VEJLEDNING: Sådan sikrer du trådløse netværk

Artiklen blev oprindeligt publiceret den 27/11/2002

Det er muligt at gøre trådløse netværk lige så sikre som deres kabelbaserede slægtninge, men det kræver omtanke og i nogle tilfælde ekstraudstyr.

Af Torben B. Sørensen, journalist, UNI-C/DK-CERT

Enhver kan med en antenne og et trådløst netværkskort opsnappe signaler fra et radiobaseret trådløst netværk. Derfor handler trådløs sikkerhed om dels at begrænse denne risiko, dels at gøre de opsnappede data uanvendelige.

Et trådløst netværk består af et eller flere radiopunkter. Et radiopunkt (access point) består af en sender/modtager og en tilslutning til et lokalnet via kabel. Brugernes pc'er udstyres med trådløse netværkskort, der kommunikerer med radiopunkterne via radiobølger.

Hovedparten af de trådløse lokalnet, der er i drift i dag, er baseret på 802.11b-standarden. DK-CERT har talt med civilingeniør Peter Anglov, der beskæftiger sig med sikkerheden i trådløse netværk. Han arbejder som it-revisor i Post Danmark, Intern Revision. Vi spurgte ham, hvordan en virksomhed kan beskytte et trådløst netværk, der kun er beregnet til intern brug.

"Radiopunkterne er som regel sat op til at udsende et signal, der fortæller netværkets navn. Det kan angribere benytte til at få kendskab til og måske koble sig på netværket eller aflytte datatrafikken. Derfor er det en god ide at slå denne funktion fra," siger Peter Anglov.

Funktionen oplyser netværkets SSID (Service Set Identifier). Hackere udnytter disse "her-er-jeg-signaler" (den såkaldte fyrtårnseffekt) til at koble sig på andres trådløse netværk. Hvis man slukker for dem, kan de trådløse netværkskort kun forbinde sig til netværket, hvis de på forhånd ved, hvad det hedder.

Skru ned for effekten
Man kan også begrænse muligheden for at koble sig på netværket ved at begrænse den effekt, radiopunktet sender med. Peter Anglov anbefaler, at man først sender med fuld effekt. Når netværket virker, prøver man gradvis at skrue ned for sendestyrken, indtil forholdet mellem signal og støj bliver for dårligt.

"Under opsætningen af udstyret skal man ændre alle de standardindstillinger, det leveres med. Standardnavne på netværk og kodeord til administrationen af radiopunktet er kendte blandt hackere," lyder Peter Anglovs råd.

Begræns adgangen
Foruden så vidt muligt at holde radiopunktet skjult kan man også begrænse de computere, der har lov til at tale med det. Det medfører, at selvom en hacker skulle opdage netværket, får han ikke lov til at kommunikere på det. Her er der mindst tre måder at begrænse brugerne på:

• Godkendte MAC-adresser
• Brugere med den rigtige krypteringsnøgle
• Klientautentifikation med brugernavn og adgangskode

Ligesom andre netværkskort har også et trådløst netværkskort en MAC-adresse (Medium Access Control). MAC-adressen er unik, så man kan lukke hackere ude ved at sætte radiopunktet til kun at acceptere datapakker fra en pc med en bestemt MAC-adresse. Det er dog muligt at forfalske en MAC-adresse, men det vil kræve et større arbejde af hackeren at finde frem til den rigtige.

Godkendelse ved hjælp af krypteringsnøgler kræver, at man anvender kryptering. Her leveres udstyret som standard med krypteringssystemet WEP (Wired Equivalent Protocol). Men det har vist sig så usikkert, at det ikke kan anbefales i praksis, medmindre nøglerne udskiftes jævnligt, for eksempel ved starten af hver ny session.

Autentifikation med brugernavn og adgangskode, som man kender det fra andre netværkstjenester, er nu mulig i nogle systemer. Hvis man vil anvende det, skal man sikre sig, at ens system understøtter standarden IEEE 802.1x.

"Den metode vil jeg anbefale. Næste år kommer der to nye muligheder, som også kan anbefales: WPA og 802.11i," fortæller Peter Anglov.

Øget sikkerhed i 2003
WPA (Wi-Fi Protected Access) er en afløser for den fejlbehæftede WEP. Eksisterende udstyr ventes at kunne opgraderes til WPA, man behøver altså ikke købe ny hardware. Det skal man muligvis, hvis man vil have sikkerheden i den kommende 802.11i-standard. WPA ventes i starten af 2003, mens 802.11i kommer senere.

Indtil da anbefaler Peter Anglov, at man benytter VPN (virtuelle private netværk) til at beskytte sig mod aflytning. VPN-udstyr krypterer al trafikken på netværket, så uvedkommende ikke får noget ud af at opsnappe datapakker.

En anden sikkerhedstrussel går ud på, at nogen opstiller falske radiopunkter. Det kan blot være en bærbar pc, der optræder, som om den er et radiopunkt. Hvis brugerne på nettet finder deres radiopunkt ved at lytte efter dets "her-er-jeg-signaler", kan de blive narret til at koble sig til det falske radiopunkt. Herefter kan deres trafik aflyttes eller indlogningsdata kopieres.

"Det kan lade sig gøre at sikre et trådløst netværk. Dels skal man gøre nettet så svært at opdage som muligt, dels skal man styre, hvem der skal have lov til at bruge det. Og så er VPN altid en god ide - i fremtiden tror jeg, det bliver reglen snarere end undtagelsen, at man krypterer netværkstrafik," mener Peter Anglov.

DK-CERT, november 2002

Gode råd om sikring af trådløse netværk

1. Radiopunkter skal ikke udsende SSID (Service Set Identifier)
2. Skru ned for sendeeffekten
3. Skift alle standardindstillinger af brugernavne, kodeord og lignende
4. Begræns adgangen ud fra MAC-adresse, brugernavn/adgangskode (802.1x) eller krypteringsnøgle
5. Brug VPN (IPSec tunnel-mode) i stedet for WEP eller som supplement
6. Brug WPA eller 802.11i, når det bliver tilgængeligt
7. Køb udstyr med Wi-Fi-logoet

Links

• "Trådløs kommunikation og sikkerhed" - PowerPoint-præsentation af Peter Anglov
• "WLAN Security: Wide Open" - artikel om sikkerhedsproblemer i trådløse netværk af Jürgen Heyer
• "Wireless LAN Security Assessments Steps" af Jim Geier
• "Wireless Network Security" fra National Institute of Standards and Technology (NIST) (Adobe Acrobat-format)