Is informatie die je via een draadloos netwerk verstuurt beveiligd? Even goed als een doos met dossiers die iemand zonder bewaking in een drukke winkelstraat neerzet. In beide gevallen kan iedereen die daar zin in heeft, zonder meer de gegevens op zijn gemak bekijken.
Koos van der Spek, senior consultant bij Verdonck Klooster & Associates, windt er geen doekjes om: draadloze netwerken zijn zo lek als een mandje. De maatregelen die nodig zijn om enige bescherming te bieden, kosten een hoop geld. Ongeveer net zoveel als een organisatie kwijt is voor de aanleg van een vast netwerk. Dat voordeel verdwijnt dus. Blijft over de flexibiliteit: geen gedoe meer met het inpluggen van een laptop in een netwerk. Alleen een pcmcia-kaartje is voldoende om overal in het kantoorgebouw op het bedrijfsnetwerk te kunnen werken.
"Maar zonder goede beveiligingsmaatregelen kan ook een vreemde die met zo’n kaartje in zijn laptop op de parkeerplaats staat, hele leuke dingen doen," aldus Van der Spek. Hij heeft zelf eens de proef op de som genomen. Met zijn laptop, voorzien van het – gratis van het internet te downloaden – programma NetStumbler, is hij een half uur over een bedrijventerrein gaan rijden. Zijn laptop signaleerde meer dan tien Access Points van draadloze netwerken. Eénderde van die netwerken was niet beveiligd. Hij had dus zonder enig probleem via dat netwerk het internet op gekund. Of kunnen proberen toegang te krijgen tot het bedrijfsnetwerk.
Gratis internetten
"NetStumbler gaf aan dat de overige Access Points wel beveiligd waren. Ik heb het verder niet onderzocht, maar ik ben ervan overtuigd dat die beveiliging niet veel voorstelde," aldus Van der Spek, die zich onder meer heeft gespecialiseerd in de beveiligingsaspecten van draadloze netwerken.
In de Verenigde Staten rijden enthousiastelingen rond met een laptop, een draadloos netwerkkaartje, een antenne en een gps-systeem. Elke keer wanneer ze een draadloos netwerk tegenkomen, leggen ze de positie vast op hun gps. Er zijn talloze websites waarop de coördinaten van deze posities worden geopenbaard. Van der Spek: "Het is dus een kleine moeite om via het internet een draadloos netwerk in je buurt op te zoeken, daar naar toe te gaan en vervolgens gratis te internetten. Het gaat om de lol en het spel, want het is allemaal erg omslachtig. Je kunt er op wachten dat dit in Nederland ook gaat gebeuren. Want spullen voor de aanleg van draadloze netwerken gaan momenteel als warme broodjes over de toonbank. Voor een paar honderd euro heb je al een Access Point en een paar netwerkkaarten."
Sleutels in het slot steken
In principe is alles wat via radiografische golven wordt verstuurd, te onderscheppen. Dus is het zaak ervoor te zorgen dat de informatie die verstuurd wordt, onleesbaar is. Daarvoor is WEP bedacht. Dit staat voor Wired Equivalent Privacy, vanuit de idee dat WEP evenveel beveiliging zou bieden als op het vaste netwerk mogelijk is. "Op zich is dat correct," zegt Van der Spek, "maar de implementatie van de encryptiesleutel voor WEP klopt niet. Dat komt in de eerste plaats omdat die sleutel altijd dezelfde is voor iedereen die van een draadloos netwerk gebruik maakt. En in de tweede plaats omdat die sleutel statisch is, dus niet verandert. Wanneer de sleutel eenmaal is gekraakt, kun je de informatie die over een draadloos netwerk gaat, zo ontcijferen."
Encryptiesleutels voor WEP (ze bestaan in varianten van 64 en 128 bit) zijn gemakkelijk te kraken. Volgens Van der Spek komt dat omdat 24 bits van de sleutel bestemd zijn voor de zogeheten initialisatievector (IV). Deze 24-bits IV wordt ongecodeerd meegestuurd. Wanneer een inbreker nu maar voldoende data opvangt, kan hij met die gegevens vrij eenvoudig de sleutel, die immers niet voortdurend verandert, herleiden. Hij hoeft er zelf niets voor te doen. Op het internet zijn hiervoor programmaatjes te downloaden, Airsnort bijvoorbeeld.
Het heeft geen zin om de sleutel uit te breiden tot 128 bit of nog langer. Zolang die initialisatievector wordt meegestuurd, kan de sleutel worden gekraakt. Het zal misschien alleen wat langer duren. Maar ook de programma’s zullen steeds intelligenter worden en meer kraakmogelijkheden gaan bieden.
Race tegen de klok
Er wordt door de industrie hard gewerkt aan de ontwikkeling van nieuwe beveiligingstechnieken. Van der Spek noemt er drie: TKIP (Temporal Key Integrity Protocol), AES (Advanced Encryption Standard) en EAP (Extensible Authentication Protocol) die WEP op den duur zouden kunnen gaan vervangen. Er zullen echter nog wel een paar jaar voorbij gaan voordat die technieken ingang hebben gevonden. Gartner Group schat dat het in 2003 of 2004 het geval zal zijn. Van der Spek is minder optimistisch: "De huidige op WEP gebaseerde draadloze netwerken (gekenmerkt door 802.11b gebaseerde Access Points) zijn populair en goedkoop. Ze worden momenteel in groten getale aangeschaft. En niet met de bedoeling om ze volgend jaar alweer te vervangen. Dus pas wanneer organisaties hun huidige draadloze netwerkapparatuur hebben afgeschreven, zullen ze tot vervanging overgaan."
Op de meeste draadloze netwerken die van de WEP-beveiligingstechniek gebruik maken, kan al wel het Temporal Key Integrity Protocol worden geïmplementeerd. Met behulp van dit protocol worden de waarden van de encryptiesleutel regelmatig ververst. Hierdoor wordt het voor buitenstaanders lastiger om die sleutel te kraken. "Het risico dat de informatie onder ogen komt van onbevoegden, wordt hiermee iets kleiner. Maar het is een race tegen de klok, want er zullen ongetwijfeld weer programma’s komen die ook informatie weten te ontraadselen die met TKIP is gecodeerd. Zolang WEP met zijn 24-bits initialisatievector tenminste niet is uitgebannen," aldus Van der Spek, die dan ook waarschuwt heel voorzichtig te zijn met het gebruik van publieke draadloze netwerken, zoals die tegenwoordig worden aangeboden op bijvoorbeeld vliegvelden, hotels en congrescentra.
De enige manier om informatie op een veilige manier draadloos te versturen is via een Virtual Private Network (VPN). Wanneer een organisatie haar medewerkers een dergelijke pijplijn niet biedt, is de kans groot dat informatie uit de lucht kan worden geplukt. Dit betekent volgens Van der Spek dat je altijd moet oppassen met het versturen van vertrouwelijke informatie en bedrijfsgeheimen. Om een ongewenst bezoek aan het vaste netwerk via een daaraan gekoppeld draadloos netwerk te voorkomen, zijn extra identificatiesoftware, een firewall en een VPN een absolute must. ICT-managers weten dat die spullen niet goedkoop zijn. Systeembeheerders weten dat het implementeren, gebruik en beheer van die gereedschappen – op zijn zachtst gezegd – lastig is.
Lastig en duur
Kortom, een beveiligd draadloos netwerk is niet goedkoop. En daarmee vervalt een van de veelgenoemde voordelen van deze technologie. Blijft over dat het wel erg gemakkelijk is: u bent af van al dat gedoe met kabeltjes die altijd net te kort zijn of die u niet kunt vinden op het moment dat u ze nodig hebt. Of een draadloos netwerk de moeite van het implementeren waard is, is een afweging die elke organisatie zelf moet maken. Van der Spek: "Mijn advies is alleen: beter géén draadloos netwerk dan een onvoldoende beveiligd draadloos netwerk. Als u tenminste geen risico wilt lopen dat u virussen of andere ongewenste gasten in uw netwerk krijgt."
Cok de Zwart freelance medewerker