Drie jaar na een eerste onderzoek in België (Data News) en Nederland (Computable) naar de onveiligheid van draadloze netwerken, hebben de zuiderburen de test opnieuw uitgevoerd. De resultaten zijn verbijsterend: niemand heeft ervan geleerd, want nog steeds 68 procent is niet beveiligd. Daarom nogmaals een exposé over de risico’s van onbeveiligd draadloos netwerken.
Sinds 2001 is er één zaak veranderd: wireless is niet langer een niche-technologie. Iedereen gebruikt het, van thuisgebruikers tot multinationals en banken. De redenen voor dit succes zijn duidelijk. Het is toch zo makkelijk om binnen het kantoor mobiel te zijn en overal draadloos te kunnen werken. Bovendien zijn de prijzen van de technologie enorm gezakt. Tenslotte orden professionele laptops met standaard een wireless voorziening langzaam aan gemeengoed.
Een ander verkoopargument is hoe makkelijk zo’n draadloos netwerk kan worden geïnstalleerd. De fabrikanten leveren een wireless zendstation of Access Point (AP) met een basisconfiguratie af, zodat men eigenlijk alleen nog de stroom en de netwerkkabel hoeft in te pluggen. Iedereen kan nu snel en efficiënt een draadloos netwerk opzetten en men doet het dan ook massaal.
Ernstige risico’s
Wat fabrikanten en verkopers onvoldoende benadrukken, is dat een AP in de basisconfiguratie absoluut onveilig is. Anders gezegd: behalve het eigen personeel kan elke buitenstaander net zo makkelijk, soms zelfs per ongeluk, inloggen. Bovendien stopt het zendbereik van het draadloos netwerk niet netjes bij de voordeur van het bedrijfsgebouw. Ook op straat is het ‘zichtbaar, bereikbaar en te misbruiken’ – zeker wanneer de hacker een extra antenne gebruikt.
Netwerkbeveiliging leunt zwaar op perimeter-security. Anders gezegd: bedrijven doen er weinig aan om de vijand buiten het netwerk te houden, door middel van bijvoorbeeld firewalls. Eenmaal toegang tot het netwerk, krijgt de gebruiker haast onbeperkte toegang tot netwerkdiensten en systemen op het netwerk.
Een hacker die zich met een laptop in de auto voor het bedrijf parkeert, krijgt vaak dezelfde toegang als uw eigen medewerkers. Bovendien kan hij alle netwerkverkeer op het draadloze netwerk onderscheppen en analyseren (sniffen). Als men geen encryptie gebruikt, kan hij ongestoord meelezen wanneer een e-mail wordt verstuurd, een bestand van de fileserver wordt geopend en welke gebruikersnaam en wachtwoord hiervoor worden gebruikt.
Aanvallen
Een laatste probleem is dat iemand de internetconnectie kan misbruiken om andere doelwitten aan te vallen. Anders gezegd: hij kan een verbinding gebruiken om elders binnen te breken waarbij alle bewijsmateriaal verwijst naar de onderneming waar de inbraak begon, inclusief internetadres. In de Verenigde Staten werd al iemand veroordeeld die openstaande draadloze netwerken misbruikte om spam te verspreiden. In België werd een brave huisvader door de Federale Politie van zijn bed gelicht wegens het verspreiden van kinderporno. De dader bleek uiteindelijk zijn buurman die het draadloze netwerk van de opgepakte man had gebruikt.
Stel dat iemand morgen besluit om cybercrimineel te worden, dan is de kans heel klein dat hij gevonden wordt. Waarom? Hij stapt in de wagen, rijdt even rond… en vindt over het hele land onbeveiligde AP’s en dito internetverbindingen, die hij kan misbruiken om volledig anoniem elders op het internet binnen te breken. Het groeiend aantal draadloze verbindingen bij thuisgebruikers, die vaak hun breedbandlijn dag en nacht laten openliggen, vormt een levensgroot maatschappelijk risico. Vaak zijn deze zich helemaal niet bewust van hun aansprakelijkheid.
Hoe draadloos beveiligen?
Met wat basiskennis en gezond verstand kan een draadloos netwerk best wel veilig worden opgezet. De eerste vereiste is kennis: lees de handleiding van de hardware na en zoek op het internet naar sites over draadloze veiligheid. Vervolgens gebruikt men een stappenplan, waarvan bijgaand een voorbeeld.
Breng netwerken in kaart. Download een analyse-tool zoals Netstumbler (http://www.netstumbler.org) en zoek welke zendstations aanwezig zijn in de directe omgeving. Soms ontdekt men binnen de eigen bedrijfsmuren draadloze netwerken waarvan men geen weet had. Bijvoorbeeld, een medewerker wil draadloos werken op kantoor, brengt zelf een AP mee en plugt dit in het netwerk. Deze rogue AP’s zijn zeer gevaarlijk omdat ze vaak rechtstreeks op het ‘vertrouwde’ interne netwerk zijn aangesloten. Systeembeheerders hebben geen weet van het levensgrote beveiligingslek en de daders zijn zich doorgaans van geen kwaad bewust.
Gebruik de beveiligingsopties. Activeer minstens de WEP-beveiliging (Wired Equivalent Privacy). Dit zorgt ervoor dat elke verbinding met een encryptieprotocol versleuteld is. WEP is te kraken maar het kost de aanvaller vrij veel tijd. Daarnaast moet de AP alle netwerkpakketten die niet versleuteld zijn, weggooien. Voor heel wat Wardriving-software wordt het zendstation dan onzichtbaar.
Beschouw draadloos als een onveilig netwerk. De gebruiker/beheerder moet het draadloze netwerk een eigen firewall-poort geven, met strikte beperkingen van het verkeer naar de interne servers en naar de buitenwereld. Wie wireless op het interne netwerk wil aansluiten, hoort dit beveiligd te doen, zoals een thuiswerker die het internet gebruikt: via sterke authenticatie, VPN, enzovoort.
Log en audits. Activeer de logs van de AP, zodat men perfect weet wat er op het draadloos netwerk gebeurt. Wanneer iemand van buitenaf probeert te verbinden, verschijnt dit in het logboek. De gebruiker/beheerder kan tijdens en na inbraakpogingen beter reageren.
Bij de minste twijfel is het echter verstandig om toch maar een professionele security-consultant in te huren.< BR>
Meer info : http://www.ba.be/security/
Jan Guldentops, BA Testlabs