Trådløst, tungvint og ikke trygt

Trådløst, tungvint og ikke trygt

SAN FRANCISCO: Ingen gjør oss så usikre som sikkerhetseksperter. RSAs Magnus Nyström er intet unntak. Han mener vi forlengst burde ha oppgradert trådløs-kortene våre.
SAN FRANCISCO: For to år siden brukte få trådløst nett, men alle snakket om sikkerheten. I dag bruker alle trådløse nett, men få bryr seg om sikkerheten. Det betyr ikke at det er risikofritt å logge seg på et trådløst nett, enten det er hjemme i stua eller i en offentlig trådløs-sone.

De vanligste metodene, dynamisk WEP (Wired Equivalent Privacy), SSID (Service Set IDentifier) og låsing av mac-adressen til bestemte maskiner, holder ikke, skal vi tro svenske Magnus Nyström. Han er teknisk direktør i RSA Securities og internasjonalt anerkjent sikkerhetsekspert.

Ifølge RSA-direktøren vil det ta flere år før de nødvendige standardene for trådløs sikkerhet er på plass. I mellomtiden rår konkurrerende proprietære løsninger grunnen.

802.1x nødvendig

-- Trådløs-kortet ditt støtter vel 802.1x, var det første Nyström sa da Computerworld traff ham på RSAs sikkerhetskonferanse i San Francisco i forrige uke.

IEEE 802.1x er en standard som beskriver trygg autentisering. Den ble opprinnelig utviklet for kablede nett, men brukes nå mest i forbindelse med trådløse nett. Standarden er et par år gammel, men teknologien som beskrives er relativt lite brukt.

Ifølge RSAs tekniske direktør kan de fleste trådløs-kort oppgraderes med programvare fra leverandørens hjemmeside. Han syns alle som kan bør oppgradere.

802.1x er nødvendig, men ikke tilstrekkelig, for å skape god trådløs-sikkerhet.

-- 802.1x, WEP og TKIP (Temporal Key Integrity Protocol) gir bedre sikkerhet enn før. Men fortsatt er ikke trådløst like sikkert som fastlinje, sier svensken som altså jobber i selskapet som utviklet RC4-algoritmen som brukes i WEP-kryptering.

Tungvint

Trådløs sikkerhet er komplisert. At RSA hadde sett seg nødt til å lage en 14-trinns veiledning for å at de svært it-kyndige deltakerne på årets RSA-konferanse skulle komme seg på nett, illustrerer dette.

Innstillingene for IEEE 802.1x, PEAP Protected EAP og WEP med TKIP må legges inn før EAP-MSCHAP v2 velges som autentiseringsmetode, stod det i bruksanvisningen.

I tillegg fikk brukerne vite at ip-adresse ikke blir tildelt før SSL handshake er gjennomført, at personlig brannmur er et nødvendig tillegg til brannmuren som beskytter hele det trådløse nettet og at en vpn-sesjon bør initieres så snart autentisering er foretatt.

Industriløsninger

PEAP er utviklet av RSA i samarbeid med Cisco og Microsoft, og er den mest brukte av mange videreutviklinger av IETFs Extensible Authentication Protocol (EAP). Protokollen, en konkurrent til TTLS (Tunneled Transport Layer Security), sørger for at ingen får tak i autentiseringsdata som sendes over trådløse nett.

TKIP sørger for at WEP-nøklene byttes ofte nok til at det i praksis er umulig å knekke koden. Protokollen en del av krypteringsstandarden 802.1i.

-- TKIP ble tatt fram fordi det gir bedre sikkerhet enn standard WEP uten å kreve ny maskinvare. I framtiden vil AES (Advanced Encryption Standard) blir brukt, men den krypteringsmetoden forutsetter nytt utstyr, sier Nyström.

Standardiseringsorganisasjonen IEEE ville ikke publisere TKIP som en egen standard. I stedet tok Wi-Fi Alliance, organisasjonen som sertifiserer trådløst utstyr, skjeen i egen hånd og lanserte WPA (Wi-Fi Protected Access).

-- WPA er WEP med raskt nøkkelskifte. WPA består av WEP, TKIP, en sjekksum som sørger for enkelt-bit ikke endres og 801.1x-autentisering.