De flesta känner idag till att det är en god idé att skydda trådlösa nätverk med krypterade lösenord. För företag är det förstås extra viktigt att nätverken inte står helt vidöppna för vem som helst att ansluta sig till (ofattbart nog förekommer det ändå i högre utsträckning än ni anar). Men det finns flera andra säkerhetsrisker som du bör ha koll på för att minimera risken att du råkar ut för intrång. Här kommer 7 bra tips!
1. Säkra all nätverkshårdvara fysiskt
Du kan implementera de bästa säkerhetsprotokollen i världen, och de kan ändå lätt kringgås om någon obehörig får sig fysisk tillgång till dina trådlösa åtkomstpunkter eller andra nätverkskomponenter. Till exempel, om du har en accesspunkt som står på ett bord i ett olåst rum, kan någon komma in som besökare och med en enda knapptryckning, snabbt återställa den till fabriksinställningarna vilket kan öppna upp oskyddad åtkomst till nätverket. Eller om du till exempel har en öppen nätverksport i receptionen eller väntrummet, kan någon snabbt koppla in en egen accesspunkt, att ge sig själv oskyddad eller till och med säker trådlös åtkomst till nätverket.
Se till att de viktigaste nätverkskomponenterna, inklusive modem, routrar och switchar, är säkrade i ett låst rum eller garderob, och att resten av nätverket och komponenterna är fysiskt säkrade och utom räckhåll, särskilt i allmänna delar av byggnaden som många kommer åt. Överväg även att inaktivera oanvända vägg- och switchportar.
2. Använd inte default-SSID eller lösenord
Detta kan äventyra säkerheten på ditt trådlösa nätverk. SSIS står för Service Set Identifier och är alltså själva namnet på ditt nätverk. Trådlös utrustning levereras med ett default-namn och om du inte ändrar denna kan det öka risken att någon obehörig ska kunna knäcka ditt lösenord. Det beror på att vissa typer av så kallad cracking förlitar sig på SSID och genom att använda default-inställningar blir knäckandet lite lättare.
Välj istället noggrant dina egna namn och lösenord. Och här kommer nästa brasklapp, välj helst inte ett SSID som avslöjar vem det tillhör eller var det är placerat (typ ”Binero våning 2”) då en angripare som letar efter mål i en byggnad tenderar att föredra att på förhand veta vilka han slår till mot. Även om din router eller accesspunkt ser ut att ha till synes unika och oidentifierbart SSID och MAC-adress så är det sällan fallet. Gör inte heller misstaget att välja för lätt lösenord, även om det underlättar för dina anställda. Du gör er alla en björntjänst.
3. Dela inte lösenord för nätverket
Det här främst ett problem för nätverk som använder privatanvändar- eller PSK-läget (Pre-Shared Key) för WPA eller WPA2-säkerhet. I en PSK-setup, använder alla samma lösenord för att ansluta till det trådlösa nätverket, med andra ord är det inte ett bra sätt att kontrollera enskilda användares åtkomst. Om till exempel en anställd lämnar företaget eller om en trådlös enhet som konfigurerats med det aktuella lösenordet blir stulen, kan den tidigare anställde eller den som stulit utrustning lätt komma åt nätverket. I den bästa av världar ändrar du givetvis lösenord efter en stöld, men många glömmer tyvärr bort det. Att missa att ta bort tidigare anställdas privilegier är dessvärre ännu vanligare.
Istället bör du alltid använda enterprise- eller 802.1X-läge för WPA eller WPA2-säkerhet (och du ska alltid använda WPA2). På så vis tilldelas varje användare sina egna inloggningsuppgifter för nätverket, vilket gör det lätt att stänga ner åtkomsten för enskilda användare eller enheter.
4. Undvik helst WPS PIN-autentisering
WPS (Wi-Fi Protected Setup) är en funktion som ingår i de flesta trådlösa routrar och i många bättre accesspunkter. WPS är tänkt att göra säkerheten i nätverk lättare att ställa in och hantera, men funktionen kan dessvärre även öppna några allvarliga säkerhetsrisker. En sårbarhet i PIN-autentiseringsmetoden för WPS gör det enkelt att knäcka den 8-siffriga PIN-koden och komma över lösenord när det privatanvändarläget för säkerhet (som beskrivs i punkt 3) används.
Denna sårbarhet är en annan anledning till varför företag bör använda enterprise-läget på WPA2-säkerhet, eftersom WPS-funktionen inte fungerar med det läget. Om detta inte är möjligt, bör du överväga att inaktivera WPS på dina trådlösa routrar eller accesspunkter. Säkerhetshålen i WPS PIN-funktionen är förvisso åtgärdade på de allra flesta nya enheter, men vill du vara på den säkra sidan ska du undvika WPS helt i din företagsmiljö.
5. Förhindra att användare ansluter till angränsande wifi-nätverk
En säkerhetsrisk som många inte tänker på är användare som av misstag ansluter till angränsande wifi-nätverk, trots att de befinner sig på kontoret. Problemet med detta är att bärbara datorer och andra trådlösa enheter som de anställda ansluter till andra nätverk blir än mer sårbara, och deras data kan potentiellt ses av användare på de andra nätverken.
Anställda eller deras trådlösa enheter kan också luras att ansluta till andra nätverk om någon sätter upp en falsk accesspunkt med samma namn som företagets befintliga, och skapar ett så kallat honeypot-nätverk för att utföra man-in-the-middle-attacker. Dessa typer av attacker kan förhindras genom att övervaka accesspunkterna i nätverket och använda serververifiering med enterprise-läge för WPA2.
Det finns förstås också situationer där användare medvetet ansluter till andra nät, till exempel närliggande öppna hotspots eller gratis wifi på till exempel caféer och hotell. Ibland kan de göra det för att få snabbare uppkoppling eller för att inte behöva använda sin surfpott, och ibland till och med för att få obegränsad åtkomst till internet (om ditt nätverk till exempel använder innehållsfiltrering). Det problemet kan bara avhjälpas genom en kombination av bra teknik (dvs inte ha ett långsamt nät) och att utbildning till dina användare om olika risker. I allra värsta fall, om det handlar om mycket känslig data, kan det bli tal om att blockera användarnas möjligheter att ansluta på vissa sätt, eller till vissa typer av nät.
6. Var vaksam även för interna hot
Oftast har du huvudfokus på att du måste kryptera ditt nätverk för att skydda från externa hot, men du måste ha hoten inifrån i åtanke. Vid användning av privatanvändarläget för WPA eller WPA2, kan vem som helst med lösenordet övervaka den trådlösa trafiken och de andra användarna. Trafiken som kan samlas in med hjälp av en nätverksanalysator (som till exempel Wireshark), är i råformat och därför svår för de flesta att förstå, men det finns lösenords-sniffers och lättanvända verktyg för sessionskapning som gör det relativt enkelt för vem som helst att komma över informationen.
Lösenords-sniffers listar vanligtvis användarnamn och lösenord för alla inloggningar i nätverket som sker via klartext, såsom okrypterade webbplatser via HTTP, e-postservrar utan kryptering och filöverföringar via FTP. Verktyg för sessionskapning kan till exempel genomsöka nätverket efter användare som loggar in på hemsidor som inte krypterar hela inloggningsprocessen. Därefter kan verktygen leta efter en viss cookie som genererats av webbplatsen för att få tillgång till användarens session. På så vis kan den som vet vad den gör med några klick komma åt en annan användares konto utan att veta dennes lösenord.
Återigen är enterprise-läge på säkerheten din räddare, då den inte tillåter användare i ett nätverk att se andra användares trafik. Med andra ord ett enkelt sätt att hindra användare från att sniffa lösenord och kapa sessioner.
7. Kontrollera inställningar för gästnätverk
De flesta trådlösa routrar har en gästfunktion utformad för att ge besökare tillgång till endast Internet och kanske utvalda delar av det lokala nätverket, samtidigt som det skyddar ditt privata nätverk och datorerna i det. På enterprise-klassade routrar, switchar och accesspunkter kan du emulera denna funktion genom att konfigurera virtuella LAN och flera SSID.
Men det händer inte sällan att inställningar i gästnätverket blir fel, särskilt om utrustningen ställs in en gång vid uppsättning och sedan bara får leva sitt eget liv. Därför är det ett gott råd att både dubbelkolla och trippelkolla att det privata nätverket verkligen är säkert när någon är uppkopplad på gästnätverket. Testa att med jämna mellanrum själv ansluta till gästnätverket, surfa på nätet och köra några pingar för att säkerställa att allt fungerar som planerat och att du inte kan komma åt något du inte borde komma åt.