Nieuws

Wireless fidelity?

 

Vijf jaar geleden schreef ik mijn eerste verhaal over de (on)veiligheid van draadloze netwerken. In het lab hadden we een Wireless Hacking Unit in mekaar gestoken met een oude Thinkpad laptop, een draadloze netwerkkaart, een antenne en een GPS. Na alles in een mooi koffertje te hebben verpakt, namen we de WHU mee op onze tochten langs Vlaamse wegen. De resultaten waren verbluffend: van de 263 draadloze AP’s die we vonden had meer dan 60% geen enkele beveiliging! Van draadloze beveiliging was er dan ook weinig sprake en de lijst van onbeveiligde organisaties was lang en prestigieus.

Een half decennium later is wardriven een nationale sport voor techneuten geworden. Als je een beetje oplet kom je ze overal tegen. Ook de algemene pers besteedt in de pruimentijd aandacht aan deze zelf uitgeroepen cyber Robin Hoods. Wireless 2.4 Ghz-technologie is immers overal. Je kan nauwelijks nog een laptop zonder wireless chipset kopen en het spectrum wordt werkelijk vervuild door wirelesstoestellen van babyfoons, camera’s en draadloze netwerkindustrie. Als ik mijn Macbook openklap op kantoor heb ik de keuze uit negen draadloze netwerken, waarvan er slechts één van mijn eigen bedrijf is.

AP’S BEVEILIGEN
Maar hoe is het gesteld met de beveiliging? Wel, van de negen netwerken die ik op kantoor zie is er maar één totaal onbeveiligd. Paaskuikens die hun netwerk weigeren te beveiligen vind je nog altijd, al is dit soms ook relatief. Het is niet omdat een netwerk openstaat dat je er zomaar misbruik van kan maken. Hotspots zijn op het eerste zicht ook open, maar blokkeren de weg naar buiten toe op andere, fi rewallgerelateerde manieren.

De anderen hebben een WEP (Wireless Equivalent Privacy) beveiliging, de standaard om een draadloos netwerk met authenticatie en encryptie te beveiligen. Maar er zit heel wat sleet op WEP: zowel de 64 als de zwaardere 128bit-encryptie is relatief makkelijk te kraken. De moeilijkste manier is onder het Access Point te gaan staan en netwerkverkeer te sniffen. Wanneer je voldoende netwerkverkeer hebt verzameld, kan je dat dan met tools als Airsnort of WepCrack gaan analyseren en de sleutel ontcijferen. Belangrijk bij dit soort aanvallen is dat je heel wat netwerkverkeer moet verzamelen voor de sleutel ontcijferd kan worden. Met andere woorden: een hacker zal even moeten kamperen voor de deur, voordat hij binnengeraakt. Maar alle tools en technieken zijn makkelijk op het internet te vinden en installeren, en zelfs een beginneling kan ze makkelijk gebruiken.

Een aantal slimmeriken heeft ondertussen gevorderde technieken ontwikkeld om een WEP-key sneller te kraken. Je kan bijvoorbeeld met één of meerdere laptops wat netwerkverkeer naar de AP gaan sturen. Zo wordt die gestimuleerd en stuurt hij op zijn beurt meer verkeer de lucht in, dat dan weer gebruikt kan worden om de WEP-key sneller te vinden. Geen wonder dat de FBI blufte dat ze elk WEP-netwerk binnen de drie minuten kraken. Als ze dit al toegeven zal het eerder drie seconden zijn.

Het antwoord van de industrie hierop was WPA (Wi-Fi Protected Access). Tot nader order is deze standaard nog niet gekraakt en is het dus een veilige manier om je netwerk te beveiligen. Maar dan nog mogen WPA-gebruikers niet te zeker zijn. Er zijn immers manieren om in een WPA-netwerk binnen te geraken.

In de eerste plaats moet het wachtwoord of de passphrase sterk zijn. Dit wil zeggen: voldoende lang, bestaande uit cijfers, letters en tekens, en niet voorspelbaar. Iemand met kwade bedoeling heeft er immers genoeg aan om één authenticatiesessie in de vorm van een 4-way-handshake van een paar bytes te onderscheppen. Wanneer hij die mee naar huis neemt en er dan een grootschalige aanval op basis van een woordenboek en een nummergenerator op los laat, dan vindt hij gegarandeerd je triviale wachtwoord.

