysty ymmärtämään hänen ja tukiaseman välistä
liikennettä tai ujuttamaan sekaan valheellisia viestejä. Viestinnän
luottamuksellisuuden vuoksi viestit on pystyttävä salakirjoittamaan ja
niiden eheys varmistamaan.
Viestiliikenteen salaaminen vaatii päätelaitteissa ja tukiasemissa
käytettäviä salaisia tietoja, kuten salakirjoitusavaimia. Salaisuuksien
jakaminen voi joissakin tapauksissa olla työlästä. WLAN:n radioliikenteen
jättäminen salaamatta voi olla järkevää, jos salauksesta saatavat hyödyt
ovat vähäiset haittoihin nähden. Salaaminen voi olla turhaa esimerkiksi
silloin, kun mahdollisten hyökkääjien pääsy WLAN:n kuuluvuusalueelle voidaan
estää fyysisesti.
WLAN:n salausmenetelmiä
WLAN:n radiorajapintaa varten on määritelty useita vaihtoehtoisia
salausmenetelmiä. Nämä menetelmät salakirjoittavat päätelaitteen ja
tukiaseman välillä kulkevat viestit niin, etteivät sivulliset pysty niitä
helposti ymmärtämään tai muokkaamaan huomaamattomasti. Salausmenetelmät myös
tunnistavat tukiaseman käyttäjille niin, etteivät muut voi helposti esiintyä
luotettuna tukiasemana. WLAN:n käyttäjiä ja päätelaitteita WLAN:n
salauksella ei kuitenkaan pysty luotettavasti tunnistamaan.
Vanhin menetelmä WEP (Wireless Equivalent Privacy) on osoitettu monella
tapaa haavoittuvaksi eikä sitä suositella käytettäväksi, jos uudempia
menetelmiä on käytettävissä. WPA2 (Wi-Fi Protected Access II) on ollut Wi-Fi
Alliancen hyväksymissä laitteissa tuettu vuodesta 2006 lähtien. Se täytyy
kuitenkin osata ottaa käyttöön. Myös WPA-salaus saattaa olla käytettävissä.
WPA-salaus oli välivaihe WLAN-standardien kehityksessä ennen kuin WPA2
saatiin valmiiksi.
Myös Wi-Fi Protected Setup- eli WPS-salaus on osoitettu haavoittuvaksi eikä
sitä suositella enää käytettäväksi. WPS-salaus oli tarkoitettu
helppokäyttöiseksi vaihtoehdoksi WPA2:lle, mutta WPS:n suunnitteluvirheiden
vuoksi hyökkääjä voi vähäisellä vaivalla arvata salausavaimen.
Suosituksia salaukseen
Käytännössä kuluttajille suositellaan Advanced Encryption Standard
-salakirjoitusalgoritmia käyttävää WPA2-salausmenetelmää ja siihen vahvaa
(pitkä, monimutkainen ja vaikeasti arvattava) esijaettua salasanaa.
Langattoman tukiaseman asetuksissa tämä valinta esiintyy yleensä merkintänä
“WPA2+PSK (AES)”. Vahvan 20-merkkisen salasanan laatiminen ei ole vaikeaa
eikä sitä tarvitse muistaa ulkoa, kun sen tallentaa päätelaitteen
käyttöjärjestelmän muistiin verkon ensimmäisellä käyttökerralla.
Lain mukaan yksinkertaisenkin salauksen murtaminen on Suomessa kiellettyä ja
rangaistavaa. Sellaisia ihmisiä, jotka aikovat rikollisessa mielessä hyötyä
WLAN:sta ja siellä liikkuvista tiedoista, rangaistavuus tuskin hetkauttaa
paljoakaan, joten kannattaa valita kerralla vahva salaus.
Jos motivoituneet salakuuntelijat arvioidaan varteenotettavaksi uhaksi,
tulee muistaa, että jokainen, joka saa WLAN:n esijaetun salasanan haltuunsa,
pystyy purkamaan salauksen kaikesta kuulemastaan kyseisen WLAN:n
liikenteestä. Tämä voi olla erityisen varteenotettava uhka yritysten
tarjoamissa vierailijaverkoissa: verkon tarjoava yritys voi olla luotettava,
mutta joku verkossa vierailijoista ei ehkä ole.