Vem skall sköta säkerheten ?

Jag gör ett heroiskt försök att flytta säkerhetsdiskussionen hit ...

Det var frågan om VEM som skall sköta säkerheten i nätet (se Öppna fibernät).

Ett av de STORA problemen är ju helt utanför nätet, dvs. abonnentens maskin. De som surfar på skumma nätsidor utan skydd blir nog väldigt fort infekterade och sedan sprider maskinen skräp inom nätet - bakom brandmuren. Dessa maskiner måste isoleras illa kvickt och "rengöras". Som jag ser det så MÅSTE abonnenten ta ansvaret för sin egen maskin - ingen annan kan göra det. I värsta fall blir det att föra den till en dyr firma - vi har haft flera fall där maskinen legat en månad hos en firma för att rengöras ...

Nätoperatören kan BARA kolla upp VAR det finns infekterade maskiner och sedan dra ur stöpseln kvickt. Vi har meddelat alla att anslutningen kan komma att stängas utan varning om maskinen börjar sprida skräp.

Vi kan sätta in alla möjliga skydd och smarta filter men det är nästan omöjligt att hindra dumskallar från att infektera sina maskiner. Då de går in på skumma nätsidor så GER DE LOV åt dessa att ladda ned allt möjligt !

Har du förslag om hur bynätets nätoperatör skall "kolla upp VAR det finns infekterade maskiner" om vi inte skall ha inblick i vad som försiggår i abonnentens brandmur (såsom alltså F-Secure tycks vilja att vi skall göra med deras behändiga men något dyra softvara).

Det finns en mängd metoder men en av dem är att övervaka trafiken på nätet. Till exempel med programmet ntop i en maskin som är ansluten vid routern/brandmuren till omvärlden.

Det är ingen absolut säker metod men man kan se om det finns misstänkt trafik från en maskin inom nätet. Säkerhetsövervakning är en hel vetenskap och jag är ju inte nån specialist på området. Man går alltså inte in i någons maskin - möjligen kan man kontrollera att den är skyddad och meddela ägaren ifall det inte är fallet.

Troligen kommer vi att få firmor som sköter om detta. De kan sköta om massor av lokala nät helt automatiskt för en mycket billig peng. Och de kommer att ha specialister och specialprogram.

Då talar jag om NÄTETS övervakning. Jag utgår ifrån att varje abonnent har (borde ha !) en egen router/brandmur som skiljer åt hans interna nät från lokalnätet.

Av ovanstående följer en fråga som nästan har besvarats men som jag ändå vill ha ett förtydligande på.

Det är så att det sitter en fiberbox här på min vägg med en inbyggd switch (PACKETFRONTs modell). Den har två aktiverade portar för datatrafik, två för analoga telefonapparater samt två för IPTV. Bra så.

Rekommendationen som Nisse och flera andra kommer med är attt man bör ansluta en router/brandvägg så att man inte syns utåt. Jag förstår.

Två frågor ändå.

- Om jag har två datorer anslutna till denna switch så finns i varje dator varsin Zone Alarms brandvägg. Dessutom har jag stoppat all fildelning eller fjärrhjälp. Är inte alla dessa åtgärder tillräckliga? Vad jag kan förstå delar switchen IP-adressen till inkopplade datorer ( i detta fall till två stycken).

-Om switchen inte kan anses räcka till tillsammans med Zone Alarm och om router/brandmur absolut måste sättas in i systemet så vilken modell rekommenderas. Vad jag fattar så bromsas trafiken upp väldigt mycket i dessa routrar i vissa fall på grund av varierande kvalitet.

Är det så att det behövs flera (två) uppsättningar av brandmurar för att man ska vara säker från att ingen kan göra olagligt besök i datorn?

Tyvärr - rekommendationen är nog absolut en hårdvarubrandmur mellan alla maskiner och Internet. Nu känner jag inte till den burk du har. Vissa har inbyggd router, andra inte.

Det är helt riktigt att många routrar är väldigt långsamma (byggda för långsam ADSL) så man måste kolla att de släpper igenom närmare 100 Mbit/s (kallas WAN-LAN throughput på modern svenska ...). Tyvärr gömmer de flesta tillverkare undan den siffran. Man kan kolla på

http://www.smallnetbuilder.com/component/option,co m_chart/Itemid,189/

men de har inte testat alla. Jag har provat en hel del och även om de är snabba som Zonet så är kvaliteten usel - de tappar inställningarna möjligen på grund av dåligt flashminne.

Den senaste burken jag testat är Dlink DIR-100 som ännu inte visat teckan på dålig kvalitet men jag har inte haft dessa så länge. DIR-655 verkar OK om man vill ha WLAN över 100 Mbit/s. Men kom ihåg att ställa in krypteringen på den trådlösa sidan !

Du behöver ju bara en router för den har fyra uttag på LAN-sidan som alla är skyddade. I stadsmiljö skulle jag helst inte använda WLAN alls eller åtminstone köra med hård kryptering (kan vara snärjig att få igång).

