Wifi er notorisk usikkert: »Opfør dig, som om du altid er på et offentligt hotspot«

Illustration: Bigstock
De mange IoT-enheder, der i stigende grad tages i brug både privat og af virksomheder, gør lokal infrastruktur – og især wifi – til en risikabel internetkilde.

»Man bør altid betragte wifi som fjendtligt – også selvom routeren står hjemme i stuen.«

Sådan lyder det fra Alexander Balan, der er sikkerhedskonsulent hos det rumænske it-sikkerhedsfirma Bitdefender. Ifølge ham er den stigende mængde IoT-enheder en central del af problemet.

»Jeg administrerer Bitdefenders bugbountryprogram, og der har jeg set, at intet er 100 procent sikkert. Spørgsmålet er, hvor hurtigt du finder og lukker de huller, der er. Ikke om du har nogen i dine systemer,« fortsætter Balan.

Det er da heller ikke mere end et par måneder siden, at hans kolleger afslørede et stort sikkerhedshul i de udbredte ‘smarte’ dørklokker fra Ring.

»Dette er blot det seneste af mange eksempler på, at IoT-enheder kan kompromitteres helt uden nogen form for brute force eller avanceret exploit,« siger Balan.

Stort net er farligt net

Jacob Herbst, der er medejer af sikkerhedsfirmaet Dubex herhjemme i Danmark, er helt på linje med Balan.

»Jeg er meget enig i betragtningen om, at wifi skal håndteres som usikkert, også selvom det er hjemme eller på en arbejdsplads og ikke på en café. Det skyldes de stadigt flere enheder på nettet, vi ikke har kontrol med,« siger Jacob Herbst, der også fortæller, at det ofte er små og mellemstore virksomheder, der føler sig for trygge ved én stor, wifi-baseret infrastruktur.

»Efter min erfaring har især mindre virksomheder ikke altid nok styr på deres net. Det wifi, medarbejderne bruger til bankoverførsler, kan være det samme som det, kameraet, der overvåger parkeringspladsen, er på. Og så har vi problemet.«

Segreger, segreger, segreger

Derfor er de to konsulenter også rørende enige om, at den nemmeste og mest effektive løsning på problemet her og nu er at segregere infrastrukturen, så de mange IoT-enheder ikke deler direkte net med andre, mere vitale endpoints som telefoner eller computere.

Hvad enten de er private eller professionelle.

»Man børe segregere sit netværk i mindre bidder, lave et gæstenetværk til IoT-enhederne. Selvom det ikke er en komplet løsning, er det et godt hotfix,« siger Alexander Balan.

Netop dét har Herbst da også gjort i privaten.

»Selv har jeg julelys, opvaskemaskine og ovn tilsluttet. Dog på en afgrænset del af mit netværk, som jeg har segmenteret fra det øvrige. Det er i øvrigt det bedste, man kan gøre, hvis man vil højne sikkerheden på sit netværk lidt. Lav ét netværk til gæster og ét til IoT-enheder,« foreslår Herbst.

Cloud vinder frem

En anden del af løsningen kan ifølge de to sikkerhedsfolk være ikke at have lokale servere koblet på den lokale infrastruktur.

»Brug cloud i stedet for at holde det lokalt i en – måske – usikker infrastruktur. Brug skyen, det er også det, alle de store gør i dag. Hvis den løsning, Google, Facebook og en masse andre konglomerater bruger, viser sig at være usikker, så har vi alle større problemer end enhver, lokal sikkerhedstrussel,« siger Balan og griner.

»På et lidt længere sigt kan man godt forestille sig, at virksomheder helt dropper at lave deres egen infrastruktur og i stedet går direkte på 4G- eller 5G-mobilnetværk som primær internetforbindelse, når de alligevel har deres infrastruktur i skyen,« supplerer Herbst, der kan se flere fordele i at tage hele infrastrukturen op i skyen.

