Zum Schutz empfohlen

NETZE
Zum Schutz empfohlen
Sicherheit von WLANs in Unternehmensnetzen
Peter Gröschke,
Kerst van Raden
In letzter Zeit hat sich der Einsatz von
Wireless LANs in vielen Unternehmen
durchgesetzt. Die Vorteile dieser
kabellosen Netze liegen auf der
Hand: Ihre Installation ist einfach und
zudem kostengünstig. Darüber
hinaus ermöglichen sie die räumlich
losgelöste Einbindung von
Teilnehmern in das Firmennetz. Der
einfache Zugang und das Fehlen der
physischen Kontrolle über die
Ausdehnung des Netzes bergen aber
auch Sicherheitsrisiken, die jedem
sicherheitsbewußten
Systemadministrator Kopfzerbrechen
bereiten müßten.
Bei drahtlosen LANs ist die physikalische Sicherheit sehr eingeschränkt, da
Funkwellen sich in alle Richtungen
ausbreiten und die physikalischen Sicherungsmechanismen also nicht gegeben sind. Ein Angreifer kann aus sicherer räumlicher Entfernung unentdeckt agieren und das Netz abhören.
Lösungen, Funknetze auch in geschlossenen Räumen physikalisch abzusichern, sind sehr kostspielig und
für die Praxis ungeeignet. Die empfohlenen Richtantennen zur Abschirmung der WLANs gegen unerwünschte Strahlung sind wenig effektiv und
bieten keinen hinreichenden Schutz
vor äußeren Angriffen.
Sicherheitsmechanismen
und -lücken in IEEE 802.11
Die Entwickler des Standards IEEE
802.11 haben als Abhörschutz WEP
(Wired Equivalent Privacy, Bild 1) vorgesehen. Damit werden die Daten
optional mit dem RC4-Algorithmus
und 40 oder 104 bit langen Schlüsseln, die auf den Endgeräten hinterlegt sind, verschlüsselt.
Bis 2001 galt WEP als relativ sicher,
doch dann fand man heraus, daß
ein von Paket zu Paket wechselnder Teil des Schlüssels, der sogenannDas Thema in Kürze
Dr. Peter Gröschke ist Leiter Consulting bei der
ExperTeach Gesellschaft für Netzwerkkompetenz mbH in Dietzenbach;
Kerst van Raden ist geschäftsführender Gesellschafter der eMNetCon Netzwerk Consulting
GmbH in Hamburg
NET 10/02
Mit der Einführung neuer, funkbasierter Netzstrukturen muß die Sicherheit im Netz für die Unternehmen weiterhin gewährleistet bleiben. Die Gewinne an Flexibilität
durch den Einsatz von Wireless
LANs sind zwar enorm, mögliche
Gefahren dürfen aber auch nicht
vernachlässigt werden. Der Beitrag
beleuchtet die sich mit der Realisierung von WLANs ergebenden Gefährdungen und zeigt Möglichkeiten auf, diese zu umgehen.
te Initialisierungsvektor (IV), in bestimmten Konstellationen Informationen über den geheimen Schlüssel
liefert. Binnen kurzer Zeit entstanden Programme wie WEPCrack und
AirSnort, mit denen sich die WEPSchlüssel von WLANs nach dem
Standard IEEE 802.11 selbst von
kryptologischen Laien relativ einfach
brechen lassen.
Einbruchswerkzeuge frei
verfügbar
In letzter Zeit hat sich das WLANSuchwerkzeug NetStumbler verbreitet, das auf verschiedenen Plattformen läuft. Mit Hilfe einer handelsüblichen WLAN-Karte sucht diese
Software in ihrer Umgebung nach
WLANs. Die Parameter der gefundenen Netze, wie Name (SSID) und
verwendete Funkkanäle, sind damit
ebenso zugänglich wie die Übertragungsart, d.h., ob die Daten im Klartext oder WEP-codiert transportiert
werden.
Hacker haben so nach dem War-Dialing, also der Suche nach Modemports,
das War-Driving entdeckt. Mit Notebook, WLAN-Karte und Scanner-Software fahren sie durch Industrie- und
Bürogebiete und kartografieren alle
gefundenen Netze, um diese Karten
dann oft im Internet zu veröffentlichen. Erfolgt die Kommunikation in
diesen Netzen unverschlüsselt, hat ein
Angreifer direkten Zugang zu den
übertragenen Daten und den Ressourcen des Netzes. Beim Einsatz von
WEP ist hierzu das Brechen des WEPSchlüssels notwendig.
Die Kosten für die notwendige Hakker-Ausrüstung übersteigen die eines
Notebooks geringfügig. WLAN-Karten
sind bereits ab 100 € erhältlich, spezielle Richtantennen im Selbstbau fast
kostenlos und die nötige Software
läßt sich gratis aus dem Internet beziehen.
33
Zum Schutz empfohlen
Weitergehende
Sicherheitsmechanismen
Trotz bestehender Sicherheitslücken
im Standard und erhältlicher Einbruch-Tools ist die Lage für den Betreiber eines WLAN nicht hoffnungslos.
Es gibt eine ganze Reihe von standardisierten und herstellerspezifischen
Mechanismen zum Erhöhen der Sicherheit der Netze.
Bild 1: Das WEP-Protokoll bietet die Verschlüsselung des Rahmens mit dem RC-4-Algorithmus. Problematisch ist das Aushandeln des
Schlüssels (ICV – Integrity Check Value, FCS –
Frame Check Sequence, IV – Initialization Vector)
Ähnlich dem Prinzip der AirSnortSoftware, die bestimmte IVs aus dem
verschlüsselten Datenstrom filtert, sortiert die Firmware neuerer WLAN-Karten diese risikoreichen IVs aus dem
Vorrat von Schlüsseln aus und verwendet sie gar nicht. AirSnort wird
damit wirkungslos. Dieses manchmal
als WEP+ bezeichnete Verfahren ist
kompatibel zum Standard IEEE
802.11 und meist durch einfaches
Firmware-Upgrade implementierbar.
Doch nur ein einziger Client mit einer
älteren Firmware, der äußeren Angreifern die entsprechenden IVs zum Aufbrechen der WEP-Schlüssel zugänglich macht, ist bereits eine Sicherheitslücke. Um das zu vermeiden, sind eine
hohe Disziplin der Nutzer sowie eine
besondere Sorgfalt des Administrators bei der Verwaltung der Clients
nötig.
Eine deutliche Verbesserung der Sicherheit dürfte erst der Nachfolger
von WEP bringen. Mittlerweile hat die
Arbeitsgruppe 802.11 des IEEE die
Mängel bei WEP festgestellt und eine
Überarbeitung in Auftrag gegeben.
Nach anfänglichen Reparaturversuchen wird nun an einem komplett
neuen Sicherungssystem gearbeitet,
das u.a. Access Control nach IEEE
802.1x und die Verwendung des DESNachfolgers Advanced Encryption
Standard (AES) beinhaltet. Mit einer
Verabschiedung von IEEE 802.11i ist
für 2003 zu rechnen. Bis dahin wird
34
die Verwendung des Temporary Key
Integrity Protocol (TKIP) empfohlen,
bei dem nicht nur die IVs, sondern der
gesamte WEP-Schlüssel dynamisch
gewechselt wird.
Eine standardisierte Methode zur Authentifizierung an einer Netzkomponente bietet IEEE 802.1x. Hier muß
sich der Client wie beim Remote Access über einen Radius-Server authentisieren (Bild 2). Die von PPP (Point-toPoint Protocol) bekannten Mechanismen und EAP (Extensible Authentication Protocol, in RFC 2284 beschrieben) liegen hierbei zugrunde. Lösungen auf dieser Basis werden mittlerweile von mehreren Herstellern, die
gleichzeitig temporäre Schlüssel vergeben, angeboten. Dadurch erhalten
alle Clients im Netz ihren eigenen und
zudem austauschbaren Schlüssel. Als
Authentisierungsprotokolle finden
EAP-TLS, EAP-MD5, EAP-TTLS, EAPPEAP und Ciscos proprietäres LEAP
Anwendung. Auch das in Windows
2000 eingesetzte Authentisierungsverfahren Kerberos wird von einigen
WLAN-Kartenherstellern für die Authentisierung und Schlüsselvergabe in
WLANs benutzt. Die Kombination von
IEEE 802.11 und 802.1x verspricht
zwar mehr Sicherheit als WEP, weist
aber nach wie vor potentielle Sicherheitslücken auf.
