Psst! Du har väl inte missat första och andra delen av Radioskolan? Där lär du dig allt om hur trådlöst egentligen fungerar! Kika också på vår guide till hur du sätter fart på ditt trådlösa nät. Eller är du kanske mest intresserad av hur du ska få ditt nätverk att knäcka dina grannars?

Om en anställd kopplar upp sin arbetsdator mot ett publikt wi-fi-nät på ett kafé för att logga in på företagets nätverk tar det i värsta fall bara ett par sekunder innan en hackare manipulerar maskinen och utför en man-in-the-middle-attack. Datorn skickar då data direkt till hackaren och ger hen en möjlighet att ta sig in på företagets nätverk via den öppna datorn. När en enhet väl är manipulerad kan inloggningsuppgifter till banker och andra viktiga sajter också lätt samlas in med hjälp av så kallad ssl-stripping.

Värst av allt i sammanhanget är kanske att användaren sannolikt inte märker att något ovanligt händer bakom kulisserna på datorn, såvida hen inte har fått någon särskild utbildning på området. För dig som arbetar på företagets it-avdelning finns det dock ett antal åtgärder att sätta in för att förhindra att hackare smiter in i organisationens nätverk via personalens datorer. Användarna kan också utföra en del säkerhetsåtgärder på egen hand.

1. Börja med att använda flerfaktorsautentisering för vpn-anslutningar. Se också till att uppkopplingen mot vpn går via en ”no split”-anslutning, det vill säga att internettrafiken och vpn-trafiken till företagsnätverket inte delas upp. Det gör att risken för man-in-the-middle-attacker minskar. Nackdelen är att belastningen på företagets internetlina ökar, men det kan det vara värt.

Vissa vpn-klienter kan konfigureras så att de per automatik ansluter med ”no split” så snart datorn startas. Kontrollera om det är möjligt i den klient företaget använder. Det här är inte minst en bra åtgärd för användare som har en förmåga att glömma viktiga säkerhetsåtgärder.

2. I samband med att en ”no split”-policy införs är det att rekommendera att serveradministratörerna ser till att känsliga servrar inte kan nå internet. I regel fixas det med hjälp av en blockering i internetroutern. Ett bra tips är att öppna blockeringarna vid bestämda tidpunkter så att uppdateringar och liknande kan genomföras utan problem.

3. Informera personalen om vilka risker som finns och att de så långt det är möjligt inte ska logga in på nätbanker eller utföra andra känsliga ärenden när de är anslutna mot ett publikt wi-fi-nät. Tipsa dem om att i stället använda en mobil anslutning om en sådan finns tillgänglig på den aktuella enheten.

4. Kontinuerlig övervakning av vpn-trafiken ökar givetvis också chansen att hitta olämpliga aktiviteter. Administratören bör dirigera dataflödena från vpn-anslutningarna via Netflow/ipfix-analyserare. Då går det att upptäcka bland annat olika typer av nätverksskanningar och kommunikation med servrar som har ett dåligt rykte.

”Ingenting är helt säkert”

Anders Nilsson, teknikchef på Eurosecure – har du fler tips på åtgärder som användarna själva kan vidta för att minska riskerna?


Anders Nilsson, Eurosecure.

– Det absolut främsta är att använda vpn – då används det öppna nätverket enbart för att flytta trafiken. Dessutom är det otroligt viktigt, och enkelt, att rensa bort ett öppet nätverk från anslutningslistan när du har kopplat ned så att du garanterat inte ansluter automatiskt.

Vad kan it-avdelningen göra i övrigt?
– Utbildning är alltid den främsta åtgärden. I allmänhet kan anställda på de flesta håll för lite om it-säkerhet. Jag ser också en viktig byod-aspekt. Om man tillåter privata enheter på företaget måste man se till att exempelvis wi-fi inte är skyddat med lösenord utan genom certifikat med mera. Annars kan en förlorad privat enhet innebära att någon får tillgång till företagsnätverket eller e-postkonton – inte bra.

Kan ett publikt wi-fi-nät någonsin vara helt säkert?
– Ingenting är någonsin helt säkert. Kryptering gör förstås din trafik oläslig för alla, utom möjligen NSA, så en vpn-tunnel ska vara säker. Det bygger dock på att du kan lita till 100 procent på leverantören av vpn-tjänsten om det är tredjepartslösning, eller att företagets nätverk är säkert om man använder företagets vpn.

Varför är det bättre att använda en mobil uppkoppling istället för ett wi-fi-nätverk?
– En mobil uppkoppling är i de flesta fall säkrare. Först och främst för att det krävs väldigt mycket mer jobb att avlyssna mobiltrafik, särskilt om det är 3g eller 4g. Däremot kan man som angripare försöka störa ut 3g- och 4g-näten för att styra över användaren på det mer sårbara gsm-nätet.
 

TechWorlds slutsats

Sammanfattningsvis kan man säga att det i huvudsak finns fyra viktiga områden att ta tag i för att minska riskerna vid användningen av publika trådlösa nätverk: använd alltid ”no split”-anslutning, blockera känsliga servrar från internet, informera personalen om säkerhetsrisker och analysera vpn-trafiken för att upptäcka misstänkta aktiviteter. När allt det är fixat och övriga mer grundläggande åtgärder är utförda, som mjukvaruuppdateringar med mera, har du gjort så mycket du kan för att undvika problem.