Detta är en artikel i en serie om CIS Controls version 7 och denna artikel handlar om förmågan för att skydda trådlös kommunikation och nätverk.

Nyckelinsikter

  • Bygg nytt, flytta användare gradvis eller säkra det du redan har. Vägarna bär ändå till Rom, eller?
  • 802.1X kan med fördel användas för att dels autentisera användare som ansluter men också effektivt förhindra att nya APs ansluts till ert trådade nätverk.
  • Högt och lågt; CIS-förmågan föreslår ett antal i princip meningslösa åtgärder (få kommer kunna införa), men föreslår en centraliserad autentisering av användare genom exempelvis EAP-TLS.

Inledning

Trådlösa nätverk och trådlös kommunikation. I dessa tider kan man tro att diskussioner kring trådlösa nätverk endast handlar om 5G för mobiltelefoni och huruvida Kina genom Huawei kommer “äga” infrastrukturen och genom detta hela Europa. Men, i den här artikeln handlar det om traditionella trådlösa nätverk och trådlös kommunikation (ex. Bluetooth och NFC).

Om CIS-förmågan

Förmågan består av totalt 10 skyddsåtgärder, listade nedan:

  1. Skriv en lista på vilka trådlösa accesspunkter ni har, håll listan uppdaterad.
  2. Ha förmåga att upptäcka när nya trådlösa accesspunkter ansluts till det trådade nätverket.
  3. Använd ett IDS för upptäckt av trådlösa accesspunkter.
  4. Stäng av trådlös åtkomst från enheter som inte behöver det.
  5. Begränsa vilka trådlösa nätverk som enheter får ansluta till.
  6. Stäng av möjligheten att ansluta/starta Peer-to-peer (adhoc)-nätverk.
  7. Använd AES för att kryptera trådlös kommunikation.
  8. Använd trådlösa autentiseringsprotokoll som kräver ömsesidig och fler-faktors autentisering.
  9. Stäng av trådlösa kommunikationsmöjligheter (Bluetooth, NFC) om dessa inte behövs.
  10. Skapa ett separat nätverk för personliga och icke-betrodda enheter.

Förmågans målsättning.

Om trådlösa nätverk används vet du vilka trådlösa accesspunkter som finns, säkrar kommunikationen till och från dessa, arbetar aktivt för att icke-legitima accesspunkter identifieras och elimineras. Du har helt enkelt kontroll på trådlösa enheter och accesspunkter.

Införandet

Avgör ungefär vart ni faller i mognaden för att därefter bedöma om huruvida ni ska fortsätta med införandet eller fokusera på andra förmågor inom CIS.

Steg 1 – Avgör mognad

MognadsnivåKriteria
Ingen förmågaTrådlöst absolut, vi har ju sådana där routers… Netgear, lösenordet står under enheten. Supersmidigt.
Grundläggande förmågaTrådlösa accesspunkter har inga default-lösenord, och varje accesspunkt är konfigurerad från grunden. Däremot ingen radius/diameter eller annan centraliserad autentisering. Statisk nyckel för att ansluta. Vi har ingen förmåga att upptäcka om någon ansluter en egen trådlös AP till vårt nätverk.
God förmågaCentral autentisering genom EAP-TLS med ömsesidig autentisering med hjälp av certifikat. Vi scannar aktivt vårt trådburna nätverk efter nya enheter som skulle kunna vara indikativa av att erbjuda trådlös AP.
GudomligVi scannar efter trådlösa APs genom att upptäcka röjande signaler. Eller vänta, vi har inga trådlösa nätverk. Eller? Dom vi har, eller inte, är säkrade till tänderna. Här kommer du inte in…

Steg 2 – Påbörja införande

Alla vägar bär till Rom sägs det, men jag tror faktiskt att en del vägar kanske istället bär till Mordor, särskilt om vi försöker följa samtliga CIS-åtgärder. Så här kommer några förslag på lämpliga åtgärder i prioriterad ordning.

  1. Inventera, jag ställer mig vid första föreslagna åtgärden som CIS föreslår. Ta reda på vilka trådlösa accesspunkter ni har.
    • I den ideala världen har ni redan kontroll på vilka enheter ni har inom organisationen och kan således avgöra vilka av dessa som tillhandahåller trådlösa nätverk.
  2. Nästa steg är att försöka hålla nya trådlösa accesspunkter borta från ett trådade nätverk. Inget egentligen enkelt steg, men ni behöver antingen förebygga att nya kan anslutas, eller upptäcka när något ansluts.
    • Förebygga: 802.1X för nya enheter som ansluts till nätverket vilket skulle effektivt förhindra att nya enheter ansluts. Kräver fullständig kontroll över samtliga switchar och annan nätverksutrustning. Vidare krävs möjlighet att distribuera certifikat till samtliga enheter som ska anslutas etc.
    • Upptäcka: Genom att ni inhämtar loggar från samtliga nätverksenheter (switchar, routrar etc.) som berättar när nya portar används. Kombinerat med DHCP-tilldelningar eller att nya IP-adresser börjat kommunicera på ett givet segment.
  3. Säkra de trådlösa nätverk ni har. Nätverk som använder sig utav delade nycklar (pre-shared keys) ska bort och ersättas av centraliserade och ömsesidig autentisering genom EAP-TLS och RADIUS.
  4. Eventuellt skulle detta steg kunna betraktas som ett alternativ till steg (3). Skapa ett nytt “säkert” nätverk där ni gör rätt från början. Låt övriga nätverk finnas kvar, men flytta gradvis över nya klienter och existerande till det nya nätverket allt eftersom ni har möjlighet.

Steg 3 – Mäta skyddseffekter

Ja du min vän, hur mäter vi nytto-/skyddseffekterna av den här förmågan? Oklart.

  1. Hur många av era klienter ansluter till av er bedömt säkra nätverk? T.ex. det nya nätverket enligt steg (4) i införandet.
  2. Använder ni PSK eller WPA2-Enterprise EAP-TLS? Det senare kan bedömas som säkrare och således… bättre.(?)

Sammanfattning

Att säkra sina trådlösa nätverk är som för övriga CIS-förmågor inget man slår på eller av. Det är en kombination av flera åtgärder som kräver en hel del kompetens och erfarenhet av att bygga trådlösa nätverk. Vi börjar med att förstå vad vi har och vilka enheter som tillhandahåller trådlösa nätverk. Antingen säkrar vi dessa först eller så bygger vi upp ett parallellt nätverk som vi säkrar och gradvis flyttar över användare till. Eller så kapar vi samtliga trådlösa nätverk helt och bygger om från början.

CIS-förmågan skjuter högt och lågt, med allt från att individuella enheter ska konfigureras för att inte tillåta användning av bluetooth eller NFC. Men pragmatikern i mig säger att få organisationer har möjlighet att döda blåtand helt. Och hur många organisationer kommer springa omkring med utrustning för att detektera trådlösa accesspunkter inom organisationen? Sure, några få, men en majoritet … kommer inte göra det.

Lycka till… eller nått.