Säkerhet i trådlösa nätverk

Av Stefan Helander

De senaste årens explosionsartade försäljning av produkter för trådlösa nätverksanslutningar har medfört en ny
problematik kring nätverkssäkerhet. Vi ska belysa problemen och ge förslag på hur dessa skall hanteras. Som
med alla säkerhetsfrågor skall hot och åtgärder ställas i relation till den aktuell hotbilden. För din organisation så
kan t ex användning av kryptering vara tillräckligt medan det inte är det i en annan.
En försäljningschef vid ett företag för ett av de större märkena uttalade sig för några år sedan i annonser för
företagets produkter och sade att säkerheten i trådlösa nätverk är lika stor som i trådbundna. Även om kryptering
används och då detta sker med hjälp av protokoll som kan anses säkra, ej knäckta (dit f ö WEP1 inte hör), så
räcker det faktum att nätverket är trådlöst för att ge nätverket en lägre säkerhet än ett trådbundet. Anledningen är
att en eventuell inkräktare inte behöver befinna sig i fysisk anslutning till nätverket utan kan arbeta från t ex en
intilliggande lokal eller en bil.
Undersökningar som gjorts, bl a av IDG med s k War-flying över Stockholm, visar att stora andelar av de
installerade nätverken lämnas helt öppna. Orsaken är många gånger oförstånd eller okunskap hos användaren.
Utrustningen levereras utan kryptering aktiverat och man kopplar in den och konstaterar att ”det fungerar”.

Kryptering

I utrustningen finns stöd för kryptering enligt WEP med 40/64 eller 128 bitars nyckellängd. Denna bör användas
för att nätverket inte skall vara helt oskyddat och öppet. För den som verkligen vill komma åt nätverket är dock
WEP inte något större hinder. Det finns allmänt tillgängliga programvaror på Internet för att knäcka WEPnycklar.
WEP 40/64-nycklar knäcks normalt inom 5-10 minuter medan WEP med 128 bitars nyckellängd kan ta
upp till något dygn. I realiteten är det dock troligare att WEP-128 är knäckt inom 5-6 timmar. Tiden det tar beror
på mängden trafik en inkräktare kan snappa upp. Svagheten ligger i att WEP bygger på RC4 strömchiffer. RC4
är beroende av att de använda nycklarna byts mycket ofta (minuter) eftersom det statistika underlaget snabbt gör
att de annars kan knäckas. Problemet är att de flesta trådlösa produkter idag arbetar med delade nycklar (shared
keys) och byte av dessa måste ske helt manuellt i både accesspunkter och klienter. I praktiken konfigureras detta
vid ett tillfälle och ändras mycket sällan. WEP med 256 och 384 bitars nycklar kommer och bör användas.

Filtrering på MAC-adress

Accesspunkter kan ofta konfigureras så att de endast kommunicerar med utvalda klienter. Detta görs genom att
man i en lista i accesspunkten anger vilka MAC-adresser2 som får kommunicera med den. Andra klienter
ignoreras. Man bör alltså se till att detta är aktiverat och att aktuella klienter är inlagda. Det är ett lite omständigt
förfarande eftersom det innebär manuell konfigurering för varje klient i nätverket. Man bör notera att det finns
möjligheter att förfalska MAC-adressen vilket innebär att en ev inkräktare som lyckas få kännedom om en
godkänd adress kan få åtkomst till nätverket.

Säkerhet i övrig IT-infrastruktur

Eftersom trådlös nätverksutrustning är relativt sett billig och lätt att installera finns ett annat säkerhetsproblem.
Även om IT-avdelningen med säkerhetsansvarige administrerar företagets trådlösa nätverk i enlighet med
uppställd säkerhetspolicy (eller helt förbjudit förekomsten av sådana) finns risken att anställda eller chefer, utan
IT-avdelningens vetskap, själva anskaffar trådlös utrustning och ansluter till företagets nätverk och därmed
exponerar detta. Ett annat scenario är en företagsspion som besöker företaget och ansluter en egen accesspunkt
till ett nätverksuttag, t ex i ett konferensrum eller liknande, och därmed skapar sig en väg in i nätverket. För att
komma till rätta med denna typ av problem måste en generell säkerhet i företagets infrastruktur upprätthållas.
Nätverkets switchar konfigureras så att endast de portar som skall vara inkopplade är aktiverade. Vidare kan man
även här tänka sig att switcharna konfigureras så att endast godkända MAC-adresser tillåts.

Ett trådlöst nätverk bör ges samma säkerhetsnivå som Internet, d v s anses osäkert och inte anslutas på insidan av
det egna nätverket utan istället anslutas på en egen zon i brandväggen. Accesspunkter konfigureras med WEP
och accesslistor över godkända MAC-adresser. Trådlösa klienter ansluter mot brandväggen via VPN med t ex
IPSec baserad på sådana kryptoprotokoll som ännu ej är knäckta eller kommer knäckas inom rimlig framtid.
Slutligen kan man konstatera att problematiken kring säkerheten i trådlösa nätverk inte bara handlar om intrång i
det egna nätverket. Ett oskyddat nätverk, t ex hos en hemanvändare, kan ge anonym internetaccess till personer
som, utan att riskera att spåras, vill ha tillång till en internetanslutning för oetiska eller olagliga syften (intrång,
sabotage, bedrägerier eller spridning av virus).


Länkar:
Security of the WEP algorithm
IDGs artikel om War-flying över Stockholm
Netstumbler

1 Wired Equivalent Privacy
2 MAC-adress är ett unikt nummer för nätverskortet. Detta tilldelas normalt hårdvarumässigt av tillverkaren. Ej att förväxla
med IP-adress.

Denna text får ej kopieras utan tillstånd från HelTech Communication, Stefan Helander (Copyright).

Säkerhetspaket