Kategoriarkiv: Datasikkerhet

Hvordan sikre ditt trådløse nettverk?

Mye er sagt og skrevet om sikring av trådløst nettverk i hjemmet, og her kommer enda noen ord. Jeg har lagt vekt på å gjøre dette så enkelt som mulig, uten å ofre sikkerheten i nettverket ditt.

Hvorfor sikre det trådløse nettverket?

Det er flere grunner til at du vil sikre det trådløse nettverket ditt. Husk at trådløst nettverk er radiobølger, og disse går i alle retninger. Den trafikken som går mellom din PC og aksesspunktet ditt kan sees av andre i din nærhet:

wlan1

En av grunnene til å sikre det trådløse nettverket er at du vil hindre at uvedkommende kan plukke opp trafikken i nettverket ditt. Uten kryptering kan alle som plukker opp signalene også se alt innholdet i nettverkstrafikken og på den måten eventuelt plukke opp brukernavn/passord til en mailkonto, se hvilke nettsider du besøker eller lignende. Merk: Trafikken til og fra nettbanken din er alltid kryptert, så akkurat det trenger du ikke tenke på.

En annen grunn til å kryptere trafikken er for å unngå at uvedkommende får tilgang til ditt trådløse nettverk. Eksempelet alle bruker for å skremme er at hvis uvedkommende får tilgang til ditt trådløse nettverk kan de bruke dette til å surfe på barneporno, men det er også andre ting de kan gjøre. Et par eksempler er å prøve å få tilgang til din(e) datamaskin(er) eller sende ut spam via ditt nett.

Uansett hva motivet måtte være så kan det bety trøbbel for deg hvis de får tilgang!

Hva kan du gjøre?

Det er noen alternativer som dukker opp hver gang man snakker om sikring av trådløse nettverk, men dessverre er ikke alle like gode. Her nevner jeg tre punkter, og forklarer hvorfor de ikke nødvendigvis er veldig fornuftig og/eller praktisk å bruke to av dem.

De tre punktene er:

  1. SSID (nettverksnavnet)
  2. MAC-adressefilter (for å begrense hvilke maskiner som kan få tilgang til nettverket)
  3. Kryptering (så ingen kan se hva du sender/mottar)

La oss se litt nærmere på det vi har å jobbe med…

SSID
Det er to ting du kan gjøre med SSID (nettverksnavnet): Du kan skjule SSIDen, og du kan bruke en SSID som ikke direkte identifiserer deg eller din familie.

Å skjule SSIDen så den ikke kringkastes ut i nabolaget nevnes ofte som en sikkerhetsmekanisme, men så lenge det går trafikk via det trådløse nettverket er det mulig å finne nettverksnavnet. Det er også noen trådløse nettverkskort som har problemer med skjult SSID, så det kan gi problemer hvis du velger å bruke skjult SSID. Konklusjon: Falsk sikkerhet og potensielle problemer.

Når det gjelder valg av SSID (nettverksnavn), så anbefaler jeg å ikke bruke noe som enkelt identifiserer at nettet tilhører deg. Bruk derfor ikke fornavn, etternavn, navn på kjæledyr, adresse eller noe annet som direkte forteller de som lytter at det er ditt nettverk. Ikke kall nettverket ditt «OleHansen» hvis det er navnet ditt, men bruk en nøytral SSID. Da blir det bittelitt vanskeligere å identifisere og angripe deg spesifikt. Konklusjon: Jeg anbefaler en nøytral SSID.

MAC-adressefilter

Alle nettverkskort har en unik adresse som kalles MAC-adresse (Media Access Control). Et MAC-adressefilter gir kun registrerte MAC-adresser (og dermed kun kjente maskiner) tilgang til ditt nettverk. I utgangspunktet høres jo dette forlokkende ut, men MAC-adresser kan forfalskes. En som sniffer på nettverkstrafikken din kan se hvilke MAC-adresser som er i bruk (dvs har tilgang), og kan deretter selv kode om sin egen MAC-adresse og bruke en av de adressene som ble oppdaget. I tillegg medfører et slikt filter at alle maskiner som skal bruke det trådløse nettet først må registreres på aksesspunktet. Har du kun et fåtall maskiner er det kanskje en jobb du vil ta, men har du familie, venner eller andre som er innom og vil bruke ditt trådløse nett blir det fort mye jobb for en veldig liten sikkerhetsgevinst (hvis noen). Konklusjon: Mye bryderi og lav sikkerhet.

