Zum Schutz empfohlen
Transcription
Zum Schutz empfohlen
NETZE Zum Schutz empfohlen Sicherheit von WLANs in Unternehmensnetzen Peter Gröschke, Kerst van Raden In letzter Zeit hat sich der Einsatz von Wireless LANs in vielen Unternehmen durchgesetzt. Die Vorteile dieser kabellosen Netze liegen auf der Hand: Ihre Installation ist einfach und zudem kostengünstig. Darüber hinaus ermöglichen sie die räumlich losgelöste Einbindung von Teilnehmern in das Firmennetz. Der einfache Zugang und das Fehlen der physischen Kontrolle über die Ausdehnung des Netzes bergen aber auch Sicherheitsrisiken, die jedem sicherheitsbewußten Systemadministrator Kopfzerbrechen bereiten müßten. Bei drahtlosen LANs ist die physikalische Sicherheit sehr eingeschränkt, da Funkwellen sich in alle Richtungen ausbreiten und die physikalischen Sicherungsmechanismen also nicht gegeben sind. Ein Angreifer kann aus sicherer räumlicher Entfernung unentdeckt agieren und das Netz abhören. Lösungen, Funknetze auch in geschlossenen Räumen physikalisch abzusichern, sind sehr kostspielig und für die Praxis ungeeignet. Die empfohlenen Richtantennen zur Abschirmung der WLANs gegen unerwünschte Strahlung sind wenig effektiv und bieten keinen hinreichenden Schutz vor äußeren Angriffen. Sicherheitsmechanismen und -lücken in IEEE 802.11 Die Entwickler des Standards IEEE 802.11 haben als Abhörschutz WEP (Wired Equivalent Privacy, Bild 1) vorgesehen. Damit werden die Daten optional mit dem RC4-Algorithmus und 40 oder 104 bit langen Schlüsseln, die auf den Endgeräten hinterlegt sind, verschlüsselt. Bis 2001 galt WEP als relativ sicher, doch dann fand man heraus, daß ein von Paket zu Paket wechselnder Teil des Schlüssels, der sogenannDas Thema in Kürze Dr. Peter Gröschke ist Leiter Consulting bei der ExperTeach Gesellschaft für Netzwerkkompetenz mbH in Dietzenbach; Kerst van Raden ist geschäftsführender Gesellschafter der eMNetCon Netzwerk Consulting GmbH in Hamburg NET 10/02 Mit der Einführung neuer, funkbasierter Netzstrukturen muß die Sicherheit im Netz für die Unternehmen weiterhin gewährleistet bleiben. Die Gewinne an Flexibilität durch den Einsatz von Wireless LANs sind zwar enorm, mögliche Gefahren dürfen aber auch nicht vernachlässigt werden. Der Beitrag beleuchtet die sich mit der Realisierung von WLANs ergebenden Gefährdungen und zeigt Möglichkeiten auf, diese zu umgehen. te Initialisierungsvektor (IV), in bestimmten Konstellationen Informationen über den geheimen Schlüssel liefert. Binnen kurzer Zeit entstanden Programme wie WEPCrack und AirSnort, mit denen sich die WEPSchlüssel von WLANs nach dem Standard IEEE 802.11 selbst von kryptologischen Laien relativ einfach brechen lassen. Einbruchswerkzeuge frei verfügbar In letzter Zeit hat sich das WLANSuchwerkzeug NetStumbler verbreitet, das auf verschiedenen Plattformen läuft. Mit Hilfe einer handelsüblichen WLAN-Karte sucht diese Software in ihrer Umgebung nach WLANs. Die Parameter der gefundenen Netze, wie Name (SSID) und verwendete Funkkanäle, sind damit ebenso zugänglich wie die Übertragungsart, d.h., ob die Daten im Klartext oder WEP-codiert transportiert werden. Hacker haben so nach dem War-Dialing, also der Suche nach Modemports, das War-Driving entdeckt. Mit Notebook, WLAN-Karte und Scanner-Software fahren sie durch Industrie- und Bürogebiete und kartografieren alle gefundenen Netze, um diese Karten dann oft im Internet zu veröffentlichen. Erfolgt die Kommunikation in diesen Netzen unverschlüsselt, hat ein Angreifer direkten Zugang zu den übertragenen Daten und den Ressourcen des Netzes. Beim Einsatz von WEP ist hierzu das Brechen des WEPSchlüssels notwendig. Die Kosten für die notwendige Hakker-Ausrüstung übersteigen die eines Notebooks geringfügig. WLAN-Karten sind bereits ab 100 € erhältlich, spezielle Richtantennen im Selbstbau fast kostenlos und die nötige Software läßt sich gratis aus dem Internet beziehen. 33 Zum Schutz empfohlen Weitergehende Sicherheitsmechanismen Trotz bestehender Sicherheitslücken im Standard und erhältlicher Einbruch-Tools ist die Lage für den Betreiber eines WLAN nicht hoffnungslos. Es gibt eine ganze Reihe von standardisierten und herstellerspezifischen Mechanismen zum Erhöhen der Sicherheit der Netze. Bild 1: Das WEP-Protokoll bietet die Verschlüsselung des Rahmens mit dem RC-4-Algorithmus. Problematisch ist das Aushandeln des Schlüssels (ICV – Integrity Check Value, FCS – Frame Check Sequence, IV – Initialization Vector) Ähnlich dem Prinzip der AirSnortSoftware, die bestimmte IVs aus dem verschlüsselten Datenstrom filtert, sortiert die Firmware neuerer WLAN-Karten diese risikoreichen IVs aus dem Vorrat von Schlüsseln aus und verwendet sie gar nicht. AirSnort wird damit wirkungslos. Dieses manchmal als WEP+ bezeichnete Verfahren ist kompatibel zum Standard IEEE 802.11 und meist durch einfaches Firmware-Upgrade implementierbar. Doch nur ein einziger Client mit einer älteren Firmware, der äußeren Angreifern die entsprechenden IVs zum Aufbrechen der WEP-Schlüssel zugänglich macht, ist bereits eine Sicherheitslücke. Um das zu vermeiden, sind eine hohe Disziplin der Nutzer sowie eine besondere Sorgfalt des Administrators bei der Verwaltung der Clients nötig. Eine deutliche Verbesserung der Sicherheit dürfte erst der Nachfolger von WEP bringen. Mittlerweile hat die Arbeitsgruppe 802.11 des IEEE die Mängel bei WEP festgestellt und eine Überarbeitung in Auftrag gegeben. Nach anfänglichen Reparaturversuchen wird nun an einem komplett neuen Sicherungssystem gearbeitet, das u.a. Access Control nach IEEE 802.1x und die Verwendung des DESNachfolgers Advanced Encryption Standard (AES) beinhaltet. Mit einer Verabschiedung von IEEE 802.11i ist für 2003 zu rechnen. Bis dahin wird 34 die Verwendung des Temporary Key Integrity Protocol (TKIP) empfohlen, bei dem nicht nur die IVs, sondern der gesamte WEP-Schlüssel dynamisch gewechselt wird. Eine standardisierte Methode zur Authentifizierung an einer Netzkomponente bietet IEEE 802.1x. Hier muß sich der Client wie beim Remote Access über einen Radius-Server authentisieren (Bild 2). Die von PPP (Point-toPoint Protocol) bekannten Mechanismen und EAP (Extensible Authentication Protocol, in RFC 2284 beschrieben) liegen hierbei zugrunde. Lösungen auf dieser Basis werden mittlerweile von mehreren Herstellern, die gleichzeitig temporäre Schlüssel vergeben, angeboten. Dadurch erhalten alle Clients im Netz ihren eigenen und zudem austauschbaren Schlüssel. Als Authentisierungsprotokolle finden EAP-TLS, EAP-MD5, EAP-TTLS, EAPPEAP und Ciscos proprietäres LEAP Anwendung. Auch das in Windows 2000 eingesetzte Authentisierungsverfahren Kerberos wird von einigen WLAN-Kartenherstellern für die Authentisierung und Schlüsselvergabe in WLANs benutzt. Die Kombination von IEEE 802.11 und 802.1x verspricht zwar mehr Sicherheit als WEP, weist aber nach wie vor potentielle Sicherheitslücken auf. Neben diesen Verfahren eignen sich zum Schutz der übertragenen Daten auch virtuelle private Netze (VPN) auf Basis von IPsec oder PPTP (Point-toPoint Tunneling Protocol). Bei IPsec werden die IP-Pakete verschlüsselt und gegen Mechanismen wie Spoofing, also das Fälschen von IP-Adressen, gesichert. Bei der Codierung kommen neben den älteren Algorithmen DES und 3DES inzwischen neuere wie IDEA (europäisch, 128 bit Schlüssellän- Bild 2: Die in 802.1x beschriebene Authentisierungsmethode mit Hilfe des EAP bietet einen zentralen Punkt im Netz, der alle Authentisierungsfragen regelt ge), Blowfish (32 bis 448 bit) und AES (128 bis 256 bit) zum Einsatz. PPTP hingegen sichert Daten durch die in den implementierten Protokollstacks integrierte MPPE (Microsoft Point-toPoint Encryption), die mit 40 oder 128 bit verschlüsselt ist. PPTP ist aber nicht so vielseitig und sicher wie IPsec. Bei allen Sicherheitsmechanismen ist bei der Implementierung von WLANs über eine Trennung vom bestehenden Netz nachzudenken. So könnten bei einem Lagersteuersystem die mobilen Terminals und der zugehörige Server in einem abgetrennten Netz stehen. Für die Absicherung des Servers gelten dann die gleichen Grundsätze wie für die Sicherung eines frei zugänglichen Hosts im Internet. An der Schnittstelle zwischen WLAN und Intranet ist grundsätzlich der Einsatz einer Firewall zu empfehlen und diese mit der gleichen Sorgfalt zu konfigurieren und zu pflegen. Auch ein Intrusion Detection System (IDS), das auf Besonderheiten und Unregelmäßigkeiten hinweist, ist von Vorteil. Andernfalls würden selbst beharrliche Einbruchsversuche eines Hackers unentdeckt bleiben, bis dieser durch den angerichteten Schaden auffällt. Wie sieht die Praxis aus? Die Ursachen für die wachsende Popularität des Drive-by-Hacking, wie das Einbrechen in WLANs „im Vorüberfahren” genannt wird, liegen nur zum Teil in den Sicherheitslücken des IEEE-802.11-Standards begründet. Untersuchungen von IT-Sicherheitsunternehmen in den letzten Monaten enttarnten die Unkenntnis oder gar Sorglosigkeit der Anwender als einen viel größeren Risikofaktor. Studien in mehreren amerikanischen und europäischen Großstädten belegen, daß nur 20 bis 40 % der vom Auto aus erreichbaren WLAN-Systeme per WEP gesichert waren. Der größte Teil von ihnen war sogar so konfiguriert, daß ein Zugriff durch einfaches Aktivieren eines unkonfigurierten WLAN-Clients binnen Sekunden möglich war. Auch die Hersteller der Systeme selbst legen nicht immer den größten Wert auf Sicherheit, wie stichprobenartige Untersuchungen auf der diesjährigen NET 10/02 Zum Schutz empfohlen die Geräte war das Risiko eines Angriffs ziemlich gering. Heute ist diese Sicherheit nicht mehr gegeben. WLANs gehören mittlerweile zur Standardnetztechnik, und WLAN-Client-Karten sind zu einem geringen Aufpreis beim Kauf eines Notebooks in dieses integriert. Die vor einigen Jahren installierten SysteBild 3: Bei dem Aufbau eines WLAN muß man in der ersten Phase überprüfen, ob es sich um eine zusätzliche, abtrennbare Funktionalität (oben) me sind aber meist handelt oder um eine Erweiterung der bestehenden (unten) noch in Betrieb (Quellen: ExperTeach) und werden mit neueren Komponenten nur ergänzt CeBIT zeigten. So waren bei den Anund ausgebaut. Eine Nachrüstung von bietern von WLAN-Systemen und moSicherheitseinrichtungen ist zumeist bilen Terminals nur drei von 53 geein erheblicher Eingriff in die bestefundenen Funkzellen durch WEP gehenden Systeme und damit ein Risiko. schützt. Das Standpersonal der AnbieHäufig ist ein Nachrüsten auch gar ter las und versandte E-Mails unvernicht möglich, denn WEP ist erst seit schlüsselt über die WLANs und lieferte etwa zwei bis drei Jahren von den so potentiellen Angreifern die Adresmeisten Herstellern verfügbar. Und sen der internen Mail-Server, Benutnoch heute sind im Auslieferungszuzernamen und Paßwörter. Die Sicherstand der meisten Geräte alle Sicherheitslücken begründeten die Verantheitsmechanismen deaktiviert. wortlichen mit dem Termindruck sowie mit herabgesetzten Sicherheitsansprüchen auf Messen. 