Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 19. september 2003.
Trådløs rådløshed: Der er kraftig aktivitet inden for trådløs sikkerhed, hvor ulovlige enheder er den største trussel.
Der er på det sidste dukket flere problemer op med sikkerheden i trådløse lokalnetværk, efter den gamle IEEE 802.11b-standards sikkerhedssystem kaldet WEP (Wired Equivalent Privacy) blev kompromitteret.
WiFi-brancheforeningen for trådløse netværk har derfor accelereret arbejdet med en ny krypteringsstandard WPA (WiFi Protected Access), der er en delmængde af den kommende IEEE 802.11i-standard.
Denne standard indeholder nemlig den nye sikkerhedsstandard for trådløse netværk, men kommer tidligst i 2004. På grund af denne sene ankomst og for at accelerere udviklingen yderligere omkring trådløse lokalnet er brancheorganisationen derfor gået ind med en mellemstandard, der bygger på IEEE 802.11i.
Ny kryptering på vej
WPA-standarden er nu blevet offentlig, men ikke ratificeret af IEEE, der mener, at den fulde IEEE 802.11i-pakke er den bedste løsning.
WPA er betydeligt mere sikker end den nuværende WEP-standard. Det skyldes, at WEP anvender statiske krypteringsnøgler, og at dele af kodenøglen i IEEE 802.11b også er statiske.
Det betyder, at det er forholdsvis let at finde nøglen og dermed afkode kommunikationen på trådløse netværk, hvis man blot indsamler en tilstrækkelig mængde krypteret data. Det vil sige omkring en gigabyte, hvilket kan tage op til otte timer at indsamle.
Programmerne til opsamling af datatrafik er frit tilgængelige på internet, og kræver kun et trådløst netkort med en speciel facilitet, der slipper datatrafikken uændret igennem.
WPA løser disse sikkerhedsproblemer ved at anvende dynamiske nøgler, der bruges til kryptering af hele datapakken.
Sådan fungerer meget trådløst udstyr allerede i dag, men det er producenternes egne proprietære løsninger, og det kan give problemer, hvis man på sit netværk sætter udstyr sammen fra forskellige producenter.
Kuren for det er anvendelse af VPN (Virtual Private Network), men det koster båndbredde og tillader ikke altid roaming. Der er dog ved at komme teknologier på markedet, der kan håndtere dette.
Nye sikkerhedsstandarder
Alle fabrikanter af IEEE 802.11g-udstyr er på vej med WPA-opdateringer, hvilket typisk kræver en opgradering af de forskellige netværksenheder. Det kan forventes, at det samme sker ved den ældre IEEE 802.11b-standard.
WPA fjerner lagt de fleste af sikkerhedsproblemerne med den ældre WEP-standard, men et enkelt har man ikke fået has på.
WPA er følsom over for DOS (Denial of Service). Hvis et opkoblingspunkt modtager mere end to IP-pakker i sekundet med ukorrekt nøgle, vil det lukke for al trafik i et minut, da det vil antage, at en hacker prøver at få tilgang.
Derved kan en stadig strøm af deforme pakker effektivt lukke et opkoblingspunkt ned.
Den kommende IEEE 802.11i-standard vil ikke have dette problem og vil være kompatibel med WPA. IEEE 802.11i-standarden vil have Advanced Encryption Standard (AES) som en konfigurationsmulighed, der giver en stærkere kryptering end den RC4-kryptering, der anvendes i WPA.
Men AES er så ressourcekrævende, at eksisterende opkoblingspunkter ikke vil have kapacitet nok til at kunne håndtere den kraftigere kryptering. Det betyder, at overgang til IEEE 802.11i vil kræve nye opkoblingspunkter og give et efterslæb af gammel usikker teknologi.
De ulovlige enheder
Men realtiteterne i dagens WEP-baserede netværk er anderledes. Umiddelbart er det ikke hackere, som er det store problem. I stedet er det ulovlige basestationer, kollisioner med andre netværk og fejlkonfigurationer, der giver problemer.
- Det er de færreste, der tænker i tre dimensioner med trådløse netværk. Og det gør heller ikke noget, hvis en virksomhed bor langt væk fra sine naboer. siger marketingchef Stuart G. Beattie fra Sniffer Technologies, der har specialiseret sig i netværksovervågning.
- Ikke alene vil forstyrrelser fra andre netværk give problemer med ydeevne i lokalnetværket, men sikkerheden kan også ryge sig en tur. Og det er problemer, som er djævelsk svære at finde ud af for en netværksadministrator, med mindre man direkte overvåger netværkstrafikken. Hvem skal bøje sig ved en netværkskollision? Og endnu værre - hvem skal betale for ændringerne?
Usikker administrativ trafik
Stuart Beattie mener, at netværksadministratorerne skal foretage en grundig analyse af trådløse netværk og specielt af fordele kontra sikkerhedsmæssige ulemper.
Her mener han, at det er forkert, at der kun fokuseres på selve datatrafikken mellem computer og server.
- Naturligvis kan man sikre datatrafikken mellem pc og server med et VPN (Virtual Private Network), men hvad med al den anden trafik? SNMP- og print-trafik til en netværksprinter kan ikke krypteres, og her ligger mange gode oplysninger parat til en amatørhacker, siger Stuart Beattie.
Dertil kommer, at styringsværktøj til almindelige netværk ikke er særlig gode til at håndtere basestationer til trådløse netværk. Disse har ofte specielle styringssystemer, der er dårlige til at integrere sig med andre styringsværktøjer.
