WI-FI: Slik sikrer du ditt trådløse nettverk mot datainnbrudd


Slik sikrer du et trådløst nettverk (WI-FI)

Trådløse nettverk har mange fordeler, da de ikke trenger kabler, samtidig som signalene går igjennom både vegger, tak og gulv. Trådløse nettverk tas derfor i bruk på stadig flere steder, både privat, på jobben og offentlige steder.

Problemet med trådløse nettverk, også kalt WI-FI, er at det er relativt enkelt å bryte seg inn på trådløse nettverk. Et WEP angrep tar bare minutter, et WPS-angrep kan være unnagjort på en formiddag, mens et svært omfattende angrep på WPA med ordbok kan gjøres på én uke, hvis angriperen har et par gode skjermkort tilgjengelig.

Det eneste angriperne trenger å gjøre er å laste ned noen programvarer og bruksanvisninger fra Internett, før de starter angrepet mot ditt trådløse nettverk.

La oss først se på de 3 sikkerhetstandardene som gjelder for trådløse (WI-FI) nettverk, før vi kommer nærmere inn på hvordan du bør gå frem for å sette opp din ruter på en sikrest mulig måte.

WEP – den store synderen

Wired Equivalent Privacy (WEP) var den første sikkerhetsstandarden for trådløse nettverk som kom. Standarden kom i 1999, men er i dag å anse som en svært usikker krypteringteknologi. Krypteringen kan i dag knekkes på svært kort tid, faktisk på minutter.

Bruk derfor ALDRI WEB kryptering av ditt trådløse nettverk.

WPA – krypteringen er ikke sterkere enn passordet

For å bøte på problemet WEP skapte, kom Wi-Fi Protected Access (WPA) i 2003. Sikkerhetstandarden WPA har i dag ingen kjente sikkerhetshull for å knekke nettverkpassordet til WPA-krypterte nettverk. Etterfølgeren WPA2 har dessuten gjort standarden enda sikrere.

Til tross for at krypteringen regnes som sikker, er det mulig å knekke passordet. Hackere kan f.eks. sette opp en lyttepost for å prøve å snappe opp samhandlingen mellom datamaskinen og nettverkruteren når en annen datamaskin kobler seg til WPA nettverket ditt.

Den interessante delen av denne samhandlingen kalles et handshake, og er prosessen som går ut på å verifisere om en datamaskin er en gyldig bruker av WPA-nettverket eller ikke. Påloggingen skjer ved at sikkerhetsstandarden regner seg frem til en unik nøkkel, Denne nøkkelen kalles Pairwise Master Key (PMK), og er basert på nettverkets navn og et selvvalgt passord.

En eventuell hacker vil prøve å fange opp håndtrykket mellom datamaskinen og ruteren, for å deretter generere en haug med nøkler ut i fra nettverknavnet og en liste med vanlige passord. Til slutt kan han teste disse nøklene mot håndtrykket for å sjekke om listen inneholdt rett passord til nettverket. Det er også mulig å gå systematisk til verks, ved å teste ethvert mulige passord. Dette kalles for et «brute-force» angrep.

Har du et svakt passord, et passord som finnes i ordlister, eller et som hackeren selv kan generere ut i fra informasjon som adresse, navn og telefonnummer, har du et nettverk som er sårbart for ytre inntrengere. Her gjelder regelen: – Jo lengre passordet er, jo vanskeligere er det å knekke det.

Å kalkulere slike nøkler krever stor datakraft, og var tidligere en fremgangsmåte som var lite brukt. I dag har datakraften til PCèr og da spesielt skjermkortene blitt så stor at det i dag er fult mulig å knekke passord på kun 5 bokstaver på relativt kort tid.

WPS – den skjulte sårbarheten

Wi-Fi Protected Setup (WPS) er den siste sikkerhetsstandarden for trådløse nett og kom for å gjøre det enklere og tryggere for ukyndige å koble enheter til et trådløst nettverk. Standarden gjorde det mulig å få tilgang til et trådløst nettverk ved å kun oppgi en 8-sifret kode som var klistret på selve ruteren.

