Bufferzone
Trådløs sikkerhed.
Trådløse netværk findes i dag over alt, det er
næsten umuligt at have et trådløst netkort siddende i en bærbar
computer og så befinde sig et sted hvor der ikke er mindst et helt
åbent og usikret trådløst netværk til rådighed og den udvikling
stopper nok ikke lige med det første. Trådløse netværk har nogle
indbyggede sikkerhedsproblemer, som man er nødt til at kende og
forholde sig til, hvis sikkerhed har betydning. De fleste af disse
indbyggede problemer kan begrænses meget og enkelte af dem kan
fjernes helt, hvis man ved hvad man gør. Hoved problemet er
selvfølgelig at man ikke har kontrol over det trådløse nets
udstrækning og over hvem der kan ”få fat i det”. Med kabel net, ved
vi hvor kablerne løber, vi ved hvor mange stik vi har oghvor de
sidder og vi kan ofte frakoble ubrugte stik i switchen og
krydsfelter. Dette er ikke muligt når vi taler trådløst net
De Fysiske forhold.
De fysiske forhold er meget vigtige af flere
årsager, ikke mindst sikkerhedsmæssigt. Det første valg du ofte skal
træffe er placering af dit trådløse access point eller router, og
dette valg vil have konsekvenser for resten af de muligheder du har,
så træf det med omhu. Du er nødt til at vide nogle ting før du
træffer valget, lidt teknik om hvordan antenner m.m. virker.
Trådløst udstyr er som standard udstyret med det der kaldes en
rundstråle antenne, en sådan udsender et signal der minder om en
donut, cirkelformet og ikke ret høj (glem hullet i midten). Dette
betyder dels at trådløst udstyr kan have problemer med at række op
og ned samt at hvis du ikke placerer dit udstyr præcist i centrum af
det område du vil dække, så stråler antennen lige så meget ud i
områder der ikke er relevante som den stråler ind i det område du
ønsker at dække. Metal dæmper og reflekterer trådløse signaler og
det betyder faktisk at du under dårlige forhold kan være ude for at
dit udstyr kun rækker i det rum de er placeret i og oven i købet i
relativt dårlig kvalitet. Med til billedet hører også elektronisk
støj, der forstyrre signalerne ligesom reflekser. Hvis du er uheldig
og har elektrisk udstyr der støjer på de forkerte frekvenser og som
er placeret uhensigtsmæssigt i firhold til dit trådløse udstyr, så
vil det også have indflydelse på nettet.
Du kan gøre noget ved tingene.
Sørg for at placerer dit accesspoint/router
hensigtsmæssigt i forhold til signalets udbredelse og de faktiske
forhold i bygningen, således at signal dækningen er bedst og sikrest
mulig. Dette betyder at der er dækning i det område hvor du har brug
for det og mindst mulig dækning uden for. Retningsbestemte
specielantenner, ændre signal udbredelses formen fra en donut til
andre, ofte mere hensigtsmæssige, former. Det er den enkelte
antennes udformning der afgøre den specifikke form og du kan, ved at
vælge den rigtige antenne, komme meget tæt på idealformen.
Viden hjælper
Når du nu har placeret dit udstyr bedst muligt og
valgt de mest hensigtsmæssige antenner, så bør du kontrollerer
nettets udstrækning. Gå en tur i området med en bærbar og se hvor du
kan fange dit net. Husk at elektroniske signaler ofte kan opfører
sig på måder man ikke lige forventer. Du kan f.eks. godt være ude
for at miste signalet ret hurtigt, for så at kunne fange det igen
når du er kommet længere væk. Du vil også opdage at
signaludbredelsen ændre sig med vejret og atmosfæriske forhold, du
er derfor nødt til at lave kontrollen flere gange i forskelligt vejr
og på forskellige tider af året. Dokumenter hvad du finder og der
findes programmer som Network Stumbler og kismet der kan samarbejde
med GPS så dette arbejde bliver lettere.
Juster din sendeeffekt.
Når du har styr på det område dit udstyr dækker,
så kan du arbejde med sende styrker og skrue den så langt ned at
signalet er acceptabelt der hvor du har brug for det og uacceptabelt
eller ikke eksisterende udenfor. Hvis du i dag kan køre med et
stærkt reduceret signal, vil du også på sigt have noget reserve du
kan gøre brug af hvis forholdene ændre sig og du får jo ikke noget
ud af at signalet kan række der hvor du ikke har brug for det,
tværtimod.
Opsætning og konfiguration.
Når du er færdig med de fysiske forhold, så bør du
kikke på opsætningen af dit system. Her kan du hente ganske meget
sikkerhed ved forholdsvis enkle foranstaltninger.
SSID broardcast og navngivning.
SSID er dit access points identitet. For at kunne
bruge nettet skal man kende identiteten, på samme måde som du skal
kende telefonnumrene for at kunne ringe til dine venner. Når du
tager dit access point op af kassen og sætter strøm til, så har
access pointet et standard navn fra fabrikken, f.eks. hedder en
trådløs Linksys router Linksys og samtidig hermed er access pointet
konfigurere sådan at det udsender sit navn højt og tydeligt så alle,
der er inde for rækkevidde, umiddelbart kan opfange det. Du bør med
det samme slå SSID broardcast fra så navnet ikke råbes ud for fuld
kraft og du bør ændre standard navnet til noget andet, der ikke lige
kan gættes hurtigt. En SSID kan sammenlignes med et password og
navnet bør vælges efter samme principper som når man vælger et
sådant.
Kryptering
Trådløse signaler kan umiddelbart tappes og
aflæses, hvis du ikke gør noget for at beskytte dem, og da der er
mange former for netværks trafik, f.eks. FTP overførsler, når du
henter post med POP3 og flere andre, der sender passwords og
brugernavne i klart sprog, så er det en rigtig dårlig ide ikke at
gøre noget. Du kan krypterer trådløse signaler på en række
forskellige måder, WEP kryptering er den ældste og der er desværre
fejlbehæftet på en sådan måde at et WEP krypteret netværk kan
cracker på omkring 10 minutter i dag. WPA er meget bedre og bør i
dag være det absolutte minimum når vi taler kryptering af trådløse
netværk. Afløseren for WPA hedder WPA2 og der er endnu bedre en den
gamle WPA, det er dog en selvfølge at dit udstyr skal have support
for den kryptering du vælger, ellers går det ikke og da WPA2 er en
nyere standard, er der masser af udstyr derude, der ikke kan
håndterer denne protokol. Husk når du indtaster passwords og
tilsvarende for at lave de nødvendige nøgler, så skal det du taster
ind, være formuleret på samme måde som et password, så det ikke kan
gættes eller bruteforces.
MAC adresse filtrering.
Et hvert netkort haren fysisk adresse, der i gamle
dage vær brændt ind i en prompt og som hverken kunne ændres eller
slettes. I dag kan MAC adressen, som denne fysiske adresse kaldes,
ændres manuelt på rigtig mange netkort, hvorfor adressen i dag, i
modsætning til i gamle dage, ikke kan siges at være 100% unik. MAC
adresse filtrering betyder at dit system udover at være sikret via
kryptering ved at maskinen kender SSID også kikker på netkortets
fysiske adresse. Dette er ikke en show stopper for en dygtig hacker,
men endnu et lag i din sikkerhed. Du bør også læse artiklen. ”IT
sikkerhed – Sikkerhed i dybden” der handler om de samme principper.
En hacker der vil omgå MAC adresse filtrering vil forsøge at opfange
de MAC adresser der tillades på nettet og så udgive sig for at være
en af disse adresser.
VPN som yderligere et lag ved behov.
Hvis du har særlige sikkerhedsbehov, bør du i
første omgang se om ikke disse særlige behov kan flyttes så de ikke
bæres at trådløse forbindelser. Hvis dette ikke er muligt eller
hensigtsmæssigt kan du anvende VPN som yderligere et lag af
sikkerhed til at beskytte det der køre trådløst. De fleste enheder
har i dag indbygget support for VPN f.eks. via IPSec protokollen, så
det kan sættes i drift uden andre ekstra omkostninger end de
ressourcer det kræver at køre det. Det smarteste er at vælge enten
at køre VPN konstant eller ikke at gøre det. Det at iværksætte VPN
ved behov, sender et signal om at nu foregår der noget der er
særligt interessant. Dette er en dårlig ide, da der jo er andre veje
ind end gennem den trådløse forbindelse så der er ingen grund til at
annoncerer når der er noget i gære.
