Hvordan sikre ditt trådløse nettverk?

Mye er sagt og skrevet om sikring av trådløst nettverk i hjemmet, og her kommer enda noen ord. Jeg har lagt vekt på å gjøre dette så enkelt som mulig, uten å ofre sikkerheten i nettverket ditt.

Hvorfor sikre det trådløse nettverket?

Det er flere grunner til at du vil sikre det trådløse nettverket ditt. Husk at trådløst nettverk er radiobølger, og disse går i alle retninger. Den trafikken som går mellom din PC og aksesspunktet ditt kan sees av andre i din nærhet:

wlan1

En av grunnene til å sikre det trådløse nettverket er at du vil hindre at uvedkommende kan plukke opp trafikken i nettverket ditt. Uten kryptering kan alle som plukker opp signalene også se alt innholdet i nettverkstrafikken og på den måten eventuelt plukke opp brukernavn/passord til en mailkonto, se hvilke nettsider du besøker eller lignende. Merk: Trafikken til og fra nettbanken din er alltid kryptert, så akkurat det trenger du ikke tenke på.

En annen grunn til å kryptere trafikken er for å unngå at uvedkommende får tilgang til ditt trådløse nettverk. Eksempelet alle bruker for å skremme er at hvis uvedkommende får tilgang til ditt trådløse nettverk kan de bruke dette til å surfe på barneporno, men det er også andre ting de kan gjøre. Et par eksempler er å prøve å få tilgang til din(e) datamaskin(er) eller sende ut spam via ditt nett.

Uansett hva motivet måtte være så kan det bety trøbbel for deg hvis de får tilgang!

Hva kan du gjøre?

Det er noen alternativer som dukker opp hver gang man snakker om sikring av trådløse nettverk, men dessverre er ikke alle like gode. Her nevner jeg tre punkter, og forklarer hvorfor de ikke nødvendigvis er veldig fornuftig og/eller praktisk å bruke to av dem.

De tre punktene er:

  1. SSID (nettverksnavnet)
  2. MAC-adressefilter (for å begrense hvilke maskiner som kan få tilgang til nettverket)
  3. Kryptering (så ingen kan se hva du sender/mottar)

La oss se litt nærmere på det vi har å jobbe med…

SSID
Det er to ting du kan gjøre med SSID (nettverksnavnet): Du kan skjule SSIDen, og du kan bruke en SSID som ikke direkte identifiserer deg eller din familie.

Å skjule SSIDen så den ikke kringkastes ut i nabolaget nevnes ofte som en sikkerhetsmekanisme, men så lenge det går trafikk via det trådløse nettverket er det mulig å finne nettverksnavnet. Det er også noen trådløse nettverkskort som har problemer med skjult SSID, så det kan gi problemer hvis du velger å bruke skjult SSID. Konklusjon: Falsk sikkerhet og potensielle problemer.

Når det gjelder valg av SSID (nettverksnavn), så anbefaler jeg å ikke bruke noe som enkelt identifiserer at nettet tilhører deg. Bruk derfor ikke fornavn, etternavn, navn på kjæledyr, adresse eller noe annet som direkte forteller de som lytter at det er ditt nettverk. Ikke kall nettverket ditt «OleHansen» hvis det er navnet ditt, men bruk en nøytral SSID. Da blir det bittelitt vanskeligere å identifisere og angripe deg spesifikt. Konklusjon: Jeg anbefaler en nøytral SSID.

MAC-adressefilter

Alle nettverkskort har en unik adresse som kalles MAC-adresse (Media Access Control). Et MAC-adressefilter gir kun registrerte MAC-adresser (og dermed kun kjente maskiner) tilgang til ditt nettverk. I utgangspunktet høres jo dette forlokkende ut, men MAC-adresser kan forfalskes. En som sniffer på nettverkstrafikken din kan se hvilke MAC-adresser som er i bruk (dvs har tilgang), og kan deretter selv kode om sin egen MAC-adresse og bruke en av de adressene som ble oppdaget. I tillegg medfører et slikt filter at alle maskiner som skal bruke det trådløse nettet først må registreres på aksesspunktet. Har du kun et fåtall maskiner er det kanskje en jobb du vil ta, men har du familie, venner eller andre som er innom og vil bruke ditt trådløse nett blir det fort mye jobb for en veldig liten sikkerhetsgevinst (hvis noen). Konklusjon: Mye bryderi og lav sikkerhet.

Da står vi igjen med kryptering.

Kryptering

Kryptering kan sikre at uvedkommende ikke får tilgang til nettverket ditt, men du må bruke en standard som er sikker. Det betyr at du ikke skal bruke WEP (Wired Equivalent Privacy) i ditt nettverk, for den standarden er ikke god nok. Krypteringsnøkkelen er kun 40 eller 104 bits (pluss 24 bits IV – Initialization Vector), den er statisk (endres aldri), og ved å sniffe nok trafikk kan man knekke nøkkelen.