5 Punkte für ein sicheres LAN Ursachen für mangelnde Sicherheit Die katastrophalen Sicherheitsmängel vieler WLAN-Systeme sind nicht allein auf die Errichter und Betreiber zurückzuführen. Die Sicherheit von Netzen hatte nicht immer einen solch hohen Stellenwert wie heute. Als Mitte der neunziger Jahre die ersten Systeme in Europa verfügbar wurden, waren die Installation von Treibern, das Erreichen stabiler Funkverbindungen und die störungsfreie Integration der WLANs in bestehende Netze die wesentlichen Herausforderungen. Änderungen in einem stabil laufenden System, die dem Schutz vor Angriffen von außen dienen sollten, wurden selten vorgenommen. Bedingt durch die geringe Verbreitung der WLAN-Technik und die astronomischen Preise für 36 • Analysieren Sie den Bedarf. Definieren Sie die zu schützenden Werte für Ihr Unternehmen, wie vertrauliche Daten oder die Verfügbarkeit eines Systems. • Denken Sie zeitig über Sicherheit nach. Das Nachrüsten von Sicherheit ist teuer und anfällig. • Verdeutlichen Sie sich die Arbeitsweise des Systems. WLANs haben andere Sicherheitsprobleme als verdrahtete LANs. • Prüfen Sie die Sicherheit des fertigen Systems. Gravierende Sicherheitslücken entstehen oft durch Unachtsamkeit bei der Installation. • Implementieren Sie ein fortlaufendes Sicherheitsmanagement. Ansonsten ist bei jeder Reparatur oder Konfigurationsänderung die Sicherheit des Systems gefährdet. Die Sicherung von Systemen mit Komponenten verschiedener Hersteller gestaltet sich schwierig. Während man bei einem System eines einzelnen Herstellers neben standardisierten auch proprietäre Sicherheitsmechanismen nutzen kann, ist man bei Multi-Vendor-Lösungen auf den gemeinsamen Nenner der von allen unterstützten Standards angewiesen. Dies ist häufig genug nur Standard-WEP. Nur durch sehr sorgfältiges Abwägen aller einzelnen Faktoren kann in diesen Fällen ein vernünftiger Kompromiß zwischen den ständig wachsenden Sicherheitsrisiken und den Kosten für die Sicherung des Netzes gefunden werden. Wie erreicht man optimale Sicherheit? Die unkundige Installation von zusätzlichen kostspieligen Sicherheitslösungen schafft häufig weniger Sicherheit als die sorgfältige und sicherheitsbewußte Auslegung eines Systems mit Standardkomponenten. Wenn z.B. der Bereich des Servers unternehmenskritisch ist, die zu übertragenden Daten es aber nicht sind, dann ist ein VPN eine teure Fehlinvestition. WLANs sind heute gegen äußere Angriffe genauso absicherbar wie drahtgebundene LANs. Der Aufwand richtet sich nach den übrigen Anforderungen an das System. Eine Klärung des tatsächlichen Schutzbedarfs ist unumgänglich, um die passende Sicherheitslösung auszuwählen (Bild 3), denn eine schlecht gewählte Sicherheitslösung kann den Erfolg eines Projekts in Frage stellen. So kann im Fall unnötig häufiger Authentisierungsvorgänge die Akzeptanz der Benutzer verloren gehen. Die sorgfältige Analyse potentieller Bedrohungen von außen und die Planung der notwendigen Sicherheitsmaßnahmen sind Aufgaben für Spezialisten und sollten zu Beginn eines jeden WLAN-Projekts erfolgen. Unterstützung leisten hierbei die Hersteller oder unabhängige Berater. Die dadurch entstehenden Kosten kompensieren sich im Projekt durch eine effiziente Planung. Gleichzeitig reduziert sich das ansonsten unkalkulierbare Risiko entscheidend. (bk) NET 10/02