Trådløse nett like sikre som kablede

Trådløse nett like sikre som kablede

KRONIKK: Cryptzones advarsel mot trådløse nett kan ikke få stå uimotsagt.

Av Geir Kalleberg, direktør produkt & forretningsutvikling i Datametrix

Cryptzone advarer i artikkelen "Advarer generelt mot trådløse nett " i Computerworld 4. Januar om at trådløse nett i seg selv medfører en sikkerhetsrisiko. Sånt kan ikke få stå uimotsagt.

Påstandene i artikkelen om at trådløse nett utgjør en sikkerhetsrisiko tyder på manglende kompetanse på området. Sikkerheten i trådløse nett er i dag ofte fullt på høyde, og bedre, enn sikkerheten i kablede nettverk. Jeg skal forklare hvorfor, men la meg innledningsvis si at det her, som ellers, handler om gjøre ting riktig.

Sikkerhetshullet i protokollen Wi-Fi Protected Setup (WPS), som nå er avslørt, gjør det mulig å gjette pinkoden i WPS, og trekkes frem som et eksempel på manglende sikkerhet i trådløse nett. Dette er delvis rett – men utelukkende om man faktisk kjører WPS med pin-kode. Men WPS er for det første svært lite i bruk da flertallet foretrekker WPA2-PSK, som nettopp byr på bedre sikkerhetsmuligheter. Og husk at det heller ikke er noen grunn til å bruke rutere med WPS påslått, med eller uten pin. Vi anbefaler å slå det av. Dermed handler dette om hvordan teknologien brukes, ikke teknologien i seg selv.

Det høres kanskje elementært ut, men sikkerheten blir unektelig dårlig om man bruker dårlige løsninger. Dette gjelder også WEP og WPA-kryptering, som brukes i trådløse nett. Disse er, som Cryptzone påpeker, også knekt for lengst. De har forøvrig også andre svakheter, som for eksempel at høye datarater i 802.11n ikke vil fungere. Men det finnes andre løsninger. Man kan for eksempel bruke en brannmur som kun tillater en spesifikk port fra det spesifikke programmet. Man kan også bruke VPN, og dermed rett og slett droppe WEP/WPA helt.

Det skal også sies at angripere med innsatsvilje og rett maskinvare også kan gå løs på WPA2 uten store vanskeligheter via et ordliste-angrep, og dermed teste ut om ulike ord i en definert liste kan være passordet. Men, og dette er viktig, dette gjelder kun varianten med én felles nøkkel. Det er en svak løsning, og bør derfor ikke benyttes i bedriftsnettverk.

Skal man først knekke et nettverk med WPA2-PSK bør man nok heller forsøke seg med sosial hacking. Det er jo for eksempel en egen knapp for "Vis passord" for trådløse nettverk med PSK i Windows7.

Sikkerhet handler mye om avanserte løsninger, men også mye om sunn fornuft. Helt grunnleggende er det viktig å være påpasselig med utstyr som stjeles eller mistes. Bytt passord på alle enheter i nettverket umiddelbart.

Og hvis man vil bruke WPA2-PSK bør passordet være mer enn ca 20. tilfeldige bokstaver, tall og spesialtegn. Et dataangrep på et passord med for eksempel 20 tilfeldige tegn (valgt fra f.eks. 26 bokstaver, 10 tall og 10 spesialtegn = 46 tegn) vil ha 46^20 mulige kombinasjoner, dvs 1,79*10^33.

Med en million forsøk pr sekund vil det ta ca 1,79*10^27 sekunder, det vil si ca. 5,706*10^21 år (5706 milliarder milliarder). Men det syndes mye her så jeg ville kanskje forsøkt først med noen varianter av firmaets navn eller assosierte ord og tall (typisk "HamBurger8543" hvis firmaet var et firma som produserer dette).

I bedrifters interne nett bør det benyttes autentisering basert på WPA2-AES m/802.1x (WPA2-Enterprise) der hver trådløsbruker har egne brukernavn/passord. Ofte er dette basert på EAP-TLS, hvor sertifikater utstedes til hver enkelt maskin eller brukerkonto og benyttes for pålogging. Det kan også være PEAP-MSCHAPv2, som benytter samme brukernavn/passord som i AD. Det er normalt å ha grense på tre feilede forsøk før man blir ekskludert i en viss tidsperiode.

Noen ord om Ethernet-oppkoblinger: Cryptzone påstår at ledningsbaserte oppkoblinger er den eneste sikre måten å koble seg til en nettverksressurs. Det stemmer jo ikke. For det første er heller ikke disse i utgangspunktet så sikre heller. Det vil være relativt enkelt for en dreven sosial hacker å få tilgang til en bedrifts lokaler, man kan for eksempel utgi seg for å være rengjøringspersonale eller vekter. Hvem passer på at vaskepersonellet ikke har med seg uvedkommende, eller at ansatte tar med tenåringsbarn som kobler seg til et uautorisert aksesspunkt? Er ikke det kablede nettverket sikret vil dette i mange bedrifter være en vel så åpen dør som det trådløse.

Realiteten i dag er faktisk at trådløse nett ofte er bedre sikret enn ledningsbaserte nett. Hvorfor? Jo, nettopp fordi de gjerne kan nås utenfor byggets fire vegger og at man derfor er spesielt oppmerksom på lekkasje og hacking. Stor bevissthet om sikkerhet gir nødvendig fokus. På den annen side stoler vi for mye på den fysiske sikkerheten. I penetrasjonstester finner vi ofte at det er mye lettere å komme seg på det trådbaserte nettverket enn det trådløse i norske bedrifter.

Både trådløse og kablede nett kan være både sikre eller usikre. Ikke skyld på teknologien. Det er hvordan man bruker den, og hvordan man tenker, som avgjør om du har sikre nett eller ikke.

Les om: