• Artikel

TechNet - Experternas arena

Går det att köra trådlöst säkert?


Om skribenten

Marcus Murray

Marcus Murray jobbar på TrueSec AB och är som Sveriges enda Security MVP en av landets främsta experter på IT-säkerhet. Han är också medlem i nätverket MEET, Microsoft Extended Expert Team.

Trådlöst på jobbet, vara eller inte vara?

Jag var hos en kund förra veckan och möttes av några tekniker i korridoren:

”Tjena Marcus, tack för senast! Nu har de stängt av trådlöst för oss, och det är inte kul.”

Först fattade jag ingenting, men efter att vi pratat en stund förstod jag att företaget – efter ett säkerhetsarbete som jag varit inblandad i – valt att stänga ner och förbjuda trådlösa nät internt.

Om det var rätt eller inte för just den kunden har jag svårt att svara på, eftersom det är massor av faktorer som påverkar ett sådant beslut.

Däremot vill jag understryka att det absolut går att bygga trådlösa nätverk som är oerhört svåra att bryta sig in i. Dessutom finns det olika vägar att gå designmässigt.

Låt säga att vi till exempel tillåter användarna att ansluta till företaget via VPN-förbindelser från i princip var som helst, och att vi tillåter dem att ansluta till externa trådlösa nät rent generellt. Då skulle vi lika gärna kunna sätta upp externa trådlösa nätverk som endast kan accessa den interna infrastrukturen via VPN. På så sätt har vi inte gjort avkall på säkerheten överhuvudtaget, jämfört med att användarna kopplar upp sig på ett trådlöst hotellnät och sedan loggar in och jobbar via VPN.

Det jag försöker säga är att ”dra ur sladden”-mentaliteten sällan är bäst. För mig som säkerhetskonsult blir det ibland lite trist när jag hittar säkerhetsproblem och kunderna väljer att bara stänga av funktionalitet, istället för att hitta ett sätt att få funktionen att fungera på ett säkert sätt.

Trådlösa nät är en fantastisk uppfinning ur användarperspektiv. Personligen sitter jag gärna med min laptop i knät och jobbar när jag är ute och reser etcetera.

Det finns högsäkerhetsmiljöer där trådlösa nät inte är ett alternativ, men i de allra flesta fallen är jag övertygad om att det går att kan erbjuda trådlöst om det bara implementeras på rätt sätt.

När det gäller att sätta upp trådlösa accesspunkter direkt på de interna klientnäten finns det vissa saker att tänka på.

Använd inte WEP överhuvudtaget, eftersom det är mycket enkelt att knäcka med dagens hackerverktyg. Det tar inte många minuter att brytas sig in i ett 128-bitars WEP-nät.

När det gäller WPA och WPA2 är krypteringstekniken bättre, och det enda publikt kända sättet att knäcka WPA ”i luften” är bruteforce eller så kallade Rainbowtables. Med en riktigt lång och obskyr nyckel är det fortfarande oerhört tidskrävande att bryta sig in i ett WPA/WPA2-nät.

Det som många dock inte tänker på när det gäller WPA/WPA2, är att om företaget har samma nyckel för samtliga användare finns det ett potentiellt problem. Om en obehörig kommer över en dator som har nyckeln lagrad kan han med hjälp av administrativa privilegier och rätt gratisverktyg läsa ut nyckeln i klartext.

I en miljö med ett stort antal användare är det, enligt min erfarenhet, mycket ovanligt att någon byter nyckel ens om hans laptop blir stulen. Och det är ett förhållandevis enkelt sätt att få åtkomst till det interna nätverket.

Den bästa lösningen är givetvis individuella nycklar, och det optimala certifikatbaserade sådana. På så sätt blir det en riktigt bra säkerhetsmässig lösning. Microsoft har bra guider för hur du implementerar detta, men det kräver att PKI har satts upp på rätt sätt och att de trådlösa accesspunkterna stödjer 802.1x.

Ett bra dokument för dig som vill veta mer är:
Deploying Secure 802.11 Wireless Networks with Microsoft Windows (US)

En annan hotbild, mot trådlöst som sådant, är att det är förhållandevis enkelt att ”kidnappa klienter” genom att lura dem att ansluta till en falsk accesspunkt med ett SSID som de är inställda att ansluta sig mot. Detta problem blir extra kritiskt om klienterna har brandväggen avslagen, loggar in som lokala administratörer och dessutom har opatchade applikationer etcetera.

För att komma till bukt med det krävs koll på säkerheten på klienterna. Det ställer rätt stora krav på en organisation. Drömmen vore ju att ha en så pass god säkerhet på klienter och servrar, samt trafiken mellan dem, att ingen kan hacka dem – inte ens med åtkomst till det interna nätverket. Då skulle det inte göra så mycket om en obehörig lyckades knäcka en intern WEP-nyckel eller två.

Vi är inte där idag. Därför är det viktigt att hålla tungan rätt i mun när vi implementerar och använder oss av trådlöst.

Min förhoppning är att du som läser detta får chansen att njuta av fördelarna med wireless, och att du dessutom implementerar trådlöst på ett säkert och bra sätt.

Marcus Murray, TrueSec
Marcus Murrays blogg

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.