Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

13.12.2002 - 

Identitäts- und Sicherheits-Management in Funknetzen

Wie schützt man das eigene WLAN?

KÖLN (hi) - Immer mehr Unternehmen wollen sowohl ihren Mitarbeitern als auch Gästen einen WLAN-Zugang anbieten. Doch wie ist ein sicheres funkgestütztes Netz mit Hotspots für die eigenen Beschäftigten zu realisieren, wenn gleichzeitig Besucher Zugang zum Internet oder externen E-Mail-Diensten erhalten sollen?

Die Idee ist bestechend: Egal ob Krankenhaus, Hotel oder Flughafen, Wireless LANs eröffnen einerseits den eigenen Mitarbeitern an jedem Ort im Unternehmen den Zugriff auf Geschäftsdaten, bilden aber andererseits auch einen (eventuell kostenpflichtigen) Dienst für Kunden, Gäste oder Besucher. Und dies über ein und dieselbe Infrastruktur, so dass sich die Investitionen innerhalb eines überschaubaren Zeitraums wieder einspielen. Die Sache hat jedoch einen Haken: wenn etwa Hotelgäste via den gleichen WLAN-Access-Point ins Internet gehen, über den das Hotelpersonal auf interne Daten zugreift, wie lässt sich dann verhindern, dass die Besucher in die hauseigene DV eindringen. Schließlich soll ja der Gast nicht die Abrechnung für die geleerte Minibar im Buchungsssystem löschen, sondern das Zimmermädchen via WLAN schnell die verbrauchten Mengen im System einbuchen oder eventuelle Schäden melden.

Gefahren fürs Netz

Der Schutz der eigenen Informationen, in einem Krankenhaus zum Beispiel Patientendaten oder am Flughafen Passagierlisten, ist jedoch nur eine Seite der Medaille. Die andere, die noch häufig übersehen wird, ist der potenzielle Missbrauch eines Hotspots, um Daten unerkannt in das Netz einzuspeisen. Bei wem klingelt wohl der Staatsanwalt, wenn im Internet Kinderpornografie oder rechtsradikale Propaganda auftauchen? Natürlich beim Betreiber des Wireless LAN. An ihm dürfte der Strafvorwurf hängen bleiben, wenn er die Identität seiner Hotspot-Benutzer nicht kennt.

Auf den ersten Blick erscheint eine Lösung des Sicherheitsproblems relativ einfach. Der angehende Funknetzbetreiber baut, wie Tomas Oubailis, System Engineer Network bei LG Electronic in Willich, vorschlägt, zwei separate, physikalisch voneinander getrennte WLANs auf, indem er in den Bereichen mit Funkabdeckung jeweils zwei Access Points nebeneinander platziert. Das drahtlose Netz für die eigenen Mitarbeiter könnte dann über die Vergabe der Service Set Identification (SSID) sowie der expliziten Festlegung der im Netz erlaubten MAC-Adressen gegen fremde Benutzer geschützt werden. Die Gäste würden dagegen über den ungeschützten Access Point online gehen.

Als weitere Maßnahme empfiehlt Oubailis, den Beacon des Access Point zu unterdrücken mit dem, vereinfacht ausgedrückt, die Zugangspunkte der Umwelt ihre Existenz mitteilen. "Dann", so der System Engineer, "sieht der Rechner eines Gastes den Access Point überhaupt nicht und kann eine Verbindung nur aufbauen, wenn der Benutzer die genauen Zugangsdaten kennt."

Ein Sicherheitskonzept, das bei anderen Herstellern keine ungeteilte Zustimmung findet. Thomas Boele, Network-Consultant bei 3Com, moniert etwa die hohen Kosten dieses Ansatzes, denn "der Anwender baut letztlich zwei getrennte Netze auf und benötigt das erforderliche Equipment doppelt". Das bemängelt auch Philipp Hausner, Internetworking-Consultant bei Cisco. Er weist noch auf einen anderen Schwachpunkt hin: das Problem mit den überlappenden Funkkanälen. Die länderspezifische Auslegung der heute gebräuchlichen WLANs gemäß IEEE-Standard 802.11b sieht nämlich nur die Nutzung von drei parallelen Funkkanälen vor. Beim redundanten Aufbau der Access Points, einem für Mitarbeiter und einem für Gäste, bleibt somit nur noch ein Funkkanal übrig, und damit, so Hausner, lässt sich keine vermaschte Infrastruktur aufbauen.

Gegen diese Schwierigkeit empfiehlt Bernd Dobkowitz, Marketing Manager bei der Ulmer Artem GmbH, sorgfältige Planung und moderne Antennentechnik. Das Problem der überlappenden Funkkanäle sei durch die Verwendung von Antennen mit stark ausgeprägter Richtstrahlcharakteristik zu lösen. Zudem lasse sich so der Wirkungskreis eines WLAN räumlich begrenzen, womit etwa Fremde außerhalb eines Gebäudes schon rein physikalisch keine Chance hätten, in das Funknetz einzudringen. Dem Kostenargument von Hausner und Boele begegnet der Artem-Manager mit dem Hinweis, dass Kombi-Access Points, die den Einsatz von zwei Funkkarten erlauben, nicht sehr viel teurer seien als ein normaler Access Point.

Alles Argumente, die Cisco-Consultant Hausner letztlich nicht überzeugen. Für ihn überwiegen bei dieser Vorgehensweise Nachteile wie der Kostenfaktor und die nicht effiziente Ausnutzung der gleichzeitig verwendbaren Frequenzkanäle. Falls getrennte Zugangsnetze gewünscht sind, präferiert der Cisco-Manager nicht ganz uneigennützig das Konzept der Virtualisierung. Analog zum Gedanken der Virtual LANs (VLANs) wird dabei eine Funkstation in mehrere virtuelle Funknetze unterteilt. Auf diese Weise lassen sich etwa über einen Cisco-Access-Point 16 virtuelle Wireless LANs (VWLAN)s einrichten. "Diese", so Hausner, "sind für den Benutzer transparent und unterscheiden sich aus Client-Sicht nicht von einem echten physikalischen WLAN." Für jedes virtuelle Funknetz können zudem eigene SSIDs sowie die zugriffsberechtigten MAC-Adressen getrennt definiert werden.

Neben diesen unter Sicherheitsaspekten interessanten Punkten weist Michael Muth, Solution Architect CS bei Avaya in Frankfurt, noch auf eine weitere Besonderheit der virtuellen Funknetze hin: Damit sei eine Priorisierung des Datenverkehrs realisierbar, wie sie etwa für die Implementierung von Voice over IP over WLAN empfehlenswert ist. Eine entsprechende Installation könnte in der Praxis beispielsweise aus drei VWLANs bestehen.

Fragwürdiger Sicherheitsgewinn

Applikationen wie die schnurlose IP-Telefonie erhalten in ihrem virtuellen Netz eine dedizierte Bandbreite zugewiesen. Gäste und eigene Mitarbeiter würden dann die beiden anderen virtuellen Netze nutzen und sich dort die verbliebene Bandbreite teilen. Das Konzept der VWLANs rüttelt nämlich nicht an einer der grundlegenden Eigenschaften von Funknetzen gemäß 802.11b: Sie sind ein Shared Medium, in dem sich alle Benutzer die Bandbreite teilen.

Allerdings warnt Guido Nickenig, Schulungsleiter beim Kölner Distributor Algol und Autor des Buches "Kommunikation in Netzen", davor, den Sicherheitsgewinn durch die Verwendung unterschiedlicher SSIDs in obigem VWLAN-Szenario zu überschätzen. Warnende Worte, die auch von einem Teil der Hersteller zu hören sind. So hält Ingo Rosenbaum, Technical Manager Europe bei Madge Networks, die VWLAN-Idee im Zusammenhang mit dem Ziel, mehr Sicherheit zu realisieren, für grundsätzlich falsch. Mit obigen Methoden könne zwar die unberechtigte Benutzung des WLAN eingeschränkt werden, die Identität der Benutzer bleibe jedoch ungeprüft. Die Aufgabe einer eindeutigen Authentisierung, so der Vorschlag etlicher Anbieter, könne etwa ein angeschlossenes Billing-System übernehmen, indem es die MAC-Adressen filtere. Eine Vorgehensweise, die jedoch die Frage "Wer benutzt das Funknetz" nicht am Access Point löst, sondern nur nach weiter hinten ins Netz verlagert.

