Bärbar dator i kontorslandskap

Så skyddar du företaget mot säkerhetsbristen i trådlösa nätverk

Vi har nu levt i två veckor med säkerhetsbristen ”Krack” som drabbar trådlösa nätverk. Jag får fortfarande frågor om säkerhetsbristen och sammanfattar därför situationen i denna artikel med fokus på företagsnätverk. Detta är en fortsättning på artikeln om konsumentnätverk, vilken jag därför rekommenderar att du läser först.

Vad är problemet?

Som jag beskrev i föregående artikel drabbar WPA2-säkerhetsbristen alla klienter som ansluter till trådlösa nätverk. I konsumentsammanhang oroar jag mig inte mycket över det. Sannolikheten att någon vill attackera en konsuments klienter är låg. Så är tyvärr inte fallet i företagssammanhang. I företagssammanhang är intresset för attack betydligt större. Dessutom hanterar företag känslig information som måste säkras på ett ändamålsenligt vis.

Vad behöver jag göra?

Precis som i konsumentsammanhang måste alla trådlöst anslutna klienter uppdateras. Se föregående artikel för information om uppdateringens tillgänglighet för datorer, surfplattor och mobiler. Kom ihåg att även uppdatera alla trådlöst anslutna skrivare! Om någon skrivarmodell saknar en åtgärdsuppdatering rekommenderar jag att ansluta skrivaren med kabel i väntan på att uppdatering släpps.

Till skillnad från i konsumentsammanhang måste även accesspunkterna uppdateras (detta gäller alla accesspunkter med stöd för roaming-protokoll). Jag själv använder Unifi-accesspunkter från Ubiquiti. De har redan fått en uppdatering som löser problemet. Jag installerade den genom att logga in i min Unifi-controller och klicka på uppdatera.

Uppdateringsfunktionen i Unifi-controllern
Ett enkelt klick i Unifi-controllern uppdaterar alla accesspunkter till en säker mjukvaruversion.

När jag ändå var inne i controllern säkerställde jag mina trådlösa nätverk endast använde AES-algoritmen (inte den äldre TKIP-algoritmen) för kryptering. Utöver att kunna avlyssna trafiken öppnar TKIP-algoritmen nämligen möjligheten för attackerare att manipulera trafiken. Detta uppger Jarno Niemelä, Lead Researcher på F-Secure Labs, i artikeln ”Krack inte döden för Wi-Fi (eller WPA2)”.

Obs! Genom att endast tillåta AES-algoritmen försämras bakåtkompatibiliteten med äldre trådlösa nätverksprodukter (till exempel tio år gamla nätverksskrivare).

Inställningar för krypteringsalgoritm i Unifi-controllern
Kontrollera att företagets trådlösa nätverk endast använder AES-algoritmen (inte TKIP).

I denna artikel visade jag hur allt görs i Unifi-systemet. Samma inställningar finns i alla wifi-system för företagsbruk. Mer information om vad som gäller produkterna som du använder hittar du på Cert-orgs webbsida. Där finns en uppdaterad översikt över drabbade produkttillverkare och deras produkter.

Var kan jag läsa mer?

Mathy Vanhoef, forskaren som upptäckte säkerhetshålet, förklarar Krack-problemet på ett ovanligt bra pedagogiskt vis på säkerhetsbristens officiella webbsida. För den teknisk intresserade finns också hans white-paper som går igenom säkerhetsbristen på en djupare nivå.

Jag rekommenderar även att lyssna på avsnitt 45 av Linuxpodden där jag diskuterar problemet och svarar på frågor om det. Samma rekommendation gäller avsnittet Wifi-säkerhet av Säkerhetssnack. Där pratar Olle Segerdahl och Christoffer Jerkeby om både Krack specifikt och wifi-säkerhet i allmänhet. Engelska poddradiolyssnare kan också lyssna på Steve Gibsons fantastiska genomgång av Krack i avsnitt 633 av Security Now.

Nikka Systems fortsätter att bevaka Krack-utvecklingen. Du kan hålla dig uppdaterad genom att följa Nikka Systems på FacebookTwitterInstagram och Linkedin eller prenumerera på Internetprotokollet.

Lämna en kommentar

Fler Bli säker-nyheter

Nyhetsbrev

Få Bli säker-nyheterna till din inkorg en gång per vecka. Läs mer.

Följer du oss?