Nedenstående er afstedkommet af en oplevelse jeg har haft med en kommune og
deres trådløse net - og ikke mindst af en snak med dem efterfølgende.
Scenario:
Der forefindes et 802.11b trådløst net, uden WEP eller lign. Der er fri
offentlig adgang til nettet samt internettet. Ved åbning af stifinder kan
navnene på de enkelte PC'ere, servere og printere på nettet ses.
Der skal ikke fidles med IP, da DHCP server leverer disse oplysninger.
Der er benyttet en PDA med netkort, hvorfor der kun benyttes TCP/IP. IPX og
Netbios/Netbeui er derfor også udelukket.
Der er ikke anvendt scanningværktøjer for at finde eller komme på nettet.
Efterfølgende er der dog benyttet PocketWarrior for at identificere AP som
Lucent.
Kommunens påstand:
Der benyttes naturligvis VPN, og der har derfor på intet tidspunkt været
risiko for uvedkommende adgang til personoplysninger.
Efter henvendelsen har kommunen rekonfigureret AP, således at der ikke mere
er offentlig adgang.
(Jeg har dem lumsk mistænkt for bare at køre WEP og MAC filtrering, da de
efter ca. 4 timer oplyste at det nu var fixet - da der var lidt over 50
PC'ere og servere på nettet)
Min påstand:
Kommunen kører enten ikke med VPN på det trådløse net (hvad der er lovkrav
om pga. følsomme persondata), eller dette er i givet fald ligegyldigt da det
er enklere at få adgang til en enkelt PC (og dermed fuld adgang til VPN
nettet) end at lytte på VPN trafikken. (hvilket medfører Persondataloven §41
stk. 3 er overtrådt:
http://www.datatilsynet.dk/include/show.article.asp?art_id=567&sub_url=/Vaerd_at_vide/indhold.asp )
Såfremt der køres VPN er dette derfor ligegyldigt, idet sikkerheds policies
på de enkelte PC'ere og servere tillader anden adgang end VPN.
Men ... man burde da under alle omstændgiheder ikke kunne se de PC'ere på
det trådløse net som kører VPN, når man ikke selv gør - eller ?
Spørgsmål:
1) Er min opfattelse af den manglende VPN sikkerhed korrekt, og ville den på
samme måde kunne anvendes ved hjemme arbejdspladser ?
2) Er Datatilsynet krav vedr §41, stk 3 sidste afsnit overhovedet muligt at
overholde ved trådløse net (altså at der skal sikres at man ikke "... kan
aflytte kommunikationen og opsnappe brugeridentifikationer og dertil hørende
fortrolige adgangskoder........" ?
(Mig bekendt findes der adskillige ganske anvendelige værktøjer til
opsnapning og efterfølgende dekodning af kommunikationen)
3) Kan Lucent udstyr køre anden overordnet kryptering end WEP, eller er der
andre muligheder jeg har overset (så vidt jeg kan se kan Lucent køre IPSec
og PPTP, men kun på selve transmissionen - ikke på forbindelsen) ?
MVH Anders Larsson
PS: Men jeg smutter nu lige forbi Mandag og kigger på hvordan det er fixet