Det betyder, at basestationerne skal vedligeholdes specielt, og dermed glider de ofte ud af netværksadministratorernes synsfelt.
Test af netværket
Endvidere er trådløse netværk ikke nemme at teste for funktioner og sikkerhed. Problemer med dækning kan for eksempel medføre, at der opsættes en ekstra basestation i et trådløst netværk.
Men sikrer man ikke, at den nye basestation har samme konfiguration, som de andre i netværket, kan den måske sende ukrypteret og dermed udgøre et kæmpe sikkerhedshul, uden at noget opdager det.
Da Windows XP har næsten automatisk konfigurering af trådløse netværk, vil de lidt kvikkere brugere bare lade Windows XP konfigurere deres pc, uden at rapportere sagen videre til it-afdelingen.
- Det er de ulovlige basestationer (‘rogue' access points) der er det helt store problem i øjeblikket, ligesom indbygning af WLAN i bærbare via for eksempel Intel Centrino gør alle stationer til mulige adgangshuller til netværket via den PC-til-PC (peer-to-peer/ad-hoc) forbindelse, som er mulig med alle IEEE 802.11-kort.
- Traditionelle netværksovervågningssystemer kan nemlig ikke finde disse, snifferprogrammer som AirSnort eller Netstumbler giver kun et øjebliksbillede af netværkets tilstand. Den eneste teknologi, der effektivt kan detektere tilstedeværelsen af ulovlige enheder i netværket, er opsatte trådløse målepunkter, siger René Hinsch fra virksomheden AirWire, der har specialiseret sig i løsninger til trådløs overvågning.
Systemet fra AirDefense baseres på sensorer, der via det kablede netværk sender info til en central server, som analyserer den og alarmerer ved ukendte enheder, sikkerhedsbrister og angreb.
Når sporingen er på plads, kan overvågningsserveren programmeres til for eksempel at stoppe kommunikationen eller sende en alarm.
Drejer det sig om en uautoriseret klient, kan systemet lukke en basestation ned. René Hinsch siger:
- En af de største misforståelser set i relation er udtalelsen ‘vi bruger ikke trådløse netværk, så vi er sikre'. Modspørgsmålet er ‘hvordan ved I det?'. Siden hvem som helst kan sætte disse enheder op, der endda kan købes meget billigt alle steder, så kan man med traditionelle overvågningsmetoder simpelthen ikke erklære ,at man kun har netværk via kabler.
Han mener også, at hjemmearbejdspladser med trådløse netværk er en sikkerhedstrussel, som virksomhederne snart skal tage hul på.
Dertil kommer der ren fysisk sikkerhed omkring basestationerne.
- Hvem kontrollerer om hjemmebrugere også krypterer deres trådløse net? Og det er jo ligegyldigt, hvor mange bit der krypteres med ved en basestation, hvis man bare kan tage netværksstikket ud og suge løs af virksomhedens ubeskyttede netværk, siger René Hinsch.
Kuren mod det sidste problem, mener René Hinsch, er nye typer af todelte basestationer, hvor intelligensen rummes sammen med virksomhedens andre netværkskomponenter, og informationernene sendes krypteres via kabler til en antenne-enhed.
Pas på andre radiokilder
Ud over sikkerhed er der også andre faktorer, der er vigtige i trådløse netværk. En af dem er leveringssikkerhed.
- Naturligvis er signalstyrke vigtig og vel at mærke konstant signalstyrke. IEEE 802.11b skruer op og ned for transmissionshastigheden ikke med basis i signalstyrken, men baseret på antallet af datafejl. Derfor kan indstråling fra andre radiokilder i samme 2,4 GHz frekvensbånd betyde, at transmissionshastigheden lider heraf. Og der er mange, der bruger dette frekvensbånd. Blandt andet DECT-telefoner, radarsystemer og Bluetooth-enheder.
I denne sammenhæng fortæller Stuart Beattie om en virksomhed, hvor nogle få brugeres trådløse netværk gik fuldstændig amok på tidspunkter, hvor der var lav datatrafik.
Efter flere ugers søgen i logfiler og kommunikations-dumps var man stadigvæk helt uden spor.
Det vil sige indtil en af netværksfolkene var sulten efter arbejdstid og bemærkede, at alle de ramte brugere arbejdede i nærheden af tekøkkenet.
Der stod en mikrobølgeovn - en teknologi som netop udstråler i 2,4 GHz-båndet. Da den var væk, fungerede det trådløse netværk upåklageligt.
Billedtekst:
Dette billede viser dækningen af en enkelt basestation. Der er mange faktorer, der bestemmer spredningen af radiobølger, hvilket kan give både postive og negative overraskelser i forbindelse med dækning. I dette tilfælde vil det være muligt for en hacker at kigge i netværket fra parkeringspladsen.
Foto: AirDefence
Billedtekst:
- Er man mobil, er trådløst netværk en dejlig teknologi, men i dag er der så mange trådløse net i drift, at vi begynder at se problemerne, siger marketingchef Stuart Beattie fra Sniffer Technologies.
Billedtekst:
- Dagens traditionelle netværksovervågningsmetoder er simpelthen ikke gode nok i trådløse netværk, her skal bruges en ‘overvågningskamera'-metode for at checke aktiviteterne, siger Rene Hirsh fra AirWire.