»I så fald kan alle tilgå den hele tiden, og man slipper for bøvlet og omkostningerne ved at opbygge sin egen infrastruktur, der alligevel bare formidler videre til de tjenester, mange virksomheder allerede har i skyen i dag.«

»Hurtigere, mobilt internet og kraftigere, håndholdte enheder kommer til at drive den her udvikling endnu videre, end det allerede har gjort. Hvis jeg får ret, vil end point protection blive endnu vigtigere, fordi end points i så fald bliver koblet direkte på internettet og ikke beskyttes af ens egen arkitektur.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Larsen

Han har sikkert ret.
Men det koster så meget mere med cloud - der skal jo betales abonnement, og sammenhængen bliver lidt som YouSee's mærkelige løsning ruteren adskiller alle enheder, så de ikke kan se hinanden.
Besyndelig adfærd - især da de jo ikke oplyser, hvor tåbeligt det er for mange brugere, der netop ønsker det modsatte.
%G og IoT har meget lidt med hinanden at gøre . 5 G er høj hastighed og ekstrem kort rækkevidde. IoT er lav hastighed og behov relativ lang rækkevidde.

  • 2
  • 1
Peder Lauridsen

Udfordringen er jo, at mange af det smarte IoT enheder skal kunne kontaktes fra PC'er og apps på telefoner - fx lysstyring, højttalere etc - private routere understøtter oftest slet ikke dette og hvis de gør, så vil mange smarte apps ikke fungere længere... Det er nemt at gøre et netværk "sikkert" - man fjerner bare brugerne - man det er svært at gøre det brugbart samtidig!

  • 3
  • 1
Maciej Szeliga
  1. Separate VLANs til de forsk. grupper af enheder
  2. Firewall mellem VLANs som så er std. gw. på de respektive VLANs
  3. Separate SSIDer til de forsk. VLANs
  4. Separate IP-ranges til de respektive VLANs (det er selvklart men jeg nævner det lige, hvis nogen "falder" over dette

Jeg kører OpenWRT i dette scenarie... det er understøttet.

Ja, firewall er en nødvendighed som verden ser ud nu.
Ja, segmentering med firewall er nødvendig.
Nej, UPNP er ikke godt - det undergraver sikkerheden - og nej jeg vil ikke diskutere det!
Nej, man kan ikke bare sætte noget standard op.
Husk at switche og routere skal understøtte VLANs ellers virker det ikke.
VLAN 1 må IKKE bruges! (det er også selvklart for folk der har rodet med VLANs).

Husk at dimser man skal forbinde til (f.eks. printere, NAS etc.) bør have fast ip-adresse, det gør livet nemmere, men reserver den i DHCP i stedet for at give den direkte til dimsen.

  • 3
  • 1
Jens Jönsson

På et lidt længere sigt kan man godt forestille sig, at virksomheder helt dropper at lave deres egen infrastruktur og i stedet går direkte på 4G- eller 5G-mobilnetværk....

Arh, så røg sikkerheden lige igen. For hvordan kan man kontrollere hvilket netværk enhederne så er på. Enheder som umiddelbart er sikre kan så være på samme netværk, som usikre enheder.

Der udover er der økonomien. WiFi er nu engang >meget< billigt ifht. IoT/mobildata abonnement til hver eneste enhed.

  • 1
  • 0
Christian Nobel

Husk at dimser man skal forbinde til (f.eks. printere, NAS etc.) bør have fast ip-adresse

Og hvis man gerne vil holde tingene inden for dørene, så lad være med at give dem adgang til en navneserver, dvs. fast IP uden DNS - eller måske endnu snedigere, lav en DNS logger, og så sæt den adresse ind, så man kan følge med i hvilke kinesiske adresser de gerne vil fortælle om dit privatliv.

  • 0
  • 0
Maciej Szeliga

Vil du give en hurtig gennemgang af hvilket grej du bruger i dit netværk? Både router(e) og switche der understøtter det setup du beskriver.


* OpenWRT kører på en - forholdsvis gammel - LinkSys WRT54GL
* Switchene er små HP som jeg ikke kan huske modellen på og NetGear GS105PE managede switche.
* OpenSense firewall kører på en ældre PC med 4 netkort, den leverer DHCP, DNS og VPN - jeg søger en bedre løsning da den æder ret meget strøm.

Stumperne er forhåndenværende rester derfor er det ikke nødvendigvis det man forventer, det kunne sagtens løses nemmere med det som Jens Jönsson nævner.

