Så får du snabbkoll på trådlös säkerhet

Trådlösa nätverk (wlan) finns överallt idag. Utrustningen i form av nätverkskort, trådlösa routrar och switchar är billiga och enkla att implementera. Samtidigt har bred penetration bland både konsumenter och företag öppnat för säkerhetsrisker i takt med att tekniken blivit populär. För det ändamålet listar Techworld några vanliga standarder och metoder som finns idag för att skydda trådlösa nät. Guiden kan ses som en överblick över de styrkor och svagheter som finns för olika lösningar i ett område där utvecklingen fortfarande går snabbt.

WEP – Wired Equivalent Privacy

---

Vad det är: Ett säkerhetsprotokoll för krypterade anslutningar över wlan (baserade på 802.11-standarden).
Utvecklat: 1997
Utvecklare: Wi-Fi Alliance
Styrkor: Industristandard för kryptering, hindrar obehöriga från att avlyssna trafiken, brett stöd hos tillverkare
Svagheter: Svaga krypteringsalgoritmer med dagens mått mätt, enkel att dekryptera inom några minuter genom passiv trafikavlyssning och rätt mjukvaror.
Övrigt: Del av IEEE 802.11 standarden och använder oftast 128-bitars krypteringsnycklar, även om 256-bitar också stöds i vissa produkter.

WPA – Wi-Fi Protected Access

---

Vad det är: Ett säkerhetsprotokoll för krypterade anslutningar över wlan.
Utvecklat: 1999
Utvecklare: Wi-Fi Alliance
Styrkor: Använder dynamiska krypteringsnycklar och är svårare att dekryptera jämfört med WEP
Svagheter: Sårbart för dekryptering i konfigurationer där dataintegritet kontrolleras (quality of service). Angreppet utnyttjar injektion av arp-paket som dirigerar om trafiken från klienten. Korta lösenord (färre än 13 tecken) kan knäckas via så kallade brute-force attacker.
Övrigt: Använder 256-bitars nycklar.

WPA2 – Wi-Fi Protected Access 2

---

Vad det är: En vidareutveckling av WPA med mer avancerad nyckelhantering
Utvecklat: 2004
Utvecklare: Wi-Fi Alliance
Styrkor: Svårare att dekryptera jämfört med WPA tack vare ett utökat utbyte av temporära nycklar under pågående session. Har också förbättrat stöd för roaming utan avbrott av upprättade förbindelser
Svagheter: I grunden sårbart för samma typer av angrepp som WPA
Övrigt: Enheter som använder Wi-Fi marknadsföringslogon måste ha certifierat stöd för WPA2 sedan år 2006.

AES - Advanced Encryption Standard

---

Vad det är: En krypteringsstandard som använder symmetriska nycklar
Utvecklat: 1998
Utvecklare: Vincent Rijmen, Joan Daemen
Styrkor: Krypteringsalgoritmerna är snabba i både hårdvara och mjukvara. Godkänd av den amerikanska regeringen för kryptering av topphemliga dokument (med 256-bitar långa nycklar)
Svagheter: Sårbart för så kallade side channel-angrepp, där fysikaliska fenomen som tidsmätning av beräkningsprocesser i datorer och mätning av strömförbrukning kan ge statistiskt underlag för beräkning av krypteringsnycklar.
Övrigt: Blev vinnande val i en tävling utlyst av National Institute of Standards and Technology under slutet av 1998 där 15 krypteringsalgoritmer deltog.

TKIP - Temporal Key Integrity Protocol

---

Vad det är: Ett säkerhetsprotokoll för den trådlösa standarden IEEE 802.11 (wlan) och ersättare av WEP-kryptering och som utvecklats för att fungera utan krav på ny router-hårdvara.
Utvecklat: 2002
Utvecklare: Wi-Fi Alliance
Styrkor: Skickar en unik krypteringsnyckel med varje datapaket och har funktioner för att kontrollera i vilken ordning datapaket skickas för att upptäcka falska paket.
Svagheter: Använder samma underliggande mekanik som WEP och är sårbar för samma typer av angrepp. En svaghet i hanteringen av de checksummor som skickas i en förbindelse öppnar för en angripare att lista ut enstaka bitar i skickade paket. Efter några minuters avlyssning kan tillräckligt många pakets innehåll listas ut för att potentiellt avkoda det som skickas.
Övrigt: Wi-Fi Alliance är på gång med att avveckla både WEP och TKIP

MAC-filtrering/EUI-filtrering

---

Vad det är: En filtreringsmetod som tillåter eller svartlistar klienter baserat på den unika mac-adress som klienternas näterkskort har.
Utvecklare: Är inte en teknikstandard.
Styrkor: Säkrar nätverk genom sin strikta klientfiltrering.
Svagheter: Sårbart genom avläsning av tillåtna mac-adresser i ett wlan, där angriparen kan fejka en känd giltig adress för att utge sig vara legitim och därmed få åtkomst till nätverket.
Övrigt: I Windows-operativsystem kan registret manipuleras för att redovisa falska mac-adresser

SSID - Service set identifier

---

Vad det är: SSID är en meddelandetjänst som låter trådlösa accesspunkter (routrar) meddela närbelägna klienter namnen på nätverken. Kan stängas av, men det rekommenderas inte.
Utvecklat: 1997 som del av 802.11-standarden
Utvecklare: Institute of Electrical and Electronics Engineers (IEEE)
Styrkor: Dold SSID försvårar klientanslutning. Utan information om nätverksnamn måste klienten själv ange detta. Nyttan är dock begränsad då detta utsätter klienterna för risker.
Svagheter: Varje gång en klient ansluter skickas SSID-data i klartext. En angripare kan helt enkelt vänta och lyssna efter nya anslutningar för att fånga upp nätverkets namn. En dold ssid tvingar också klienter att anropa öppet, vilket angripare kan fånga upp genom att erbjuda klienten en egen accesspunkt för illvilliga syften.

VPN – Virtual Private Network

---

Vad det är: En generell term för skyddade anslutningar mellan två eller flera privata nätverk där kommunikationen går igenom ett öppet nätverk, till exempel internet.
Styrkor: Krypteringsprotokoll som ipsec, ssl och ssh krypterar ändpunkternas datasändningar, har stöd för autentisering för säkring av identiteter och funktioner för kontrollerande av integriteten i de data som skickas.
Svagheter: Sårbarheter är beroende av protokoll som används. VPN i sig är inte kopplad till någon specifik svaghet.
Övrigt: På senare år har även mobilt vpn börjat göra sig gällande på allvar. Mobila anslutningar ställer andra krav på förbindelser. För det ändamålet användas enklare protokoll med mindre administrativ börda (overhead).

Det här är en artikel från TechWorld, läs fler artiklar om säkerhet hos oss.