Guiden er skrevet av Sterias eksperter på it- infrastruktur, og forklarer på en lettfattelig måte hva som må til for å sikre virksomhetens trådløse nettverk. Den inneholder også Sterias 3-punktsliste for innføring av sikkert WLAN.

1. Tema: infrastruktur
è www.steria.no/guide
è Slik bygger du et sikkert trådløst nettverk_
Er du en av de som fremdeles er skeptisk til sikkerheten i trådløse nettverk? Det er kanskje
på tide å bli kvitt gamle fordommer og gå videre. Med dagens teknologi er nemlig et
sikkert trådløst nettverk fullt ut mulig, men – it-avdelingen må gjøre leksene sine først.
è SEIGLIVEDE MYTER MULIGHETENE – LØNNSOM MOBILITET – Selv moderate kalkyler viser at
Det finnes fortsatt myter om hvor usikre Ved innføring av nye systemer og rutiner vil investeringen i et sikkert trådløst
trådløse nettverk er, med påfølgende risiko som vanlig alle avgjørelser være preget av nettverk raskt lar seg tjene inn.
for datainnbrudd, ubudne gjester på serve- kostnader. Snur man derimot fokuset og ser
ren, identitetstyverier og manipulasjon av lønnsomheten i bedre mobilitet, vil man
kundedata. Trass i en rivende utvikling og raskt se inntjeningspotensialet i trådløse HVA SÅ MED SIKKERHETEN?
økt fokus på sikkerhet i den tekniske ver- nettverk. Dette kan være noe så simpelt å Sikkerheten i trådløse nettverk består ofte
den, preger fordommene fortsatt mange kunne tilby eksterne en forbindelse mot av tre hovedfaktorer: autentisering, konfi-
av vurderingene som blir gjort. eget bedriftsnett under et besøk. Med rett densialitet og integritet. Man skal være
teknologi kan dette gjøres enkelt og uten sikker på hvem man mottar data fra, vite
UTFORDRINGENE ER HÅNDTERBARE risiko for både den besøkende og for tilby- at ingen utenforstående kan tyde den og
Ny teknologi som utfordrer sikkerheten er deren. at ingen har endret på innholdet. For bedrif-
som vanlig på full fart fremover. Den stadige ter anbefales en sentralisert autentiserings-
dragkampen mellom sikkerhetsbransjen og Også internt viser regnestykker at man tjener. På denne måten vil alle i nettverket
de som utfordrer den vil alltid finnes. For raskt kan tjene inn kostnadene. Kommer få egne, unike passord. En av fordelene
brukere flest er løsningen å alltid ha mest man tidlig til et møte kan man bruke fem med dette er at da trenger man ikke infor-
mulig oppdatert teknologi. En gammel minutter på å oppdatere seg på e-post mere samtlige om et nytt passord hver gang
kryptering som WEP bruker man eksempel- uten å måtte finne et tilkoblingspunkt. På noen slutter eller et passord blir lekket.
vis kun et par minutter på å knekke med reiser har man hele tiden sikker tilgang til
informasjon og verktøy som finnes enkelt bedriftens interne dokumenter. Selv mode- Når man vet hvem man kommuniserer
tilgjengelig. Også den nyeste sikkerhets- rate kalkyler viser at en mellomstor bedrift med er det tid for selve dataoverføringen.
teknologien for trådløse nettverk får bryne hurtig vil spare inn kostnadene ved en slik Innenfor eget trådløst nettverk vil oppda-
seg på ny teknologi og mer sofistikerte investering. terte krypteringsalgoritmer sikre både kon-
angrepsmetoder.

2. fidensialitet og integritet. Er den ansatte
derimot i et ukjent eller eksternt nettverk
bør man sikre seg på andre måter. Virtuelle
private nettverk (VPN) skaper en sikker
tunell mellom den ansatte og bedriftens
sikre nettverk. Med denne kombinasjonen
kan man kommunisere sikkert uavhengig
av hvor man befinner seg.
DET SVAKESTE LEDD
I en helhetlig løsning der risikoene er belyst
Trådløse nettverk er en viktig del av ethvert fremtidsscenario og danner grunnlaget
vil man kunne nyte godt av mobilitet under
for veldig mye av den nye teknologien som vil komme i årene fremover. Den gamle
sikre forhold. En helhetlig løsning er der-
kabelen er trygg og god, men gir kanskje ikke så mange nye muligheter?
imot ikke utelukkende løst ved tekniske
nyvinninger. Brukeren er som regel det sva-
keste ledd sett i et sikkerhetsperspektiv. 2. Utføre en «site survey» – Oppdater sikkerhetspolicyen og
Site Survey eller radioplanlegging er en spre ordet. Ikke overraskende er
Gule lapper med passord, uforsiktighet ved fysisk gjennomgang av arealene som skal det brukerne som er bedriftens
inntasting av passord og enkle passord som dekkes av det trådløse nettverket med sikkerhetstrussel nr. 1.