Fråga 1: Räcker inte ZoneAlarm och stoppad fildelning?

Svar: Nej.


Fråga 2: Om switch + ZoneAlarm inte räcker, så vad räcker?

Svar: Det är inte ditt lokala nät som skall skyddas utan det nät du ansluter till dvs. ditt operatörsnät skall skyddas. Inte hjälper det ju dej om du placerar ut bommar och kanoner på insidan av ditt nät då skurken står och avlyssnar din trafik på utsidan av nätet.

Jämför med en medeltida borg omringad av en vallgrav. Du på insidan och skurken på utsidan av vallgraven. All trafik du skickar ut och in över vindbryggan blir granskad - och du kan ingenting göra!

Ovanstående scenario uppstår då du ligger i samma sk. Broadcast Domain Area med grannen din.

Studera in dig på fenomenet Man-In-The-Middle i denna demo
http://www.oxid.it/downloads/apr-intro.swf

Märkte du hur en PC kan kapa till sig ALL trafik som går i det lokala nätet?
Bara att lura dom andra att tro att skurk-PC:n sköter ut- och in-trafiken till andra nät.

Lösningen på just dethär problemet är att inte ligga i samma Brodcast Domain som grannen. Hur gör man då det?

För det första - broadcast domain area är det område dina PC:n tillhör. I det området adresseras inte PC:n med en IP-adress utan med en sk. MAC-adress - kort sagt: LAN-kortets fysiska adress. Det går snabbare på så sätt. Det är först på utsidan av det lokala broadcast domain området IP-adressen tas i bruk.

Fråga: Så var går då denna gräns mellan MAC- och IP-adressering? Var ligger gränsen mellan din broadcast domain och grannens broadcast area?

Svar: I närmaste router. En switch är genomskinlig och förmedlar MAC-adresser. Däremot är routern inte genomskinlig utan i den ändras MAC-adressen till IP-adress. Den gör det enligt regler i ARP-protokollet. ARP innehåller en bugg - eller egenskap - som gör att det går att lura routern. Man talar om ARP-poisoning. Effektivt som tusan!

Det du således bör skydda dig emot är att din granne inte på något sätt kommer in i din broadcast domain area. Det gör du tex. genom att se till att han inte kan knycka ut sladden från sin router och koppla sig förbi den. Kan han det så ligger han antagligen i samma broadcast domain area som du. Huj-uj!

Ser han dina MAC-adresser (eller du ser hans) så är det förkylt.
Såhär kan du kolla om du ser hans:

1. Pinga grannes PC med hans ip-nummer tex. 192.168.0.200

C:\>PING 192.168.0.200

2. Se efter i din Pc:s ARP-tabell om han syns där

C:\>ARP -a


Gör han det kan du ju alltid testa Cain&Abel
http://www.oxid.it/cain.html

Observera! Det att du inte ser grannes MAC-adresser behöver inte betyda att han inte skulle se din router-adress.

----------
Det finns fler typer av attacker mot operatörens nät som DU inte kan skydda dig emot. Jo...kryptera din trafik ... då har monky-in-the-middle det knepigt. Men, du måste kryptera din trafik bättre än bankerna gör det, vilket ju inte är särdeles svårt. ;o)

Några tilläggs frågor?

Nå jag skulle ha en fråga till Nisse.

Våra nät skall ju vara dumma och säkerhetsskydden skall ligga utanför nätet? Men då ligger ju säkerhetsutrstningen hemma hos folk och kan kopplas ur hur enkelt som helst.

Ut med routern och in med en switch.
Ut i broadcast domainen och in hos grannen!

Eller...

Ja, kunde jag hitta på ett helgarderat system så skulle jag väl vara miljardär (eller så inte ...).

De flesta kan inte fixa till riktigt besvärliga skurksystem och resten måste vi sköta på annat sätt. Förstås kan man tänka sej att routern sköts centralt också (i närmaste växel). Tills vidare har det inte varit något problem så vi får väl se ...

En viss fördel skulle det nog vara med router inbyggd i växeln - då skulle var och en hemma bara ha en enkel switch. Men jag har inte sett sådana växlar så vi får väl vänta ...

Tack för de långa utläggningarna. De behövs. Men hur ser nu apparatuppsättningen ut byanätets maskinrum efter denna diskussion:

- Fiberväxel
- Router
- Brandmur
[- Belastningsfördelare]

Tills vidare så har vi nog bara fiberväxel i noderna. Router och brandmur får vara hemma hos folk. Vi har dessutom en router (med automatisk omkoppling till reservanslutning) vi gränsen till Internet. Extremt enkelt men fungerar.

Då det kommer nya problem så får vi försöka lösa dem. Det enda tillägget jag planerar är en skild maskin som bara övervakar anslutningen till Internet (en paketsniffare). Med den kan man hitta de flesta problem men det är ganska tunga program som skall gå igenom alla paket !

Så var det dags igen med datasäkerhet på nätet. Denhär gången i WLAN-tappning.

Kolla in dagens tv-nytt. den 11 april 2009.
http://arenan.yle.fi/toista?id=2099443

med en lite längre text av inslaget på
http://svenska.yle.fi/nyheter/artikel.php?id=15558 8


Nyhetsinslaget slutar med orden: "Trådlösa nätverk som är krypterade är däremot säkra att använda"

Jaha, jasså! Nu vore det ju intressant att veta varifrån såna irrläror härstammar.

Den MITM-attack jag visade gjordes just i ett hårt krypterat WLAN och med bankernas krypterade trafik. Jag gick tom. förbi dendär certifikat-varningen som skall poppa upp i browsern. Denhär gången visade jag att det är möjligt på Nordea, Aktia, Andelsbanken och Handelsbanken.

Så vi tar det igen en gång: Det spelar ingen roll för MITM-attacken om den sker i ett öppet nät, ett WLAN-nät, ett byanät eller ett hårt krypterat nät. Är nätet fel byggt så är MITM-attacken möjlig. Det bara är så.

Handelsbankens Mikko Vastelas förklaring är nog en av dom bästa jag hittills hört: "Kör man trådlöst då är där en viss sträcka som har svagare skydd"

Han har fullständigt rätt: Dendär vissa sträckan med svagare skydd kallas också för hörbarhetsområde. Utanför den sträckan är skyddet så starkt att inte ens att Handelsbankens kryptering går att knäcka .

Men det är i alla fall bra att det kommer fram varningar i offentligheten för trådlösa nät. Åtminstone borde folk börja skydda sina nät - nu är väldigt många helt öppna.

Jag skyller nog på tillverkarna som levererar utrustning som är helt oskyddad. Det är enklare för kunden att bara sätta i stöpseln och börja köra men det är ganska allvarligt för säkerheten. Ingen vågar heller börja leverera "krångligare" system än konkurrenterna. Borde man lagstifta om säkerheten i trådlösa grunkor ?

(Även om jag vet att skyddet är illusion till stor del då det riktigt gäller)

Mycket bra att du påvisar säkerhetsriskerna med trådlös kommunikation.

Guje: Dina exempel hänför sig till WLAN-kommunikationen som tycks innehålla ett element av kryptning. Hur ser du på WiMAX-förmedlingen? Har du eventuellt kunnat demonstrera hur man gör inbrott i WiMAX-miljön?

Tyvärr är ju riskerna dessutom ganska många. De börjar ju redan i samband med inmatning av PIN-koderna. Där finns redan ett antal säkerhetsrisker. Jag har en läsare utan nummerinmatning så man använder tangentbordet för nummerinmatning. Så som operativsystemen nuförtiden är konstruerade är det ju ingen sak i världen att plocka den informationen. Lyckligtvis finns det också kortläsare med nummerinmatning.

Jag ställer mig nog också väldigt tveksam till att också detta skall försiggå i en webbrowser. I och för sig är browsern bara ett klientprogramm för kommunikation över HTTP eller HTTPS i detta fall. Men eftersom man eftersträvar flexibilitet så är ju allt så öppet och väl definierat att det är ingen sak i världen att sätta in en plugin eller ett GUI-skikt som ger tjuven möjlighet att plocka den vitala informationen. Jag skulle nog vara för användning dedicerade redskap vars autenticitet bekräftas genom rigorösa certifieringsmetoder.

Mycket bra att du påvisar säkerhetsriskerna med trådlös kommunikation.

Vill påpeka att det inte enbart handlar om en säkerhetslucka i just trådlösa nät utan det handlar om en kombination av FLERA säkerhetsluckor. En av säkerhertsluckorna finns inbyggd på layer 2 i ARP-protokollet som i sin tur används i alla nät. Oberoende av WiMax, WLAN, företagsnät, privatnät, koppartråd eller fiber.

Att enbart koppla svagheten ihop med öppna trådlösa nät är att bedra sig själv.

Jag var uppenbarligen inne på samma linje som du, men med andra termer. -- Fick mig fö. ordentligt på näsan pga. ovanstående idéer om api baserade klienter. Banksystemspecialisten som är här på påskbesök menade att trots att ett en och annan firma gjort trevare i den riktningen så har man senast använt dylika system någon gång på 80-talet. Jag frågar mig i så fall att varför är i så fall t.ex. varför FineID-kortläsardrivern just byggd som jag föreslår. Varför är det en driver. Är det också något sådant som borde snurra i browsern för att den skall vara lätt uppdaterbar och säker?

Man kan ju fråga sig vad denna diskussion har att göra på våra spalter. Jag har bara på känn att nu när det verkar att en och annan verkligen kommer att bygga så är det kanske också på tiden att vi vidgar diskussionens tyngdpunkter. Och datasäkerheten är säkert ett ämne som varje nätoperatör måste kunna tills vi har skapat system som helt kan administreras av annan part.