Årsagen til at WiFi ser underprioriteret ud er at vi trak ca. 2 km Cat5E rundt i huset når vi flyttede ind så man er aldrig længere væk fra et 1 GBps netværksstik end 2,5 m.

  • 3
  • 0
Rune Hansen

Jeg ved ikke om jeg er enig i de herre. "Bare send det op i skyen" (til nogle konglomorater som imorgen kan have den kinesiske regering som hovedaktionær og idag er underlagt kryptisk lovgivning i USA), så er det "nok" sikkert. Det giver ikke nogen mening at tro ens infrastruktur og kode skulle være mere sikker af at ligge hos GCP, AWS eller Azure, frem for alt muligt andet.

Omkostningerne stiger til gengæld med ca. 2000 % (i underkanten af), for de samme resourcer som andre udbydere kan tilbyde. Desuden er folk/virksomheden efterfølgende låst til deres værktøjer, service og setup.

Ang. Wifi, så er det "nye" 5ghz over et mesh netværk, næsten sikret mod SSID spoofing, så hvis man er meget paranoid så benyt 5ghz til dine vitale netværk. De fleste routere har idag desuden mulighed for med "et klik" at sætte gæste-netværk op, til TV, ringklokken osv. Flere af dem har desuden også mulighed for at sætte ubegrænsede virtuelle netværk op, til hvad end man ønsker. Samt fine grafiske overblik over hvem, der har haft adgang til netværket og hvad de har foretaget sig.

  • 4
  • 0
Steen Poulsen

"»Brug cloud i stedet for at holde det lokalt i en – måske – usikker infrastruktur. Brug skyen, det er også det, alle de store gør i dag. "

  • Nåå ja, Skyen, hvor alt er virtualiseret, og med Predictive execution, cache leaks og syge intel processor, - så skal det NOK være MEGET sikre ! - vrøvl !

Jeg siger ikke at det er nemt at sikre sig, en nem løsning på sikkerhed findes ikke, men at forslå skyen, er sku da helt i skoven. Og bruge Google, Facebook, og Amazone som agument - er da også en helt vanvittigt

Sluk for alt wifi (Hvem har ikke 4g på mobil i dag???) KABLET netværk, er mere stabilt, og mega meget hurtiger ! , del nettet op, åben KUN for de porte som skal bruges, specielt på firewall mod internettet, og ved routers, før log med connection, lav geo blokering af IP'er - bare det at holde asien, afrika, rusland, og andre slyngel stater ude, hjælper en hel del på trafikken. Og så sørg for fysik adgangs kontrol af hardware, samt følg med på nyheder om sårbarheder, og prøv at forholde dig til dem, med der af følgende tiltag - så har du beskyttet dig en lille smugle mod rissikon for sucessful angreb. Lav et atypisk setup ! Brug Linux !!!! så bervare du også nemmere kontrollen med din pc !

  • 0
  • 3
Simon Mikkelsen

Alle netværk er i sig selv usikre uanset om det er på lokalnetværket eller det store internet. Der bliver potentielt lyttet med overalt og mange har adgang til at snage eller ændre trafik.

Naturligvis er det en god ide at segmentere sit netværk og wifi så TVet ikke kan få fat i pæren eller termostaten. Men netbanken kan ikke undgå at komme ud på det store internet og den skal altså være så sikker at selv når nogen lytter med kan de ikke gøre noget.

At smide ting i cloud er en meget ukonkret og bred løsning. I nogle tilfælde kan specifikke services være bedre at have der end noget selvhostet, men det kan man ikke sige over en bred kam.

Som man kan se i det øvrige kommentarspor er selv et lokalnetværk i et privat hjem eferhånden en kompliceret affære hvis man skal have styr på tingene.

  • 3
  • 0
Michael Cederberg

... og alt at gøre med segmentering. Bortset fra nogle idiotiske fejl i Wifi-protocollerne, så handler alt det her om dårlige devices på netværket. Devices som i nogle tilfælde har internet adgang.

I praksis må man erkende at der vil være skod-devices på ens netværk. Der vil også være devices som engang var gode, men hvor der ikke længere kommer firmware opdates. Eller devices som er blev inficeret med malware uden at man ved det.

