Bygg et sikkert, trådløst nettverk

- Trådløse nettverk gir store gevinster både økonomisk og effektivitetsmessig. Men fremdeles er mange bedriftsledere redde for at sikkerheten ikke er god nok. Dette er en seiglivet myte. Med riktig oppsett og planlegging, er både sikkerheten og stabiliteten like god som i et kablet nettverk, forteller Solveig Skumlien Nilsen i Steria.

Hun har sterke tall å slå i bordet med. Ifølge IT-avisen mener 70 prosent av lederne som er spurt i en undersøkelse at mobilitet er avgjørende for å lykkes i bransjen. Når den samme kilden forteller at mobilitet har stor betydning for de ansattes trivsel og produktivitet, kan en undre seg over at ikke alle ledere løper og kjøper.

Skremselspropaganda
Det som hindrer utbredelsen av trådløse nettverk er myten om at sikkerheten ikke er god nok. Fortsatt fins det virksomheter som forbinder et trådløst nettverk med større risiko for datainnbrudd, med ubudne gjester på serveren, identitetstyverier og manipulasjon av kundedata. Denne angsten ligger som en klam hånd over de strategiske vurderingene i mange bedrifter, selv om de reelle årsakene til myten opphørte for flere år siden.

En leder-artikkel i Computerworld i mars setter søkelyset på denne problemstillingen. Der blir skylden plassert hos sikkerhetsbransjen, som for å skaffe seg oppdrag i forbindelse med implementering av trådløse løsninger har malt fanden på veggen med altfor brede strøk.

Fordi sikkerhetsbransjen har fokusert så sterkt på de negative aspektene ved den mobile arbeidsplassen, har mange bedrifter valgt å avstå fra mobile løsninger framfor å investere i noe de tror kan utsette dem for en sikkerhetsrisiko. Etterspørselen etter sikkerhetsløsninger er blitt mindre i stedet for større, og sikkerhetsbransjen sitter igjen med skjegget i postkassa, hvis vi skal tro Computerworld.

Betaler seg raskt
Produktivitetsgevinsten er innlysende. Eksempelvis kan den mobile medarbeideren som kommer fem minutter før møtet bruke tiden på å lese epost, og de som reiser kollektivt til og fra jobben kan ta pc-en fram og gjøre forarbeidet til møtet. Dersom hver medarbeider i en mellomstor bedrift jobber to minutter ekstra hver dag i ett år, ville det spare inn kostnadene for å sette opp nettet. Moderate kalkyler regner med langt større besparelser.

Teknologien er god nok
Den negative fokuseringen på sikkerhets-aspektet har ført til at store deler av markedet ser seg blind på risikoen i stedet for å se etter mulighetene. Med riktige rutiner og kontroller som ivaretar den menneskelige siden av problemet, er den teknologiske delen blitt den enkleste biten å få kontroll over. Fysisk er nettet sikret med teknologier som brannmur, virus-beskyttelse, nye krypteringsalgoritmer og former for autentisering, begrensning av sendeeffekt, VPN-korridor over internett, filtre i oppsettet av ruter og server.

Den viktige policyen
Det viktigste for å etablere et sikkert trådløst miljø ligger i bedriftens policy. Som med alle sikkerhetsopplegg er det brukerne som er største risikoen, og når de riktige rutinene og retningslinjene er på plass, vil det trådløse nettet til gjengjeld være like sikret som det kablete. Erfaringen viser at den tekniske sikringen ikke er noe problem, når policyen er på plass.

SLIK INNFØRER DU WLAN
Listen nedenfor kan være en nyttig huskelapp for it-sjefen med ansvar for innføring av trådløst nettverk:

1.  Oppdater bedriftens sikkerhetspolicy eller oppdatere den eksisterende for trådløs kommunikasjon. En manglede eller svak sikkerhetspolicy skaper usikkerhet i organisasjonen og kan føre til sikkerhetshull med risiko for kompromittering og tap av data.

Typiske sikkerhetsrisikoer vil være:

•  Uautorisert tilkobling til virksomhetens nettverk
•  Uautorisert tilgang til virksomhetens data
•  Brudd på konfidensialitet

Mye kan løses med enkle kjøreregler for alle brukere og for dem som administrerer systemet. Noen eksempler:

•  Det er ulovlig å sette opp andre aksesspunkt i LAN'et
•  Det er forbudt å kjøre både kablet og trådløst samtidig
•  Det er ulovlig å koble seg opp mot andre nett
•  Fra eksterne lokasjoner må en gå på internett via VPN og bedriftens brannmur

Slike kjøreregler kommer på toppen av den policyen bedriften har fra før.

2.  Utføre en «site survey»
Site Survey eller radioplanlegging er en fysisk gjennomgang av arealene som skal dekkes av det trådløse nettverket med måling av signalene. Denne gjennomgangen må utføres før utstyret rulles ut. Radioplanleggingen bør skje med bruk av spesielle verktøy og ditto kunnskap. Den bør ende opp med et oversiktskart med korrekt plassering av radio og dekningsområde per radio, signalstyrker, valg av antenner og en kanalmatrise med plan for optimalt kanalvalg. Målingen bør skje fysisk på stedet og i arbeidstid, siden også mennesker absorberer trådløse signaler.

3.  Innfør nødvendige sikkerhetstiltak

• Soneinndeling. Bruk av VLAN (Virtuelle LAN) med oppspalting i mindre virtuelle nettenheter med definerte rettigheter.
• Aktivere kryptering. Den tidligere benyttete WEP-krypteringen holder ikke mål etter dagens krav, og WPA-krypteringen begynner også å bli avlegs. WPA2 anbefales, ikke minst på grunn av autentiseringsmulighetene.
• Deaktivere SSID-broadcast. Funksjonen som kringkaster navnet på nettet kan skrus av, slik at bare de som kjenner navnet på nettverket kan kople seg på.
• Filtrere etter MAC-adressene. Hver maskin har sitt unike "navn", og bare de som er godkjent kan kople seg på.
• Innføre digitale sertifikater. Den enkelte bruker har digitale "autentiseringspapirer" som bare han eller hun har tilgang til.
• Fysisk sikring av aksesspunktene. Det hjelper ikke med all mulig sikkerhet hvis en maskinen er tilgjengelig for uvedkommende.
• Sentral styring og administrasjon. Sikrer oversikt over brukere, tilgangsnøkler, den enkeltes rettigheter og hvem som kan styre det hele.
• Fjernaksess med VPN. En tunnel mellom klient og arbeidssted hindrer utenforstående i å gå inn på linjen når brukeren er tilkoplet arbeidsstedet, og gjør at brukeren kan benytte arbeidsstedets brannmur og beskyttelse fra eksterne lokasjoner.
• Trådløs detektor for uønsket trafikk. Oppdager trafikk som går utenom de tillatte veiene eller til forbudte steder.
• Logisk sikring av klienten/pc-en. Alle tilknyttete maskiner må ha et sikkerhetsnivå tilsvarende det som er definert i virksomhetens policy.
• Skru ned sendeeffekten på aksesspunktet. Man trenger nødvendig effekt for å tjene maskinene innenfor en definert sone, men ikke så mye at det dekker hele nabolaget.
  

KONTAKT
Solveig Skumlien Nilsen
program manager
mobil: 995 52 797
e-mail: ssn@steria.no