Om ett trådlöst nätverk helt saknar skydd kan vem som helst som har tillräcklig radiosignal ansluta till det. Det behöver inte vara allvarligt, men riskerna är överhängande. Ända sedan trådlöst ethernet lanserades har säkerheten diskuterats.

Det är stor skillnad mellan ett trådbundet och ett trådlöst nätverk, trots att protokollen är snarlika. De trådlösa nätverken med beteckningen 802.11a⁄b⁄g, som vi normalt kallar wifi , skiljer sig ur protokollsynpunkt mycket lite från trådbundet ethernet. Att säga ”trådlöst ethernet” är inte fel, snarare korrekt. Det är i stort sett endast detaljer i hur protokollen hanterar kollisioner som skiljer.

 
Det är mycket enkelt att installera ett säkert trådlöst nätverk med delade nycklar. Nycklarna ska bara behöva anges en gång, även om vissa system kan kräva att de fylls i vid varje anslutning. Nycklarna anges som lösenord och det är egentligen programmet som genererar de riktiga krypteringsnycklarna med lösenordet som bas. Det är viktigt att lösenorden är tillräckligt långa och har en bra blandning av olika typer av tecken.

Svårt att lyssna på trådtrafik


I trådbundna nätverk krävs det fysisk access för att en obehörig ska kunna avlyssna trafik genomen kabel eller på ett nätverkskort, förutsatt att nätet inte har drabbats av trojaner eller annan skadlig kod. Att din helt trådbundna kommunikation med internet avlyssnas är högst osannolikt. Det går, men är så svårt och riskfyllt att det normalt inte är värt besväret.

Om till exempel polisen vill avlyssna en misstänkt förbrytare och spela in hans eller hennes datatrafik krävs det tillstånd och fysisk tillgång till den misstänktes internetleverantörs system. Om polisen å andra sidan får tillstånd att avlyssna den misstänkte och upptäcker att han eller hon har ett oskyddat trådlöst nätverk behövs bara en bärbar dator på hyggligt avstånd från den misstänktes hem.

Radio är ett flyktigt medium. Radio sprids i princip i all oändlighet, men signalstyrkan blir efter ett visst avstånd så svag att nätverkskort och vanliga antenner inte kan uppfatta signalen. Ett bra sätt att studera hur långt radionät når är att ta med en bärbar dator ut på stan och använda ett analysverktyg för trådlösa nät, till exempel Network Stumbler.

Våra tester visar exempelvis att Stockholms innerstad är helt nedlusad av trådlösa nätverk. Inte sällan finns det så många som 30 till 40 stycken på samma plats och en skrämmande andel av dem är oskyddade.

Ytterligare en bra anledning att täppa till säkerhetshålen är
att du slipper bli utnyttjad. Genom att ansluta till ditt trådlösa
nätverk och använda din internetuppkoppling kan obehöriga
utföra olagliga handlingar som kan ge dig problem.

Polisen ser din adress


Det som syns utåt, till exempel för polisens utredare, är din publika ip-adress. Det kan bli svårt för dig att förklara att det inte var du som utförde den olagliga handlingen. De flesta internetleverantörer tillåter heller inte att du låter andra utnyttja din uppkoppling.

Vi ska ta upp tre metoder som kan lösa problemet: macadress-filtrering, wep och wpa-psk. Det finns mer avancerade och ännu bättre lösningar som wpa-2 och
802.1x, men de är onödigt krångliga för mindre företag
och organisationer.

I vårt exempel använder vi en trådlös accesspunkt från Siemens och ett trådlöst nätverkskort från 3 Com. De flesta accesspunkter och nätverkskort på marknaden klarar de tre teknikerna, även om utseendet på konfigurationsgränssnitten hos de produkterna givetvis skiljer sig åt.

Macadressfiltrering


Macadressfiltrering är äldre än wifi och används även i trådbundna nätverk. Det är oftast ett effektivt sätt att stänga ute datorer från nätverket, trots att de sitter direkt anslutna till en växel. I trådlösa sammanhang innebär tekniken att trådlösa nätverkskort vägras anslutning, vilket är samma sak som att hindra att nätverkskabeln ansluts i en växel i ett trådbundet nät.

Filtreringsreglerna följer två principer: vit- eller svartlista.
Vitlistan säger ”tillåt de här klienterna att ansluta och hindra alla andra”. Svartlistan säger ”neka de här klienterna att ansluta och tillåt alla andra”. I båda fallen är det macadresser som listas.

Eftersom det teoretiskt kan finnas 2 upphöjt till 48 macadresser i hela världens ethernetnätverkskort och andra produkter som använder ethernet säger det sig självt att svartlistor är otympliga. De förekommer bara i kombination med vitlistor, som i själva verket är det som används för macadressfiltrering. Även vitlistor kan bli stora.

Det gäller att skriva in alla macadresser som ska få ansluta och på ett företag kan det bli en hel del. Macadressfiltrering kan vara klumpigt även på andra sätt, eftersom systemet är statiskt och stelt. Det saknar den flexibilitet och dynamik som krävs i större sammanhang.

Skulle till exempel en ny användare, med rätt att ansluta, vilja komma ut på nätet behöver administratören ta reda på det nya nätverkskortets macadress och skriva in den i listan.


På större företag blir det för krångligt att dela ut statiska lösenord till alla accesspunkter och användare. Där används i stället ett mer dynamiskt system med autentiseringsservrar som radius. Det är radius servern som sköter autentiseringen och med den som bas genereras engångsnycklar för krypteringen. Systemet används av wpa eller wpa-2 tillsammans med radiusservrar, ofta sammanslaget i en standard som heter 802.1x.


Stulen dator släpps in


Macadressfiltrering ger ingen särskilt hög säkerhet. Visst stängs nätverkskort som inte finns på listan ute, men bärbara datorer kan lätt stjälas. Om macadressfiltrering är det enda skyddet kommer tjuven ändå in utan problem, åtminstone tills administratören har tagit bort den stulna datorns macadress från listan.

Med lite mer avancerade trådlösa nätverkskort kan användaren tala om vilken macadress som ska anges vid kommunikation över radionätverket. Den kringgår då den hårdkodade macadressen som finns på kortet från början. Det är varken konstigt eller olagligt och mycket användbart i andra sammanhang, men medför att det räcker att en inkräktare kommer över en listad macadress för att kunna komma åt nätverket.

Stoppar inte tjuvlyssnare


Macadressfiltrering hindrar heller inte avlyssning, eftersom ingen kryptering är inblandad. Att hindra andra från att kunna använda nätverket är bra, men det hindrar dem inte från att höra din trafik. Det går att avlyssna trafiken utan att ansluta till nätverket.

Macadressfiltrering är ändå bättre än inget. Det gäller bara att veta vilka brister tekniken har. Kan du acceptera att du kan bli avlyssnad duger den bra. Är dina krav högre ska du gå vidare med kryptering och macadressfiltrering kan då vara ett bra komplement i ett tvåstegsskydd.

Bild 1
Att ställa in en accesspunkt för macadressfiltrering är enkelt. I vår accesspunkt från Siemens är det bara att skriva in macadressen till de nätverkskort som ska få ansluta. En välkommen finess syns i fältet bredvid Known wireless clients. Eftersom det är lite besvärligt att fylla i macadresser är det bra att kunna lägga till redan kända klienter.

I bild 1 visar vi hur vi ställer in vår accesspunkt för macadressfiltrering. I bilden syns en bra finess, att vi kan lägga till macadresser som accesspunkten känner till sedan tidigare.

Macadresser är bökiga att skriva in och ännu värre att komma ihåg. Vi lägger även till ett namn på klienten för att lättare kunna känna igen den.

Wep


Nästa steg på säkerhetsstegen är kryptering och vi tar upp wep (wired equivalent privacy) som ett första exempel. Wep är
mäkta och grundligt utskällt, med viss rätt får vi lov att säga.
Standardiseringsorganet Ieee, som satte standarden, menade
aldrig att wep skulle bli något supersäkert skydd, utan ville ge
trådlösa nätverk ett skydd i likhet med det hos trådade nät. De är inte krypterade alls som standard, utan bara separerade i privata trådar.

Wep är en del av Ieee 802.11-standarden och antogs 1999.
Då fanns fortfarande den exportkontroll som förbjöd export
av starka kryptografi ska system från USA, så det är inte konstigt att 64-bitars-wep var det enda alternativet på den internationella marknaden. Så fort exportkontrollen hävdes kom wep med 128 bitar som är klart bättre, men det är fortfarande i grundstrukturen wep brister.

Samma vektor återkommer


En bit av nyckeln, 64- eller 128-bitars, används till en så kallad initieringsvektor (IV) till det strömchiffer av RC-4-typ som sedan sköter krypteringen. En förutsättning för att strömchiffer ska fungera säkert är att samma nyckel inte förekommer två gånger. IV:n, som skickas i klartext och som ska förhindra repetitioner av nyckeln, är dock så kort (24 bitar med wep 64) att det inte kan garanteras i ett vältrafikerat nätverk. Sannolikheten att samma IV dyker upp igen efter 5000 paket är 50 procent.

Sammantaget innebär det att en kryptering med 64-bitars-wep kan knäckas med en vanlig pc på två minuter eller mindre.
Lägger vi sedan till att många wep-system kräver att användaren anger nycklar i hexadecimalt format (0-9, A-F), vilket ofta ger lösen som CODE eller BEEF, blir det inte bättre.

Alltså kastar vi wep i sjön direkt? Nja, vänta lite. Wep 128 är ändå klart bättre, även om det också knäcks alltför snabbt. Oavsett nyckellängd är wep bättre än ingenting. Många äldre nätverkskort saknar stöd för wpa och då är wep enda alternativet.

Alla skyller på alla


I kryptovärlden är det absolut värsta som kan hända att ett system knäcks (inte av en slump, utan systematiskt⁄matematiskt). Det resulterar omedelbart i bröstdunk (från dem som knäckte systemet), ramaskrin (från pressen), aggressiv moteld (från systemutvecklarna) och pajkastning (alla mot alla). Det blir ett herrans liv som sällan speglar vanliga användares behov av skydd.

Se det så här: För att bryta upp dina kodade paket och kunna
avlyssna din trafik krävs trots allt expertkunskaper, rätt program, en hygglig dator samt fysisk placering på hörhåll från den vars trafik ska avkodas. Varför i hela friden skulle någon göra det mot dig? De som kan detta väljer sina offer noga, det ska löna sig att utföra avlyssningen. Skulle du råka vara en människa värd att ge sig på har du förmodligen övergivit wep för länge sedan. Har du inte det, läs mer om wpa nedan och byt nu!

I bild 2 till 5 ser du hur vi har gjort inställningarna för att få
wep 128-kryptering. Det är viktigt att du använder samma inställningar i båda ändar.

Bild 2
bild 2Inställningarna för wep är knepigare än för wpa-psk, men inte så farligt. Välj WEP bredvid Security och Shared för Authentication type. Nyckel längden bör vara 128 bitar. Vid Input type väljer du vad du vill, säkerheten är densamma för alla alternativ, men det är lättare att hålla reda på ett lösenord.
Bild 3
I nätverkskortet behöver vi ange samma inställningar som i accesspunkten. Vi börjar med att välja för vilket nätverk inställningarna ska gälla.
Bild 4
Här väljer vi krypteringstyp, alltså WEP(Shared), och längden på nyckeln. Den ska vara densamma som i accesspunkten.
Bild 5
Nästa steg är att välja hur nyckeln ska skapas (samma in-ställningar som vid Input type på accesspunkten). Vi kan antingen skriva i nyckeln direkt, som hexadecimalt tal eller som ascii-text, eller skriva in ett lösenord som används som bas för skapandet av en nyckel i bakgrunden. Eftersom vi har valt Pass-phrase i accesspunkten väljer vi det här också.

Vissa parametrar kräver lite förklaring. Under Authentication
type bör du välja Shared, vilket kräver rätt nyckel i båda
ändar (alternativet Open tillåter datatrafi k utan att nyckeln används). Under Input type kan du välja mellan Key och Passphrase. Det senare är enklare att hantera och lika bra ur säkerhetssynpunkt.

