-
Husk jevnlig sikkerhetskopi av din maskin

Les NorSIS sine råd
om sikkerhetskopi
.
wireless

Trådløst nettverk


Denne veiledningen beskriver hvilke trusler et trådløst nettverk fører med seg og gir generelle retningslinjer for sikring av trådløse lokalnettverk.

Innhold

Innledning

Fortsatt er mange trådløse nettverk satt opp med standardinnstillinger fra leverandøren og ikke godt sikret.  De viktigste tiltakene er:
  • Tilgangskontroll og kryptering
  • Bytt passord
  • Slå på MAC-adresse filtrering (kun hvis kryptering ikke benyttes) 
  • Skru av visning av SSID (nettverksnavn)
  • Installer personlig brannmur 
  • Bruk statiske IP-adresser (kun hvis kryptering ikke benyttes) 
Trådløse nettverk blir stadig mer utbredt i norske bedrifter, og er dels et supplement til det tradisjonelle kablede nettverket, men også i mange tilfeller en erstatning. Det aller meste av det trådløse utstyret som er tilgjengelig i Norge støtter standarden IEEE 802.11. Veiledningen beskriver bare sikring av trådløse nettverk som benytter IEEE-standardene i 802.11-familien. Veiledningen er heller ikke uttømmende, og andre tiltak enn de som er beskrevet her kan også være aktuelle. For konkrete tekniske løsninger må det enkelte nettverks brukerveiledning benyttes.

Hva er et trådløst nettverk

Et trådløst nettverk gjør det mulig å koble flere datamaskiner sammen uten en fysisk tilkobling i form av kabler. Med et aksesspunkt vil man kunne koble det trådløse nettverket sammen med et kablet nettverk, ofte mot Internett, slik at flere brukere kan benytte seg av de samme ressursene. For å benytte et trådløst nettverk, må klientene ha et trådløst nettverkskort. De fleste av dagens nettverkskort kan fungere enten i "infrastructure"- eller "ad-hoc"-modus. Infrastructure vil si at det trådløse nettverkskortet kobler seg opp mot et aksesspunkt, eller en basestasjon (ofte kalt en trådløs hub, switch eller router). Ad-hoc nettverk benytter derimot kun to eller flere trådløse nettverkskort som er kobles sammen, og som kommuniserer direkte med hverandre. Det anbefales i de fleste sammenhenger å bruke infrastructure-løsning, da disse er mer fleksible.

Basestasjonene er koblet til det fysiske nettverket gjennom en nettverkskabel. Aksesspunkt er et annet navn som også brukes på basestasjonen. Disse har som oppgave å videresende signalene mellom det trådløse nettverkskortet og det kablede nettverket. En slik basestasjon kan behandle signaler fra flere trådløse nettverkskort samtidig. Under planlegging av nettverket er det viktig å kartlegge hvor mange som skal kunne være tilkoblet samtidig. Hastigheten på en trådløs basestasjon er vesentlig lavere enn for et kablet nettverk. I dag er hastigheten på trådløs nettverk begrenset til rundt maksimum 100 Mbit/sek. Hastighetene som oppnås i praksis på trådløse nettverk varierer med avstand og typer av hindringer mellom nettverkskortet og basestasjonen. I det kablete nettverk kan hastigheten ofte være ti ganger høyere.  

Det finnes to typer aksesspunkter. Konfigurerbare har et oppsett på hver enkelt basestasjon, og kan konfigureres via brukergrensesnittet til basestasjonen.  Ikke konfigurerbare får bare oppsett og regelverk fra en radius-server og er derfor sikrere mot manipulering og det vil ikke være mulig å bruke et slikt aksesspunkt som er stjålet.
 
Et trådløst nettverk har ofte en rekkevidde på 20-100 meter innendørs og opptil 400 meter utendørs hvis det ikke finnes hindringer i veien. Plasseringen av basestasjonene er derfor veldig viktig med tanke på dekningsområdet for nettverket. Aksesspunktene bør plasseres slik at de ikke dekker store områder utenfor bedriftsbygningen, slik at innbrudd på trådløse nettverk ikke så lett kan skje fra parkeringsplassen utenfor bygningen.

Trusler med trådløse nettverk

Det er mange trusler knyttet til trådløse nettverk. Her er noen av disse kort beskrevet.

Misbruk eller innsyn fra uvedkommende

Et nettverk kan misbrukes til å utføre kriminelle handlinger som ulovlig nedlasting (materiale beskyttet av opphavsretten, ulovlig pornografi o.l.), innbrudd på andre nettverk o.l. Bedriften kan settes ansvarlig for disse handlingene med mindre bedriften kan bevise sin uskyld.
 
Dersom uvedkommende får tilgang til nettverket kan de overbelaste nettverket slik at du som skal bruke det får dårligere kapasitet. Store nedlastninger fra Internett fra brukere av det trådløse nettverket kan også ta mye kapasitet.

Sensitive data kan bli lest av uvedkommende

Et trådløst nettverk består av flere kortholds radiosendere. Kommunikasjonen blir dermed enkel for uvedkommende å fange opp.

Dårlig dekning

I enkelte bygg kan det være vanskelig å bygge ut et godt trådløst nettverk, da signalene svekkes når de går gjennom vegger og andre hindringer.

Standard oppsett

Aksesspunkter er satt opp med standard passord ved installasjon. Disse passordene enkle å finne lister over på Internet. Dersom standardpassordet ikke endres vil uvedkommende lett kunne endre konfigurasjonene, og potensielt få tilgang til flere ressurser enn opprinnelig tenkt.                

Jamming av signaler

De mest brukte trådløse teknologiene benytter seg av det lisensfrie 2.4 GHz frekvensbåndet. At frekvensbåndet er lisensfritt gjør at det er mye annet utstyr som også benytter det, noe som kan skape forstyrrelser. Bevisst jamming for å ødelegge nettverket kan også skje.

Viktige sikringstiltak

Det er enkle tiltak for å sikre et trådløst nettverk. Imidlertid er sikringsmekanismene slått av fra leverandøren, og brukeren selv må aktivere mekanismene. Her er de viktigste sikringstiltakene.

Tilgangskontroll og kryptering

Autentiser brukere som skal ha tilgang, og ha en rutine for å håndtere brukernavn og passord og krypter informasjon som sendes over det trådløse nettverket. Bruk et av alternativene:

  • WEP for enkel tilgangskontroll og kryptering. WEP beskytter data i trådløse nett mot avlytting og uønsket endring, men algoritmen har store og kjente svakheter som gjør det mulig å forsere krypteringen. WEP bør benyttes dersom utstyret ditt ikke støtter WPA.
  • WPA for høyere sikkerhet og mer avansert kryptering. WPA er vesentlig vanskeligere å forsere. Spesielt viktig er det å bruke lange og kompliserte passord hvis en velger å bruke varianten som kalles WPA/PSK. Passordet bør da være minst 15 tegn langt og inneholde store og små bokstaver, tall og helst spesialtegn.
  • VPN bør brukes for kritisk informasjon. Med VPN (virtuelt privat nettverk) på alle trådløse PC-er er det mulig å utveksle data uten fare for avlytting. VPN er mer komplisert å installere, men gir god sikkerhet og kan benyttes for alle typer nettverkstilkobling. VPN kan gjerne kombineres med WEP eller WPA for ytterligere sikring av nettet. WEP og WPA brukes da ikke for å beskytte informasjonen, men i stedet for å hindre andre i å bruke nettet i det hele tatt.

I større installasjoner er det mulig å administrere tilganger gjennom sentrale tilgangs-kontrollsystemer, som normalt brukes i et kablet nettverk, eksempelvis Microsofts AD.

Bytt passord

Ikke bruk standard passord eller passord som enkelt kan gjettes av andre. Et godt passord bør bestå av en kombinasjon mellom små og store bokstaver, tall og eventuelt spesialtegn. Ha rutiner for utbytting av nøkler ved bruk av VPN og passord (WPA/WEP). Dette vil også sikre at tidligere ansatte/vikarer ikke kan bruke sine gamle nøkler/passord til å koble seg til det trådløse nettverket.

Slå på MAC-adresse filtrering

De fleste basestasjoner har mulighet til å bruke MAC-adresser til å styre hvem som kan bruke et trådløst nett. Dette er en løsning som ikke skalerer til mange brukere, men kan være et nyttig tilleggstiltak for å stoppe de enkleste formene for misbruk av nettet. MAC-adressefiltrering stopper ikke avlytting av nettet. Dette sikkerhetstiltaket trenger du ikke å benytte, hvis du bruker kryptering (WEP/WPA)

Skru av visning av SSID (nettverksnavn)

Aksesspunkter (basestasjoner) identifiserer vanligvis seg selv ved å sende ut sin SSID (Service Set Identifier). Operativsystemet (for eksempel Windows XP) kan da automatisk konfigurere trådløskortet i PC-en slik at det kan koble seg til nettverket. Dersom man skrur av kringkasting av SSID blir dette vanskeligere for uvedkommende. Skal nettverk være åpent tilgjengelig for alle er det nødvendig å kringkaste SSID.

SSID blir likevel sendt når legitime brukere kobler seg til. Det er også mulig å skaffe SSID ved hjelp av programvare som analyserer WLAN-trafikk (for eksempel «AirMagnet» eller «AiroPeek»). Likevel antas det at de fleste inntrengere vil velge å finne andre trådløse nett.

Installer personlige brannmurer

Mange bærbare PC-er inneholder store mengder sensitive data. Det er viktig å ta høyde for at bærbare maskiner med trådløskort kan bli benyttet i andre trådløse nettverk enn «hjemmenettet» og bedriftens nettverk.

Bruk statiske IP-adresser

Ved bruk av dynamisk tildeling av IP-adresser (DHCP: Dynamic Host Configuration Protocol) når maskiner kobler seg til trådløsnettet vil man ikke skille mellom legitime brukere og andre. Med korrekt SSID kan enhver maskin få tildelt en IP-adresse og bli en legitim node i nettverket. Dersom DHCP er skrudd av og legitime brukere er tildelt faste IP-adresser, blir det mye vanskeligere for inntrengere å få tak i en gyldig IP-adresse. Faste IP-adresser blir imidlertid fort uhåndterlig i store nettverk, men kan være et nyttig tiltak i nett med begrenset antall brukere.Dette sikkerhetstiltaket trenger du ikke å bruke, hvis du benytter deg av kryptering (WEP/WPA)

Ved hjelp av avlytting av nettverkstrafikk («sniffing») kan imidlertid en inntrenger finne ut hvilke IP-adresser som er i bruk. Dermed kan han gjette hvilket adresseområde som brukes og prøve IP-adresser innenfor området.

Andre sikringstiltak

Ha kontroll på informasjonen din

Vurder om trådløst nettverk skal begrenses til deler av virksomhetens informasjon. Merk at det stilles sikkerhetskrav i personopplysningsloven for behandling av personopplysninger.

Utpek ansvarlig for drift

Det må utpekes ansvarlig for det trådløse nettverket. Alle brukere skal vite hvem de kan forholde seg til ved eventuelle problemer.

Plasser aksesspunkter utenfor bedriftens brannmur

For å unngå «bakdører» inn i bedriftens beskyttede nettverk er det nyttig å plassere tilknytningspunktene for trådløse nett utenfor brannmuren. Dermed er det lett å for eksempel gjøre filtrering basert på MAC-adresser. Brannmuren vil ha en oversikt over MAC-adressene til legitime brukere av nettet, og uvedkommende vil få store problemer med å få tilgang.

MAC adresser til maskinene dine finner du i Windows ved å velge " Kjør ", skriv " cmd ", trykk " OK " og skriv kommandoen " ipconfig /all " vinduet som kom opp. I Linux kan du som root bruke kommandoen " ifconfig -a | grep HWaddr ".

Bruk sterke autentiseringsmekanismer

802.11-standarden støtter autentisering basert på WEP-algoritmen, men denne kan forseres på samme måte som nevnt ovenfor. Sikkerhetsstandarden 802.1X tilbyr portbasert tilgangskontroll og gjensidig autentisering av nettverk og bærbart utstyr ved hjelp av bl.a.  RADIUS-protokollen. Dette forhindrer blant annet bruk av uvedkommende aksesspunkter. 802.1X tilbyr også nøkkeldistribusjon som løser noen av sårbarhetene i WEP. 802.1X kan også med fordel brukes sammen med WPA for å unngå bruk av et felles statisk passord for alle brukere på samme nett.

Logger

Logging av trafikk på nettverket er kritisk for å finne flaskehalser, oppdage feilsituasjoner eller oppdage ulovlig bruk av linjene. Aktiver et fornuftig nivå av logging på alle aksesspunkt, og etabler rutiner for å gjennomgå loggene med jevne mellomrom. Husk også å ta sikkerhetskopi av loggene. Den enkleste metoden er logge MAC-adresser for å kunne dokumentere når mobile enheter har vært pålogget. Denne funksjonen finnes innebygd i de fleste trådløse aksesspunkt. Systemet kan skaleres opp slik at man kan finne ut hvilke brukere som var pålogget og hva de brukte nettverket til.

Fysisk sikring

Aksesspunktene skal fysisk være utilgjengelig for utenforstående, og bør derfor være plassert i et låst rom. Er bygget stort kan det være nødvendig med flere aksesspunkt slik at nettverket dekker de områdene nettverket skal dekke.

Nærliggende trådløse sendere og andre støykilder kan påvirke effekten til ditt nettverk. Sjekk eksterne lokale nettverk og hvilke kanaler disse benytter.

En basestasjon har meget begrenset rekkevidde hvis den skal nås av et standard WLAN-kort som sitter i bærbare PC-er. Det er imidlertid enkelt å lage billige antenner som gjør det mulig å plukke opp signaler fra bestemte basestasjoner på betydelig større avstand. Tenk gjennom plassering av antenner slik at de i minst mulig grad dekker områder utenfor bedriftens kontroll, slik som parkeringsplasser, andre bygninger og offentlige steder.

Dokumentasjon

Dokumenter oppsett og konfigurasjon slik at nettverket kan driftes og gjenopprettes ved feil. Ofte kan konfigurasjonen for utstyret eksporteres til en konfigurasjonsfil, slik at denne kan lastes inn igjen ved behov.

Opplæring og bevisstgjøring

Bevisstgjør brukere på risikoer ved bruk av trådløs kommunikasjon, og gi opplæring i sikkerhet ved bruk av trådløse nettverk.

WEBproxy

Sett opp to adresseområder i DHCP-serveren, ett for åpent nettverk og ett for lukket nettverk. Dette forhindrer at besøkende og utenforstående «bruker opp» IP-adresser som ansatte trenger. Ressurskrevende tjenester kan også begrenses ved bruk av webproxy, som f.eks. fildeling og streaming av multimedia (lyd og bilde). En webproxy vil også kunne mellomlagre nettsider som ofte blir brukt, slik at bruken av båndbredden blir mindre.
 
Webproxy kan brukes til å sperre enkelte tjenester (som f.eks. fildeling) eller visse nettsider. Den kan også benyttes til å begrense hastighet på nettrafikk fra trådløse enheter, osv. Webproxy bør vurderes i tilfeller hvor nettverket er kritisk for bedriften, eller at bedriften opplever at mange "låner" den trådløse linjen. Dette kan være et problem hvis man ikke benytter adgangskontroll og man befinner seg i tettbebygde områder.
Denne ukens ansvarlige for spørsmål og svar
Har du spørsmål om informasjonssikkerhet? Spør oss i NorSIS!

kontaktadresser
nettstedskart
utskriftsvennlig side
.