eget navn og fødselsdato er alle med på å måling av signalene. Denne gjennomgang-
gjøre nettverket mer usikkert. For at man en må utføres før utstyret rulles ut.
skal ivareta sikkerheten er bedriften også Radioplanleggingen bør skje med bruk av
kunne oppdage unaturlig oppførsel i
avhengig av en gjennomtenkt sikkerhetspo- spesielle verktøy og ditto kunnskap. Den
nettverket.
licy. Denne bør både dekke hvordan brukere bør ende opp med et oversiktskart med
• Logisk sikring av hver klient/PC: Alle til
oppfører seg i det trådløse miljøet, og hvor- korrekt plassering av radio og deknings-
knyttete maskiner må ha et sikkerhetsnivå
dan tilgjengelighet av utstyret som tilbyr område per radio, signalstyrker, valg av
tilsvarende det som er definert i virksom-
tilgangen skal være. En gjennomført total- antenner og en kanalmatrise med plan for
hetens policy.
løsning vil gjøre et trådløst nettverk like optimalt kanalvalg. Målingen bør skje
• Skru ned sendeeffekten: Man trenger kun
sikkert som et kablet. fysisk på stedet og i arbeidstid, siden også
nødvendig effekt for å betjene maskinene
mennesker absorberer trådløse signaler.
innenfor en definert sone, men ikke så
SLIK INNFØRER DU SIKKERT WLAN mye at det dekker hele nabolaget. Man
Listen nedenfor kan være en nyttig huske- 3. Innfør nødvendige sikkerhetstiltak
kan i tillegg dekke vegger med materialer
lapp for it-sjefen med ansvar for innføring • Soneinndeling: Bruk av VLAN (Virtuelle
som stopper trådløse signaler.
av trådløst nettverk: LAN) med oppspalting i mindre virtuelle
nettenheter med definerte rettigheter.
• Aktivere kryptering: Den tidligere brukte
– En gjennomført totalløsning vil WEP-krypteringen holder ikke mål, og
WPA-krypteringen begynner også å bli
gjøre det trådløse nettverket like
avleggs. WPA2 anbefales, ikke minst på
sikkert som et kablet.
grunn av autentiseringsmulighetene.
• Deaktivere SSID-broadcast: Funksjonen
som kringkaster navnet på nettet kan
1. Sikkerhetspolicy skrus av, slik at bare de som kjenner
Oppdater bedriftens sikkerhetspolicy. En navnet på nettverket kan kople seg på.
manglede eller svak sikkerhetspolicy skaper • Filtrere etter MAC-adressene: Hver
usikkerhet i organisasjonen og kan føre til maskin har sitt unike navn, og bare
sikkerhetshull med risiko for kompromitte- de som er godkjent kan kople seg på.
ring og tap av data. • Innføre digitale sertifikater: Den enkelte
Kontakt_
bruker har digitale autentiseringspapirer
Typiske sikkerhetsrisikoer vil være: som bare han eller hun har tilgang til.
• Uautorisert tilkobling til virksomhetens • Fysisk sikring av aksesspunktene: Det
nettverk hjelper ikke med all mulig sikkerhet hvis
• Uautorisert tilgang til virksomhetens data et aksesspunkt er tilgjengelig for uved-
• Brudd på konfidensialitet og integritet kommende.
• Sentral styring og administrasjon: Sikrer
Mye kan løses med enkle kjøreregler for oversikt over brukere, tilgangsnøkler,
alle brukere og for dem som administrerer den enkeltes rettigheter og hvem som Solveig Skumlien Nilsen
systemet. Noen eksempler: kan styre det hele. avdelingsleder
• Fjernaksess med VPN: En tunnel mellom e-post: ssn@steria.no / Tlf: 995 52 797
• Sett ikke opp andre aksesspunkt i LANet klient og arbeidssted hindrer utenfor- Steria AS
• Ikke bruk både kablet og trådløst nett- stående i å gå inn på linjen når brukeren Biskop Gunnerus’ gate 14A
verk samtidig. er tilkoplet arbeidsstedet. Brukeren kan Postboks 2, N-0051 OSLO
• Brukere som kobler seg opp mot andre da benytte arbeidsstedets brannmur og
è Gå inn på www.steria.no/guide og
nettverk. beskyttelse fra eksterne lokasjoner. få tilgang til et helt bibliotek med gratis
• Fra eksterne lokasjoner må en bruke VPN • Nettverksovervåkning: Systemer lagd for 3-minutters guider.
og gå på internett via bedriftens brannmur å oppdage uvanlig bruk av nettverket vil
© 2009 Steria AS. Versjon: 2009-11-4 Foto: Scanpix