Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


07.12.2005

Schritt für Schritt zum sicheren WLAN

Jan Wagner und Holger Gerlach 
Unternehmen sollten bei Planung, Aufbau und Betrieb ihrer drahtlosen Netze an Security denken.

Der Trend zum drahtlosen Netz im Unternehmen ist ungebrochen. In der Werbung wird der neue Büroalltag in den buntesten Bildern skizziert, auf denen die Mitarbeiter auch gerne einmal im Grünen ihrer Tätigkeit nachgehen. Solche Visionen des unabhängigen und mobilen Arbeitens scheitern aber oftmals schon an Banalitäten wie dem zu schwachen Akku des Notebooks oder den störenden Sonnenstrahlen auf dem Display. Die vielerorts von der IT-Abteilung eingeforderte und aufwändig implementierte WLAN-Umgebung verkommt so rasch zum teuren und obendrein riskanten Kabelersatz. Die Freiheit genießen dann andere: Ungebetene Gäste im Firmennetz, die das unzureichend abgesicherte WLAN für ihre Zwecke missbrauchen. Damit drahtlose Netze sicher genug sind, sollten bei der Konzeption, Implementierung und dem Betrieb von WLAN-Umgebungen die nachfolgenden Punkte beachtet werden.

Fazit

• Die Vorteile der WLAN-Technik sind unbestritten. Dennoch muss vor einer übereilten Implementierung in das Firmennetz gewarnt werden. Nur wenn die WLAN-Umgebung greifbare Vorteile für das Unternehmen bietet, lässt sich der notwendige Aufwand für die Sicherheit rechtfertigen. Da die derzeit üblichen Standardmechanismen wie zum Beispiel WEP keinen ausreichenden Schutz bieten, kann dieser Aufwand erheblich sein. Das gilt sowohl für die Implementierung als auch für den täglichen Betrieb.

• Eine ausreichend sichere Benutzerauthentifizierung sowie Datenverschlüsselung versprechen momentan nur WPA 2.0 beziehungsweise der neue Standard 802.11i in Verbindung mit 802.1x. Essentiell ist auch die Absicherung der Clients durch Personal Firewalls, Virenscanner und VPN-Clients.

• Bei der Absicherung des WLAN dürfen aber nicht nur die technischen Aspekte betrachtet werden - damit einhergehen müssen entsprechende organisatorische Maßnahmen. Ungeachtet aller technischen und organisatorischen Vorkehrungen ist derzeit in besonders sicherheitskritischen Unternehmensbereichen vom Einsatz der WLAN-Technik abzuraten.

Hier lesen Sie …

• was bei der Konzeption eines sicheren WLAN zu beachten ist;

• welche Sicherheitsmechanismen bereits überholt und welche zu empfehlen sind;

• wie die Sicherheit der WLAN-Umgebung im täglichen Betrieb aufrechterhalten wird.

Grundregeln, die Sie beachten sollten

• Wählen Sie bei der Implementierung des WLAN nur die als sicher geltenden Verschlüsselungsstandards (WPA 2.0 / 802.11i) beziehungsweise nutzen Sie zusätzlich VPN-Technologie.

• Definieren Sie Zugriffsrechte auf Basis von Benutzergruppen und unter Verwendung des Authentifizierungsstandards 802.1x. Dies gilt insbesondere, wenn auch Gäste oder externe Mitarbeiter das WLAN nutzen.

• Implementieren Sie die WLAN-Umgebung als ein eigenständiges Netzsegment, das durch Paketfilter vom kabelgebundenen Netz getrennt und reglementiert wird.

• Nutzen Sie für größere WLAN-Umgebungen die Möglichkeit des zentralen Managements, zum Beipiel mittels eines Radius-Servers in Verbindung mit dem 802.1x-Standard.

• Achten Sie bei der Wahl der Komponenten und bei deren Positionierung darauf, dass das Signalfeld das Firmengelände möglichst nicht überschreitet. Außerhalb regulärer Geschäftszeiten sollten die Access Points deaktiviert werden.

• Gewährleisten Sie einen optimalen Schutz der WLAN-Clients, insbesondere gegen Computerviren und unautorisierte Systemzugriffe.

• Beziehen Sie die WLAN-Umgebung in das IT-Sicherheits-Management ein und sorgen Sie durch Schulung und Sensibilisierung für einen bewussten Umgang mit der Technik. Zusätzlich müssen entsprechende Regelungen in den internen IT-Richtlinien verankert werden.

Zehn Fragen, die Sie sich vor Projektbeginn stellen sollten

Zu welchem Zweck soll das WLAN implementiert werden und welche technischen Anforderungen bezüglich Performance, Reichweite und Verfügbarkeit leiten sich hieraus ab?

Gibt es Latenzen kritischer Applikationen, die über das WLAN mit Server-Systemen kommunizieren sollen?

Bedingt der Einsatzzweck auch die Übertragung sensibler Daten?

Rechtfertigt der Mehrwert an Funktionalität und Benutzerfreundlichkeit den Mehraufwand zur Absicherung der WLAN-Umgebung?

Lässt sich das stets verbleibende Restrisiko im WLAN-Umfeld mit den Sicherheitszielen des Unternehmens vereinbaren?

Welchen Umfang hat die WLAN-Umgebung (Access Points und Clients), und macht dies ein zentrales Management erforderlich?

Welche Vorkehrungen wurden bereits zur Absicherung der mobilen IT-Systeme getroffen beziehungsweise werden noch benötigt?

Existieren bereits VPN-Systeme im Unternehmen, die zur zusätzlichen Absicherung des WLAN einbezogen werden können?

Soll das WLAN Zugang für Gäste oder externe Mitarbeiter bieten und wenn ja, mit welchen Zugriffsrechten ?

Wer muss im Unternehmen über ein anstehendes WLAN-Projekt informiert werden (zum Beispiel IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Werkschutz)?

So begegnen Sie Schwachstellen im WLAN

Ebenen Schwachstellen Angriffsmöglichkeiten Technische Lösungen

Transport Fehlende Absicherung der Management-Pakete Denial-of-Service-Angriffe; Wireless IDS - zum Erkennen von Angriffen; innerhalb der Übertragungsstandards; Man-in-the-Middle-Angriffe; Signal Analyser - zur Ermittlung von Störquellen; Störanfälligkeit (z.B. durch Bluetooth oder DECT) direkte Angriffe auf einzelne Clients Personal Firewall (Client-seitig)

Authentifizierung Fehlende protokolleigene Authentifizierungsfunktionen; Mitlesen von schwach- oder unverschlüsselten Wireless Login-Portal (https) in Verbindung mit der MAC- Übertragung schwach- oder unverschlüsselter Authentifizierungsdaten; Identitätsfälschung Adresse; 802.1x-User-Authentifizierung/dynamische Authentifizierungsdaten; Verwendung schwacher auf Basis gültiger MAC-Adresse; Brute-Force- Schlüssel; WPA-Verbindung von MAC-Adresse und pre-shared-Schlüssel für VPN Angriffe auf die VPN-Authentifizierung Schlüssel; VPNs mit starken Zertifikaten

Verschlüsselung Schwache protokolleigene Verschlüsselung (WEP); Brechen der zu schwachen Verschlüsselung AES-basierende Verfahren (WPA 2.0/802.11i); VPN (mit Mangelhaftes RC4-Verfahren bei Dynamic WEP und moderater Verschlüsselung; >DES3); Zusätzliche WPA1.0; Schwache Verschlüsselung innerhalb des Verschlüsselung auf Applikationsebene (z.B. SSH); VPN (DES etc.) Zusätzliche Dateiverschlüsselung (z.B. PGP)

Applikation Analog der Schwachstellen im LAN (TCP-, UDP- Identisch der Angriffsmöglichkeiten im LAN Netzsegmentierung (Firewall, VLAN etc.); Personal Protokolle); Broadcast aller Pakete (Spoofing, Man in the Middle etc.) Firewalls (clientseitig); Einschränkung der erreichbaren Dienste und regelmäßige Updates aller Systeme; IDS/IPS-Systeme"

Mehrwert oder Desaster

Ob ein WLAN für das Unternehmen wirtschaftlich ist und tatsächlich Vorteile bietet, sollte vor Projektbeginn kritisch hinterfragt werden, können doch die Kosten und der Aufwand für eine sichere Implementierung erheblich sein. Letztendlich entsteht für die IT-Abteilung eine Baustelle, die sich in ihrer Komplexität durchaus mit der Absicherung und dem Betrieb der Internet-Anbindung vergleichen lässt. Unternehmen mit hohem Schutzbedarf müssen darüber hinaus abwägen, ob die stets verbleibenden Restrisiken tragbar sind. Ebenfalls ist vor Projektbeginn der Realismus technischer Erwartungen an das WLAN zu prüfen. So können zum Beispiel geografische und bauliche Gegebenheiten oder weitere im 2,4-Gigahertz-Band operierende Techniken wie Bluetooth oder Dect den Produktivbetrieb stark beeinträchtigen. Spätestens nach der Implementierung starker Verschlüsselungsalgorithmen wird die Übertragungsrate dann in den analogen Bereich oder sogar gegen null tendieren.

Aber selbst bei optimalen Bedingungen lassen sich Geschwindigkeiten von mehr als 25 Mbit/s derzeit kaum realisieren. Dies resultiert unter anderem aus dem Protokoll-Overhead des Standards 802.11g. Sollen überdies Clients auf Basis des b- und g-Standards gemeinsam angebunden werden, reduziert der Kompatibilitätsmodus den Durchsatz zusätzlich. Zu niedrige Übertragungsgeschwindigkeiten und häufige Verbindungsabbrüche können letztendlich dazu führen, dass die Applikationen im Funknetz ihren ordnungsgemäßen Dienst versa-gen.

Auf Transportebene bietet kein derzeit verfügbarer WLAN-Standard Schutzmechanismen zur Wahrung der Authentizität protokollbedingter Management-Informationen. Ein nicht autorisierter Client kann problemlos Management-Pakete mit gefälschter Absenderadresse an alle Funk-LAN-Komponenten in seiner Reichweite versenden. Unabhängig von den verwendeten Verschlüsselungsmechanismen besteht somit immer die Möglichkeit von (802.11-basierenden) Denial-of-Service- (DoS-) und Man-in-the-Middle-Angriffen. Diese Schwachstelle ermöglicht es Angreifern auch, als Access Point zu agieren, um die nach einem Netzzugang suchenden Clients in seiner Umgebung zu einem Verbindungsaufbau zu motivieren. WLAN-Clients ohne Personal Firewall sind dann dem Angreifer - ähnlich einer ungeschützten Verbindung zum Internet - schutzlos ausgeliefert.

Funkreichweite

Leider gibt es derzeit keine Lösung, um die beschriebene Schwachstelle komplett zu beseitigen. Damit die genannten Angriffsvarianten wenigstens erkannt werden, empfiehlt sich der Einsatz von Wireless Intrusion Detection Systemen. Ein weiterer Ansatz zur Risikoreduzierung ist die physikalische Einschränkung der Funksignale. So kann durch eine ideale Positionierung oder Schirmung der WLAN-Umgebung das Signalfeld auf das benötigte Minimum reduziert werden. Eine weiträumige Überschreitung des Firmenareals ist generell zu vermeiden.

Auf der Authentifizierungsebene existieren ebenfalls Probleme: So beinhalten die Transportstandards der 802.11-Familie keinerlei Mechanismen für eine ausreichend sichere Authentifizierung. Die gängigen Verfahren SSID-Hidding, Shared-Key-Authentifizierung und MAC-Adressfilterung haben Angriffsversuchen nur wenig entgegenzusetzen. Die SSID (Service Set Identifier) als Netzname der WLAN-Umgebung wird sofort beim Verbindungsversuch eines Clients bekannt. Im Shared-Key-Verfahren betriebene Netze vereinfachen sogar das Brechen der damit einhergehenden WEP-Verschlüsselung, da der Angreifer eine gültige Kombination von Klartext und verschlüsselten Authentifizierungsdaten erhält.

Feind hört mit

Auch die häufig verwendete MAC-Adressfilterung lässt sich leicht überwinden, da die Quell- und Ziel-MAC-Adressen, unabhängig von den verwendeten Verschlüsselungsmechanismen, stets im Klartext übertragen werden. Beim Abhören der Funksignale erhält ein Angreifer automatisch gültige MAC-Adressen, mit denen er sich zu einem späteren Zeitpunkt als autorisierter Client ausgeben kann.

Erst eine zertifikatsbasierende Authentifizierung, zum Beispiel auf Basis von Open SSL/HTTPS, bietet einen ausreichenden Schutz. Dadurch kann die MAC-Adresse eindeutig einem autorisierten Benutzer zugeordnet werden. In der Praxis bedeutet dies, dass die Authentifizierung über ein Web-Portal erfolgt. Eine aktuellere Form der sicheren WLAN-Authentifizierung bietet der 802.1x-Standard mit einer direkten Anmeldung des Benutzers am Access Point. Der Abgleich der Benutzerdaten erfolgt dann meist unter Verwendung eines Radius-Servers (Remote Authentication Dial-in User Service). Mittels der gängigen EAP-Typen (Extensible Authentication Protocol, zum Beispiel LEAP, EAP-FAST, EAP-TLS) werden nach der Anmeldung dynamische benutzerindividuelle Schlüssel für die weitere Kommunikation erstellt. Die sichersten Authentifizierungsverfahren bieten aber nach wie vor VPN-Techniken, die jedoch zusätzlich zu den eigentlichen WLAN-Komponenten implementiert werden müssen.

Verschlüsselungsebene

Die nach wie vor weit verbreitete WEP-Verschlüsselung (Wired Equivalent Privacy) gilt nun seit mehr als vier Jahren unabhängig von der verwendeten Schlüssellänge als gebrochen. Eine Entschlüsselung ist ohne allzu großen technischen Aufwand in relativ kurzer Zeit möglich. Der technische Nachfolger von WEP, die WPA-Verschlüsselung (Wifi Protected Access), basiert zwar weiterhin auf dem schwachen RC4-Verschlüsselungsalgorithmus, jedoch werden bei diesem Standard die WEP-Schlüssel dynamisch verwendet. Dies reduziert zwar nicht die Gefahr der Entschlüsselung durch Dritte, jedoch kann mit dem gebrochenen Schlüssel jeweils nur ein sehr geringer Anteil des Gesamtdatenverkehrs decodiert werden. Erst mit den neuen Verschlüsselungsmechanismen der WPA 2.0/802.11i-Protokolle wurde letztlich der schwache RC4-Algorithmus durch den starken AES-Algorithmus (Advanced Encryption Standard) abgelöst.

Top Secret dank VPN

Eine Entschlüsselung der Dateninhalte ist zwar theoretisch immer noch mittels Passwort-Guessing-Angriffen möglich, aber hinsichtlich der dafür benötigten Zeit und des notwendigen Aufwands eher unrealistisch. Für besonders sicherheitskritische Umgebungen können nur VPN-Verbindungen ausreichenden Schutz bieten. Eine Verschlüsselung mit dem 3DES-Verfahren (Data Encryption Standard) hat sich dabei als am praktikabelsten erwiesen und stellt einen guten Mittelweg zwischen moderater Verschlüsselungsstärke und akzeptabler Übertragungsgeschwindigkeit dar. Über die genannten Mechanismen hinaus kann zusätzlich auch innerhalb der Applikationsebene verschlüsselt werden.

Unabhängig von den WLAN-spezifischen Sicherheitsmechanismen existieren auch in Funknetzen die üblichen Schwachstellen im Zusammenhang mit TCP/IP (v4). Ein WLAN-Access Point kann dabei mit einem Hub verglichen werden, der alle Datenpakete an alle Teilnehmer (beziehungsweise WLAN-Clients) in seiner Reichweite versendet.

Netzsegmentierung

Daraus resultiert insbesondere eine Anfälligkeit für Spoofing-Angriffe. Analog zur Internet-Anbindung des Unternehmens muss die WLAN-Umgebung daher generell als ein nicht vertrauenswürdiges Netz angesehen werden. Auch innerhalb der momentan als sicher geltenden Standards der 802.11-Familie könnten künftig Schwachstellen aufgedeckt werden. Verglichen mit kabelgebundenen Strukturen erlaubt die WLAN-Technik Angreifern einen deutlich einfacheren Zugriff. Eine Netzsegmentierung mittels Paketfilter und der Aufbau eines eigenständigen virtuellen LAN (VLAN) ist somit für die Funknetzumgebung unabdingbar.

Hoher Management-Aufwand

Wie alle anderen IT-Systeme des Unternehmens bedarf die WLAN-Umgebung einer kontinuierlichen Pflege und Aktualisierung. Fehlende Updates der Komponenten, mangelndes Rechte-Management oder die versäumte Schlüsselaktualisierung machen auch ein zunächst sicher konzipiertes Funknetz angreifbar. Will man eine hohe Signalqualität und Netzabdeckung innerhalb des gesamten Firmengeländes erreichen, kann die Anzahl der eingesetzten Access Points rasch in die Dutzende gehen. Der zu erwartende Management-Aufwand, zum Beispiel bei der Aktualisierung von MAC-Adress-Filtern oder statischen WEP-Schlüsseln, wird dann erheblich. Hinzu kommt, dass die Verwaltung und Pflege dieser Komponenten oft nur mittels einzelner Web-Frontends möglich ist.

Die Verwendung des 802.1x-Authentifizierungs- und Autorisierungsstandards ist ein Schritt in Richtung zentrales Management. Hierbei werden unter anderem Parameter wie Login-Informationen, MAC-Adresse und EAP-Typ zentral auf einem Radius-Server hinterlegt und bei Bedarf von den Access Points abgefragt. Somit können zentral, einfach und schnell neue Benutzer hinzugefügt oder bestehende Accounts editiert und aktualisiert werden.

Gefahrenquelle Access Point

Auf dieser Basis wurden in den vergangenen Jahren verschiedene Lösungen für das zentrale Management entwickelt. Bezüglich der Funktionsprinzipien unterscheiden sich die Angebote nur unwesentlich. Zur Steuerung des Funknetzes kommen WLAN-Switches zum Einsatz. Diese werden direkt mit den Access Points verbunden oder kommunizieren über die bestehende LAN-Struktur mit diesen. Dabei ist zu beachten, dass der volle Funktionsumfang dieser Systeme nur mit Access Points des gleichen Anbieters zur Verfügung steht. Wie die Erfahrung zeigt, lassen sich Produkte von Drittherstellern kaum vernünftig integrieren.

Vorsicht bei Produktwahl

Proprietäre Access Points sind funktional jedoch auf ein absolutes Minimum reduziert und werden daher auch als "Lightweight-Systeme" bezeichnet. Die eigentlichen Funktionen liefert der WLAN-Switch, ohne den der Betrieb der Access Points nicht mehr möglich ist. Eine bestechende Stärke der genannten Lösung liegt in der Roaming- und Signalsteuerungs-Funktionalität. Die Signalstärke der installierten Access Points wird hierbei dynamisch und je nach Bedarf beziehungsweise Anzahl der Benutzer reguliert. Gute Signalqualität und Netzabdeckung lassen sich dadurch deutlich einfacher erzielen. Trotz hoher Anschaffungskosten und der resultierenden Herstellerabhängigkeit kann bei größeren WLAN-Umgebungen künftig auf ein zentrales Management nicht mehr verzichtet werden.

Bei Angriffen auf die WLAN-Umgebung sind plötzliche und häufige Verbindungsabbrüche einzelner Clients, geringere Datenübertragungsraten oder plötzlich neu erreichbare Access Points (mit unbekannter MAC-Adresse oder SSID) charakteristisch. Ohne ein Wireless Intrusion Detection System (Wireless IDS) sind potenzielle Einbruchsversuche in das Funknetz jedoch nur schwer zu erkennen. Entscheidet sich das Unternehmen, die Sicherheitsmaßnahmen durch ein solches System zu ergänzen, ist unbedingt dafür zu sorgen, dass die entsprechenden Logfiles möglichst verzögerungsfrei ausgewertet werden.

Öfter mal abschalten

Neben der technischen Absicherung der WLAN-Umgebung sind auch organisatorische Maßnahmen zu ergreifen. Unterhält das Unternehmen einen Werkschutz, ist dieser über die Existenz des WLAN zu informieren. Es sollte zudem vorab geprüft werden, an welchen Stellen das Funksignal das Firmengelände überschreitet. Dies ist dem Werkschutz mitzuteilen, damit das Wachpersonal gezielt verdächtige Personen und Fahrzeuge in den relevanten Bereichen überprüfen kann. Da vor allem nachts mit Angriffen zu rechnen ist, empfiehlt es sich, die Funknetzumgebung außerhalb der regulären Arbeitszeiten zu deaktivieren. Dies lässt sich einfach und kostengünstig durch Zeitschaltuhren realisieren, die beispielsweise in Büroumgebungen zwischen zehn Uhr abends und sechs Uhr morgens die Stromzufuhr zu den Geräten regulieren noch komplett unterbrechen.

Der organisatorische Aspekt umfasst aber vor allem auch die Schulung und Sensibilisierung der Benutzer und Administratoren im Umgang mit der neuen Technik. Regelungen zur sicheren und verantwortungsbewussten Nutzung der drahtlosen Datenübertragung sind insbesondere in den internen IT-Richtlinien zu verankern. Die WLAN-Umgebung muss von der IT-Abteilung gewartet, optimiert sowie in das IT-Sicherheits-Management eingebunden werden. Dies beinhaltet beispielsweise auch eine regelmäßige Auditierung der WLAN-Umgebung in Form so genannter Penetrationstests.

Client-Sicherheit

Laptops und PDAs sind mittlerweile ein wesentlicher Bestandteil des IT-Alltags geworden. Die WLAN-Clients selbst können Ziel eines direkten Angriffs werden. Aktive WLAN-Karten ermöglichen eventuell unautorisierte Zugriffe auf das jeweilige System, soweit dies nicht durch eine Personal Firewall unterbunden wird. Das Thema Client-Sicherheit muss somit bei der Implementierung und Nutzung der WLAN-Technik verstärkt betrachtet werden. (ave)