Neben diesen Verfahren eignen sich
zum Schutz der übertragenen Daten
auch virtuelle private Netze (VPN) auf
Basis von IPsec oder PPTP (Point-toPoint Tunneling Protocol). Bei IPsec
werden die IP-Pakete verschlüsselt und
gegen Mechanismen wie Spoofing,
also das Fälschen von IP-Adressen, gesichert. Bei der Codierung kommen
neben den älteren Algorithmen DES
und 3DES inzwischen neuere wie
IDEA (europäisch, 128 bit Schlüssellän-
Bild 2: Die in 802.1x beschriebene Authentisierungsmethode mit Hilfe des EAP bietet einen
zentralen Punkt im Netz, der alle Authentisierungsfragen regelt
ge), Blowfish (32 bis 448 bit) und AES
(128 bis 256 bit) zum Einsatz. PPTP
hingegen sichert Daten durch die in
den implementierten Protokollstacks
integrierte MPPE (Microsoft Point-toPoint Encryption), die mit 40 oder 128
bit verschlüsselt ist. PPTP ist aber nicht
so vielseitig und sicher wie IPsec.
Bei allen Sicherheitsmechanismen ist
bei der Implementierung von WLANs
über eine Trennung vom bestehenden
Netz nachzudenken. So könnten bei
einem Lagersteuersystem die mobilen
Terminals und der zugehörige Server
in einem abgetrennten Netz stehen.
Für die Absicherung des Servers gelten dann die gleichen Grundsätze wie
für die Sicherung eines frei zugänglichen Hosts im Internet.
An der Schnittstelle zwischen WLAN
und Intranet ist grundsätzlich der Einsatz einer Firewall zu empfehlen und
diese mit der gleichen Sorgfalt zu
konfigurieren und zu pflegen. Auch
ein Intrusion Detection System (IDS),
das auf Besonderheiten und Unregelmäßigkeiten hinweist, ist von Vorteil.
Andernfalls würden selbst beharrliche
Einbruchsversuche eines Hackers unentdeckt bleiben, bis dieser durch den
angerichteten Schaden auffällt.
Wie sieht die Praxis aus?
Die Ursachen für die wachsende Popularität des Drive-by-Hacking, wie
das Einbrechen in WLANs „im Vorüberfahren” genannt wird, liegen nur
zum Teil in den Sicherheitslücken des
IEEE-802.11-Standards begründet. Untersuchungen von IT-Sicherheitsunternehmen in den letzten Monaten enttarnten die Unkenntnis oder gar Sorglosigkeit der Anwender als einen viel
größeren Risikofaktor. Studien in
mehreren amerikanischen und europäischen Großstädten belegen, daß
nur 20 bis 40 % der vom Auto aus
erreichbaren WLAN-Systeme per WEP
gesichert waren. Der größte Teil von
ihnen war sogar so konfiguriert, daß
ein Zugriff durch einfaches Aktivieren
eines unkonfigurierten WLAN-Clients
binnen Sekunden möglich war.
Auch die Hersteller der Systeme selbst
legen nicht immer den größten Wert
auf Sicherheit, wie stichprobenartige
Untersuchungen auf der diesjährigen
NET 10/02
Zum Schutz empfohlen
die Geräte war das
Risiko eines Angriffs ziemlich gering.
Heute ist diese Sicherheit nicht mehr
gegeben. WLANs
gehören mittlerweile zur Standardnetztechnik, und
WLAN-Client-Karten sind zu einem
geringen Aufpreis
beim Kauf eines
Notebooks in dieses integriert. Die
vor einigen Jahren
installierten SysteBild 3: Bei dem Aufbau eines WLAN muß man in der ersten Phase überprüfen, ob es sich um eine zusätzliche, abtrennbare Funktionalität (oben) me sind aber meist
handelt oder um eine Erweiterung der bestehenden (unten)
noch in Betrieb
(Quellen: ExperTeach)
und werden mit
neueren Komponenten nur ergänzt
CeBIT zeigten. So waren bei den Anund ausgebaut. Eine Nachrüstung von
bietern von WLAN-Systemen und moSicherheitseinrichtungen ist zumeist
bilen Terminals nur drei von 53 geein erheblicher Eingriff in die bestefundenen Funkzellen durch WEP gehenden Systeme und damit ein Risiko.
schützt. Das Standpersonal der AnbieHäufig ist ein Nachrüsten auch gar
ter las und versandte E-Mails unvernicht möglich, denn WEP ist erst seit
schlüsselt über die WLANs und lieferte
etwa zwei bis drei Jahren von den
so potentiellen Angreifern die Adresmeisten Herstellern verfügbar. Und
sen der internen Mail-Server, Benutnoch heute sind im Auslieferungszuzernamen und Paßwörter. Die Sicherstand der meisten Geräte alle Sicherheitslücken begründeten die Verantheitsmechanismen deaktiviert.
wortlichen mit dem Termindruck sowie mit herabgesetzten Sicherheitsansprüchen auf Messen.
