WLAN - Trådløst netværk

WLAN - Sikkerhed i trådløst netværk

En artikel fra www.infrateket.dk

WLAN - Sikkerhed i trådløst netværk

Her kan du læse om, hvordan du kan sikre dit trådløse netværk imod uønskede gæster.

Indledning

Er alt det der sikkerhed nu også nødvendig?

Hvis nogen skulle finde på at spørge, så er svaret: Ja! Det er absolut nødvendigt at være opmærksom på sikkerheden, når man ejer et trådløst netværk. Truslen er blandt andet:

Det kan altså give en masse ubehageligheder, hvis en ondsindet person får adgang til dit trådløse netværk.

Virker sikkerheden?

Ja, det gør den! Der har været skrevet og sagt meget i dagspressen om manglende sikkerhed i WLAN, men det er slet ikke så usikkert endda. For at få et sikkert WLAN, så skal du:

Jeg har undersøgt, hvordan hackerne bryder de enkelte typer WLAN-sikkerhed, og sammenlignet det med, hvad der findes af sikkerhedsfunktioner. Det giver groft sagt 2 typer sikkerhed for WLAN:

  1. Dem der virkeligt volder hackerne besvær, hvis de bruges med omtanke.
  2. Dem der kan brydes af de fleste kvikke hackere på under 5 minutter (inklusiv en kaffepause).

Jeg vil anbefale udelukkende at bruge type 1, mens type 2 blot gør vores eget brug af WLAN'et mere besværlig. Læs videre herunder, så kan du bedømme sagen selv.

Hvor sikker er sikkerheden?

Sikkerheden består i at kryptere de data, der overføres igennem netværket, samt kun at tillade "godkendte" brugere, at koble sig til dit WLAN.

Hvis de nyeste sikkerhedsfunktioner i WLAN bruges med omtanke, så kan de ikke brydes inden for overskuelig tid. Det vil sige at selv med computere, der er 1.000.000 gange hurtigere end dem vi har i dag, så vil det typisk tage meget mere end 1000 år at bryde krypteringen; ..... og så kan du jo godt nå at udskifte din kode til en anden inden da.  ;-)

Den mest anvendelige WLAN sikkerhedsfunktion for private og mindre kontorer er WPA-PSK eller WPA2-PSK, så det er dem jeg vil gennemgå her. Hvis dit udstyr ikke indeholder en af disse sikkerhedsfunktioner, så skal du undersøge om det kan opdateres med ny Firmware (søg producenten på Internettet eller spørg din forhandler), ellers bør du købe et nyt udstyr, der indeholder WPA.

Note:

Windows XP, servicepack 2 eller nyere, understøtter WPA

Sådan gør hackeren

For direkte at kunne modarbejde en hacker, der vil bryde ind på dit WLAN, så er det godt at kende lidt til den teknik, som anvendes for at bryde ind på et WPA-PSK-sikret WLAN.

God teknik kombineret med menneskelig svaghed

WPA-PSK benytter et fælles langt password (passphrase). Det skal indtastes i opsætningen af både pc og AP, inden der kan opnås kontakt. Det er det, der betegnes med forkortelsen PSK (Pre-Shared Key (EN/DK: forudgående-delt nøgle). Det er ikke muligt at bryde krypteringen i et WPA-PSK-sikret WLAN, men hvis der bruges en "dårlig" PSK, så kan hackeren "gætte" PSK'en. Har man først den, så kan man koble sig på netværket. Svagheden i WPA sikkerhedsfunktionerne er altså ikke selve teknikken, men den menneskelige brug af samme.

Data hentes

Når din pc skal kobles til et WLAN, så skal der udveksles nogle data imellem pc'en og AP'et for at kunne generere krypteringsnøglerne. Dette foregår under en proces, der kaldes en "four-way handshake" (EN/DK: fire-trins-udveksling). Det er disse data en hacker kan opsnappe og analysere. Der foregår kun en "four-way handshake" i det øjeblik en pc bliver koblet op til et WLAN, men en hacker kan få dit AP til at udsende disse data til en pc, der allerede er koblet på dit WLAN. De data, som hackeren opsamler, kan han tage med hjem på sin egen pc, hvor han i ro og mag kan arbejde med dem. Dataene indeholder bl.a. en krypteret kombination af dit SSID og din PSK, og det er disse han vil forsøge at vriste ud af krypteringens sikre greb.