Det nivået du må legge deg på er WPA2 (Wi-Fi Protected Access 2). Kort fortalt sørger WPA2 for å bytte ut krypteringnøkkelen regelmessig, og nøkkelen er 256 bits lang. Den initielle passordfrasen som må være kjent for alle tillatte brukere bør være relativt lang, og bruk gjerne tipsene fra Hvordan velge et godt passord for valg av passordfrase. Sørg for at passordfrasen er på over 15-20 tegn, så er den trygg nok pr. idag. Selve krypteringsnøkkelen lages som en utregning basert på SSID og passordfrasen, men hvordan dette skjer trenger du ikke tenke på – det går helt automatisk.

WPA2 bruker CCMP-protokollen og AES-krypteringsstandarden, men igjen er det noe du ikke trenger å tenke på. Husk WPA2, så er det nok. Konklusjon: Bruk WPA2.

Så hva er essensen av denne posten?

Essensen er kort og godt at du kan droppe flere av de punktene som ofte nevnes når man skal sikre sitt trådløse nettverk. Det eneste du egentlig trenger er sterk kryptering med WPA2 og en god passordfrase. Bruk også en SSID som ikke direkte identifiserer deg, så er mye gjort.

Hva annet kan jeg gjøre for å sikre de trådløse nettverket mitt?

Det er flere andre ting du kan gjøre, men det holder i praksis å bruke WPA2-kryptering med en lang og god passordfrase. Vil du prøve mer kan du alltids skjule din SSID og skru på MAC-filtrering, men min erfaring er at dette gir mer ekstraarbeid og problemer enn positiv effekt. De som virkelig vil inn på akkurat ditt trådløse nett vet hvordan de skal finne en skjult SSID, og de vet hvordan de forfalsker en MAC-adresse. Bruker du en nøytral SSID må de peile signalene for å vite at «Andebynett» er det nettverket som er i bruk hos deg. Det de derimot ikke vet er krypteringsinformasjonen din, og de klarer ikke finne denne hvis du velger en god passordfrase og holder den hemmelig. Hvis du har gitt passordfrasen til mange rundt deg så bytter du den.

Lykke til!

5 kommentarer til “Hvordan sikre ditt trådløse nettverk?

  1. En veldig bra og informativ artikkel, Thomas! 🙂

    Selv bruker jeg kun sterk kryptering med verdens lengste passord, men uten MAC-filtrering og med en lett identifiserbar SSID.

  2. Takk, takk, Martin! Det er mulig du har verdens lengste passord, men du er neppe alene. Passordfrasen for WPA2 er på 8-63 tegn, så alle med 63 ascii-tegns (evt 64 tegn i hex) passord har verdens lengste passord. 😉

    Den eneste grunnen jeg kan tenke meg for å bruke lett identifiserbar SSID er fordi du vil at nettverket ditt skal bli funnet. Ulempen er at alle som er ute etter å gi deg problemer finner deg like lett. Dermed ser de hvilke(n) frekvens(er) du sender på, og kan f.eks. enkelt støye for de(n) aktuelle frekvensen(e).

  3. Flott guide, Thomas – det er ikke rent få personer som synder når det kommer til trådløs sikkerhet. Man kan jo også presisere at man kan kryptere uten å bruke et passord – å passordbeskytte ett nettverk og kryptere trafikken er i utgangspunktet to forskjellige ting.

  4. Takk for tilbakemeldingen, Audun!

    Det er alt for mange som fremdeles glipper på trådløs sikkerhet, men det har blitt bedre. I mitt nabolag er nå ca. 80% kryptert, mot 25% da jeg flyttet inn for et drøyt halvannet år siden.

    Er du forresten sikker på at man klarer seg uten passord når man bruker WPA2? Krypteringsnøkkelen regnes ut som en hash med SSID som salt og det selvvalgte passordet som …vel… passord. Hva skjer hvis man dropper passordet? Jeg har ikke finstudert dette, så jeg er usikker.

  5. På hjemmemodellene er det ikke sikkert det er mulig (og det er jo bare bra), men på jobb bruker vi iallefall Cisco-bokser som har wlan uten passord, men med kryptering av trafikken.

    Poenget mitt var vel bare at man i teorien kan passordbeskytte et nettverk, men likevel ikke kryptere trafikken som sendes (eller omvendt) – jeg har gjort det med et vanlig WLAN-kort og en GNU/Linux-boks. Dette gjøres vel automagisk på alle bokser man kjøper for å ha hjemme, men i teorien er det to forskjellige ting 🙂

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.