Med alternativet Key skriver du nyckeln direkt, antingen
i hexadecimalt format eller ascii-text, med Passphrase
genereras den i bakgrunden. Samma inställningar syns i
bilderna för nätverkskortet från 3 Com.

Bild 6
Här är slutresultatet, våra inställningar dyker upp som en profil bland andra i listan. Vill vi ändra något behöver vi bara markera profilen och klicka på Edit.


Wpa


Med wep 128 och macadressfiltrering kombinerat har du redan ett bra skydd. Vill du gå vidare och få en högre säkerhet, så gott som hundraprocentig, väljer du wpa (wifi protected access).

Wpa finns i flera varianter, beroende på vilket autentiseringssystem vi väljer. I dag finns även wpa-2 men det är inte alla operativsystem som klarar det. Wpa-2 kräver exempelvis service pack 2 för Windows XP.

Både radius och eap


Wpa har stöd för flera olika autentiseringssystem.
Radiusservrar, 802.1x, eap med flera system och protokoll kan blandas in för att göra autentiseringen mer dynamisk och anpassad till större företags behov.

För mindre företag räcker det gott med wpa-psk. Psk står för
pre-shared key, alltså en delad, förutbestämd nyckel, precis som i wep-fallet.

Wpa ersatte det utskällda wep under 2003, men skapades inte av Ieee utan av wifi-leverantörerna själva genom organisationen Wifi -Alliance. Wpa använder tkip (temporary key integrity protocol) för att se till att tillfälliga nycklar (128 bitar) används vid krypteringen av data. Wep använder i stället statiska nycklar.

Wpa har också funktionen mic (message integrity check),
som ser till att ingen kan förfalska meddelanden genom att
snappa upp dem under sändning och ändra i datapaketen.
Sammantaget ger det en betydligt bättre säkerhet än vad wep gör.

Lika lätt som wep


Att konfigurera wpa-psk är inte svårare än att ställa in samma
variant av wep. Bild 7 till och med 9 visar hur vi ställer in vår
accesspunkt och vårt nätverkskort.

Bild 7
Här har vi dragit igång samma guide som när vi gjorde inställningarna för wep. Eftersom vi har bestämt oss för wpa-psk med tkip gör vi helt enkelt de inställningarna.

Vi börjar med nätverkskortet, där vi väljer wpa-psk som krypteringsteknik och tkip som nyckelteknik (bild 7). I bild 8 skriver vi in det delade lösenordet och i bild 9 ser vi inställningarna för accesspunkten.

Bild 8

Glöm inte att skriva in din nyckel. Med wpa är det lösenord som gäller, inte en direkt nyckel. Tänk på att enkla lösenord kan ge lättknäckta nycklar. Välj långa nycklar (längre än tio tecken) med blandade bokstäver (gemena och versaler), siffror och andra tecken.
Bild 9
Inställningarna i accesspunkten för wpa-kryptering följer samma mönster som för wep. Precis som tidigare gäller det att vi gör samma inställningar här som i inställningarna för nätverkskortet.

Faktum är att dessa inställningar nästan är lättare att göra än
motsvarande för wep-tekniken. Det är viktigt att du gör samma
inställningar i båda ändar. Det föreligger ingen större risk
att göra misstag så att du blir utestängd från accesspunkten eller nätet, det är bara att testa för att se om du har lyckats.

Accesspunkten bör konfigureras via nätverkskabel och du kan sedan prova inställningarna med den trådlösa anslutningen.

Fler tester och reportage på och om nätverks- och serverprodukter kan du läsa här!

Fakta

  • Macadressfiltrering hindrar obehöriga från att ansluta sig till ditt trådlösa nätverk. Det hjälper inte mot avlyssning.
  • Wep hindrar obehöriga att ansluta sig till nätet och hindrar även avlyssning. Det är dock inte tillräckligt säkert för viktigare sammanhang. Kryptot är knäckt, men mot slentrianmässig avlyssning duger det.
  • Wpa hindrar obehöriga från att ansluta sig till ditt trådlösa nätverk, och hindrar även avlyssning effektivt. Wpa är så gott som hundraprocentigt säkert.
  • Radius och wpa kan användas tillsammans i större sammanhang för att få en mer dynamisk autentisering och kryptering.