De passphrase moet ook geheim blijven, iets wat binnen grotere netwerken niet evident is. In zo’n omgeving kan je dan ook beter de netwerktoegang gaan controleren op basis van 802.1x, waarbij elke gebruiker zijn eigen authenticatie heeft die uit een directory wordt gehaald. 802.1x werkt bovendien niet alleen op wireless maar ook op wired structuren. In een corporate omgeving is 802.1x met EAP zeker de weg voorwaarts, maar het betekent ook meer en moeilijker management en duurdere hardware.

ANDERE BEVEILIGINGEN
Heel wat netwerkbeheerders gaan hun AP’s bovendien van een Access Control List voorzien, op basis van de hardwareadressen van de wirelesskaarten. Op zich is dit wel een barrière, maar voor een ietwat slimme hacker geen al te hoge. Het is immers een koud kunstje om het MAC-adres van je draadloze netwerkkaart te wijzigen. Ook te weten komen welke MAC-adressen er gebruikt worden in een organisatie, is eenvoudig. Ofwel snif je ze van het draadloze netwerk, ofwel probeer je met brute force alle combinaties.

Een ietwat intelligente hacker heeft trouwens zijn MACadres al lang aangepast, kwestie van niet op basis van zijn hardware getraceerd te worden. Hardwareadressen zijn immers heel specifiek en worden vaak gebruikt om virusschrijvers en andere cybercriminelen op te sporen.

Als je een veilige wirelessinfrastructuur wil hebben zal je echter de boel in de gaten moeten houden. Mislukte logins naar de wireless kan je loggen en analyseren, zodat je weet wanneer er iets mis is. Maar dat kost enorm veel tijd en moeite, en de meeste systeembeheerders komen er niet aan toe.

De oplossing die ik meestal toepas is de hele wirelessinfrastructuur te beschouwen als onveilig, als een extern netwerk dat even onveilig is als, bijvoorbeeld, het internet. Dit onveilige netwerk wordt afgeschermd met dezelfde methodes waarmee je ook het internet afschermt, namelijk door middel van een goeie firewall. Als er iemand van het wirelessnetwerk naar interne toepassingen wil, dan moet die persoon, net als over het internet, een goed beveiligde VPN-toegang gebruiken.

Het is trouwens geen slecht idee om bepaalde types gebruikers, zoals mobiele medewerkers die overal werken, altijd een VPN te laten opzetten. Het wordt voor hen een stuk transparanter om te werken en je bent tenminste zeker dat alle data die ze doorsturen goed beveiligd is.

TARGET : DE CLIENT
Een vergeten securityprobleem is ons inziens de laptop, PDA of andere draadloze client die zich met het draadloze netwerk verbindt. Eindgebruikers hangen zich maar aan om het even welk draadloos netwerk dat ze kunnen vinden om hun email te kunnen controleren. In de eerste plaats is dit illegaal. Zelfs al staat een netwerk wagenwijd open, daarom mag je er nog geen gebruik van maken.

Meestal vergeten die eindgebruikers dat er nog andere mensen op dat open netwerk zitten. Vaak is het een koud kunstje om die laptops te gaan aanvallen. Dit kan op de traditionele manier door te proberen netwerkservices als Windows Terminal, VNC of de shares aan te vallen. Tegen dit soort aanvallen kan je maar beter al je laptops van een goeie, goed geconfigureerde personal firewall voorzien.

Bij recente aanvallen gaan hackers zwakheden in de wireless stack van de laptop gebruiken om zichzelf toegang tot de laptop te verschaffen. Zo werd de driver van de Apple Airport kaart misbruikt. Het meest verbazende is wel wat deze gebruikers over hun illegale netwerkverbinding verstuurden: cleartext email met hun naam en toenaam er duidelijk in vermeld.

Jan Guldentops is CEO van BA N.V.

businessitprofessional

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken