Klarstellung bei den Top Ten Mythen der Wireless

Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit
Ein White Paper von AirTight Networks, Inc.
339 N. Bernardo Avenue, Suite 200, Mountain View, CA 94043
www.airtightnetworks.com
© 2008 AirTight Networks, Inc. Alle Rechte vorbehalten.
Klarstellung bei den Top Ten Mythen der
Wireless-Sicherheit
D ie Auf f as s ung v on Wir el es s -Si cher he it is t l ei der von vi elen Mythe n
getr übt . E i n i g e d av o n we r d e n s o ga r a l s be w äh r t e Wi r e l e s s - L AN P r a k t i k e n pr o p a g i e r t. Plug-and-Play Wireless-User neigen dazu, diesen
Diktaten blind zu folgen, ohne ihren Wahrheitsgehalt zu überprüfen. D a m i t
t r a g e n s i e a be r l e tz t e nd l i c h nu r z u r Ma s s e de r W i r e le s s - F eh l pr a k t i ke n
b e i . Die Mythen über Wireless-Sicherheit können sowohl gefährlich als auch
kostspielig sein. Viele Organisationen geben wertvolle Ressourcen für die
Implementierung dieser modernen Legenden aus, die ein falsches Gefühl von
Sicherheit vermitteln und private Netzwerke sowie sensible Daten schutzlos
exponieren.
In diesem Papier werden wir noch einm al auf die Top Ten Mythen der
Wireless-Sicherheit zurückkommen und sie klarstellen.
Mythos #1: Mein Wireless-LAN (WLAN) ist sicher, denn ich habe eine
Firewall, die mein verkabeltes Firmennetzwerk vor dem Internet schützt.
Kabelgebundene Sicherheitslösungen wie Firewalls und Intrusionskontrollsysteme
arbeiten auf Ebene 3 (d.h. Paketebene) und darüber. Ein WLAN stellt eine potentielle
Eingangstür in Ihr verkabeltes Firmennetzwerk auf den Ebenen 1 und 2 dar (d.h.
Bitübertragungsebene
und
Verbindungsebene),
womit
alle
verkabelten
Sicherheitsmaßnahmen umgangen werden. Ihre autorisierten User können Ihre
Firewallregeln und Content-Filter umgehen, indem sie Wireless-Zugang verwenden und
sich mit potentiell gefährlichen externen WLANs verbinden. Kurz gesagt, durch Wireless
ist der traditionelle Ansatz des „Verstärkens-der-Netzwerkgrenzen“ überholt.
Mythos #2: Ich habe mein verkabeltes Firmennetzwerk bereits von
einem Prüfer scannen lassen, daher brauche ich mir über
Sicherheitsbedrohungen durch Wireless keine Sorgen zu machen.
Kabelgebundene Scantools sind stark bei der Feststellung von Anomalitäten und
Schwachstellen in einem verkabelten Netzwerk. Aber sie können keine Schwachstellen
auf den Ebenen 1 und 2 des Wireless-LAN erfassen. Es ist eine gute Idee, Ihr Netzwerk
regelmäßig mit geeigneten Lösungen für die Einschätzung von Wireless-Schwachstellen
auf Angriffspunkte für Wireless zu überprüfen.
Klarstellung bei den Top Ten Mythen der
Wireless-Sicherheit
Mythos #3: Meine Firma besitzt kein Wireless-LAN, daher brauche ich mir
über Sicherheitsbedrohungen durch Wireless keine Sorgen zu machen.
Selbst wenn ein Unternehmen kein Wireless-LAN besitzt, ist es heutzutage fast unmöglich,
nicht von dem Vorhandensein von Wireless berührt zu werden. Mitarbeiter können einen
Rogue-AP einrichten oder unautorisierte User können in böser Absicht Wireless-Geräte
verbinden, mit denen sie Hintertüren in das nicht öffentliche Basisnetz Ihrer Organisation
öffnen. Mitarbeiter, die Laptops benutzen, können auf externe WLANS zugreifen und dabei
sensible Daten freilegen. Das bedeutet, dass selbst ein einziges Wireless-Gerät in Ihren Räumen,
ganz zu schweigen von einem Wireless-LAN, eine drahtlose Hintertür zum Basisnetzwerk Ihres
Unternehmens öffnen kann, das ansonsten geschützt ist. Folglich muss eine Firma die
Sicherheitsbedrohung durch Wireless angehen, selbst wenn sie offiziell kein WLAN einsetzt.
Mythos #4: Wir setzen WEP ein, um unsere gesamte WiFiKommunikation zu sichern, daher sind unsere „luftübertragenen“ Daten
sicher.
Die Altlast Wired Equivalent Privacy (WEP) erweckt nur ein falsches Gefühl von Sicherheit. Es ist
wohlbekannt, dass WEP defekt ist und innerhalb von Minuten kompromittiert werden kann, um
dann drahtlos übertragene Daten zu exponieren. Der Einsatz von WEP wird von WirelessSicherheitsexperten weithin als schlechte Praxis angesehen. Organisationen sollten WEP durch
neuere,
stärkere
Alternativen
wie
WPA2
ersetzen
oder
zumindest
andere
Sanierungslösungen anwenden, die WEP-Geräte proaktiv schützen.
Mythos #5: Wir verwenden für unsere gesamte WiFi-Kommunikation
WPA\WPA2\802.11 i, deshalb ist unser Netzwerk sicher.
Als Antwort auf die Mängel von WEP wurde WiFi Protected Access (WPA) vorgeschlagen. Es
wurde auf WPA2 aufgerüstet, die Implementierung des Standards IEEE 802.11 i. Wenn WPA
oder WPA2 mit Pre-shared Key (PSK) verwendet werden, sind sie immer noch anfällig für
Wörterbuchangriffe, die das Passwort knacken können. Darüber hinaus wird Ihr Netzwerk nicht
einfach nur durch den Einsatz von WPA/WPA2 gesichert. Schwachstellen wie Rogue-APs, Clients,
die sich falsch mit externen APs verbinden und Ad-Hoc-Netzwerke, mit denen die Kontrollen
Ihrer Sicherheitsregeln umgangen werden, können Ihre Daten und Ihr Netzwerk immer noch
nicht autorisiertem Zugang aussetzen. Ebenso können Denial-of-Service-Attacken weiterhin Ihr
WLAN stören.
Mythos #6: LEAP ermöglicht effektive WLAN-Sicherheit.
Das Lightweight Extensible Authentication Protocol (LEAP) ist eine von Cisco entwickelte
eigene Sicherheitslösung. Der auf dem MS-CHAPv2-Protokoll basierende
Authentifizierungsmechanismus in LEAP ist bekanntermaßen mit Fehlern behaftet. Er kann
mit einer Wörterbuchattacke ausgenutzt werden und wurde vom CVE-Standard tatsächlich
als allerschwerste Schwachstelle eingestuft. Bei LEAP verhindert selbst die Verwendung von
starken Passwörtern die Gefahr nicht gehackt zu werden.
Klarstellung bei den Top Ten Mythen der
Wireless-Sicherheit
Mythos #7: Das Filtern von MAC-Adressen an Wireless Access Points sichert
WLANs in effektiver Weise.
Das Umgehen von MAC-Adressen-Filterung ist leicht. Frei erhältliche Softwaretools können dazu
verwendet werden, um MAC-Adressen, die von Geräten in der Nachbarschaft verwendet werden,
zu erschnüffeln. MAC-Spoofing ist eine der am einfachsten auszulösenden Attacken und das
Filtern von MAC-Adressen bietet Ihrem Wireless-LAN keinerlei Schutz. Das Filtern von MACAdressen ist nicht nur uneffektiv, bei einem einigermaßen großen Wireless-LAN´s ist es auch
noch umständlich.
Mythos #8: Das Ausschalten der SSID-Übertragung ist ein Schritt in Richtung
Absicherung eines Drahtlosen Netzwerkes.
Es ist eine allgemeine Falschwahrnehmung, dass das Ausschalten der SSID-Übertragung
bei einem Wireless-AP es nicht autorisierten Usern unmöglich
macht, den AP zu
entdecken. Es gibt frei erhältliche Softwaretools, die APs aktiv aussondieren und jene
entdecken, die auf dieses Abtasten antworten. Auch das passive Erschnüffeln des WirelessTraffics kann es Hackern ermöglichen, Wireless-APs in der Nachbarschaft zu entdecken. Das
Ausschalten der SSID-Übertragung ist nicht nur uneffektiv, es führt tatsächlich zu anderen
schweren Schwachstellen. Autorisierte Clients, die sich normalerweise mit den APs von
Unternehmen verbinden, tasten nach der versteckten SSID. Ein Hacker kann diese
Informationen ausschnüffeln und sie zum Starten einer Honeypot-Attacke einsetzen.
