Artikel top billede

(Foto: Dan Jensen)

WiFi-sikkerhed: Er det svært at sammensætte et sikkert trådløst netværk?

Klumme: Langt de fleste trådløse netværk har meget tvivlsom sikkerhed, og derfor er der her nogle ting, som du bør tænke over, når radiosignaler, der transmitterer dine personlige data, flyver frit rundt i luften.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Her er den sidste klumme om WiFi med specifikt fokus på sikkerhed.

For når radiosignaler, der transmitterer dine personlige data, flyver frit rundt i luften, så er der et par ting, du skal tage med i overvejelserne.

For langt de fleste trådløse netværk har meget tvivlsom sikkerhed.

Oftest kan et WiFi sikres med nogle få ændringer. Men når vi har et samfund, hvor store dele af befolkningen er ikke-tekniske, så har vi også forudsætningerne for at blive udsat for cyberkriminalitet.

Således dikterer vores moralske habitus, at vi får udbredt denne viden til så mange mennesker som muligt.

I en initiel klumme blev der argumenteret for, at WiFi er sværere, end de fleste går og tror.

Og det forholder sig desværre ikke anderledes med WiFi-sikkerhed.

Derfor skal der – som altid – lyde en opfordring til at få denne viden og praksis udbredt til så mange som muligt. Kun på den måde kan vi opnå et samfund, der er mere robust overfor cyberkriminalitet.

Råd nummer 1 er altid at udføre basal sikkerhedshygiejne.

Det vil sige, at din router, din switch, dine access points etc. altid er udstyret med et godt userid og et godt password.

Det lyder måske banalt, men en af de mest kendte sikkerhedsbrister er, at mange glemmer at ændre netop userid og password på deres enheder.

Enhederne skal desuden være udstyret med en opdateret firmware.

Her skelner nogle producenter mellem en ”conservative release” (Læs: den mest stabile og mest gennemtestede firmware) og en ”standard release” (Læs: den nyeste firmware med de seneste features, men ikke nødvendigvis den mest stabile firmware).

Råd nummer 2 er altid at transmittere data i krypteret form.

De fleste access points tilbyder moderne krypteringsalgoritmer som WPA2 og WPA3. WPA2 fås enten ”personal” eller ”enterprise”, hvor den væsentligste forskel er, at ”personal” er designet til hjemmebrug, hvorimod ”enterprise” er designet til virksomhedsbrug.

Historien er den samme, når det kommer til WPA3. WPA3-Personal bruger 128-bit kryptering, mens WPA3-Enterprise bruger 192-bit kryptering.

Råd nummer 3 handler om det såkaldte SSID (Service Set Identifier, som er navnet på dit trådløse netværk).

Når du installerer dit WiFi for første gang, så har leverandøren af din router allerede sat en default-værdi for dine SSID’er: Typisk en for både 2,4GHz-båndet og en for 5GHz-båndet.

Det er vigtigt, at du ændrer denne navngivning.

Dels, så har mange producenter den uvane, at give deres SSID’er navne, der afslører, hvem der rent faktisk er producenten.

Dels har mange tendens til at navngive sine SSID’er, så man afslører sin identitet og/eller sin lokation. Så ikke noget producentspecifikt i SSID-navnet og ikke noget navne- og adressespecifikt.

Nogle vælger at slå broadcast fra, således man ikke automatisk sender sit SSID ud i æteren.

Men lad mig slå fast med det samme: Et skjult SSID holder ikke hackere væk.

Hvis man ikke broadcaster sit netværksnavn, så vil cyberkriminelle der laver såkaldt ”War Driving” stadig kunne se dit SSID. Og vær opmærksom på, at der stadig bliver sendt et radiosignal, selvom SSID broadcast er slået fra.

Råd nummer 4 handler om at benytte en Layer-3 switch bag ved dit trådløse netværk.

Personligt, så er mit trådløse netværk delt op i 3 virtuelle Layer-3 netværk. Disse er adskilt, da jeg ser det som kompromittering af sikkerheden, hvis alle kan se alt. Måden hvorpå det er adskilt er:

Første Layer-3 netværk er mit interne netværk, hvorpå der sidder ressourcer, som kun jeg skal kunne tilgå. Her har jeg slået broadcast af netværkets SSID fra.

Anden Layer-3 netværk er et internt netværk, som deles af forskellige smart-enheder, som har brug for en internet-forbindelse, men som jeg ikke nødvendigvis har tillid til.

I mit tilfælde er det Sonos, Philips Hue, Apple TV etc., men i princippet kunne det være alle enheder, som du ikke stoler på, men som har brug for en internet-forbindelse. Her har jeg slået broadcast af netværkets SSID til.

Tredje Layer-3 netværk er et gæstenetværk. Her kan gæster, venner, klassekammerater etc. boltre sig.

Her har jeg slået broadcast af netværkets SSID til.

Råd nummer 5 er altid at benytte MAC filtrering.

Alle netværksenheder har en unik MAC-Adresse, som består af 12 hexadecimale tegn i par af to. Alle producenter af netværksenheder har fået tildelt deres egen OEM kode, som de skal bruge på alt udstyr, de producerer.

En MAC-adresse er så unik, at er den først benyttet på en netværkskomponent og denne ikke fungerer, så skal MAC-adressen kasseres.

Langt de fleste access points tillader, at man opretter positivlister med de MAC-adresser, der er tilladt på ens WiFi.

Råd nummer 6 er måske også banalt, men ikke desto mindre et vigtigt råd.

Ligesom du måske er vant til at slukke for vandet og strømmen i sommerhuset, så bør du også slukke for dit WiFi, hvis du er ude af huset i en længere periode.

Dette skal selvfølgelig ikke gøres, hvis dit WiFi bruges til at kommunikere med IoT-enheder som for eksempel et kamera, lys eller en varmepumpe.

Råd nummer 7 handler om at disable remote access til din router.

For du bruger det alligevel aldrig.

Og skulle din udbyder have behov for fjernadgang til din router for at udføre diagnose eller support, så kan dette tildeles midlertidigt.

Råd nummer 8 er aldrig fortælle din offentlige ip-adresse til nogen.

Jeg ved godt, at det er meget nemt at gå ind og skrive “what is my ip adress” i Google, men der er absolut ingen grund til at fortælle nogen, hvad din adresse er.

En kendt offentlig IP-adresse er det samme som en åben invitation til at blive hacket.

Råd nummer 9 er at slå ping fra på din router.

Din router må således aldrig svare på en ping, uanset hvor denne måtte komme fra.

Råd nummer 10 handler om at installere en boks, der håndterer alle dine sikkerhedsmæssige udfordringer.

I dag kan man heldigvis få mange forskellige ”all-in-one” enheder, der på en nem og kosteffektiv måde, håndterer alle aspekter af cybersikkerhed, herunder: Firewalling, VPN-adgang, applikationskontrol, web-filtrering, IoT-enheder, intrusion prevention, antivirus, anti-bot, anti-spam, trussels-emulering etc.

Mulighederne er mange og desværre, så er der ikke mange, der foretager den slags – i min verden – kritiske investeringer.

Jeg sammenligner det med at købe en bil.

For det er de færreste, der ønsker at køre rundt i en bil, uden de bedste og mest moderne sikkerhedsfeatures.

Men når det kommer til netværk og sikkerhed, så er der mange, der springer over, hvor gærdet af lavest.

Men nogle gode access points, en god switch, en god security gateway, gode kabler, konsulentarbejde etc. har en pris.

Så mit råd er at justere dine forventninger til, hvad et godt, hurtigt og sikkert hjemmenetværk koster.

Det er nemlig kommet for at blive, og i fremtiden bliver du endnu mere afhængig af det.

Og det gamle mundheld om, at du får hvad du betaler for, det er sandt.

Også i netværks- og cybersecurity-verdenen.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling og debat.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.