Best Practices für die Absicherung von Wireless von WLANs

Sicherheit im WLAN ist eine große Herausforderung für Unternehmen. Best Practices zur Absicherung geben Ihnen Hilfestellung zu: Eindringlinge abwehren, Benutzer schützen und Netzwerksschutz.

Die vielleicht größte Herausforderung für viele Unternehmen ist die Sicherheit ihres Wireless Local Area Network...

(WLAN). In diesem dreiteiligen Experten-Tipp stellen wir Best Practices zur Absicherung von WLANs im Unternehmen vor. Im ersten Teil beschäftigen wir uns mit der systematischen Überwachung Ihres WLANs, um Eindringlinge sofort aufzuspüren und die Erkennung Ihres Netzwerks pro aktiv zu unterbinden. Im zweiten und dritten Teil dreht sich alles um den Schutz von Benutzern bzw. des Netzwerks.

In diesem Leitfaden:

- Eindringlinge abwehren

- Benutzer schützen

- Das Netzwerk schützen

Eindringlinge abwehren

Definition von Best Practice

Im Hinblick auf Wireless-Sicherheit ist der Begriff „Best Practice“ relativ – die beispielsweise im US-Finanzministerium angewandten Best Practices können sich erheblich von denen eines Fastfood-Restaurants unterscheiden. Grund hierfür sind die unterschiedlichen Bewertungen der Gefahren für die Wireless-Sicherheit. Im Rahmen dieses Leitfadens definieren wir Best Practices als häufig angewandte, kosteneffektive und auf nahezu alle Unternehmen anwendbare Methodologie. Der Begriff „Practice“ bezieht sich dabei auf Technologien und Verfahren. So handelt es sich beispielsweise bei „Verwendung von Wi-Fi Protected Access 2 (WPA2)-Sicherheit“ um eine Best Practice für den Einsatz von Technologie. Demgegenüber stellt die Anweisung „Mitarbeiter darauf aufmerksam machen, keine Verbindung zu einem Adhoc-WLAN herzustellen“ eine verfahrensbezogene Best Practice dar.

Aufspüren von Netzwerken

Um WLANs und die entsprechenden Service Set Identifiers (SSIDs) aufzuspüren, nutzen Eindringlinge eine Reihe verschiedener Methoden. So kommt beispielsweise Shareware wie NetStumbler in Kombination mit Hochleistungsantennen zum Einsatz, um WLANs zu orten. Unglücklicherweise ist es nahezu unmöglich, ein WLAN oder die SSID zu verbergen, weil Management- und Control-Frames nicht verschlüsselt sind (ein Hinweis dazu: Die IEEE arbeitet momentan Proposal 802.11w aus, um die Sicherheit von Management-Frames zu verbessern).

Manche Sicherheitsexperten empfehlen, die SSID-Ausstrahlung in Sende-Frames ebenso zu deaktivieren wie die Reaktion auf Anfragen zur SSID-Ausstrahlung. Unserer Meinung nach ist diese Vorgehensweise allerdings nicht ratsam. Die erste Maßnahme führt zu mehr Datenverkehr im WLAN, weil dadurch alle Geräte im Netzwerk gezwungen werden, durch regelmäßige Übertragung einer Anfrage nach einem gültigen AP zu suchen. Die zweite Maßnahme zwingt den Netzwerk-Administrator zur manuellen Konfiguration der SSID auf jedem Gerät im Netzwerk. Dabei gewährleistet keine der beiden Maßnahmen einen wirklich effektiven Schutz vor der Erkennung des WLANs. Wir möchten daher folgende Best Practices empfehlen:

- Installieren Sie APs an nicht einsehbaren Standorten. Dies verhindert eine zufällige Entdeckung des WLANs und erschwert zudem die Ermittlung des AP-Standorts.

- Verringern Sie die Sendeleistung, um das Risiko von Hochfrequenz-Lecks zu minimieren. Durch die Verringerung der Sendeleistung beschränken Sie die Abdeckung auf die Bereiche, in denen auch wirklich ein Wireless-Signal empfangen werden soll.

Unternehmen mit besonders hohen Sicherheitsanforderungen können auch Richtantennen verwenden. Damit haben sie im Vergleich zu Rundstrahlantennen mehr Kontrolle über die Signalausbreitung. Wenn Sie die Richtantennen auf das Gebäudeinnere ausrichten, minimieren Sie damit auch die Gefahr von Hochfrequenz-Lecks außerhalb des Gebäudes.

Eindringen ins Netzwerk

Bei einem Einbruch in das Netzwerk (Network Intrusion) entsteht nicht autorisierter Datenverkehr. Dieser könnte eine gezielte Ausnutzung von Schwachstellen im System oder die Verbreitung von bösartigem Code (z. B. Würmer und Trojaner) zur Absicht haben oder zumindest gegen die Nutzungsrichtlinien des Unternehmens verstoßen. Am häufigsten erfolgen nicht autorisierte Zugriffe auf ein Wireless-Netzwerk über einen nicht autorisierten AP. Eine weitere Angriffsmethode ist die Herstellung einer Adhoc-Verbindung. Dabei kann ein Gerät unabhängig von einem AP eine Verbindung zu einem anderen Gerät herstellen. Diese Art der Wireless-Verbindung eröffnet Möglichkeiten für  Man-in-the-Middle-Angriffe.

Mit einem Wireless Intrusion Detection System (WIDS) lässt sich das Netzwerk auf nicht autorisierte APs oder Geräte überwachen. Gleichzeitig sorgt ein solches System auch für die Durchsetzung von Richtlinien und spürt anomales oder verdächtiges Verhalten auf. Eine übergeordnete WIDS-Lösung basiert auf dedizierten, verteilten Hardware-Sensoren, die von der Optik her APs ähnlich sehen. Diese Sensoren überwachen kontinuierlich sämtliche Kanäle und melden Anomalien sofort der zentralen Management-Konsole. Alternativ können Unternehmen eine integrierte WIDS-Lösung (von WLAN-Systemanbietern) beziehen, bei der die Sensorfunktion in einen AP integriert ist. Allerdings bieten viele dieser integrierten Lösungen keine kontinuierliche Überwachung und könnten daher manche Einbruchsversuche übersehen.

Wir möchten hier folgende Best Practices empfehlen:

- Verwenden Sie eine WIDS-Lösung zur Überwachung auf nicht autorisierte APs in den Frequenzbereichen 2,4 GHz und 5 GHz.

- Zusätzlich sollten Sie auf beiden Frequenzbändern – vor allen in Bereichen ohne oder mit nur schlechter Abdeckung – mithilfe eines mobilen Geräts regelmäßig nach nicht autorisierten APs Ausschau halten.

- Setzen Sie im kabelgebundenen Netzwerk spezielle Überwachungstechnologien ein, um Eindringlinge in das Wireless-Netzwerk aufzuspüren. So sollten beispielsweise nur die Dynamic Host Control Protocol (DHCP)-Anforderungen autorisierter Netzwerkgeräte akzeptiert werden. Diese Technik verhindert die Vergabe von IP-Adressen an nicht autorisierte APs. Gleichzeitig alarmiert sie bei Versuchen den Netzwerk-Administrator und macht ihn auf einen möglichen Einbruch aufmerksam.

- Bringen Sie Ihren Mitarbeitern bei, keine Verbindung zu einem Adhoc-WLAN herzustellen.

Benutzern schützen

In diesem Teil werden die Best Practices für starke Benutzer-Authentifizierung und Datenschutz in einem WLAN beschrieben.

Authentifizierung

Der erste Schritt zur Kontrolle des Zugriffs auf Netzwerk-Ressourcen ist die Einrichtung einer Benutzeridentität. In manchen Unternehmen werden Benutzer anhand ihrer Media Access Control (MAC)-Adresse authentifiziert. Für einen Eindringling ist es allerdings ein Leichtes, die MAC-Adressen gültiger Frames zu kopieren und anschließend die MAC-Adresse seines eigenen Notebooks entsprechend zu ändern, um auf diese Weise Zugang zum Netzwerk zu erhalten. Eine identitätsbasierte Authentifizierung setzt alternativ dazu auf den IEEE 802.1X-Standard, das Extensible Authentication Protocol (EAP) und den Remote Authentication Dial-In User Service (RADIUS).

Andere Unternehmen realisieren mithilfe von Technologien wie IPsec oder SSL ein VPN über das WLAN. Dabei wird die Authentifizierung über das VPN verwendet, beispielsweise durch Extended Authentication (XAUTH) mit dem Challenge-Handshake Authentication Protocol (CHAP).

Der 802.1X-Standard nutzt für die Benutzerauthentifizierung EAP. Dabei handelt es sich um ein Framework, das Möglichkeiten zur Verkapselung verschiedener Authentifizierungsverfahren definiert. Aufgrund ihrer weiten Verbreitung und der nur geringen bis moderaten Risiken bei Ihrer Verwendung, empfehlen wir die in Tabelle 1 genannten EAP-Typen.

Tabelle 1: Empfohlene EAP-Typen

Erläuterungen zu den in der Tabelle verwendeten Abkürzungen:

EAP-TLS: Transport Layer Security

EAP-TTLS MS-CHAP v2: Tunneled TLS mit Microsoft Challenge-Handshake Authentication Protocol Version 2

PEAP MS-CHAP v2: Protected EAP mit Microsoft Challenge-Handshake Authentication Protocol Version 2

EAP-FAST: Flexible Authentifizierung über Secure Tunneling

PAC: Protected Access Credentials

Wir empfehlen dazu die folgenden Best Practices:

Bei Implementierung von 802.1X für das kabelgebundene Netzwerk sollten Sie 802.1X mit EAP verwenden, um eine gegenseitige Authentifizierung von Benutzern und Servern zu gewährleisten. Unternehmen sollten einen der folgenden EAP-Typen einsetzen: TLS, TTLS, PEAP oder FAST. Beachten Sie, dass für EAP-TLS auf dem anfragenden und dem Authentifizierungs-Server entsprechende Zertifikate benötigt werden.

Ist kein 802.1X für das kabelgebundene Netzwerk implementiert, sollten Sie IPsec oder SSL verwenden (falls durch die Unternehmensanwendungen unterstützt). Dies dient einer gegenseitigen Authentifizierung von Benutzern und Servern.

Die Authentifizierung von Gästen sollte über eine Portal-Webseite erfolgen und ihre Nutzung des Netzwerks überwacht werden.

Vertraulichkeit und Integrität von Daten

Unternehmen müssen dafür Sorge tragen, eine absichtliche, versehentliche, nicht autorisierte oder unangemessene Offenlegung von Informationen zu verhindern. Wie bereits in Teil 1 erwähnt, können Eindringlinge den Datenverkehr in Ihrem Netzwerk mithilfe von Shareware (z. B. Aircrack) und kommerziellen Tools für die Paketerfassung (z. B. Laptop Analyzer von AirMagnet) belauschen. In Kombination mit Hochleistungsantennen lässt sich so ein WEP-Schlüssel oder ein Rivest Cipher 4 (RC4) Keystream ermitteln (oft auch als „Shared Key-Angriff“ bezeichnet). Abgesehen davon ist auch der von WEP verwendete Cyclic Redundancy Check (CRC) eine Schwachstelle, da der CRC die Manipulation eines Frames durch einen Eindringling nicht erkennt.

WEP wurde zunächst durch das Interim-Verfahren WPA und später durch den WPA2-Sicherheitsstandard (basierend auf dem 802.11i-Standard) ersetzt. WPA2 bietet eine starke Verschlüsselung (durch den Advanced Encryption Standard AES], dynamischen Schlüsselaustausch und starke Authentifizierung mit 802.1X).

Wir empfehlen hier die folgenden Best Practices:

- Falls bereits 802.1X für die Authentifizierung im kabelgebundenen LAN verwendet wird, sollten Sie die Vertraulichkeit und Integrität Ihrer Wireless-Daten mit WPA2 schützen. Ist die Verwendung von WPA2 nicht möglich (z. B. aufgrund veralteter Geräte), sollten Sie WPA nutzen. Für WPA/WPA2 empfiehlt sich die Verwendung des 802.1X-Standards, weil dieser ein Verfahren zur automatischen Verteilung von Schlüsseln bietet. Darüber hinaus unterstützt er auch die Benutzer-Authentifizierung.

- Ist kein 802.1X für das kabelgebundene Netzwerk implementiert, sollten Sie IPsec oder SSL verwenden (falls durch die Unternehmensanwendungen unterstützt), um Vertraulichkeit und Integrität Ihrer Wireless-Daten sicherzustellen. Eine vertretbare Alternative zu 802.1X, IPsec oder SSL – allerdings nur für kleine Standorte – ist die Verwendung von WPA oder WPA2 mit Pre-Shared Keys (PSKs).

Beachten Sie, dass PSKs für Offline Dictionary-Angriffe anfällig sind. Dieser Schutz kann auch durch Mitarbeiter ausgehebelt werden, die einen PSK entweder versehentlich oder mit Absicht an Dritte weitergeben. Zudem ist die Verwaltung von PSKs in großen Netzwerken äußerst kompliziert, wenn der PSK geändert werden soll (z. B. wenn ein Mitarbeiter das Unternehmen verlässt). In diesem Fall muss jeder Client im Netzwerk mit dem neuen PSK konfiguriert werden. Aus diesem Grund sollte bei der Verwendung von PSKs mit größter Sorgfalt vorgegangen werden.

- Die Verwendung von WEP wird nicht empfohlen. Falls Sie trotzdem WEP oder gar keine WLAN-Verschlüsselung verwenden, sollten Sie das WLAN außerhalb der Firewall implementieren. Bei dieser Vorgehensweise stuft die Firewall das WLAN als nicht vertrauenswürdig ein.

- Trennen Sie den von Gästen generierten Datenverkehr über das gemeinsame WLAN/LAN mithilfe einer separaten SSID sowie einem separaten kabelgebundenen, virtuellen LAN (VLAN).

- Isolieren Sie den WEP-Datenverkehr von WPA/WPA2-Datenverkehr mithilfe einer separaten SSID sowie einem separaten kabelgebundenen VLAN.

Das Netzwerk schützen

In diesem Teil erörtern wir Verfahren für den Schutz Ihres Netzwerks vor Angriffen und nennen Best Practices für den Fall eines Denial-of-Service-Angriffs.

Denial-of-Service

Als Denial-of-Service (DoS)-Angriff bezeichnet man ein Ereignis, das autorisierten Benutzern die Ausführung entsprechender Funktionen unmöglich macht. Ein DoS-Angriff kann auf jede Komponente der IT-Infrastruktur abzielen oder sogar außerhalb der IT ansetzen. Spielarten von DoS-Angriffen sind zum Beispiel die Überflutung des User Datagram Protocol (UDP), die auf die Internet-Anbindung von Unternehmen abzielt, und Hochfrequenz-Jamming, die das WLAN eines Unternehmens zum Ziel hat. Im Rahmen dieses Artikels definieren wir DoS-Angriffe als Attacken, die den eigentlichen WLAN-Betrieb stören (im Gegensatz zu auf höhere Schichten abzielenden DoS-Attacken).

DoS-Angriffe auf WLANs lassen sich vollkommen problemlos in die Wege leiten. Tatsächlich kann schon das einfache Erhitzen eines Fertiggerichts in der Mikrowelle zu einer unabsichtlichen Störung des WLAN-Betriebs führen. Durch die höhere Reichweite von 802.11n (im Vergleich zu 802.11g/a) könnten sich auch unbeabsichtigte Interferenzen durch benachbarte WLANs ergeben. Eine Implementierung von 802.11n im Frequenzbereich 5 GHz kann die Wahrscheinlichkeit solcher unbeabsichtigten DoS-Interferenzen senken. Grund hierfür ist die bislang deutlich geringere Verbreitung von Produkten, die in diesem Frequenzbereich senden.

Allerdings können Eindringliche mit einer Richtantenne von außerhalb des Gebäudes einen DoS-Angriff starten, indem sie das anvisierte WLAN mit gerichteten Funksignalen überlasten. Im Gegensatz zu Broadcast-Storms in kabelgebundenen LANs, die sich über das ganze LAN ausbreiten, konzentriert sich ein drahtloser DoS-Angriff auf den direkt unter Beschuss genommenen Bereich.

Im Einzelnen gibt es zahlreiche Schwachstellen für DoS-Angriffe auf WLANs. Sie richten sich auf die physische Schicht (PHY), Zuordnungsprozesse sowie auf Authentifizierungsprozesse:

- 802.11-Netzwerke sind anfällig für die gezielte Übertragung von Funksignalen, die Störungen bei der Paket-Übertragung sowie der Netzwerk-Verfügbarkeit verursachen.

- 802.11-Netzwerke sind anfällig für DoS-Angriffe, bei denen unter Verwendung mehrerer gefälschter MAC-Adressen eine hohe Anzahl an Frames mit Zuordnungsanforderungen an einen AP übertragen werden.