Mit einer zufrieden stellenden Lösung rechnet Nickenig erst mit dem für Mitte 2003 avisierten IEEE-Standard 802.11i: "Dann wird nämlich die Authentifizierung gegenüber einem Radius-Server standardisiert, so dass die heute meist proprietären Lösungen Vergangenheit sind." Eine Standardisierung, die zahlreiche Geschäftsreisende schätzen dürften, die sich unterwegs an vielen unterschiedlichen Hotspots anmelden. Während die Authentifizierungs-Infrastruktur damit definiert ist, ist jedoch noch offen, wie sich ein Anwender in der Praxis ausweist. Die einfachste Variante wäre eine Kombination aus Passwort und Benutzername. Etwas aufwändiger, aber auch sicherer ist die Verwendung eines RSA ID-Token, das der Gast beim Einchecken im Hotel erhält. Ein dritter Ansatz setzt auf das EAP-Sim-Verfahren. Hier weist sich der Nutzer über die Nummer der Sim-Karte seines Handys gegenüber dem Radius-Server aus. Dazu steckt der User entweder die Sim-Karte in einen Adapter seines Notebooks, oder sie wird per Software auf dem Rechner simuliert. Um sich für den WLAN-Zugang freischalten zu lassen, müsste der Gast bei der Ankunft seine Nummer am Empfang angeben.

Steigerung des Schutzes

Die bislang vorgestellten Verfahren eröffnen Optionen für ein Identitäts-Management beziehungsweise die Trennung zwischen internen und externen Nutzern. Sie genügen aber in Bezug auf eine andere Gefahrenquelle nicht: Der Angriff über die Luftschnittstelle auf die übertragenen Daten ist noch immer möglich, da der Hacker sich dazu nicht authentifizieren müsste. Um auch diese Lücke zu schließen, erscheinen nach heutigem Stand der Technik VPNs als die erste Wahl. Sie verschlüsseln den Datenverkehr bereits auf der Funkstrecke mit höherwertigen Krypto-Algorithmen als das unzuverlässige WEP-Verfahren (WEP = Wired Equivalent Privacy. Um hierbei noch interne und externe Nutzer zu trennen, schlägt 3Com-Consultant Boele die Verwendung eines VPN-Gateways vor, in dem sich dann die Wege der User separieren. In Kombination mit anderen Security-Lösungen wie Firewalls oder den bereits angesprochenen Authentifizierungsverfahren ist eine weitere Steigerung des Gesamtschutzes möglich.

Das VPN-Konzept weist jedoch in der Praxis drei konzeptionelle Schwachpunkte auf. "Falls die Mitarbeiter mit PDAs ausgestattet sind, könnte es aufgrund der begrenzten Leistungsfähigkeit einiger Geräte schwierig oder gar unmöglich sein, entsprechende VPN-Clients zu installieren", gibt Avaya-Manager Muth zu bedenken. In diesem Zusammenhang macht Cisco-Mann Hausner noch auf einen anderen Punkt aufmerksam: "Auf jedem Rechner muss die passende Client-Software installiert sein, also auch auf den Maschinen der Gäste." Ob diese aber willens sind, für jeden Hotspot, den sie benutzen, eine andere VPN-Software zu installieren? Zumal Besitzer von Firmen-Notebooks oftmals dazu gar nicht in der Lage sind, wenn sie unter Windows 2000 oder XP nur normale User-Rechte besitzen.

