Klarstellung bei den Top Ten Mythen der Wireless
Transcription
Klarstellung bei den Top Ten Mythen der Wireless
Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit Ein White Paper von AirTight Networks, Inc. 339 N. Bernardo Avenue, Suite 200, Mountain View, CA 94043 www.airtightnetworks.com © 2008 AirTight Networks, Inc. Alle Rechte vorbehalten. Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit D ie Auf f as s ung v on Wir el es s -Si cher he it is t l ei der von vi elen Mythe n getr übt . E i n i g e d av o n we r d e n s o ga r a l s be w äh r t e Wi r e l e s s - L AN P r a k t i k e n pr o p a g i e r t. Plug-and-Play Wireless-User neigen dazu, diesen Diktaten blind zu folgen, ohne ihren Wahrheitsgehalt zu überprüfen. D a m i t t r a g e n s i e a be r l e tz t e nd l i c h nu r z u r Ma s s e de r W i r e le s s - F eh l pr a k t i ke n b e i . Die Mythen über Wireless-Sicherheit können sowohl gefährlich als auch kostspielig sein. Viele Organisationen geben wertvolle Ressourcen für die Implementierung dieser modernen Legenden aus, die ein falsches Gefühl von Sicherheit vermitteln und private Netzwerke sowie sensible Daten schutzlos exponieren. In diesem Papier werden wir noch einm al auf die Top Ten Mythen der Wireless-Sicherheit zurückkommen und sie klarstellen. Mythos #1: Mein Wireless-LAN (WLAN) ist sicher, denn ich habe eine Firewall, die mein verkabeltes Firmennetzwerk vor dem Internet schützt. Kabelgebundene Sicherheitslösungen wie Firewalls und Intrusionskontrollsysteme arbeiten auf Ebene 3 (d.h. Paketebene) und darüber. Ein WLAN stellt eine potentielle Eingangstür in Ihr verkabeltes Firmennetzwerk auf den Ebenen 1 und 2 dar (d.h. Bitübertragungsebene und Verbindungsebene), womit alle verkabelten Sicherheitsmaßnahmen umgangen werden. Ihre autorisierten User können Ihre Firewallregeln und Content-Filter umgehen, indem sie Wireless-Zugang verwenden und sich mit potentiell gefährlichen externen WLANs verbinden. Kurz gesagt, durch Wireless ist der traditionelle Ansatz des „Verstärkens-der-Netzwerkgrenzen“ überholt. Mythos #2: Ich habe mein verkabeltes Firmennetzwerk bereits von einem Prüfer scannen lassen, daher brauche ich mir über Sicherheitsbedrohungen durch Wireless keine Sorgen zu machen. Kabelgebundene Scantools sind stark bei der Feststellung von Anomalitäten und Schwachstellen in einem verkabelten Netzwerk. Aber sie können keine Schwachstellen auf den Ebenen 1 und 2 des Wireless-LAN erfassen. Es ist eine gute Idee, Ihr Netzwerk regelmäßig mit geeigneten Lösungen für die Einschätzung von Wireless-Schwachstellen auf Angriffspunkte für Wireless zu überprüfen. Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit Mythos #3: Meine Firma besitzt kein Wireless-LAN, daher brauche ich mir über Sicherheitsbedrohungen durch Wireless keine Sorgen zu machen. Selbst wenn ein Unternehmen kein Wireless-LAN besitzt, ist es heutzutage fast unmöglich, nicht von dem Vorhandensein von Wireless berührt zu werden. Mitarbeiter können einen Rogue-AP einrichten oder unautorisierte User können in böser Absicht Wireless-Geräte verbinden, mit denen sie Hintertüren in das nicht öffentliche Basisnetz Ihrer Organisation öffnen. Mitarbeiter, die Laptops benutzen, können auf externe WLANS zugreifen und dabei sensible Daten freilegen. Das bedeutet, dass selbst ein einziges Wireless-Gerät in Ihren Räumen, ganz zu schweigen von einem Wireless-LAN, eine drahtlose Hintertür zum Basisnetzwerk Ihres Unternehmens öffnen kann, das ansonsten geschützt ist. Folglich muss eine Firma die Sicherheitsbedrohung durch Wireless angehen, selbst wenn sie offiziell kein WLAN einsetzt. Mythos #4: Wir setzen WEP ein, um unsere gesamte WiFiKommunikation zu sichern, daher sind unsere „luftübertragenen“ Daten sicher. Die Altlast Wired Equivalent Privacy (WEP) erweckt nur ein falsches Gefühl von Sicherheit. Es ist wohlbekannt, dass WEP defekt ist und innerhalb von Minuten kompromittiert werden kann, um dann drahtlos übertragene Daten zu exponieren. Der Einsatz von WEP wird von WirelessSicherheitsexperten weithin als schlechte Praxis angesehen. Organisationen sollten WEP durch neuere, stärkere Alternativen wie WPA2 ersetzen oder zumindest andere Sanierungslösungen anwenden, die WEP-Geräte proaktiv schützen. Mythos #5: Wir verwenden für unsere gesamte WiFi-Kommunikation WPA\WPA2\802.11 i, deshalb ist unser Netzwerk sicher. Als Antwort auf die Mängel von WEP wurde WiFi Protected Access (WPA) vorgeschlagen. Es wurde auf WPA2 aufgerüstet, die Implementierung des Standards IEEE 802.11 i. Wenn WPA oder WPA2 mit Pre-shared Key (PSK) verwendet werden, sind sie immer noch anfällig für Wörterbuchangriffe, die das Passwort knacken können. Darüber hinaus wird Ihr Netzwerk nicht einfach nur durch den Einsatz von WPA/WPA2 gesichert. Schwachstellen wie Rogue-APs, Clients, die sich falsch mit externen APs verbinden und Ad-Hoc-Netzwerke, mit denen die Kontrollen Ihrer Sicherheitsregeln umgangen werden, können Ihre Daten und Ihr Netzwerk immer noch nicht autorisiertem Zugang aussetzen. Ebenso können Denial-of-Service-Attacken weiterhin Ihr WLAN stören. Mythos #6: LEAP ermöglicht effektive WLAN-Sicherheit. Das Lightweight Extensible Authentication Protocol (LEAP) ist eine von Cisco entwickelte eigene Sicherheitslösung. Der auf dem MS-CHAPv2-Protokoll basierende Authentifizierungsmechanismus in LEAP ist bekanntermaßen mit Fehlern behaftet. Er kann mit einer Wörterbuchattacke ausgenutzt werden und wurde vom CVE-Standard tatsächlich als allerschwerste Schwachstelle eingestuft. Bei LEAP verhindert selbst die Verwendung von starken Passwörtern die Gefahr nicht gehackt zu werden. Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit Mythos #7: Das Filtern von MAC-Adressen an Wireless Access Points sichert WLANs in effektiver Weise. Das Umgehen von MAC-Adressen-Filterung ist leicht. Frei erhältliche Softwaretools können dazu verwendet werden, um MAC-Adressen, die von Geräten in der Nachbarschaft verwendet werden, zu erschnüffeln. MAC-Spoofing ist eine der am einfachsten auszulösenden Attacken und das Filtern von MAC-Adressen bietet Ihrem Wireless-LAN keinerlei Schutz. Das Filtern von MACAdressen ist nicht nur uneffektiv, bei einem einigermaßen großen Wireless-LAN´s ist es auch noch umständlich. Mythos #8: Das Ausschalten der SSID-Übertragung ist ein Schritt in Richtung Absicherung eines Drahtlosen Netzwerkes. Es ist eine allgemeine Falschwahrnehmung, dass das Ausschalten der SSID-Übertragung bei einem Wireless-AP es nicht autorisierten Usern unmöglich macht, den AP zu entdecken. Es gibt frei erhältliche Softwaretools, die APs aktiv aussondieren und jene entdecken, die auf dieses Abtasten antworten. Auch das passive Erschnüffeln des WirelessTraffics kann es Hackern ermöglichen, Wireless-APs in der Nachbarschaft zu entdecken. Das Ausschalten der SSID-Übertragung ist nicht nur uneffektiv, es führt tatsächlich zu anderen schweren Schwachstellen. Autorisierte Clients, die sich normalerweise mit den APs von Unternehmen verbinden, tasten nach der versteckten SSID. Ein Hacker kann diese Informationen ausschnüffeln und