Da står vi igjen med kryptering.

Kryptering

Kryptering kan sikre at uvedkommende ikke får tilgang til nettverket ditt, men du må bruke en standard som er sikker. Det betyr at du ikke skal bruke WEP (Wired Equivalent Privacy) i ditt nettverk, for den standarden er ikke god nok. Krypteringsnøkkelen er kun 40 eller 104 bits (pluss 24 bits IV – Initialization Vector), den er statisk (endres aldri), og ved å sniffe nok trafikk kan man knekke nøkkelen.

Det nivået du må legge deg på er WPA2 (Wi-Fi Protected Access 2). Kort fortalt sørger WPA2 for å bytte ut krypteringnøkkelen regelmessig, og nøkkelen er 256 bits lang. Den initielle passordfrasen som må være kjent for alle tillatte brukere bør være relativt lang, og bruk gjerne tipsene fra Hvordan velge et godt passord for valg av passordfrase. Sørg for at passordfrasen er på over 15-20 tegn, så er den trygg nok pr. idag. Selve krypteringsnøkkelen lages som en utregning basert på SSID og passordfrasen, men hvordan dette skjer trenger du ikke tenke på – det går helt automatisk.

WPA2 bruker CCMP-protokollen og AES-krypteringsstandarden, men igjen er det noe du ikke trenger å tenke på. Husk WPA2, så er det nok. Konklusjon: Bruk WPA2.

Så hva er essensen av denne posten?

Essensen er kort og godt at du kan droppe flere av de punktene som ofte nevnes når man skal sikre sitt trådløse nettverk. Det eneste du egentlig trenger er sterk kryptering med WPA2 og en god passordfrase. Bruk også en SSID som ikke direkte identifiserer deg, så er mye gjort.

Hva annet kan jeg gjøre for å sikre de trådløse nettverket mitt?

Det er flere andre ting du kan gjøre, men det holder i praksis å bruke WPA2-kryptering med en lang og god passordfrase. Vil du prøve mer kan du alltids skjule din SSID og skru på MAC-filtrering, men min erfaring er at dette gir mer ekstraarbeid og problemer enn positiv effekt. De som virkelig vil inn på akkurat ditt trådløse nett vet hvordan de skal finne en skjult SSID, og de vet hvordan de forfalsker en MAC-adresse. Bruker du en nøytral SSID må de peile signalene for å vite at «Andebynett» er det nettverket som er i bruk hos deg. Det de derimot ikke vet er krypteringsinformasjonen din, og de klarer ikke finne denne hvis du velger en god passordfrase og holder den hemmelig. Hvis du har gitt passordfrasen til mange rundt deg så bytter du den.

Lykke til!

Hvordan velge et godt passord

Et godt passord er et passord som ikke teoretisk eller i praksis kan knekkes før informasjonen passordet beskytter er harmløs/verdiløs. Med det menes at det skal ta så lang tid å klare å knekke passordet at all informasjon man kan få tilgang til ved å vite passordet er utdatert, harmløs og verdiløs. For noe informasjon kan det være snakk om uker/måneder, mens annen informasjon aldri skal kunne komme på avveier. Dermed kan kravet til hvor godt et passord skal være variere.

Uansett: Det er en god regel å kun bruke gode passord, uansett hva passordet brukes til.

Hva gjør hackerne?

Før jeg sier mer om hvordan man kan velge seg et godt passord skal jeg si litt om hvordan hackerne opererer for å finne passordet ditt. Det kan være nødvendig for å skjønne hvorfor det er så viktig med gode passord.

En hacker har via en moderne PC tilgang på enorm regnekraft, og kan i teorien gjette flere millioner passord i sekundet fra en enkelt PC. I tillegg er det veldig ofte programmer som gjør jobben for hackeren, og programmet bryr seg lite om ditt passord er «arnebjarne», «abcdefgh» eller «qwertyui». Før eller siden vil en hacker klare å gjette passordet ditt, og da er det viktig å sørge for at «før eller siden» er så langt inn i fremtiden som mulig. Det gjør vi ved å legge til spesialtegn og bruke lange passord når vi skal bytte passord.

Hackerne har flere metoder for å komme seg inn på din maskin, deriblant disse:

  • «Brute force»
    Hackeren gjetter repeterende hva passordet er, gjerne via et program som gjør dette automatisk. Dette tar lang tid, og jo lenger og mer komplekst passordet er, jo vanskeligere er det å gjette.
  • Ordbok-angrep («Dictionary attack»)
    Ordbok-angrep er et «brute force»-angrep. Man tar utgangspunkt i en elektronisk ordbok, og bruker spesialprogramvare som prøver å logge på gang på gang med ett og ett ord fra ordboken som passord.
  • Tastatursniffer («Key logger»)
    Enten installerer man en liten enhet som plukker opp alle tastetrykk i enden av tastaturledningen, eller så installerer man et program på PCen som registrerer alle tastetrykk. Dermed får man også plukket opp brukernavn/passord blant alt det andre man får registrert.
  • Sosial manipulering
    Hackeren bruker all tilgjengelig informasjon om deg til å finne passordet ditt. Det kan bety å gå gjennom søppel, bryte seg inn og se om du har lapper med passord skrevet ned og gjemt under tastaturet, i en skuff eller tilsvarende. De kan også f.eks. ringe og utgi seg for å være fra IT Support og enkelt og greit be om brukernavn og passord for å verifisere at alt fungerer som det skal. Overraskende mange lar seg lure av nettopp dette.

Det finnes flere andre metoder for å tilegne seg passord og tilgang, men å liste disse får bli til en annen gang.

Hva gjør du?

Så til passordene og hvordan du kan beskytte seg…

Det er to ting som kjennetegner et godt passord:

  • Det er lett for deg å huske
  • Det er vanskelig for andre å gjette

Utfordringen er å finne en god kombinasjon av de to kjennetegnene.

Her er noen gode tips til hvordan du kan velge et godt passord

  • Hold deg unna ordbøker!
    Ikke velg deg et passord som står i en ordbok, uansett språk og fagområde.
  • Dropp kjente navn
    Hold deg unna navn på familie, venner, andre personer, husdyr eller ting som kan knyttes til deg.
  • Lengde
    Et langt passord er bedre enn et kort passord. Jo lenger et passord er, jo vanskeligere er det å gjette. Unngå for all del passord som er kortere enn 8 tegn langt, og bruk helst 10-12 tegn eller mer.
  • Kompleksitet
    Bruk både store og små bokstaver, samt tall og spesialtegn (@&_! osv). Bytt ut bokstaver med spesialtegn og tall som ligner, som i disse eksemplene:

    a = @ i = 1 K = X
    A = 4 i = ! o = 0 (null)
    b = 6 g = 9 T =7

    Poenget er å bruke spesialtegn som ligner litt på det tegnet det erstatter, så man fremdeles husker hva det opprinngelige ordet er.

  • Passordbytte
    «Passord er som tyggegummi – de er best når de er ferske!». Bytt passord mer eller mindre regelmessig. Behold ihvertfall ikke det samme passordet i flere år.
  • Gjenbruk
    Bruk aldri det samme passordet på flere tjenester, og ikke bruk «fortløpende» passord med en økende teller (hemmelig01, hemmelig02, hemmelig03 osv).
  • Flett sammen to ord
    Velg deg to ord du husker, f.eks. sommer og ferie. Flett disse sammen til et nytt ord, med annenhver bokstav fra de to ordene du valgte: sfoemrmieer. Varier med store og små bokstaver og legg til et spesialtegn eller to, så har du et passord som er veldig vanskelig å gjette: «_$Foemrm1eer!«
  • Passordfrase
    I stedet for å huske et kryptisk passord kan du lage en lang passordfrase (en setning) som er lett å huske, men vanskelig å gjette.

Et eksempel på hvordan man kommer fram til et godt passord ved bruk av en passordfrase

Lag en lang passordfrase som er lett å huske, men vanskelig å gjette. Bruk en verselinje fra en sang, et dikt, fjerde setning på side 27 i den siste boka du leste eller noe helt annet. La oss ta utgangspunkt i setningen «Ja, vi elsker dette landet, som det stiger frem», og så lager vi noen varianter:

  • Passordfrasen din kan f.eks. være «JaViElskerDetteLandetSomDetStigerFrem«, men denne består kun av ord fra en ordliste.
  • Bytt deretter ut noen bokstaver med tall og spesialtegn: «J@,ViElskerDetteLandet,$omDet$tigerFrem!«.
  • Vil du ha et kortere passord bruker du kun forbokstavene i hvert ord, varier med store/små bokstaver og tall og bruk spesialtegn: «J,vEdL,$d$f!«. Fremdeles er det mulig for deg som kjenner «koden» å se at dette er en forkortelse for «Ja, vi elsker dette landet, som det stiger frem», men for en utenforstående vil det være veldig vanskelig å gjette seg til hva passordet er. Hvis du velger å forkorte, så sørg for at forkortelsen blir minst 10 tegn, helst 12 eller mer.

Så hvorfor bruker man en passordfrase i stedet for et passord?

Jo, det er mye enklere å huske en passordfrase enn et tilfeldig, kryptisk passord. Alle klarer å huske første linje fra nasjonalsangen vår, og det på kort tid. Selv om man forkorter denne frasen vil det være relativt lett å huske, ihvertfall etter å ha brukt det nye passordet noen få ganger. Å skulle huske en helt tilfeldig og kryptisk tegnsekvens, f.eks. «T@b.Ny$Pb!M«, er mye vanskeligere. Det er i utgangspunktet en helt meningsløs tekststreng for den som skal bruke passordet, og dermed er det større risiko for at brukeren skriver ned passordet for å være sikker på å huske det.

Min anbefaling

Min anbefaling er å bruke enten to sammenflettede ord eller en passordfrase som utgangspunkt, og så sørge for noen spesialtegn og en minimumslengde på 12 tegn (hvis man forkorter). Begge disse «formlene» er relativt forutsigbare for deg, men gir et resultat som en hacker vil slite med å finne ut av.

Test av ny antispam-løsning

Klokken har passert midnatt natt til fredag, og jeg sitter og tester ut en ny antispam-løsning for bedriften jeg jobber for. Etter mange år med en egenfiklet løsning basert på Postfix, SpamAssassin, Vexira og enkelte andre triks har vi nå bestemt oss for å bruke penger og kjøpe et kommersielt produkt for å holde spammen og mailvirusene i sjakk. Vi har rett og slett ikke tid og anledning til å regelmessig pusse på en egenutviklet løsning.

Så her sitter jeg, og har via DNS satt opp at all mail til oss skal gå via to nye bokser. Dette skjer på sen kveld så jeg ikke forstyrrer mer enn jeg må, og fordi eventuelle problemer ikke gir like store problemer på denne tiden av døgnet. I et par timer nå har de nye boksene tatt imot hovedyngden av meldingene våre, og de har stått som sekundær MX i et par dager (testing, you know). Jeg ser at de to gamle boksene fremdeles får godt med hits. Det tar litt tid før all verdens DNSer oppdateres med ny info og de gamle boksene «glemmes». Jeg kunne selvfølgelig stoppet de så kun de nye boksene var på nett, men det er ikke SÅ viktig med 100% korrekt miljø for en sen nattetest. Den trafikken jeg ser nå er mer enn representativ for å få et bilde av hva som skjer…

Og hva skjer egentlig på de nye boksene? Joda, ser jeg på statistikken så ser jeg at den ene boksen mellom 03.04.2008 kl. 0000 og 04.04.2008 kl. 0005 tygde unna følgende «kveldsmat»:

Trafikkstatistikk

Tilsammen ~31,7K meldinger, hvorav ~31,4K ble avvist (99,2%) og kun 268 (0,8%) ble flagget som rene og levert videre får jeg vel si meg fornøyd med. Den gamle løsningen vår stoppet et sted mellom 70% til 90% av den totale trafikkmengden, men hadde litt for mange falske positive til at jeg var helt komfortabel. Nå har jeg ikke fått testet den nye løsningen lenge nok til å kunne si noe om hvordan feilraten er med denne, men andre brukere av samme produkt antyder at antallet med både falske positive og negative skal være behagelig lavt.

Så da gjenstår det vel bare å vente å se. La løsningen stå og gå over helgen og se om jeg får noen tilbakemeldinger om ting som ikke er som de skal være. Det eneste jeg kan si så langt er: «So far so good!» 🙂