Trådløst nettverk


I denne veiledningen vil vi gå gjennom hva et trådløst nettverk er, hvorfor det kan være usikkert og hvordan man kan sikre det.

Innledning

Fortsatt er mange trådløse nettverk satt opp med standardinnstillinger fra leverandøren og ikke godt sikret.  De viktigste tiltakene er:
  • Tilgangskontroll og kryptering
  • Bytt standard passordet
  • Programvareoppdatering
Trådløse nettverk blir stadig mer utbredt i norske hjem og virksomheter, og er dels et supplement til det tradisjonelle kablede nettverket, men også i mange tilfeller en erstatning. Veiledningen er ikke uttømmende, og andre tiltak enn de som er beskrevet her kan også være aktuelle. For konkrete tekniske løsninger må det enkelte nettverks brukerveiledning benyttes.

Hva er et trådløst nettverk

Et trådløst nettverk gjør det mulig å koble flere datamaskiner sammen uten en fysisk tilkobling i form av kabler. Med et aksesspunkt vil man kunne koble det trådløse nettverket sammen med et kablet nettverk, ofte mot internett, slik at flere brukere kan benytte seg av de samme ressursene. For å benytte et trådløst nettverk, må klientene ha et trådløst nettverkskort. De fleste av dagens nettverkskort kan fungere enten i “infrastructure”- eller “ad-hoc”-modus. Infrastructure vil si at det trådløse nettverkskortet kobler seg opp mot et aksesspunkt, eller en basestasjon (ofte kalt en trådløs hub, switch eller router). Ad-hoc nettverk benytter derimot kun to eller flere trådløse nettverkskort som kobles sammen, og som kommuniserer direkte med hverandre. Det anbefales i de fleste sammenhenger å bruke infrastructure-løsninger, da disse er mer fleksible.

Basestasjonene er koblet til det fysiske nettverket gjennom en nettverkskabel. Aksesspunkt er et annet navn som også brukes på basestasjonen. Disse har som oppgave å videresende signalene mellom det trådløse nettverkskortet og det kablede nettverket. En slik basestasjon kan behandle signaler fra flere trådløse nettverkskort samtidig. Under planlegging av nettverket er det viktig å kartlegge hvor mange som skal kunne være tilkoblet samtidig. Hastighetene som oppnås i praksis på trådløse nettverk varierer med avstand og typer av hindringer mellom nettverkskortet og basestasjonen. I det kablete nettverk kan hastigheten ofte være ti ganger høyere.

Det finnes to typer aksesspunkter. Konfigurerbare har et oppsett på hver enkelt basestasjon, og kan konfigureres via brukergrensesnittet til basestasjonen.  Ikke konfigurerbare får bare oppsett og regelverk fra en radius-server og er derfor sikrere mot manipulering og det vil ikke være mulig å bruke et slikt aksesspunkt som er stjålet.
Et trådløst nettverk har ofte en rekkevidde på 20-100 meter innendørs og opptil 400 meter utendørs hvis det ikke finnes hindringer i veien. Plasseringen av basestasjonene er derfor veldig viktig med tanke på dekningsområdet for nettverket. Aksesspunktene bør plasseres slik at de ikke dekker store områder utenfor bedriftsbygningen, slik at innbrudd på trådløse nettverk ikke så lett kan skje fra parkeringsplassen utenfor bygningen.

Trusler knyttet til trådløse nettverk

Det er mange trusler knyttet til trådløse nettverk. Her er noen av disse kort beskrevet.

Misbruk eller innsyn fra uvedkommende

Et nettverk kan misbrukes til å utføre kriminelle handlinger som ulovlig nedlasting (materiale beskyttet av opphavsretten, ulovlig pornografi o.l.), innbrudd på andre nettverk o.l. Bedriften kan settes ansvarlig for disse handlingene med mindre bedriften kan bevise sin uskyld.
Dersom uvedkommende får tilgang til nettverket kan de overbelaste nettverket slik at du som skal bruke det får dårligere kapasitet. Store nedlastninger fra internett fra brukere av det trådløse nettverket kan også ta mye kapasitet.

Sensitive data kan bli lest av uvedkommende

Et trådløst nettverk består av flere kortholds radiosendere. Kommunikasjonen blir dermed enkel for uvedkommende å fange opp.

Dårlig dekning

I enkelte bygg kan det være vanskelig å bygge ut et godt trådløst nettverk, da signalene svekkes når de går gjennom vegger og andre hindringer.

Standard oppsett

Aksesspunkter er satt opp med standardpassord ved installasjon. Disse passordene enkle å finne lister over på internett. Dersom standardpassordet ikke endres vil uvedkommende lett kunne endre konfigurasjonene, og potensielt få tilgang til flere ressurser enn opprinnelig tenkt.