PSK brydes med "Brute force"

Det er ikke muligt at finde PSK'en med andet end "brute force". Der bruges ofte et ordbogsangreb. Den teknik benytter sig af det faktum, at mennesker ikke kan huske password som f.eks. "Mk5CgyAZ3R8VhDYjtW", men let kan huske f.eks. "LilleOle12" eller "henrikshund". Vi mennesker falder altså ofte for fristelsen til at anvende et kort password, der er sammensat af "rigtige" ord, men det gør dem lette at gætte med et "ordbogsangreb". Det er en teknik, hvor et computerprogram systematisk sammenligner passwordet med en liste med WLAN-producenternes 1000 mest almindelige (standard) SSID's, samt en liste med mange mange tusinde ord fra diverse ordbøger.

Note:

Til et ordbogsangreb benytter hackere ordbogslister, der indeholder over 4 millioner ord fra mere end 20 sprog.

Beder pænt om at få udleveret din PSK

I mange WLAN-udstyr er der indbygget en funktion, man kan bede om at udlevere adgangskoden til netværket. Denne funktion hedder Wi-Fi Protected Setup (WPS). Det er en teknologi, der gør det muligt at koble sig til et trådløst netværk (WLAN) uden at kende eller indtaste den lange svære WPA-PSK adgangskode (ak og ve!). I stedet for adgangskoden, skal der indtastes en 8-cifret PIN-kode, hvorefter AP og computeren udveksler adgangskoden. Hvis WPS er aktiv hele tiden, så kan det lade sig gøre at knække PIN-koden med brute force indenfor 11.000 forsøg. Det tager maksimalt 4 timer.

Konklusion

Sådan beskytter du dit WLAN

Note:

3 små skridt for en netværksadministrator; - et stort skridt for netværkssikkerheden!

(noget lignende er vistnok hørt på månen!!)

Hvis du vil gøre det så besværligt for en hacker som det er muligt, så skal du:

  1. Skifte udstyrets standard administrator password til et andet.
  2. Skifte udstyrets standard SSID til et andet (maksimalt 32 tegn).
    1. Brug ikke noget, der kan forbindes med din person, netværkets indhold eller formål.
  3. Bruge kryptering:
    1. Dårlig: WEP kryptering - og skift WEP nøgler med mellemrum.
      WEP holder kun almindelige mennesker ude af dit netværk. En hacker kan nemt bryde WEP på få minutter.
    2. Bedre: WPA-PSK kryptering (minimum 20, maksimum 63 tegn).
      Brug IKKE almindelige navne eller ord, der findes i ordbøger.
      Brug ikke noget, der kan forbindes med din person.
      Brug gerne et såkaldt "stærkt password" f.eks. "yxEYd2jG00gM2Q3EOStcwOK27"
    3. Bedst: WPA2-PSK kryptering (minimum 20, maksimum 63 tegn)
      Brug IKKE almindelige navne eller ord, der findes i ordbøger.
      Brug ikke noget, der kan forbindes med din person.
      Brug gerne et såkaldt "stærkt password" f.eks. "yxEYd2jG00gM2Q3EOStcwOK27"
    4. Deaktiver WPS-funktionen helt eller opsæt den, så den kun er tidsbegrænset aktiv efter et tryk på WPS-knappen på dit WLAN-udstyr.

For at udføre ovenstående, så skal du læse lidt i dit WLAN-udstyrs betjeningsvejledning.

I nedenstående afsnit kan du læse om, hvorfor lige netop disse punkter er så vigtige.

(Om punkt 1) Administrator password

Du skal ændre dit udstyrs standard administrator-password.

Brug et stærkt password, der ikke relaterer til dig eller til noget man umiddelbart kan gætte; skriv det ned, og gem det på et sikkert sted, så du ikke glemmer det.

Hvad er det?

Administrator-password'et skal bruges af den person, som skal opsætte alle funktioner i dit trådløse netværk (det er sikkert dig selv!). Administratoren har adgang til at opsætte alle passwords, koder, kryptering, adresser osv. Man kontakter sin WLAN-gateway fra en pc, der er tilsluttet netværket. Man skriver dens IP-adresse i sin  Internet Browsers adresselinie (typisk: http://192.168.1.1, men se i din betjeningsvejledning, hvordan du gør).

Hvordan kan det misbruges?

Hvis en hacker kan logge sig på dit netværk som administrator, så har han frit spil til at ændre opsætningen i dit udstyr. Leverandøren af dit trådløse netværk har givet det et standard administrator-password. Hackere kender alle disse standard passwords, så hvis du ikke ændrer det, så kan de let få adgang til opsætningen af dit netværk.

Hvad bevirker det for mig?

Det er yderst sjældent, at du benytter dit administrator-password. Det er sædvanligvis kun lige i starten, når du opsætter dit udstyr fra nyt. Derefter er det kun, hvis du skal ændre noget i opsætningen med sikkerhed osv. Du kan eventuelt notere det nye password i din betjeningsvejledning, så du ikke glemmer det.

(Om punkt 2) SSID

Du skal ændre dit udstyrs standard SSID.

Dit SSID må ikke være det som producenten bruger som standard. Det bør heller ikke indeholde navn eller adresse på dig, din familie, din virksomhed eller andet, som kan antyde hvilke spændende informationer, der transporteres på netop dette netværk. Det er nemlig sjovere for hackere at forsøge at bryde ind på et netværk, hvis de på forhånd ved, hvem netværket tilhører.

Hvad er det?

SSID er navnet på dit netværk. Hvis en ny bruger skal kobles på et trådløst netværk, så skal han/hun bruge  SSID'et for at få adgang. SSID'et er det netværksnavn som en bruger kan se i sin pc på listen over tilgængelige trådløse netværk.

Hvordan kan det misbruges?

SSID'et kan ikke misbruges direkte, men det kan måske "fortælle" en hacker noget om dig og dit udstyr. Leverandøren af dit trådløse netværk har givet det et standard SSID. Hackere kender alle disse standard SSID'er. Det bevirker, at når de møder et SSID de kender, så er de straks klar over hvilken type udstyr du bruger, samt hvad administrator-passwordet standard er sat til.

Hvad bevirker det for mig?

Hele ideen med et SSID er at dine netværksbrugere kan finde dit netværk og koble sig til det (og kun det; - ikke naboens usikre netværk).

Når dit udstyr udsender dit SSID, så vil dine brugere (og alle andre i nærheden) kunne se dit netværksnavn i sin pc på listen over tilgængelige trådløse netværk. Det vil gøre det væsentligt nemmere at koble sig på netværket, og det gør det ikke mere usikkert, idet man også skal bruge PSK'en for at kunne koble sig på (læs mere om krypteringen i næste afsnit).

Note:

De fleste WLAN-gateways kan deaktivere udsendelsen af SSID'et. Hvis SSID'et ikke udsendes, så kan netværksbrugerne ikke kunne se netværket på listen over tilgængelige netværk. De skal altså selv indtaste det korrekte SSID i PC’ernes netværksopsætning, første gang de skal have adgang til netværket. Herefter vil pc'en selv koble sig på netværket, når det er til rådighed.

(Om punkt 3 a til c) Kryptering

Du skal slå krypterings-funktionerne til på dit trådløse netværk.

Du skal bruge den kraftigste kryptering, som dit udstyr tilbyder (typisk WPA-PSK). Brug ikke blot et enkelt ord som adgangsnøgle (PSK), men en hel sætning (med over 20 stk. bogstaver/tal/tegn) uden mellemrum imellem ordene, f.eks.:

Note:

...og brug ikke ovenstående 2 eksempler. Nu de står på denne side, så kender hele verden dem!

Der er mere hjælp at hente i Teknisk Leksikon under password

Udskift eventuelt din PSK med en ny, når du har brugt den et stykke tid. F.eks. en gang om måneden. PSK'en skal ændres i dit AP, samt alle de pc'er, der skal kunne tilkobles dit WLAN.

Hvad er det?

Du kan gøre dine data ulæselige for uvedkommende ved at kryptere dem. Krypterede data kan kun læses ved at bruge den rigtige dekrypteringsnøgle.

Krypteringsfunktionerne skal være indbygget i det trådløse netværksudstyr du køber, ellers er det ikke værd at købe. Når du køber et nyt trådløst netværk, så skal det være udstyret med en kryptering, som hedder  WPA og WPA2. Du skal selv aktivere WPA, og skal også selv finde på en "PSK". En PSK består af en hel sætning, eller en "umulig-at-gætte" kombination af tal bogstaver og tegn.

Hvordan kan det misbruges?

Selvom det er svært at koble sig til dit trådløse netværk, så kan det stadig lade sig gøre at opfange de data, der udsendes trådløst som radiosignaler. De data, som du sender igennem dit netværk, vil kunne læses og måske misbruges til, at indsamle mange personlige oplysninger om dig og din adfærd. En hacker der får uhindret adgang til dit netværk vil måske også misbruge din internetforbindelse til at begå kriminalitet, som du så kan få skyld for. Det er altså absolut ikke hvem som helst der skal kunne komme ind på ens eget netværk. En kryptering vil effektivt kunne forhindre misbrug.

Hvad bevirker det for mig?

Du mærker ikke selv forskel under den daglige brug af dit eget trådløse netværk. Du og andre brugere skal blot taste den korrekte PSK ind i pc’ernes opsætning, første gang de skal have adgang til netværket.

Anvendelsen af kryptering kan "stjæle" lidt båndbredde (overførelseshastighed) i dit netværk, men det er normalt ikke noget problem, set i forholdet til hvilke problemer det kan bevirke ikke at bruge det.

(Om punkt 3 d) Krypteringens WPS-funktion

Du skal sikre dig at din WPS-funktion ikke er aktiveret hele tiden, men derimod udelukkende aktiveret i en kort periode efter du selv har startet den ved at trykke på en knap på dit WLAN-udstyr. Du skal så også sørge for at skumle personer ikke har fysisk adgang til at kunne trykke på din WPS-knap.

Hvad er det?

Det er en teknologi, der gør det muligt at koble sig til et trådløst netværk (WLAN) uden at kende eller indtaste den lange svære WPA-PSK adgangskode. I stedet for adgangskoden, skal der indtastes en 8-cifret PIN-kode, hvorefter AP og computeren udveksler adgangskoden.

WPS-serveren (den der tilbyder tjenesten) findes i  dit WLANs netværksudstyr (gateway/router/AP), mens klienten (den der benytter tjenesten) findes i det udstyr, der skal tilkobles trådløst til dit netværk (pc, mobiltelefon, tablet-pc, spillekonsol m.m.). WPS-serveren venter hele tiden på at en klient henvender sig for at få adgang. Serveren spørger klienten om PIN-koden, og hvis den er korrekt, så udveksles WPA-PSK adgangskoden med klienten. Herefter er der adgang til netværket.

Hvordan kan det misbruges?

Hvis WPS er aktiv hele tiden, så kan det lade sig gøre at knække PIN-koden med brute force indenfor 11.000 forsøg. Det tager maksimalt 4 timer. Herefter vil hackeren have fuld adgang til dit netværk.

Skumle personer, der har fysisk adgang til at kunne trykke på din WPS-knap, kan koble sig til dit WLAN i et ubevogtet øjeblik.

Hvad bevirker det for mig?

Du mærker ikke selv den store forskel under den daglige brug af dit eget trådløse netværk. Du og andre brugere skal blot trykke på WPS-knappen på dit WLANudstyr, og inde 120 sekunder indtaste PINkoden i pc'en første gang de skal have adgang til netværket. Herefter vil pc'en automatisk finde og opkoble sig til netværket. Efter de 120 sekunder er udløbet afbrydes WPS-funktionen automatisk og hackere vil ikke kunne misbruge WPS-funktionen (med mindre de kan komme ind i dit hus og trykke på WPS-knappen).

Sikkerhedsfunktioner, der næsten ingen virkning har

Her beskrives 2 funktioner, som næsten ikke yder nogen beskyttelse. De er udelukkende medtaget her fordi, der findes masser af beskrivelser for sikkerhed på WLAN, som anbefaler at benytte dem. Hvis man undersøger de metoder som hackere benytter, så viser det sig, at det næppe forsinker en hacker mere end 2 minutter. Jeg anbefaler IKKE at bruge dem, men her er beskrivelsen:

  1. Deaktiver broadcastmeddelelser (SSID udsendes ikke. Det bevirker at netværket ikke er synligt for andre; heller ikke dine egne brugere).
    Dette har kun lille effekt imod hackere, idet SSID'et udsendes på 4 andre måder.
  2. Brug filtrering på MAC adresser.
    Dette har kun lille effekt imod hackere, og er måske ligefrem en ulempe for dig selv.

(1) Deaktivering af broadcast-meddelelser

Du kan slå broadcast-meddelelser fra således at SSID'et ikke udsendes af dit trådløse netværk, men det giver kun lidt ekstra sikkerhed. SSID'et udsendes i fire andre situationer, så en hacker kan altså nemt få fat i det alligevel.

Hvad er det?

En broadcast-meddelelse indeholder information om navnet på basisstationen (SSID), datahastigheden, samt om de udvekslede data er krypterede eller ej. Når broadcast-meddelelsen udsendes, så vil du kunne se netværket i styresystemets (Windows) liste over tilgængelige trådløse netværk.

Hvordan kan det misbruges?

Hvis broadcast oplysningerne opsnappes, kan hackere nemmere koble sig på det trådløse netværk. Formålet med det vil være, at opsamle datapakker nok til at bryde krypteringen. Hackerprogrammer finder nemmest et trådløst netværk ved at lede efter broadcast-meddelelser, som udsendes fra det trådløse netværks basisstation (AP'et). Der er dog ikke den helt store sikkerhed i ikke at udsende det, idet SSID'et kan hentes på flere andre måder.

Hvad bevirker det for mig?