sie zum Starten einer Honeypot-Attacke einsetzen. Mythos #9: Die Notwendigkeit von Wireless-Sicherheit endet in meinem Luftraum. Das Management von Wireless-Schwachstellen ist nicht auf die Räumlichkeiten einer Organisation beschränkt. Wireless-User haben ihre Firmenlaptops bei sich, wenn sie reisen. Wenn sie sich außerhalb des Firmengebäudes mit WLANs verbinden, sagen wir, in einem Café irgendwo auf der Welt, sind sie immer noch gefährdet. Eine kürzlich von AirTight Networks durchgeführte Untersuchung an mehreren Flughäfen in den USA und auf der ganzen Welt erfasste die erhöhten Gefahren für Wireless-Geräte durch virale SSIDs und Ad-HocNetzwerke. Um Wireless-Sicherheit mit auf die Straße nehmen zu können, ist eine Sicherheitssoftware für Wireless-Clients, welche die Sicherheitsregeln des Unternehmens durchsetzt und managt, wie sich ein Wireless-Client verhält und verbindet, unerlässlich. Mythos #10: Die Notwendigkeit von Wireless-Sicherheit wird künstlich hochgespielt. Tools für die Einschätzung von Schwachstellen in verkabelten Netzwerken versagen elendig beim Erfassen von Wireless-Anfälligkeiten und tendieren daher dazu, die User in dem Glauben irrezuleiten, dass es keine Wireless-Schwachstellen gibt. Unternehmen können die Wireless-Sicherheit auf eigene Gefahr ignorieren. Viele in der Industrie und in Hochschulen veröffentlichte Studien zeigen, dass Wireless überall ist und genauso ist es mit den WirelessGefahren. In letzter Zeit haben Beratungsfirmen wie RSA, Gartner, SANS und Farpoint Group die Wireless-Sicherheit wiederholt als eines der Top Ten Probleme eingestuft. Klarstellung bei den Top Ten Mythen der Wireless-Sicherheit Über AirTight Networks AirTight Networks ist der Industriestandard für das Management von WirelessSchwachstellen und das einzige Unternehmen, das eine flexible End-to-End-Lösung anbietet, die den Kunden Einsicht in ihre Wireless-Sicherheitslage gibt und ihnen die Wahl lässt, wie sie diese managen. AirTights SpectraGuard Enterprise bietet ein robustes Wireless Intrusion Prevention System (WIPS). Sein SpectraGuard OnlineService ist der erste on-Demand-Managementservice für Wireless-Schwachstellen, der einen flexiblen Ansatz für das Angehen von Wireless-Schwachstellen ohne Kapitaleinsatz bietet. AirTights patentierte Technologie liefert die Schlüsselelemente eines effektiven WIPS, um falsche Alarme zu eliminieren, Wireless-Bedrohungen sofort automatisch abzublocken und die Wireless-Geräte und Vorfälle mit punktgenauer Präzision sofort zu lokalisieren. Zu den Kunden von AirTight gehören Einzelhandels-, Finanzdienstleistungs-, Unternehmens- und Regierungsorganisationen. AirTight Networks ist ein Privatunternehmen mit Sitz in Mountain View, Kanada Für weitere Informationen besuchen Sie bitte www.airtightnetworks.com Weltweit führend bei Wireless-Sicherheitslösungen AirTight Networks, Inc. 339 N. Bernardo Avenue #200, Mountain View, CA 94043 T +1.877.424.7844 T 650.961.1111 F 650.961.1169 www.airtightnetworks.com [email protected] © 2009 AirTight Networks, Inc. Alle Rechte vorbehalten. AirTight und das AirTight Networks Logo sind Warenzeichen. AirTight und SpectraGuard sind eingetragene Handelsmarken von AirTight Networks, Inc. Alle anderen hier erwähnten Handelsmarken sind Eigentum ihrer jeweiligen Inhaber. Die Angaben können ohne vorherige Mitteilung geändert werden. Deutsche Distribution und Übersetzung: SEiCOM Communication Systems GmbH Klenzestr. 1-3, 85737 Ismaning, Germany Tel. 0049-89-962456-0, Fax:0049-89-962456-56 www.seicom-muc.de [email protected]