Mythos #9: Die Notwendigkeit von Wireless-Sicherheit endet in meinem
Luftraum.
Das Management von Wireless-Schwachstellen ist nicht auf die Räumlichkeiten einer
Organisation beschränkt. Wireless-User haben ihre Firmenlaptops bei sich, wenn sie reisen.
Wenn sie sich außerhalb des Firmengebäudes mit WLANs verbinden, sagen wir, in einem
Café irgendwo auf der Welt, sind sie immer noch gefährdet. Eine kürzlich von AirTight
Networks durchgeführte Untersuchung an mehreren Flughäfen in den USA und auf der ganzen
Welt erfasste die erhöhten Gefahren für Wireless-Geräte durch virale SSIDs und Ad-HocNetzwerke. Um Wireless-Sicherheit mit auf die Straße nehmen zu können, ist eine
Sicherheitssoftware für Wireless-Clients, welche die Sicherheitsregeln des Unternehmens
durchsetzt und managt, wie sich ein Wireless-Client verhält und verbindet, unerlässlich.
Mythos #10: Die Notwendigkeit von Wireless-Sicherheit wird künstlich
hochgespielt.
Tools für die Einschätzung von Schwachstellen in verkabelten Netzwerken versagen elendig
beim Erfassen von Wireless-Anfälligkeiten und tendieren daher dazu, die User in dem
Glauben irrezuleiten, dass es keine Wireless-Schwachstellen gibt. Unternehmen können die
Wireless-Sicherheit auf eigene Gefahr ignorieren. Viele in der Industrie und in Hochschulen
veröffentlichte Studien zeigen, dass Wireless überall ist und genauso ist es mit den WirelessGefahren. In letzter Zeit haben Beratungsfirmen wie RSA, Gartner, SANS und Farpoint Group die
Wireless-Sicherheit wiederholt als eines der Top Ten Probleme eingestuft.
Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit
Über AirTight Networks
AirTight Networks ist der Industriestandard für das Management von WirelessSchwachstellen und das einzige Unternehmen, das eine flexible End-to-End-Lösung
anbietet, die den Kunden Einsicht in ihre Wireless-Sicherheitslage gibt und ihnen die
Wahl lässt, wie sie diese managen. AirTights SpectraGuard Enterprise bietet ein
robustes Wireless Intrusion Prevention System (WIPS). Sein SpectraGuard OnlineService ist der erste on-Demand-Managementservice für Wireless-Schwachstellen,
der einen flexiblen Ansatz für das Angehen von Wireless-Schwachstellen ohne
Kapitaleinsatz bietet. AirTights patentierte Technologie liefert die
Schlüsselelemente eines effektiven WIPS, um falsche Alarme zu eliminieren,
Wireless-Bedrohungen sofort automatisch abzublocken und die Wireless-Geräte
und Vorfälle mit punktgenauer Präzision sofort zu lokalisieren. Zu den Kunden von
AirTight gehören Einzelhandels-, Finanzdienstleistungs-, Unternehmens- und
Regierungsorganisationen. AirTight Networks ist ein Privatunternehmen mit Sitz in
Mountain View, Kanada Für weitere Informationen besuchen Sie bitte
www.airtightnetworks.com
Weltweit führend bei Wireless-Sicherheitslösungen
AirTight Networks, Inc. 339 N. Bernardo Avenue #200, Mountain View, CA 94043
T +1.877.424.7844 T 650.961.1111 F 650.961.1169 www.airtightnetworks.com [email protected]
© 2009 AirTight Networks, Inc. Alle Rechte vorbehalten. AirTight und das AirTight Networks Logo sind Warenzeichen. AirTight
und SpectraGuard sind eingetragene Handelsmarken von AirTight Networks, Inc. Alle anderen hier erwähnten
Handelsmarken sind Eigentum ihrer jeweiligen Inhaber. Die Angaben können ohne vorherige Mitteilung geändert werden.
Deutsche Distribution und Übersetzung:
SEiCOM Communication Systems GmbH
Klenzestr. 1-3, 85737 Ismaning, Germany
Tel. 0049-89-962456-0, Fax:0049-89-962456-56
www.seicom-muc.de [email protected]