TRÅDLØST NETTVERK
I denne veiledningen vil vi gå gjennom hva et trådløst nettverk er, hvorfor det kan være usikkert og hvordan man kan sikre det.
Våre skytjenester:
Backup
Unngå å bli rammet av datatap. Skybasert backup utenfor driftsmiljøet ditt
microsoft 365
Ta med kontoret hvor du vil og jobb på den enheten som passer best for deg – datamaskin, mobil eller nettbrett
Microsoft Azure
Skyplattform fra Microsoft som leverer tjenestytelser via internet. Vi supporterer og drifter
Kontakt skjema
INNLEDNING
sikret.
De viktigste tiltakene er:
- Tilgangskontroll og kryptering
- Bytt passord
- Slå på MAC-adresse filtrering (kun hvis kryptering ikke benyttes)
- Skru av visning av SSID (nettverksnavn)
- Installer personlig brannmur
- Bruk statiske IP-adresser (kun hvis kryptering ikke benyttes)
Trådløse nettverk blir stadig mer utbredt i norske bedrifter, og er dels et supplement til det tradisjonelle kablede nettverket, men også i mange tilfeller en erstatning. Det aller meste av det trådløse utstyret som er tilgjengelig i Norge støtter standarden IEEE 802.11. Veiledningen beskriver bare sikring av trådløse nettverk som benytter IEEE-standardene i 802.11-familien. Veiledningen er heller ikke uttømmende, og andre tiltak enn de som er beskrevet her kan også være aktuelle. For konkrete tekniske løsninger må det enkelte nettverks brukerveiledning benyttes.
HVA ER ET TRÅDLØST NETTVERK TRUSLER MED TRÅDLØSE NETTVERK
Et nettverk som gjør det mulig å koble flere datamaskiner sammen uten en fysisk tilkobling i form av kabler. Med et aksesspunkt vil man kunne koble det trådløse nettverket sammen med et kablet nettverk, ofte mot internett, slik at flere brukere kan benytte seg av de samme ressursene. For å benytte et trådløst nettverk, må klientene ha et trådløst nettverkskort. De fleste av dagens nettverkskort kan fungere enten i “infrastructure”- eller “ad-hoc”-modus. Infrastructure vil si at det trådløse nettverkskortet kobler seg opp mot et aksesspunkt, eller en basestasjon (ofte kalt en trådløs hub, switch eller router). Ad-hoc nettverk benytter derimot kun to eller flere trådløse nettverkskort som kobles sammen, og som kommuniserer direkte med hverandre. Det anbefales i de fleste sammenhenger å bruke infrastructure-løsninger, da disse er mer fleksible.
Basestasjonene er koblet til det fysiske nettverket gjennom en nettverkskabel. Aksesspunkt er et annet navn som også brukes på basestasjonen. Disse har som oppgave å videresende signalene mellom det trådløse nettverkskortet og det kablede nettverket. En slik basestasjon kan behandle signaler fra flere trådløse nettverkskort samtidig. Under planlegging av nettverket er det viktig å kartlegge hvor mange som skal kunne være tilkoblet samtidig. Hastigheten på en trådløs basestasjon er vesentlig lavere enn for et kablet nettverk. I dag er hastigheten på trådløs nettverk begrenset til rundt maksimum 100 Mbit/sek. Hastighetene som oppnås i praksis på trådløse nettverk varierer med avstand og typer av hindringer mellom nettverkskortet og basestasjonen. I det kablete nettverk kan hastigheten ofte være ti ganger høyere.
Et trådløst nettverk har ofte en rekkevidde på 20-100 meter innendørs og opptil 400 meter utendørs hvis det ikke finnes hindringer i veien. Plasseringen av basestasjonene er derfor veldig viktig med tanke på dekningsområdet for nettverket. Aksesspunktene bør plasseres slik at de ikke dekker store områder utenfor bedriftsbygningen, slik at innbrudd på trådløse nettverk ikke så lett kan skje fra parkeringsplassen utenfor bygningen.
TRUSLER MED TRÅDLØSE NETTVERK
Det er mange trusler knyttet til slike nettverk. Her er noen av disse kort beskrevet.
MISBRUK ELLER INNSYN FRA UVEDKOMMENDE SENSITIVE DATA KAN BLI LEST AV UVEDKOMMENDE
SENSITIVE DATA KAN BLI LEST AV UVEDKOMMENDE
DÅRLIG DEKNING STANDARD OPPSETT
I enkelte bygg kan det være vanskelig å bygge ut et godt trådløst nettverk, da signalene svekkes når de går gjennom vegger og andre hindringer.
STANDARD OPPSETT
Aksesspunkter er satt opp med standardpassord ved installasjon. Disse passordene enkle å finne lister over på internett. Dersom standardpassordet ikke endres vil uvedkommende lett kunne endre konfigurasjonene, og potensielt få tilgang til flere ressurser enn opprinnelig tenkt.
JAMMING AV SIGNALER
De mest brukte trådløse teknologiene benytter seg av det lisensfrie 2.4 GHz frekvensbåndet. At frekvensbåndet er lisensfritt gjør at det er mye annet utstyr som også benytter det, noe som kan skape forstyrrelser. Bevisst jamming for å ødelegge nettverket kan også skje.
FYSISK SIKRING
DOKUMENTASJON
Dokumenter oppsett og konfigurasjon slik at nettverket kan driftes og gjenopprettes ved feil. Ofte kan konfigurasjonen for utstyret eksporteres til en konfigurasjonsfil, slik at denne kan lastes inn igjen ved behov.
OPPLÆRING OG BEVISSTGJØRING WEB PROXY
WEB PROXY
VIKTIGE SIKRINGSTILTAK
TILGANGSKONTROLL OG KRYPTERING BYTT PASSORD
Autentiser brukere som skal ha tilgang, og ha en rutine for å håndtere brukernavn og passord og krypter informasjon som sendes over det trådløse nettverket. Bruk et av alternativene:
- WEP for enkel tilgangskontroll og kryptering. WEP beskytter data i trådløse nett mot avlytting og uønsket endring, men algoritmen har store og kjente svakheter som gjør det mulig å forsere krypteringen. WEP bør kun benyttes dersom utstyret ditt ikke støtter WPA. Du bør da være klar over at en angriper kan lett finne ut nøkkelen din og avlytte trafikken din.
- WPA/WPA2 for høyere sikkerhet og mer avansert kryptering. WPA er vesentlig vanskeligere å forsere. Spesielt viktig er det å bruke lange og kompliserte passord hvis en velger å bruke varianten som kalles WPA/PSK. Passordet bør da være minst 15 tegn langt og inneholde store og små bokstaver, tall og helst spesialtegn.
- VPN bør brukes for kritisk informasjon. Med VPN (virtuelt privat nettverk) på alle trådløse PC-er er det mulig å utveksle data uten fare for avlytting. VPN er mer komplisert å installere, men gir god sikkerhet og kan benyttes for alle typer nettverkstilkobling. VPN kan gjerne kombineres med WEP eller WPA for ytterligere sikring av nettet. WEP og WPA brukes da ikke for å beskytte informasjonen, men i stedet for å hindre andre i å bruke nettet i det hele tatt.
I større installasjoner er det mulig å administrere tilganger gjennom sentrale tilgangs-kontrollsystemer, som normalt brukes i et kablet nettverk, eksempelvis Microsofts AD.
BYTT PASSORD SLÅ PÅ MAC-ADRESSE FILTRERING
SLÅ PÅ MAC-ADRESSE FILTRERING
De fleste basestasjoner har mulighet til å bruke MAC-adresser til å styre hvem som kan bruke et trådløst nett. Dette er en løsning som ikke skalerer til mange brukere, men kan være et nyttig tilleggstiltak for å stoppe de enkleste formene for misbruk av nettet. MAC-adressefiltrering stopper ikke avlytting av nettet. Dette sikkerhetstiltaket trenger du ikke å benytte, hvis du bruker kryptering (WEP/WPA)
SKRU AV VISNING AV SSID (NETTVERKSNAVN)
Aksesspunkter (basestasjoner) identifiserer vanligvis seg selv ved å sende ut sin SSID (Service Set Identifier). Operativsystemet (for eksempel Windows XP) kan da automatisk konfigurere det trådløse nettverkskortet i PC-en slik at det kan koble seg til nettverket. Dersom man skrur av kringkasting av SSID blir dette vanskeligere for uvedkommende. Skal nettverk være åpent tilgjengelig for alle er det nødvendig å kringkaste SSID.SSID blir likevel sendt når legitime brukere kobler seg til. Det er også mulig å skaffe SSID ved hjelp av programvare som analyserer WLAN-trafikk (for eksempel «AirMagnet» eller «AiroPeek»). Dette er ingen erstatning for kryptering, men kan være et ekstra tiltak.
INSTALLER PERSONLIGE BRANNMURER
Mange bærbare PC-er inneholder store mengder sensitive data. Det er viktig å ta høyde for at bærbare maskiner med trådløskort kan bli benyttet i andre trådløse nettverk enn «hjemmenettet» og bedriftens nettverk.
BRUK STATISKE IP-ADRESSER
Ved bruk av dynamisk tildeling av IP-adresser (DHCP: Dynamic Host Configuration Protocol) når maskiner kobler seg til trådløsnettet vil man ikke skille mellom legitime brukere og andre. Med korrekt SSID kan enhver maskin få tildelt en IP-adresse og bli en legitim node i nettverket. Dersom DHCP er skrudd av og legitime brukere er tildelt faste IP-adresser blir det mye vanskeligere for inntrengere å få tak i en gyldig IP-adresse. Faste IP-adresser blir imidlertid fort uhåndterlig i store nettverk, men kan være et nyttig tiltak i nett med begrenset antall brukere. Dette sikkerhetstiltaket trenger du ikke å bruke, hvis du benytter deg av kryptering (WEP/WPA)Ved hjelp av avlytting av nettverkstrafikk («sniffing») kan imidlertid en inntrenger finne ut hvilke IP-adresser som er i bruk. Dermed kan han gjette hvilket adresseområde som brukes og prøve IP-adresser innenfor området.
ANDRE SIKRINGSTILTAK:
HA KONTROLL PÅ INFORMASJONEN DIN
UTPEK ANSVARLIG AV DRIFT
Det må utpekes ansvarlig for det trådløse nettverket. Alle brukere skal vite hvem de kan forholde seg til ved eventuelle problemer.
PLASSER AKSESSPUNKTER UTENFOR BEDRIFTENS BRANNMUR
For å unngå «bakdører» inn i bedriftens beskyttede nettverk er det nyttig å plassere tilknytningspunktene for trådløse nett utenfor brannmuren. Dermed er det lett å for eksempel gjøre filtrering basert på MAC-adresser. Brannmuren vil ha en oversikt over MAC-adressene til legitime brukere av nettet, og uvedkommende vil få store problemer med å få tilgang. MAC-adresser til maskinene dine finner du i Windows ved å velge “Kjør“, skriv “cmd“, trykk “OK” og skriv kommandoen “ipcongif /all” i vinduet som kommer opp. I Linux kan du som “root” bruke kommandoen “ifconfig -a | grep HWaddr”.
BRUK STERKE AUTENTISERINGSMEKANISMER
LOGGER