Problematischer VPN-Tunnel

Sind alle diese Vorbedingungen erfüllt, steht der potenzielle Hotspot/WLAN-Betreiber noch vor einer weiteren Schwierigkeit, falls das VPN in seinem Netz endet. Die hohen Rechenleistungen, die ein entsprechend groß dimensioniertes VPN erfordert, treiben seine Kosten in die Höhe. Aus dem als neue Einnahmequelle gedachten Hotspot wird nun eventuell ein Zuschussgeschäft. Ferner stellt sich aus technischer Sicht die Frage, ob es überhaupt sinnvoll und machbar ist, einen VPN-Tunnel durch ein weiteres VPN zu schleusen. Auf den ersten Blick sieht dies nach einem absurden Szenario aus. Im Alltag ist es jedoch schnell Realität, wenn der WLAN-Betreiber ein VPN einrichtet und seine externen Nutzer selbst ebenfalls ein VPN benötigen, um via Internet mit ihrem Unternehmensnetz Kontakt aufzunehmen.

Die bezüglich des VPN-Clients geäußerten Bedenken, dass einem Hotspot-Nutzer kaum die zusätzliche Installation von Software zumutbar sei, teilt man bei Madge Networks nur bedingt. Eine Einschätzung, die nicht weiter verwundert, wenn man das Security-Modell näher betrachtet, das hinter der "Smart Wireless Family" des Unternehmens steht. Vereinfacht ausgedrückt, ist es eine Kombination aus einigen der bisher vorgestellten Methoden und verfügt über standardkonforme (IEEE 802.1x) Sicherheits-, Authentifizierungs- und Firewall-Funktioen.

Wireless Gateway

Am einfachsten lässt sich das Madge-Modell realisieren, wenn der WLAN-Nutzer einen der "Smart Wireless Adapter" benutzt, den er etwa im Konferenzzentrum oder Hotel leihweise erhält. "Letztlich benötigt der Anwender hierbei lediglich eine CD-ROM mit einem Zertifikat, um an dem PKI-System aus der Box teilzunehmen", so Madge-Technik-Manager Rosenbaum. Das klingt wirklich einfach. "Allerdings nur", wie Algol-Trainer Nickenig auf einen Pferdefuß hinweist, "wenn der Anwender ein neueres Betriebssystem verwendet." Denn nur diese verfügen bereits über eine eingebaute 802.1x-Unterstützung, ansonsten ist die Installation von Software angesagt.

Mit einem Preshared Key arbeitet auch das Sicherheitskonzept, das Ersin Akar, Product-Manager Solutions bei D-Link in Eschborn, favorisiert. Das Unternehmen setzt auf ein Wireless Gateway, das ursprünglich von Bluesocket entwickelt wurde. Mit einem temporären Schlüssel authentifiziert sich hier der Benutzer gegenüber dem Gateway. Dieses schaut dann via LDAP in einem angeschlossenen Directory Server (beispielsweise Active Directory von Microsoft oder Novell Directory Services) nach, welche Berechtigungen der Benutzer hat. Interessant an diesem Ansatz ist ferner, dass er die gleichzeitige Verwendung von VPN-Technologien wie Ipsec oder Point-to-Point Tunneling Protocol (PPTP) und unverschlüsselte Verbindungen erlaubt. Des Weiteren ist eine Segmentierung des Netzes in VLANs realisierbar. Eine Flexibilität, die jedoch ihren Preis hat. Für die Appliance mit einer unbegrenzten User-Lizenz berechnet Bluesocket rund 6000 Dollar.

Gerade die Kosten dürften derzeit noch ein ausschlaggebendes Kriterium gegen den Aufbau eines Sicherheits- und Identitäts-Management im Wireless LAN sein. Denn keines der vorgestellten Verfahren bietet allein einen absoluten Schutz. Letztlich muss also eine genaue Abwägung zwischen Schutzbedürfnis und Kosten erfolgen.

Abb: Authentifizierungs-Modell

Bei komplexen Security-Modellen, wie etwa von Madge, identifiziert sich der Anwender gegenüber einem Radius-Server. Quelle: Madge