5 Punkte für ein sicheres LAN
Ursachen für mangelnde
Sicherheit
Die katastrophalen Sicherheitsmängel
vieler WLAN-Systeme sind nicht allein
auf die Errichter und Betreiber zurückzuführen. Die Sicherheit von Netzen
hatte nicht immer einen solch hohen
Stellenwert wie heute. Als Mitte der
neunziger Jahre die ersten Systeme in
Europa verfügbar wurden, waren die
Installation von Treibern, das Erreichen stabiler Funkverbindungen und
die störungsfreie Integration der
WLANs in bestehende Netze die wesentlichen Herausforderungen. Änderungen in einem stabil laufenden System, die dem Schutz vor Angriffen
von außen dienen sollten, wurden selten vorgenommen. Bedingt durch die
geringe Verbreitung der WLAN-Technik und die astronomischen Preise für
36
• Analysieren Sie den Bedarf. Definieren Sie die zu schützenden
Werte für Ihr Unternehmen, wie
vertrauliche Daten oder die Verfügbarkeit eines Systems.
• Denken Sie zeitig über Sicherheit
nach. Das Nachrüsten von Sicherheit ist teuer und anfällig.
• Verdeutlichen Sie sich die Arbeitsweise des Systems. WLANs haben
andere Sicherheitsprobleme als
verdrahtete LANs.
• Prüfen Sie die Sicherheit des fertigen Systems. Gravierende Sicherheitslücken entstehen oft durch
Unachtsamkeit bei der Installation.
• Implementieren Sie ein fortlaufendes Sicherheitsmanagement. Ansonsten ist bei jeder Reparatur
oder Konfigurationsänderung die
Sicherheit des Systems gefährdet.
Die Sicherung von Systemen mit Komponenten verschiedener Hersteller gestaltet sich schwierig. Während man
bei einem System eines einzelnen Herstellers neben standardisierten auch
proprietäre Sicherheitsmechanismen
nutzen kann, ist man bei Multi-Vendor-Lösungen auf den gemeinsamen
Nenner der von allen unterstützten
Standards angewiesen. Dies ist häufig
genug nur Standard-WEP. Nur durch
sehr sorgfältiges Abwägen aller einzelnen Faktoren kann in diesen Fällen
ein vernünftiger Kompromiß zwischen
den ständig wachsenden Sicherheitsrisiken und den Kosten für die Sicherung des Netzes gefunden werden.
Wie erreicht man optimale
Sicherheit?
Die unkundige Installation von zusätzlichen kostspieligen Sicherheitslösungen schafft häufig weniger Sicherheit
als die sorgfältige und sicherheitsbewußte Auslegung eines Systems mit
Standardkomponenten. Wenn z.B. der
Bereich des Servers unternehmenskritisch ist, die zu übertragenden Daten
es aber nicht sind, dann ist ein VPN
eine teure Fehlinvestition.
WLANs sind heute gegen äußere Angriffe genauso absicherbar wie drahtgebundene LANs. Der Aufwand richtet sich nach den übrigen Anforderungen an das System. Eine Klärung
des tatsächlichen Schutzbedarfs ist
unumgänglich, um die passende Sicherheitslösung auszuwählen (Bild 3),
denn eine schlecht gewählte Sicherheitslösung kann den Erfolg eines Projekts in Frage stellen. So kann im Fall
unnötig häufiger Authentisierungsvorgänge die Akzeptanz der Benutzer verloren gehen.
Die sorgfältige Analyse potentieller
Bedrohungen von außen und die Planung der notwendigen Sicherheitsmaßnahmen sind Aufgaben für Spezialisten und sollten zu Beginn eines
jeden WLAN-Projekts erfolgen. Unterstützung leisten hierbei die Hersteller
oder unabhängige Berater. Die dadurch entstehenden Kosten kompensieren sich im Projekt durch eine effiziente Planung. Gleichzeitig reduziert
sich das ansonsten unkalkulierbare
Risiko entscheidend.
(bk)
NET 10/02