Jamming av signaler

De mest brukte trådløse teknologiene benytter seg av det lisensfrie frekvensbåndet. At frekvensbåndet er lisensfritt gjør at det er mye annet utstyr som også benytter det, noe som kan skape forstyrrelser. Bevisst jamming for å ødelegge nettverket kan også skje.

Viktige sikringstiltak

Det er enkle tiltak for å sikre et trådløst nettverk. Imidlertid er sikringsmekanismene slått av fra leverandøren, og brukeren selv må aktivere mekanismene. Her er de viktigste sikringstiltakene.

Tilgangskontroll og kryptering

Autentiser brukere som skal ha tilgang, og ha en rutine for å håndtere brukernavn og passord og krypter informasjon som sendes over det trådløse nettverket. Bruk et av alternativene:

  • WEP for enkel tilgangskontroll og kryptering. WEP beskytter data i trådløse nett mot avlytting og uønsket endring, men algoritmen har store og kjente svakheter som gjør det mulig å forsere krypteringen. WEP bør kun benyttes dersom utstyret ditt ikke støtter WPA. Du bør da være klar over at en angriper kan lett finne ut nøkkelen din og avlytte trafikken din. (WEP bør ikke benyttes. Hvis utstyret eller det trådløse nettverket ditt kun støtter WEP, bør utstyret byttes ut)
  • WPA/WPA2 for høyere sikkerhet og mer avansert kryptering. WPA er vesentlig vanskeligere å forsere. Spesielt viktig er det å bruke lange og kompliserte passord hvis en velger å bruke varianten som kalles WPA/PSK. Passordet bør da være minst 15 tegn langt og inneholde store og små bokstaver, tall og helst spesialtegn.
  • VPN bør brukes for kritisk informasjon. Med VPN (virtuelt privat nettverk) på alle trådløse PC-er er det mulig å utveksle data uten fare for avlytting. VPN er mer komplisert å installere, men gir god sikkerhet og kan benyttes for alle typer nettverkstilkobling. VPN kan gjerne kombineres med WEP eller WPA for ytterligere sikring av nettet. WEP og WPA brukes da ikke for å beskytte informasjonen, men i stedet for å hindre andre i å bruke nettet i det hele tatt.

I større installasjoner er det mulig å administrere tilganger gjennom sentrale tilgangs-kontrollsystemer, som normalt brukes i et kablet nettverk, eksempelvis Microsofts AD.

Bytt standard passord

Ikke bruk standardpassord eller passord som enkelt kan gjettes av andre. Et godt passord bør bestå av en kombinasjon mellom små og store bokstaver, tall og eventuelt spesialtegn. Ha rutiner for utbytting av nøkler ved bruk av VPN og passord (WPA). Dette vil også sikre at tidligere ansatte/vikarer ikke kan bruke sine gamle nøkler/passord til å koble seg til det trådløse nettverket.

Programvareoppdatering

Med jevne mellomrom kommer det oppdateringer til ruteren, disse er det viktig å installere, slik at uvedkommende ikke får tilgang. Hvis produktet ditt ikke automatisk varsler deg om oppdateringer, bør du jevnlig sjekke hjemmesiden til produktet får å se om det finnes en oppdatering.

Andre sikringstiltak

Logger

Logging av trafikk på nettverket er viktig for å finne flaskehalser, oppdage feilsituasjoner eller oppdage ulovlig bruk av linjene. Aktiver et fornuftig nivå av logging på alle aksesspunkt, og etabler rutiner for å gjennomgå loggene med jevne mellomrom.

Fysisk sikring

Aksesspunktene bør fysisk være utilgjengelig for utenforstående, og bør derfor være plassert i et låst rom. Er bygget stort kan det være nødvendig med flere aksesspunkt slik at nettverket dekker de områdene nettverket skal dekke. Nærliggende trådløse sendere og andre støykilder kan påvirke effekten til ditt nettverk. Sjekk eksterne lokale nettverk og hvilke kanaler disse benytter. En basestasjon har meget begrenset rekkevidde hvis den skal nås av et standard WLAN-kort som sitter i bærbare PC-er. Tenk gjennom plassering av antenner slik at de i minst mulig grad dekker områder utenfor bedriftens kontroll, slik som parkeringsplasser, andre bygninger og offentlige steder.

Dokumentasjon

Dokumenter oppsett og konfigurasjon slik at nettverket kan driftes og gjenopprettes ved feil. Ofte kan konfigurasjonen for utstyret eksporteres til en konfigurasjonsfil, slik at denne kan lastes inn igjen ved behov.

Opplæring og bevisstgjøring

Bevisstgjør brukere på risikoer ved bruk av trådløs kommunikasjon, og gi opplæring i sikkerhet ved bruk av trådløse nettverk.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.