I desember 2011 ble det imidlertid funnet en grov usikkerhet i standarden, som gjør det mulig å sjekke om de første fire sifrene i koden er korrekt, uavhengig av om resten av koden er korrekt. Denne designfeilen i WPS-protokollen gjør det praktisk mulig å bruke et såkalt “brute force”-angrep for å knekke den åttesifrene PIN-koden. Når ruteren får feil PIN-kode viser det seg nemlig at den gir beskjed tilbake om de fire første snifferne er riktige

Som om dette ikke var nok, slenger ruteren samtidig ut informasjon om det siste tallet i koden som brukes som et kontrollsiffer er riktig eller galt. Dette kontrollsifferet blir regnet ut ved hjelp av de syv foregående sifrene. I praksis ble dermed den 8-sifrene koden redusert til to koder på fire og tre siffer, som reduserer antall mulige nøkler fra   100 000 000 til 11 000.

Når dette kombineres med at mange rutere ikke blokkerer klienter som gjør vedvarende tilkobling forsøk med feil PIN-kode, kan uvedkommende med lysten og kunnskapen komme seg inn i et slikt nettverk på noen få timer. Angreptiden varierer ut i fra rutermodell og avstand fra nettverket, men svært få rutermodeller er sikret mot sårbarheten. Et gjennomsnittlig angrep tar gjerne rundt 4-5 timer, så med andre ord er heller ikke WPS en fullgod løsning i seg selv.

Å skjule nettverket er ingen god løsning

Innbruddprosessen i en WPA-kryptering avhenger som tidligere nevnt ikke av rutermodell, men av nettverknavnet. Noen trådløse rutere tilbyr muligheten til å skjule nettverknavnet, slik at det ikke blir synlig i listen over nettverk i nærheten av deg. Da må du manuelt skrive inn nettverknavnet på enheten som skal kobles til. Det kan ved første øyekast virke som en god løsning, men den har flere klare ulemper.

Dette er mindre gjennomtenkt funksjon, da det medfører at alle tilkoblede enheter – og enheter som tidligere har vært tilkoblet og som for øyeblikket ikke er tilkoblet noen nettverk – sender ut nettverknavnet i alle retninger, enten de befinner seg hjemme eller på flyplassen.

I stedet for at én enkelt enhet, ruteren, kringkaster nettverknavnet har nå alle tilkoblede laptoper, mobiler, og nettbrett fått denne oppgaven. Navnet er fortsatt skjult for det nakne øyet, men enhver programvare som søker etter nettverk vil plukke opp både nettverket og dets navn.

Logg inn på ruterens administrasjongrensesnitt

For å kunne sette opp ruteren, må du først logge på ruterens administrasjons – grensesnittet.

Ruteren vil normalt være satt opp med ip-adressen 192.168.0.1 , 192.168.1.1 eller 10.0.0.1 . Dette vil framkomme av dokumentasjonen.

For å få kontakt med ruteren åpner du en nettleser (f.eks. Chrome eller Firefox) og skriver ip-adressen til ruteren. F.eks. http://192.168.0.1. Logg så inn med det brukernavnet og passordet som du finner i dokumentasjonen til ruteren.

En alternativ løsning vil være å kjøre kommandoen ipconfig /all fra kommandolinjen. Denne kommandoen vil liste ut tilkobling informasjon for alle nettverks forbindelsene til pc-en. For forbindelsen som benyttes til ruteren skal man se etter «Default gateway«-ip-adressen.

Oppdater firmware (operativsystemet)

Det første du bør gjøre når du er inne, er å oppdatere ruterens firmware (operativsystem), slik at du er sikker på at du bruker den nyeste versjonen av programvaren til ruteren. Noen har innebygde funksjoner for å gjøre dette, mens andre krever at du besøker en nettside.

