omWLAN
Följ omWLAN.se på Facebook Följ omWLAN.se på twitter Följ omWLAN.se på Google+
Startsidan Artiklar Guider Nyheter

Hur gör man ett trådlöst nätverk säkert?

En av de första artiklarna jag skrev på omWLAN.se för ett antal år sedan handlade om säkerheten. Säkerheten har alltid ansetts vara ett problem i trådlösa nätverk. I ett trådlöst nätverk behöver du ingen fysisk kontakt med nätverket, vilket också gör det svårare att skydda sig.

Idag ser det som tur bättre ut än när jag skrev den där första artikeln. Det finns betydligt bättre sätt att skydda sig idag än det gjorde för några år sedan.

Berätta för dina vänner

Trådlös säkerhet

Fysiska hinder har alltid använts i säkerhetsarbete. Vallgravar, murar, stängsel och låsta dörrar. Trådbundna nätverk har traditionellt skyddats av fysiska hinder, som vi i stor utsträckning förlitat oss på, åtminstone i mindre nätverk.

I trådlösa nätverk, där ettorna och nollorna flyger genom etern, är de fysiska hindren för att komma åt nätverket borta. Vi måste istället i högre grad förlita oss på säkerheten i den mjukvara och tjänster vi använder.

Under ganska lång tid har dessa mjuka skydd varit alldeles för svaga. Tanken på att grannarna eller någon helt främmande skulle kunna tjuvlyssna på vad vi har för oss eller komma åt våra privata filer har gjort många osäkra inför trådlösa nätverk.

Som tur är finns det idag mycket bättre metoder att använda. Idag finns det metoder och teknik för både kryptering och autentisering som skyddar våra nätverk betydligt bättre.

Betyder då det att det inte längre finns några risker med att använda trådlösa nätverk? Nej. Även om tekniken för att göra ett trådlöst nätverk säkert finns måste vi fortfarande vara medvetna om problemet och förstå hur vi ska tillämpa tekniken.

Ett bra exempel är företagen som tillverkar eller säljer modem, routers och bredbandsabonnemang. Många av dessa slarvar i arbetet med att hjälpa kunderna att säkra sina nätverk. Operatörerna väljer exempelvis ofta att tillämpa en svagare teknik, eftersom att det är enklare att ge support på den. Ett annat tydligt exempel är att många tillverkare för enkelhetens skull levererar alla sina trådlösa modem med samma administratörslösenord.

Därför är det viktigt att vi är medvetna om att hög säkerhet krävs. Vi behöver inte förstå exakt hur all teknik fungerar, bara att vi ska använda den och att vi ska använda den på rätt sätt.

Kryptering med WEP

Det är idag många trådlösa produkter som stödjer WEP kryptering. Det är också ett välkänt faktum att WEP kryptering är relativt enkelt att bryta sig igenom. Låt inte WEP kryptering invagga dig i falsk säkerhet, WEP kryptering är inte säkert.

Det ända tillfället då WEP kan vara rättfärdigat är om du inte har tillgång till något annat alternativ. WEP kryptering är fortfarande bättre än att inte använda någon kryptering alls.

Kryptera med WPA eller WPA2

Om dina trådlösa produkter stödjer WPA eller alldra helst WPA2 kryptering bör du definitivt använda det. WPA är mycket säkrare än WEP kryptering.

WPA och WPA2 är enkla och bra tekniker för att göra ditt trådlösa nätverk säkert.

SSID

SSIDt är lite förenklat namnet på det trådlösa nätverket.

Detta konfigurerar du i basstationen och de flesta tillverkare ger nätverket ett förvalt namn.

Även om ett kryptisk eller svårtolkat namn inte gör det svårare att bryta sig in i nätverket kan det ändå göra dig till mindre av en måltavla om du är antonym. Försök undvika att använda efternamn, företagsnamn, adress eller liknande.

De flesta basstationer stödjer att du själv kan bestämma om den ska broadcasta SSIDt. I andra termer betyder det att du kan välja om nätverket ska annonsera sin existens eller inte. Antingen basunerar basstationen hela tiden ut sin existens för att du (och alla andra) ska veta att den finns där eller så får du själv aktivt kalla på den de få gånger du behöver dess uppmärksamhet.

Det är rekommenderat att du slår av broadcast av SSID. Inte heller detta gör det svårare för någon att bryta sig in. Bara att du blir lite mer antonym och förhoppningsvis faller under angriparens radar.

Glöm dock inte att nätverket blir helt osynligt för att broadcast av SSID slås av. Nätverkets SSID, syns fortfarande men bara när det är trafik i nätverket.

Lösenord på basstationen

Detta är en jätteviktig punkt. Basstationen är nätverkets hjärta. Den som kommer åt administrationsgränssnittet på basstationen styr nätverket.

De flesta tillverkare sätter samma användarnamn och lösenord i basstationen för att komma åt detta gränssnitt. Detta är en stor fördel för tillverkarna men en stor nackdel för dig som köper deras basstation.

Standardlösenord är en stor lucka i många basstationer som kan få förödande konsekvenser.

Placering av basstationen

Försök att placera basstationen i mitten av huset eller kontoret. Undvik att placera den precis vid ett fönster.

En bra placering förbättrar inte bara prestandan i själva nätverket för dig utan kan även göra det svårare att se för en angripare.

Inte heller detta gör det svårare rent praktiskt för någon att bryta sig in. Det kan, liksom många andra av förslagen, göra att en planlös angripare går förbi dig.

Ha koll på vilka som ansluter till din basstation

Det kan vara bra att ha ett öga på basstationens loggar och trafiken i det trådlösa nätverket för att se om någon enhet som inte hör hemma där använder ditt nätverk.

Försök bryta dig in i ditt eget nätverk

Det bästa sättet att se hur sårbart ditt eget trådlösa nätverk är att helt enkelt själv försöka angripa det och se hur svårt det är att forcera de spärrar och skydd du satt upp. Alternativt att be någon god vän, kollega eller kusin med dessa kunskaper att göra ett försök.

Det kan låta märkligt med det finns en rad färdiga paket och lösningar på nätet. Program, med instruktioner, om hur du exempelvis knäcker WEP kryptering. Genom att testa några av dessa verktygen, för att se om du kan bryta dig in i ditt eget nätverk, kommer inte bara att ge dig ett bra kvitto på hur säkert ditt nätverk är utan också ge en inblick i vilka verktyg som de flesta angripare använder.

Ska man se det krasst är de flesta ”hackare” som ger sig på mindre privata nätverk eller nätverk på mindre företag inte några större orakel. De använder samma färdiga färdigförpackade verktyg och metoder som finns på nätet och som du också kan testa.

Jag rekommenderar dig såklart dock inte att försöka bryta dig in i någon annans nätverk efter att du testat dessa verktyg på ditt eget.

MAC filtrering

Varje nätverkskort har en MAC adress som kan se ut ungefär såhär: 00-10-60-A8-22-EC.

Många basstationer stödjer filtrering av MAC adresser. Det betyder att du i basstationens konfigurationsgränssnitt skriver in en lista på de MAC adresser som ska få tillgång till det trådlösa nätverket. Finns MAC adressen man använder inte med i listan kommer man inte heller åt det trådlösa nätverket.

MAC filtrering har tidigare använts ganska flitigt. Speciellt i kombination med andra tekniker.

MAC filtrering är ingen säker metod. Det är enkelt för en angripare att passivt lyssna på den trafik som passerar nätverket och kapa åt sig en befintlig MAC adress.

Använd statiska IP adresser

Det är ganska bekvämt att låta routerns DHCP server dynamiskt tilldela alla enheter som ansluter till det trådlösa nätverket en IP adress men det är också en mindre säkerhetsrisk. Är det enkelt att få en IP adress är det också enklare att ansluta mot nätverket.

Om du istället ger varje enhet ett statiskt IP nummer och i basstationen filtrerar IP adresserna på ett sätt som gör att enheten inte släpps in på nätverket om den inte har en IP adress som finns med i listan du sätter upp gör du ditt nätverk lite säkrare.

Tyvärr är det precis som i fallet med MAC filtrering relativt enkelt för en angripare att snappa upp de IP nummer som används och använda något av dem själv. Metoden är således långt ifrån säker och bör absolut inte användas som enda hinder.

Alternativ autentisering

Det kan vara värt att titta på någon alternativ lösning för autentisering mot det trådlösa nätverket. Ett exempel är RADIUS. Detta kräver dock en ganska mycket intelligentare Gateway eller en separat RADIUS server.

Uppgradering av basstationen

Då och då hittas de buggar och problem i basstationernas programvara. Då är det viktigt att man kan ladda hem en uppdatering från tillverkarens hemsida och uppdatera basstationen med den senaste programvaran.

Köp ingen basstation där man inte kan uppgradera den här programvaran.

Se också till att med jämna mellanrum se om tillverkare släppt en uppgradering av basstationens mjukvara.

Använd VPN

De flesta är ganska överrens om att ett av de säkraste sätten för att ansluta till ett trådlöst nätverk är att använda en VPN tunnel (en krypterad tunnel). Det här kräver en del extra kunskap och utrustning.

Egentligen skulle man kunna skriva ett helt eget kapitel om hur detta tillämpas. Prncipen bygger på att man använder en router som har stöd för ett så kallat DMZ. I DMZ sätter man sin basstation och sen ansluter alla trådlösa enheter till basstationen genom VPN tunnlar. Även om en angripare lyckas komma in i det trådlösa nätverket kan han inte se trafiken i VPN tunnlarna och har dessutom ett extra hinder innan han kommer åt resten av nätverket.

Besök inte känsliga sidor som inte använder SSL

De flesta banker och andra känsliga tjänster tillämpar så kallad SSL kryptering.

SSL kryptering betyder att all trafik mellan klienten/webbläsaren och exempelvis bankens server är krypterad. När trafiken är krypterad på det sättet blir den också svårare att avlyssna på vägen, även om någon skulle sitta i nätverket och lyssna på trafiken.

Sammanfattning

Det finns en rad olika tekniker och metoder som kan användas för att göra ett trådlöst nätverk säkert.

Mitt förslag är att du alltid i första hand fokuserar på det som ger dig bäst resultat. Använd WPA eller WPA2 kryptering i största möjliga mån.

Berätta för dina vänner