WLAN och säkerhet

Idag är det svårt att få ett WLAN, trådlöst nätverk, lika säkert som ett traditionellt trådbundet nätverk. Det här kapitlet är därför extra viktigt. Läs gärna det här kapitlet en extra gång och följ våra råd för att göra ditt WLAN säkrare. Alla åtgärder går inte att genomföra på alla produkter men försök täcka in de du har möjlighet till.

Det är idag många trådlösa produkter som stödjer WEP kryptering. Det är också ett välkänt faktum att WEP kryptering är relativt enkelt att knäcka. Låt inte WEP kryptering invagga dig i falsk säkerhet, WEP kryptering är inte säkert. Har du dock inte tillgång till något alternativ är det ändå bättre att använda WEP kryptering än att inte använda någon kryptering alls. Det är trotts allt en del jobb med att knäcka WEP kryptering och tillsammans med andra sätt att säkra nätverket är det bättre än att inte använda någon kryptering alls.

Om dina trådlösa produkter stödjer WPA kryptering bör du använda det. WPA är mycket säkrare än WEP kryptering.

SSIDt är det namn du sätter på ditt trådlösa nätverk. Detta konfigurerar du i basstationen. De flesta tillverkare ger nätverket ett förvalt namn. Du gör bäst i att ändra detta namn då dessa förvalda namn är välkända och en säkerhetsrisk. Det bästa du kan göra är att ge ditt nätverk ett kryptisk namn som inte reflekterar ett företagsnamn, ditt efternamn eller adress, uppgifter som kan göra det enklare för en obehörig att rikta sin attack mot ditt nätverk.

Om din Basstation stödjer att du själv kan bestämma om den ska broadcasta SSIDt ska du välja att basstationen inte ska göra detta. Om broadcasting är aktiverat ligger basstationen hela tiden och sänder ut namnet och säger "Hej, här finns ett nät som heter Olssons som du kan ansluta till". Om du stänger av detta måste man känna till SSIDt för att kunna ansluta till nätverket. Dock används SSIDt i mycket av kommunikationen och en obehörig som sitter och lyssnar på trafiken kommer dock att snappa upp dit SSID förr eller senare i alla fall. Men man kan ändå göra det lite svårare för en angripare.

Ofta behöver man bara knappa in ett IP nummer i en webbläsare för att komma åt konfigurationsgränssnittet för basstationen. De flesta tillverkare sätter samma användarnamn och lösenord på alla sina basstationer när de levereras. En angripare kan enkelt se vilket företag som tillverkat basstationen och om man inte har ändrat lösenordet kan angriparen enkelt få kontroll över hela din Basstation vilket kan få förödande konsekvenser.

Försök att placera basstationen i mitten av huset eller kontoret. Undvik att placera den precis vid ett fönster. Om det trådlösa nätverket går att nå från stort avstånd utanför huset eller kontoret är risken stor att fler hittar det och försöker angripa det.

Det kan vara bra att ha ett öga på basstationens loggar och trafiken i det trådlösa nätverket för att se om någon enhet som inte hör hemma där använder ditt nätverk.

Det bästa sättet att se hur sårbart ditt eget trådlösa nätverk är att helt enkelt själv försöka angripa det och se hur svårt det är att forcera de spärrar och skydd du satt upp. Du kan använda ex. ett program som heter NetStumbler för att ställa en enkel diagnos. Det finns även flera andra verktyg för att upptäcka och ta sig in i trådlösa nätverk. Om du försöker ha ett öga på hur dessa verktyg fungera och vilka som florerar bland angripare just nu kan du enklare se om ditt eget nätverk är sårbart. Det bästa sättet att se om ditt nät är sårbart är att själv agera angripare. Vi uppmanar dock ingen att ge sig på någon annans WLAN :)

Varje anslutning till ett trådlöst nätverk har en MAC adress som kan se ut ungefär såhär: 00-10-60-A8-22-EC. Genom att på en dator med Microsoft Windows XP klicka Kör/Run på start menyn, skriva "cmd" och sen skriva "ipconfig /all" kan du enkelt se din egen MAC adress. Många basstationer stödjer filtrering av MAC adresser. Det betyder att du i basstationens konfigurationsgränssnitt skriver in en lista på de MAC adresser som ska få tillgång till det trådlösa nätverket. Finns MAC adressen man använder inte med i listan kommer man inte heller åt det trådlösa nätverket. En angripare som lyssnar på nätverkstrafiken kan dock relativt enkelt snappa upp MAC adresserna som används och sen ändra sin egen MAC adress till någon av dem som är tillåtna och på det sättet komma in på nätverket. Metoden är alltså inte alls skottsäker men tillsammans med andra åtgärder kan man göra det så svårt som möjligt för ev. angripare.

Det kan vara värt att titta på någon alternativ lösning för autentisering mot det trådlösa nätverket. Ett exempel är RADIUS. Detta kräver dock en ganska mycket intelligentare Gateway eller en separat RADIUS server.

Det är ganska bekvämt att låta gatewayns DHCP server dynamiskt tilldela alla enheter som ansluter till det trådlösa nätverket ett IP nummer men det är också en säkerhetsrisk. Är det enkelt att få en IP adress är det också enklare att ansluta mot nätverket. Om du ger varje enhet ett statiskt IP nummer och i basstationen filtrerar IP nummerna på ett sätt som gör att enheten inte släpps in på nätverket om den inte har ett IP nummer som finns med i listan du sätter upp gör du ditt nätverk lite säkrare. Tyvärr är det precis som i fallet med MAC filtrering relativt enkelt för en angripare att snappa upp de IP nummer som används och använda något av dem själv. Metoden är således långt ifrån skottsäker.

De flesta basstationer är inställda på att jobba med ett nät för IP adresserna som ser ut ungefär såhär 192.168.0.0. Om du ändrar detta nät kan du göra det svårare för en angripare. En Basstation har exempelvis ofta adressen 192.168.0.1 förvalt vilket många angripare känner till och därför vet exakt vilken adress de ska ge sig på. Om du ändrar den här adressen gör du det svårare för en angripare. Var dock försiktig om du gör detta på ett redan existerande nätverk då det kan resultera i att ingen av dina enheter längre hittar din Basstation och ditt trådlösa nätverk slutar helt enkelt att fungera.

Då och då hittas de buggar och problem i basstationernas program. Då är det viktigt att man kan ladda hem en uppdatering från tillverkarens hemsida och uppdatera basstationen med den senaste programvaran. Köp ingen Basstation där man inte kan uppgradera den här programvaran.

De flesta är ganska överrens om att det säkraste sättet är att använda en VPN tunnel (en krypterad tunnel) när man jobbar i trådlösa nätverk. Det här kräver en del extra kunskap och en bättre Gateway och utrustning. Egentligen skulle man kunna skriva ett helt eget kapitel om det här men i grunden fungerar det i alla fall såhär. Man använder en Router som har stöd för ett DMZ. I DMZat sätter man sin Basstation och sen ansluter alla trådlösa enheter till basstationen genom VPN tunnlar.

De flesta banker och andra känsliga tjänster använder servrar med SSL kryptering. Det betyder att all trafik mellan klienten/webbläsaren och ex. bankens server är krypterad. När trafiken är krypterad på det sättet blir den också svårare att avlyssna på vägen.

Är din trafik över nätverket och dina enheter som ansluter till nätverket väldigt känsliga och ska vara så säkera som möjligt är det helt enkelt bäst att välja ett trådbundet nät istället för ett trådlöst nätverk.