Bytt til et unikt nettverknavn

Bruker du et standard nettverknavn (SSID) som «dlink» eller «linksys» bør du skifte til noe som er unikt.

Årsaken til dette skyldes at hackere som ønsker å bryte seg inn på ditt trådløse nettverk vil benytte lister med ferdige nøkkelsamlinger som kan testes på kjente nettverknavn som f.eks. dlink og linksys. Skift derfor nettverknavnet til noe unikt.

Ikke skjul nettverknavnet

Dette er en dårlig ide, da navnet egentlig ikke blir skjult. Å prøve å skjule nettverknavnet skaper bare mer jobb for deg hver gang du skal koble til en enhet, uten at sikkerheten øker.

Ikke bruk WEP eller WPS

WEP og WPS er som vi har vært inn på tidligere ikke å anse som en sikker protokoll og bør derfor ikke brukes.Spesielt ikke WEP.

Bruk WPA2 med AES-kryptering

Velg den nyeste krypteringen som er tilgjengelig. Velg WPA2 med AES eller TKIP kryptering.

Bruk et godt passord på det trådløse nettverket

Nettverks passordet er systemets svakeste ledd. Sørg derfor for å velge et trygt passord til ditt trådløse nettverk. Les vår artikkel: «Ikke bruk disse passordene – følg disse passordreglene» for å lære hvordan du velger et trygt passord.

Når det gjelder nettverks passordet til ditt trådløse nett er det bedre å lage et langt og vanskelig passord som skrives ned på en lapp som festes på ruteren, enn et enkelt passord som er lett å huske.

En kjent, og forholdsvis grei metode, er å velge et langt passord som er lett å huske. Det er antageligvis svært få hackere som har ordlister omfattende nok til å inneholde «MinHUNDheterROCKY3».

Husk i denne sammenheng at passordet blir mye sterkere om du benytter deg av norske bokstaver som æ, ø og å, sammen med både tegn og tall. Skal du lage et passord sammensatt av ord, bør det inneholde dialektuttrykk som ikke finnes i ordbøker, og det bør helst være ganske langt.

..og på ruterens konfigurasjonside

For å være på den sikre siden bør du også sette et nytt passord for å få tilgang til ruterens konfigurasjonside. Ikke bruk det samme passordet her som for påloggingen til nettverket. Bruk heller ikke et passord som er enkelt å gjette. La aldri ruteren bli stående med standard passordet fra produsenten, da dette er det samme som å la døra stå åpen.

Slå av fjernadministrasjon

Noen rutere støtter konfigurasjon over internett. Denne funksjonen pleier å være avslått som standardvalg, men det kan være lurt å sjekke at denne er av.

MAC-filtrering er ikke tilstrekkelig

Hver eneste nettverkenhet, det være en mobiltelefon, nettbrett eller nettverkskort, har en unik MAC-adresse knyttet til seg. Denne brukes blant annet av ruteren for å holde styr på hvilke enheter som er hvilke.

I mange rutere har du muligheten til å lage en liste over MAC-adresser som er godkjent til å koble til nettverket. Vi anbefaler ikke å slå på denne funksjonen, da det er en triviell sak å omgå denne sperren. MAC-filtrering vil bare gjøre det mer tungvindt for deg, uten å virke som en sperre mot en eventuell innbryter.

Trenger du UPnP?

UPnP er en teknologi der tjenester/programmer/enheter kan sende konfigurasjons ønsker til ruteren. Dette er en vanlig løsning å benytte når ruteren skal settes opp til å kunne ta i mot trafikk som er initialisert utenfra. For eksempel hvis du bruker ip-telefoni/ip-telefoni-adapter vil den normalt sett sende en forespørsel via UPnP for å få åpnet porten den trenger å motta samtaler.

En annen vanlig bruk av UPnP hos mange er bittorrent-klienter, hvor bedre ytelse oppnås hvis man enten manuelt setter opp en port for klienten eller at den får gjort dette via UPnP. Noen spill vil også kunne utnytte UPnP for automatisk oppsett i forhold til nettspilling.

UPnP gir imidlertid en del sikkerhetsmessige utfordringer. Det vi blant annet ser er at en del har skrivere, overvåkningskameraer og NAS-lagringsenheter som har eksponert seg mot nettet via UPnP, og det uten at man nødvendigvis i praksis bruker de tjenestene som har blitt eksponert. Dessuten finnes det mange eksempler på malware/virus som har utnyttet UPnP.

Tidligere var det mange rutere som ble levert med UPnP deaktivert, men etter hvert er det blitt vanlig at dette er aktivert som standard. Bakgrunnen for dette kan nok ha vært klager om at for eksempel bittorrent var tregt for mange eller at andre rutere kanskje var «bedre» fordi en del tjenester fungerte uten at man trengte å gjøre noe som helst.

Alternativet til UPnP blir at man må gjøre manuelle portinnstillinger/NAT-innstillinger på ruteren for en del tjenester. For svært mange er det ikke tjenester i bruk som vil kreve noe spesiell konfigurasjon av ruteren, og UPnP kan da godt deaktiveres.

En bedre DNS?

DNS står for Domain Name System og er tjenesten som på internett gjør koblingene mellom domenenavn og ip-adressene til serverne. Normalt sett har internett leverandøren en egen DNS-tjener og ruteren blir i utgangspunktet satt opp til å bruke denne.

Gjennom tjenester som OpenDNS kan man få forbedringer i forhold til sikkerhet for alle enhetene koblet på nettverket. Gjennom en OpenDNS-konto kan man for eksempel velge at sider som er kjent for å inneholde pornografi, piratkopiert programvare, vold, phisingforsøk og mer til blokkeres.

Aktører som D-Link og Netgear har valg i administrasjons grensesnittet for å ta i bruk OpenDNS. På andre rutere må man sette opp en konto hos OpenDNS og mer manuelt sette opp DNS-ip-adressen i ruteradministrasjonen.

Mer informasjon om OpenDNS kan du lese denne guiden

Sjekk tilkoblede enheter

Mistenker du at noen er tilkoblet nettverket ditt? De fleste rutere har en oversikt over enheter som er tilkoblet og som har vært tilkoblet. Vær oppmerksom på at en inntrenger på nettverket som også har tilgang til ruterens administrasjon, kan slette denne informasjonen. Informasjonen kan også være tildels vanskelig å dekode.

I ruter oppsettet vil det i utgangspunktet stå MAC-adressen til enheter som har vært tilkoblet. Enhver enhet (mobiltelefon, pc, nettbrett og så videre) vil ha hver sin unike MAC-adresse. Riktignok kan MAC-adressen forfalskes.

I tillegg til MAC-adressen vil det stå hvilke ip-adresser enhetene har, samt i noen tilfeller også et enhetsnavn som vil gjøre det enklere å identifisere enheten.

En del sikkerhetsprogrammer vil også gi varsler når nye pc-er eller andre enheter blir koblet til lokalnettverket. En del rutere har også funksjonalitet for å overvåre sanntidstrafikk.

Det finnes også flere gratis overvåkningsprogrammer du kan laste ned for å sjekke hvem som er på nettet ditt.

Kilde: Hardware.no, IDG/PcWorld

Les også:

Sikkerhetsguide

http://iktnytt.no/sikkerhetsguide/Denne artikkelen inngår i IKTnytt.no sin sikkerhets guide – skrevet for deg som ønsker å lære hvordan du sikrer din PC, Mac, server, nettbrett og smarttelefon mot kyberangrep og datainnbrudd.

Klikk her eller på iconet til høyre for å gå tilbake til sikkerhet guiden`s hovedmeny.

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden – innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

– Kunnskapssenteret.com
– Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.

Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter – små og store – fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.

Fyll ut skjemaet under for å tipse oss om en nyhet.





Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift («emne»), med nærmere informasjon («melding»).

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 

Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: