Et dårlig sikret nettverk kan føre til at uvedkommende får tilgang til både nettverket og tilkoblede datamaskiner, servere og maskinvare.
Hvordan sikre bedriftens nettverk?
Håkon Røsten
Publisert:
Til tross for at forretningskritisk data er tilgjengelig via nettverket, erfarer vi at de færreste nettverk er godt nok sikret.
Våre tre viktigste tips
1. Separer nettverket
Hos virksomheter ser man ofte to eller flere trådløse nettverk. Alle nettverkene gir tilgang til internett, men de har ikke tilgang til hverandres tilkoblede enheter.
Separasjon av trådløse nettverk gjøres ved å opprette flere VLAN (virtuelle nettverk). Hvert VLAN har forskjellig navn og IP-rekke, og en maskin tilkoblet nettverk 1 får ikke tilgang til maskiner på nettverk 2, og omvendt. Faktisk kan man ha opptil 4096 slike VLAN. Dette er selvfølgelig ikke nødvendig for de aller fleste, men det kan være fordelaktig å opprette dedikerte VLANs til for eksempel IT-avdeling, økonomiavdeling og juridisk avdeling, i tillegg til et gjestenettverk. På denne måten har sluttbrukere kun tilgang til nødvendige ressurser.
2. Godt passord eller katlogtjeneste
Flere separerte VLAN vil ikke sikre interne ressurser uten ytterligere tiltak. Som oftest har virksomheter et passord for å logge seg på nettverket, og dette burde minimum tilfredsstille kravene til passord for kritiske skykontoer.
Likevel er nettverk med gode passord sårbare for angrep. Dagens beste standard for nettverkspassord, WPA2, kan hackes ved hjelp av et brute force-angrep. Dette betyr at de kan forsøke å gjette passordet milliarder av ganger i sekundet, noe de til slutt vil få til.
PS. Det utvikles nå en ny standard, WPA3, som eliminerer muligheten for brute-force angrep.
Her kommer fordelene med å koble nettverket opp mot en katalogtjeneste inn. For å logge på et nettverk koblet opp mot en katalogtjeneste må man logge inn med innloggingsdetaljer som er lagret i katalogtjenesten. Dette gjør at tilgang til nettverket kun er mulig for godkjente brukere, noe som for eksempel kan ekskludere ansatte som har sluttet. Katalogtjenesten kan settes opp til å fungere på utvalgte VLAN, som gjør at gjester fortsatt kan logge seg på gjestenettverket med passord som innlogging.
3. Fysisk sikring
Selv med flere trådløse VLAN med sikre innlogginger er ikke nettverket nødvendigvis sikret mot fysiske tilkoblinger via ethernet-kontakter i veggen. Uten sikring vil en fysisk tilkobling til et ethernet-uttak kunne gi tilgang til maskinvare på det interne nettverket. Det er derfor et par forhåndsregler man burde ta.
1. Vær bevisst på hvor switch-skap befinner seg og pass på at det er utilgjengelig for uvedkommende
2. Vær bevisst på hvor det finnes ethernet-uttak og hvilket VLAN de er koblet opp mot.
Oppsummering
Hvordan din bedrift burde sikre nettverket kommer an på antallet fysiske enheter tilkoblet. Desto flere lokale nettverksenheter (printer, server, skjermer), desto mer utsatt er nettverket. Med en åpen filserver koblet opp mot nettverket kan nettverkstilgang for uvedkommende være katastrofalt. Her vil separerte nettverk være nødvendig, mens en bedrift som kun trenger tilgang til internett vil ikke nødvendigvis ha behov for dette. Vi anbefaler som minimum et godt passord på det interne nettverket og aktivering av et separert gjestenettverk.
