Ukjente enheter i nettverket kan være katastrofalt for IT-sikkerheten

Jon Riisnæs den 30. januar 2017

Ulike nettverksenheter og skjermer.

IT-sjefen mister kontroll over nettverkssikkerheten hvis medarbeidere kobler til eget utstyr som ikke er kontrollert og godkjent av bedriften. Konsekvensene kan være store.

Det kreves en god del kartlegging og oppfølging for å ha kontroll på alle endepunkter til enhver tid. Nettverkskomponenter må konfigureres og settes opp, og man må ha ressurser for oppfølging og overvåking. Mange IT-ansvarlige er redd for at en allerede tynt bemannet IT-avdeling vil få enda mer å gjøre ved å introdusere et komplekst nettverksoppsett.

Egentlig har du ikke noe valg. Hvis uautoriserte enheter tilkobles nettet, kan det føre til både ustabilitet og nedetid. I neste omgang kan nettet bli utnyttet av eksterne til kriminelle handlinger, som tjenestenektangrep (DDOS) og tap av bedriftskritiske data. Våger du å gamble slik med bedriftens datasikkerhet?

Last ned gratis rapport om hvorfor du må ta datasikkerhet på alvor.

Blokkerer nettet

Jeg vil tydeliggjøre dette med noen eksempler hentet fra opplevelser vi har hatt hos kunder:

En ansatt i et middels stort firma har behov for flere datapunkter på pulten sin. Veien via IT-avdelingen er kronglete og tar lang tid. Han går derfor og kjøper en billig ruter med innebygget switch. Denne tilkobles nettverkspunktet ved pulten, og pc-en kobles til.

Kort tid etter opplever kollegene hans å miste nettverkstilgang. De kommer ikke ut på internett, og flere får ikke forbindelse med interne ressurser. Andre kolleger opplever ingen problemer. IT-avdelingen blir nedringt av henvendelser fra brukere som ikke får gjort jobben sin.

Hva har skjedd? 

Ruteren er ferdig konfigurert fra leverandør slik at den automatisk fungerer for hjemmebrukere. Dermed tildeler den IP-adresser i bedriftens nettverk. Klienter som mottar disse adressene, vil naturlig nok ikke fungere lenger. Mange switcher har funksjonalitet som kan hindre slik IP-tildeling, men er som regel skrudd av.

Dette har vi opplevd hos flere kunder, og feilsøkingen innebærer å finne den uautoriserte enheten. Den oppgaven kan være tidkrevende i et stort nettverk.

Les også: Så lavt prioriteres datasikkerhet

Farlig loop

Medarbeiderens private ruter/switch har han etterhvert koblet til flere enheter. Det flyter av kabler på pulten, og en dag kobler han i vanvare en av kablene tilbake i switchen. Han lager nå en lokal loop ute på arbeidsplassen sin, slik at all datatrafikk som kommer ut på switchen, blir sendt tilbake i nettverket. De fleste «dumme» hjemmerutere har ingen funksjonalitet for å oppdage og stoppe dette.

All broadcast-trafikk blir nå loopet tilbake i nettet igjen. Har man store vlan som strekker seg over hele bedriftens infrastruktur, risikerer man betydelig redusert ytelse. Dette har vi opplevd hos flere kunder. I enkelte tilfeller har nettet vært fullstendig utilgjengelig.

Profesjonelle switcher har funksjonalitet som kan hindre eller begrense skaden en slik tilkobling fører til. Eksempelvis Ciscos rutere med såkalt Broadcast storm control eller Loop Guard, men i de fleste tilfeller er disse funksjonene slått av som en standardinnstilling. Min erfaring er at det ofte forblir avslått, selv i kritiske produksjonsnett.

Trojaner og usikret WiFi

«Moroa» på synderens pult stopper ikke her. I tillegg til en switch kommer mange hjemmerutere med innebygget WiFi, noen med et åpent ukryptert nett for å gjøre nettverksoppsettet hjemme enkelt. Dermed dukker det opp et nytt WiFi-nett med direkte tilgang til bedriftens interne nettverk. Dette innebærer at folk på utsiden av bygget kan koble seg på bedriftens nettverk uten noen form for autentisering. Nå begynner det å bli skummelt! Bedriftens interne systemer er i fare, og bedriftssensitive opplysninger kan komme på avveie. I tillegg kan bedriftens nett benyttes av uautoriserte til kriminelle handlinger.

På toppen av det hele finner den ansatte det for godt å ta med sønnens gaming-pc på jobben for å reparere den der. Denne kobles inn i bedriftens nettverk. Det han ikke vet er at sønnens pc er infisert av både trojanere og virus som prøver å spre seg til andre enheter på i nettverket. I tillegg til selv å inneholde trojanere som kan gi uautorisert fjerntilgang til maskinen, forsøker den nå å smitte andre maskiner i bedriftens nettverk.

Nå kan bedriftskritiske opplysninger komme på avveie, og bedriftens nettverk kan benyttes i et botnet tjenestenektangrep.

Les også: Når systemet blir tregt, er det for sent

Opplæring av ansatte

Som IT-ansvarlig må du sørge for å redusere risikoen for slike hendelser.

  • Ett tiltak er å informere medarbeiderne om hvilket utstyr som ikke er tillatt i bedriftsnettverket, og brudd må få konsekvenser.
  • Et av de tekniske svarene er en protokoll som heter 802.1x. Dette er en IEEE-standard for network access control. Denne sørger for at alt utstyr som kobles til må autentisere seg, både på kablet og trådløse nett.


Mulighetene for sikkerhetsbrudd er mange. Det samme gjelder mulige tiltak for å forebygge og begrense skader. Med begrensede ressurser i eget hus, kan det være nyttig å samarbeide med en ekstern spesialist som hjelper bedriften med å etablere og opprettholde en robust digital it-infrastruktur.

Last ned gratis rapport om hvorfor du må ta datasikkerhet på alvor.

Tags: Nettverk, Sikkerhet

New Call-to-action