Derfor bør ens eget netværk segmenteres som flere andre har nævnt. Det kunne i den forbindelse være fedt hvis man kunne opfinde et standard "Fru Olsen" setup ... et setup som ISP routere supporterede out-of-the-box. Man kunne i den forbindelse forestille sig at sådan at de enkelte netværk havde en farve og at IoT enhed blev solgt med en farvet mærkat der viste hvilket netværk dimsen skulle på. Sådan at Fru Olsen også kan finde ud af det. Men det er nok for meget at forlange.

Alternativt kunne man opdele devices i flere kategorier:

  • Generelle internet devices. Krav til disse er at firmware opdateres regelmæssigt. At EOL dato var kendt for køberen på købstidspunktet.
  • Simple IoT devices. Disse havde kun adgang til en ganske lille del af internettet og man kunne således leve med at de ikke var i tip-top kvalitet (IoT dimsen kunne fx. i et DHCP request fortælle hvilke adresser på nettet den har brug for at få adgang til).
  • Etc.

Såfremt ovenstående blev et lovmæssigt krav og at routere kun åbnede for netværksadgang for det nødvendige, så ville det blive meget sværere for vira at sprede sig.

  • 0
  • 0
Denny Christensen

Jeg laver lige et par netværk og adskiller dem funktionelt, det skal ikke koste mange år inden hw og viden er på plads.

Indtil da...

Det er ikke for den brede befolkning at opsætte dette, at få sin WiFi fra en leverandør til at virke på bare 1 pc kan alene koste tid. Så med mindre leverandørerne gør noget må jeg undvære alle dimserne :-)

  • 1
  • 0
Jacob Herbst

Tak for alle kommentarerne til i artiklen.

Jeg tror det giver mening med et par præciseringer omkring cloud, infrastruktur og IoT:

Det er rigtigt at cloud bestemt ikke er løsningen på alting og har sine egne udfordringer, men for rigtig mange særligt mindre virksomheder uden en it-afdeling, serveren stående i kosteskabet i rengøringsrummet og hvor Linux er et fremmedord kan cloud være en rigtig god og mere sikker løsning, der sikre at systemerne rent faktisk bliver opdateret, vedligeholdt og der foretages backup. Rigtigt mange af disse virksomheder har allerede hovedparten af deres systemer i cloud som forskellige services de køber (mail, økonomisystem, vagtplanlægning osv.) og de har ikke behov for dyre virtuelle servere. Men for alle dem som har kompetencerne kan onsite løsninger stadig være rigtig fornuftigt, men det kræver man ved hvad man laver. En af de største udfordringer er manglende tid og viden om sikkerhed og det kan cloud være med til at afhjælpe.

Med den udvikling vi ser indenfor bl.a. mobilnetværk kan vi sagtens nå et punkt hvor det for mange virksomheder slet ikke giver mening at etablere en netværksinfrastruktur da deres behov er begrænset og brugerne i øvrigt er mobile. Men det kan også bare være at man blot har en simpel Internet forbindelse og ikke noget lokalt dvs. det er ligegyldigt om man er i virksomheden, hjemme eller på et hotspot. Men uanset hvad skal endpoints være ordentlig beskyttet og kunne koble sikkert op til de services som man bruger – fx ens mail eller bankløsning. Det sker heldigvis allerede i dag i stor stil fx ved brugen af https/tls, og mange services understøtter 2-faktor brugervalidering.

Jeg synes det er en rigtig god ide som Michael Cerderberg kommer med mht. at få ISP’erne til at levere en router med et IoT segment – det vil helt klart være en stor hjælp til at få Fru Olsen til at være mere sikker. Desuden pågår der pt. forskellige initiativer med at få stillet krav om basal sikkerhed i IoT produkter – bl.a. krav om tvungen skift af password, proces for rettelse af sårbarheder og en levetid hvor produktet bliver vedligeholdt. Californien har som det første sted vedtaget lovgivning og der er også arbejde i gang i EU regi. Løsning af IoT udfordringen kræver en indsats fra både producenterne, dem som installerer produkter samt (lidt) viden og opmærksomhed hos slutbrugerne.

  • 1
  • 0
Log ind eller Opret konto for at kommentere