EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet



Relevanta dokument
EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Säkra trådlösa nät - praktiska råd och erfarenheter

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Denna genomgång behandlar följande: Trådlösa tekniker WLAN Utrustning Säkerhet Konfiguration

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Tips och råd om trådlöst

Din guide till en säkrare kommunikation

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

om trådlösa nätverk 1 I Om trådlösa nätverk

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Nätverk Hemma. Ur filmen Tre Glada Tokar m. bl.a Nils Poppe Preforbia.se 1

EBITS Arbetsgruppen för Energibranschens Informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

Regler för användning av Riksbankens ITresurser

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Säker hantering av mobila enheter och portabla lagringsmedia

Guide till ett bättre wifi på kontoret

Grundläggande säkerhet i Trådlösa Nätverk

Policy för användande av IT

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

Informationssäkerhet

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Lathund Beställningsblankett AddSecure Control

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Rekryteringsmyndighetens interna bestämmelser

Fastighetsnätets uppbyggnad

Rapport i Mobila systemarkitekturer. Symbian

Installationshandbok

Systemkrav och tekniska förutsättningar

Konfigurera TP-link CPE210

Agenda. Annat trådlöst. WLAN ger. Användningsområden för WLAN Mer bandbredd. WLAN - dagsformen och framtidens formkurva. Förbättrad säkerhet

Fick-router MP-01. tre i en fick-router med 6 olika lägen

Grundläggande informationssäkerhet 7,5 högskolepoäng

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Vägledning för smarta telefoner, surfplattor och andra mobila enheter

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Ubiquiti M5 Trådlös WiFi-länk för VAKA-system

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tack för att du har valt den här routern med XR-teknologi.

Ciscos problemlösarguide. Utnyttja IT fullt ut tio viktiga råd om säkerhet för ditt företag

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR

Handledning i informationssäkerhet Version 2.0

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Juridik och informationssäkerhet

Riktlinjer inom ITområdet

Datasäkerhet INTRODUKTION

Din manual NOKIA C111

Informationssäkerhet - en översikt. Louise Yngström, DSV

IT-Policy Vuxenutbildningen

Cyber security Intrångsgranskning. Danderyds kommun

Trådlös kommunikation En introduktion av Open Systems Engineering AB

Internet ombord på våra tåg

Vägledning för säkrare hantering av mobila enheter

256bit Security AB Offentligt dokument

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

IT-riktlinjer Nationell information

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Nätverksteknik B - Introduktion till Trådlösa nätverk

Sjunet standardregelverk för informationssäkerhet

Riktlinjer för informationssäkerhet

Trådlöst (endast vissa modeller) Användarhandbok

Användarhandbok AE6000. Wireless Mini USB AC580-adapter med Dualband

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Hur gör man ett trådlöst nätverk säkert?

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Säkerhet i fokus. Säkerhet i fokus

INSTALLATIONSTEKNIK. Ämnets syfte. Kurser i ämnet

Checklista, så planerar du ditt WiFi

Trådlösa nätverk, 7.5 hp. Trådlösa nätverk, 7.5 hp. Torstensson, IDE

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Följande avtal gäller mellan brf Bränneriet (org nr ) och boende i brf Bränneriet som ansluter sig till brf Bränneriets datornätverk.

Säker IP telefoni? Hakan Nohre, CISSP

Fastighetsnätets uppbyggnad

SkeKraft Bredband Installationsguide

Biometria Violweb. Installation kundportalaccess - för IT-administratörer. Mars 2019

Nätverksteknik B - Introduktion till Trådlösa nätverk

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Whitepaper Professionellt WLAN. Utrullning av trådlöst nätverk i en växande företagsmiljö Centraliserad lösning, eller fristående accesspunkter?

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Svensk version. Installation av Windows XP och Vista. LW311 Sweex trådlösa LAN Cardbus-adapter 300 Mbps

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl)

Instruktion: Trådlöst nätverk för privata enheter

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

Novi Net handelsbolag. Produkter och tjänster

Snabbguide IP-kamera Kom igång med din kamera

Introduktion till protokoll för nätverkssäkerhet

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Installationsguide Junos Pulse för iphone/ipad

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Transkript:

2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större utsträckning används har möjlighet att överföra data trådlöst. Exempel på sådan utrustning är bärbara datorer, handdatorer, avancerade mobiltelefoner, skrivare och digitala kameror. Den trådlösa kommunikationen sker med hjälp av olika tekniker där radioöverföring (t.ex. WLAN och Bluetooth) och IR är de vanligaste. Användandet av trådlös kommunikation kan skapa många möjligheter, men för också med sig många svårhanterade hot. Syfte Syftet med detta dokument är att ge en översikt över ett antal aspekter relaterade till informationssäkerhet, som bör beaktas då man överväger att införa trådlös dataöverföring. Ett sådant införande bör naturligtvis föregås av en hot- och riskanalys som kan bidra till att klargöra om trådlösa tekniker över huvudtaget är lämpliga att använda i det aktuella fallet och vilka säkerhetstekniker som i så fall måste användas. Vidare presenteras ett exempel på regelverk som kan användas som grund för att ta fram egna verksamhetsanpassade regler för trådlösa datanät (WLAN). Hot översikt Förutom de hot som kan identifieras i samband med användning av traditionell trådbunden utrustning, är användningen av trådlös utrustning utsatt för ytterligare hot där några av dessa redovisas nedan. Avlyssning Okontrollerad utbredning av radiovågor gör det mycket enkelt för en angripare att avlyssna trådlösa nät (t.ex. WLAN) på distans utan fysisk åtkomst till avlyssnad utrustning. Lättillgängliga program finns som utan användning av dyr specialutrustning kan avlyssna trafik på långa avstånd utan att angriparen riskerar upptäckt. Intrång Trådlös utrustning kan utan att användaren förstår det automatiskt bli kopplad mot okänd (läs angriparens) utrustning. Under vissa förutsättningar kan detta i sin tur resultera i att en angripare får kontroll över den utsatta utrustningen. Förutom att angriparen då kan stjäla, manipulera och förstöra information, kan den angripna utrustningen prepareras för att fungera som en språngbräda för attacker mot de nät där den manipulerade utrustningen kopplas in (t.ex. företagets interna nät). Tillgänglighet På grund av dess konstruktion är trådlös utrustning särskilt känslig för tillgänglighetsattacker. Det är relativt enkelt att förhindra 091026 Trådlös_kommunikation v1.1.doc 1 (5)

avsedd funktion hos utrustningen genom att t.ex. överbelasta utrustningen med specialutformad nättrafik. Användarintegritet Eftersom den trådlösa utrustningen också fungerar som en sändare är det möjligt att på distans följa enskilda användares förflyttningsprofiler. Användning av trådlös utrustning är som synes förknippad med risker. Detta beror på att de tekniska skyddsåtgärder som i dagsläget finns tillgängliga inte alltid är tillräckliga, och att utrustningen ofta är mycket svår att konfigurera på rätt sätt för att åstadkomma ett tillräckligt skydd. Det är därför av yttersta vikt att expertis används vid införande av trådlös teknik och att en lösning efter införande kontrolleras noggrant (helst av en utomstående part). EXEMPEL på regler för trådlösa nät Syfte Felaktigt installerade trådlösa nätverk, WLAN, kan göra hela Företagets nät tillgängligt för obehöriga och omintetgöra de säkerhetslösningar som normalt skyddar oss. Det är både enkelt och billigt att införskaffa ett WLAN, men det krävs stor kunskap att installera och konfigurera det på ett säkert sätt. Företagets WLAN skall genom effektiv kommunikation främja den totala affärsnyttan för Företaget. Verksamheten ska kunna kommunicera och använda gemensamma IT-resurser med väldefinierade funktioner, väldefinierad tillgänglighet, kapacitet och säkerhet. Omfattning Dessa regler gäller samtliga trådlösa nätverk inom Företaget. Regler En styrgrupp för WLAN-frågor ska finnas. I denna grupp skall representanter som är störst användare av WLAN finnas representerade. Vid önskemål om att installera trådlöst nät skall detta meddelas till, och godkännas av, Företagets IT-säkerhetschef. Företagets accesspunkter för WLAN skall vara utvalda och godkända av styrgruppen. Övriga anslutningar skall följa styrgruppens anvisningar. Tekniska lösningar för WLAN skall följa fastställda regler för LAN samt reglerna i detta dokument. Lösningar för WLAN skall vara Företagsgemensamma och uppfylla en miniminivå av funktions-, tillgänglighets-, kapacitets- och säkerhetskrav beskrivna av styrgruppen för WLAN. Dokumentation av alla WLAN-förbindelser för gemensamma IT-system skall hanteras centralt och utföras efter anvisningar från styrgruppen för WLAN. 091026 Trådlös_kommunikation v1.1.doc 2 (5)

Företagets lösningar för WLAN skall vara tekniskt och administrativt överensstämmande med kraven för informationssäkerhet. Grundregeln är att en logiskt skild lösning implementeras i enlighet med Företagets standard för gäst-wlan och att lösningen inte har någon koppling till Företagets interna nät utom via en Remote Access-tjänst. Övergripande Skriftlig motivering för anslutning av trådlöst nät och genomförd riskanalys skall presenteras. Riskanalysen ska innefatta tre scenarier baserat på tillgänglighet, riktighet och sekretess. o Tillgänglighet Vad är risken och konsekvensen för avbrott o Riktighet Vad är risken och konsekvensen av att informationen förvanskas o Sekretess Vad är risken och konsekvensen för att någon obehörig kan läsa och använda sig av känslig information, och hur stor är risken och konsekvensen för att någon kan koppla in sig på Företagets interna nät. Tänkta accesspunkter och spridning skall preciseras Installation skall genomföras av företag med erkänt kvalificerad kunskap om installation av trådlösa nätverk. Efter installation av trådlöst nät skall installationen säkerhetskontrolleras av oberoende tredje part och rapporten sändas till företagets IT-säkerhetschef. Samtliga access-punkter kommer på initiativ av IT-avdelningen regelbundet att testas avseende säkerhet. Övervakning skall larma för otillåten access. WLAN skall även övervakas avseende otillåtna/ogiltiga (rogue) accesspunkter. En accesspunkt som inte uppfyller specifika säkerhetsinställningar skall kopplas bort. Företagets accesspunkter för WLAN, får endast användas inom en begränsad geografisk spridning såsom en lokal. WLAN-implementationen skall följa IEEE 802.11i-standarden Användare skall verifieras innan access ges. Enheter för accesskontroll skall finnas. Accesspunkter Accesspunkter för WLAN skall vara logiskt åtskilda från det interna nätverket genom att accesspunkten mellan det trådlösa nätverket och Företagets interna nätverk är säkrad via en brandvägg. Det trådlösa nätverket skall vara utrustat med accesskontroll. Accesspunkter skall använda dynamiskt utbyte av nycklar. Trådlöst nätverk skall krypteras med WPA eller WPA2. 091026 Trådlös_kommunikation v1.1.doc 3 (5)

Kryptonycklar skall vara i Hexadecimalt format och inte endast bestå av skrivbara tecken. Om WPA används ska ett starkt lösenord användas i enlighet med fastställda lösenordsregler. Kryptonycklar skall bytas med täta intervall och får inte vara statiska. Starka lösenord skall användas för administratörer av accesspunkter. Säkerställ kryptering av lösenord innan överföring. IPSec-baserad Virtual Private Network (VPN)-teknik skall användas för att skydda trafiken i WLAN:et. Statiska IP-adresser skall användas för accesspunkter. Automatisk omkonfiguration av felaktiga accesspunkter. All WLAN trafik ska övervakas med IDS. Nätet får inte benämnas med namn som kan identifiera det som ingående i Företaget. Sändningsstyrkan ska vara så minimal som möjligt för att begränsa oönskat täckningsområde och accesspunkter skall skärmas av så att trafik inte går i oönskad riktning. Accesspunkter får inte annonsera sin närvaro med s.k. beacons, utan i stället skall klienterna konfigureras så att de associeras med specifika accesspunkter. Standardnamn för SSID skall inte användas. Accesspunkterna skall regelbundet ses över avseende säkerhetsuppdateringar. Accesspunkter får inte fysiskt placeras så att de kan ses genom fönster och dörrar. Accesspunkterna skall vara fysiskt skyddade för att omöjliggöra återstart med standardinställningar. Eventuella anslutningar för konsol skall avaktiveras. Accesspunkter skall kunna aktiveras/avaktiveras fjärrstyrt eller per automatik under perioder då de inte används eller övervakas. (Power-over-Ethernet [PoE]) Ansvar Ansvarig för att dessa regler upprätthålls och uppdateras är Företagets ITsäkerhetschef. Den eller de inom Företaget som har uppdrag att installera WLAN ansvarar för att dessa regler följs. Övrigt Frågor kan ställas till EBITS via e-post ebits-box@svenskenergi.se 091026 Trådlös_kommunikation v1.1.doc 4 (5)

Ordförklaringar Bluetooth En industrispecifikation för radiobaserad kommunikation med begränsad räckvidd (1m, 10m eller 100m) som dock kan fångas upp på betydligt större avstånd. Bluetooth används för informationsutbyte mellan t.ex. mobiltelefoner, bärbara datorer, skrivare, digitala kameror osv. IEEE 802.11i En utökning av IEEE 802.11-standarden som specificerar säkerhetsmekanismer för trådlösa nät. IDS Intrusion Detection System - Ett system för att upptäcka olika typer av oönskade aktiviteter i datorsystem (datornät och datorer). Dessa aktiviteter inkluderar bl.a. överbelastningsattacker, intrångsförsök och virusangrepp. IPSec IPSec är en samling protokoll för att säkra IPprotokollet m.h.a. autenticering och/eller kryptering av datapaket. IPSec kan användas för att upprätta och skydda ett VPN (Virtual Private Network). VPN Virtual Private Network - Ett samlingsnamn för ett antal tekniker och protokoll som använder publika nät för att skapa privata datornät. På detta sätt kan lokala datornät (LAN) kopplas ihop och externa användare kan ges åtkomst till företags interna nät. IR Olika tekniker för att på korta avstånd trådlöst kommunicera m.h.a. infrarött ljus. PoE Power over Ethernet - Ett samlingsnamn för olika tekniker att tillsammans med data skicka elektrisk energi till apparater (t.ex. trådlösa accesspunkter, IP-telefoner och webbkameror) i en tvinnad parkabel i ett Ethernet. "Rogue" accesspunkt En accesspunkt i ett WLAN som satts upp utan administratörens tillåtelse och som kan t.ex. användas av en angripare för att avlyssna trafik på WLAN:et. SSID Service Set Identifier - Ett namn som delas av de utrustningar som vill kommunicera med varandra i ett trådlöst nät (enligt IEEE 802.11-standarden). WLAN Wireless Local Area Network - Ett samlingsnamn för olika typer av trådlösa nät. Den vanligaste typen är de nät som bygger på IEEE 802.11-standarden och används bl.a. för att koppla ihop datorer med trådlösa accesspunkter både i hem och på företag. 091026 Trådlös_kommunikation v1.1.doc 5 (5)