Tilkobl trådløst via DMZ.
Hvis du har læst artikler ”IT sikkerhed –
Sikkerhed i dybden” ved du at det er en god ide at tilkoble sit
trådløse netværk til resten af kabel nettet via DMZ i firewallen.
Det at det trådløse net er tilkoblet via DMZ betyder at man kan
begrændse skaden, hvis den trådløse sikkerhed kompromitteres.
Firewallen vil beskytte resten af nettets ressourcer og hackeren vil
skulle igennem den før han kommer ind til det interessante.
Tænk som en hacker.
Lige som det gamle ordsprog ”Det kræver en tyv at
fange en tyv”, så er det også en stor fordel, hvis du kan tænke som
en hacker når du vil beskytte dig mod hackere. Det at tænke som en
hacker, indebære at du kikker på dit net udefra, og anvender de
værktøjer som hackerne også bruger, dels for at se om du kan komme
ind, men lige så vigtigt for at se hvordan det faktisk ser ud
indefra når nogen forsøger at hacke dit net. Du bør kikke på
værktøjer som Network Stumbler og Kismet, der er en slags Intrusion
Detection værktøjer og meget mere. Du skal være opmærksom på at især
Kismet ikke nødvendigvis har support for alle mulige netkort. Der
findes også flere og flere ressource sites der beskriver trådløs
hacking i detaljer og på sigt vil du måske her på sitet finde gode
beskrivelser og mere rådgivning på området.
War driving og War Chalking
War driving og War chalking handler om at finde og
offentliggøre ubeskyttede og hackede net. I gamle dage foregik det
ved at hackerne, når de havde fundet er trådløst net eller hacket et
trådløst net, med kridt på bygningen skrev symboler så andre hackere
kunne se hvordan man kom ind. Denne praksis er nu gjort virtuel, så
alle hackere i hele verden, på forhånd og over internettet, kan
forberede sig og skaffe oplysninger om net der gratis kan udnyttes
ligegyldigt hvorhen de rejser i verden. Projektet hedder WiGLE
(http://www.wigle.net/) der arbejder sammen med Google Eath. Selve
teknikken i det kan læses på WiGLE’s hjemmeside, her skal pointen
blot være at det er en god ide jævnligt at kontrollerer om man selv
er med i databasen og hvis man er så få strammet op på sikkerheden
og ændret sikkerhedsoplysningerne, så man ikke står piv åben.
Omtanke og forudseenhed
Trådløse netværk tilbyder fleksibilitet på alle
måder, og er en stor fordel i mange sammenhænge. Problemerne opstår
når administratorer smider dem i drift uden omtanke og
sikkerhedsmæssige overvejelser. Et trådløst net kan sagtens være en
meget fornuftig løsning og den behøver ikke være et problem hvis man
tænker sig om fra starten. Læs mere om IT sikkerhed
her:
IT sikkerhed -
Sådan sikre du din PC
IT sikkerhed - Sikkerhed i dybden
IT sikkerhed -
Eksempel på Instruks for anvendelse af Internettet.
Sikkerhedspolitik
IT sikkerhed - Baselining forudsætningen for meget
IT
sikkerhed - Gode råd om valg af passwords
IT sikkerhed - Fysisk Sikkerhed
IT sikkerhed - IT sikkerhedscertificeringer
IT sikkerhed - Firewall regler
IT
sikkerhed - Firewall typer
IT sikkerhed - Sårbarhedsanalyse
IT sikkerhed med VMWare
IT
sikkerhed - Netværksudstyr forklaret
IT sikkerhed - Pressehåndtering
Læs mere om Trådløs IT sikkerhed her:
IT
sikkerhed - Trådløs sikkerhed
IT sikkerhed - Brug Trådløse Hotspots sikkert
Læs mere om Computer Forensics her
Computer Forensics - Den Grundlæggende
del
Læs også disse serier
Søgemaskineoptimering
Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Hacking
Google
SEO
Blackhat Techniques
|
|