- 802.11-Netzwerke sind anfällig für EAPoL Start DoS-Angriffe, bei denen ein AP mit EAPoL-Startmeldungen überflutet wird.

Trotz der vielen Möglichkeiten für DoS-Angriffe halten viele Unternehmen das Risiko eines DoS-Angriffs für gering und ignorieren diese Gefahr einfach. Wir empfehlen, ein Wireless DoS-Szenario in Ihren Planungsprozess für die Business Continuity Ihres Unternehmens aufzunehmen. Darüber hinaus können Unternehmen auch eine netzwerkweite Überwachung implementieren, um mithilfe von im ganzen Unternehmen verteilten Funksensoren mögliche DoS-Angriffe aufzuspüren.

Netzwerk-Schutz

Weitere mögliche Angriffspunkte sind Systeme für Netzwerk-Management und Wireless-Infrastruktur. Zu den Schwachstellen hinsichtlich Netzwerk-Management zählen Bedrohungen wie nicht autorisiertes Management von APs, Controllern, Switches und Gateways über die Netzwerk-Verwaltung.

Hier sind folgende Best Practices zu empfehlen:

- Verwenden Sie statt der Standard-SSID eine für das Unternehmen spezifische Bezeichnung.

- Nutzen Sie ein Controller-basiertes WLAN-System und keine autonomen APs. Die zentrale Verwaltung eines WLAN-Systems verringert die Zahl möglicher Angriffspunkte im Netzwerk.

- Sorgen Sie für mehr Sicherheit beim Zugriff auf WLAN-Hardware durch Verwendung starker Kennwörter. Tauschen Sie Ihre Kennwörter regelmäßig aus.

- Deaktivieren Sie den Wireless-Zugriff auf Management-Funktionen für Wireless-APs und Controller.

- Sehen Sie häufig nach möglicherweise verfügbaren Software-Updates der Hersteller und sorgen Sie für die sofortige Installation von Patches, die mehr Netzwerk-Sicherheit ermöglichen.

Manche Unternehmen sollten auch über die Implementierung folgender Verfahren nachdenken:

- Verwendung verschlüsselter Protokolle für das Netzwerk-Management wie Simple Network Management Protocol (SNMP) v3, Secure Shell (SSH) und SSL; Deaktivierung von SNMP v1 und v2 in APs und Controllern.

- Beschränkung des kabelgebundenen Zugriffs auf APs und Controller auf bestimmte IP-Adressen, Subnetze oder VLANs.

Weitere Informationen

Die Informationen in diesem Experten-Tipp stammen zum Teil von der Website „Wireless Vulnerabilities and Exploits“ (WVE). WVE bietet eine Datenbank bekannter Wireless-Schwachstellen. Sie ähnelt damit anderen Systemen wie den Datenbanken „Common Vulnerabilities and Exposures“ (CVE) und „Open Source Vulnerability Database“ (OSVDB), in denen ebenfalls Schwachstellen katalogisiert werden. Die WVE-Datenbank steht jedem offen und kann von jedem Nutzer ergänzt werden. Alle Beiträge müssen von der WVE-Redaktion genehmigt werden.

 

Über den Autor:

Paul DeBeasi ist leitender Analyst bei der Burton Group und hat mehr als 25 Jahre Erfahrung in der Netzwerk-Branche. Vor dem Eintritt bei der Burton Group gründete er die Wireless-Beratungsfirma ClearChoice Advisors und war als VP of Product Marketing für Legra Systems tätig, einen innovativen Hersteller von Wireless-Switches. Vor der Zeit bei Legra arbeitete DeBeasi als VP für Produkt-Marketing der Startups IPHighway und ONEX Communications und war als Frame Relay Product Line Manager für Cascade Communications tätig. Zu Beginn seiner beruflichen Laufbahn entwickelte DeBeasi Netzwerk-Systeme als leitender Ingenieur bei den Bell Laboratories, Prime Computer und Chipcom Corp. Er hat einen Abschluss als Bachelor of Science in Systemtechnik der Boston University und einen Master-Abschluss für Elektrotechnik der Cornell University. DeBeasi ist ein bekannter Redner und wurde bereits für viele Veranstaltungen gebucht, darunter Interop, Next Generation Networks, Wi-Fi Planet und Internet Telephony.

Artikel wurde zuletzt im November 2008 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Wireless LAN einrichten

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close