Hvis udsendelse af broadcast-meddelelser er slået fra, så gør du det lidt sværere for dine almindelige brugere at tilslutte sig dit netværk. Under den daglige brug af dit trådløse netværk, mærker du kun forskel første gang din computer skal tilkobles netværket.

Når SSID'et ikke udsendes som broadcast-meddelelse, så vil du ikke kunne finde netværket ved at lade computeren søge efter tilgængelige trådløse netværk. Du skal selv koble dig til netværket.

Første gang du skal have adgang til netværket, skal du (og evt. andre brugere) blot indtaste de korrekte oplysninger om SSID, kryptering og evt. også den anvendte radiokanal.  Næste gang, du skal tilkobles, så vil netværket være synligt i listen over tilgængelige trådløse netværk, fordi de korrekte oplysninger til netop dette netværk er indtastet på forhånd.

(2) Filtrering på MAC adresser

Du kan bruge filtrering på MAC adresser. I mange AP'er kan du, som en ekstra sikkerhed, oprette en liste over MAC-adresser, der har tilladelse til at koble sig på det trådløse netværk.

Bemærk:

Jeg anbefaler ikke filtrering af MAC-adresser.

Når du benytter MAC-adresse-filtrering, så tvinger du en eventuel hacker til at efterligne en af dine "godkendte" MAC-adresser. Ved at efterligne din MAC-adresse vil en hacker fremstå som om, han afsender datapakker fra din pc. Set ud fra dette, så er det ligefrem en fordel for dig at lade en hacker benytte sin egen MAC-adresse. Det vil nemlig betyde, at det kan ses, at eventuelle ulovligheder begået via din internetforbindelse er udført fra en pc, der normalt ikke befinder sig på dit WLAN på din postadresse.

For at kunne opnå adgang til netværket, så skal hackeren kunne bryde krypterings-sikkerheden på dit trådløse netværk. Alle hackere vil inden for 45 sek. kunne opsnappe en MAC-adresse fra dit trådløse netværk, og ændre deres eget udstyrs MAC-adresse til en, der findes i dit netværk. Det er altså ikke arbejdet værd at vedligeholde en filtreringsliste, og det kan måske ligefrem skade dig selv.

Hvad er det?

En MAC-adresse identificerer et ganske bestemt fysisk udstyr (netværkskortet NIC). Ved at oprette en liste i dit AP over de MAC-adresser, som dine egne udstyr indeholder, så kan du sikre, at det kun dem, der kan koble sig til dit netværk. Alle udstyr med adresser, der ikke findes i listen, vil straks blive afvist af AP'et.

Datapakker, der sendes via Internettet, er forsynet med 2 slags adresser. For at kunne udpege, hvor et udstyr befinder sig på jordkloden, så skal man kende dem begge:

Hvordan kan det misbruges?

En MAC-adresse kan misbruges som en slags "Identitets-tyveri". En hackers pc, der er trængt ind på dit netværk og har "snuppet" din MAC-adresse, kan udgive sig for at være din pc, der sender datapakker (ofte med ulovligt indhold eller formål). Det vil altså se ud som om det er dig, der foretager noget ulovligt.

Hvis en hacker skulle opnå at bryde krypteringsfunktionerne i et WLAN der er "beskyttet" med MAC-filtrering, så vil han straks opsnappe og efterligne en MAC-adresse fra transmissionen på dit netværk. Herefter vil hans pc uden videre få adgang til netværket, idet den i forvejen er godkendt i din MAC-filter-liste (altså ikke meget ekstra sikkerhed i dette).

Hvad bevirker det for mig?

Første gang en pc skal have adgang til netværket, så skal du oprette dens MAC-adresse på listen over godkendt udstyr. Næste gang, den skal tilkobles, så vil dit AP kunne huske, at denne pc må kobles op til netværket. Det bevirker dog, at du altid selv skal holde listen opdateret med alle de MAC-adresser som du vil tillade opkobling til dit netværk.

Krypterings-funktioner - WEP og WPA

Der findes flere forskellige krypterings-systemer til trådløse netværk, som jeg ganske kort vil gennemgå her.

Bemærk:

Som PSK skal du anvende mindst 20 karakterer, og gerne en blanding af store og små bogstaver, samt tal. Lav samtidigt stavefejl i de ord du anvender, så de ikke kan findes i en almindelig ordbog (hackere kender jo også ordbogen).

Se eventuelt mere om, hvordan du laver passwords, der er svære at bryde i Teknisk Leksikon under password.

Copyright - © - Ophavsret - Arne Crown 

www.infrateket.dk

AP029-2 /2014-04-19 22:18