Fotolia

Best Practices für WLAN-Sicherheit

Ein sicheres WLAN ist für Unternehmen wichtiger denn je. Hier finden Sie ausführliche Tipps zum Schutz des Netzwerks und zur Abwehr von Angreifern.

Die vielleicht größte Herausforderung für viele Unternehmen ist die Sicherheit ihres Wireless Local Area Network (WLAN). In diesem dreiteiligen Experten-Tipp stellen wir Best Practices zur Absicherung von WLANs im Unternehmen vor.

Im ersten Teil beschäftigen wir uns mit der systematischen Überwachung Ihres WLANs, um Eindringlinge sofort aufzuspüren und die Erkennung Ihres Netzwerks pro aktiv zu unterbinden. Im zweiten und dritten Teil dreht sich alles um den Schutz von Benutzern beziehungsweise des Netzwerks.

Definition von Best Practice

Im Hinblick auf WLAN-Sicherheit ist der eingedeutschte Begriff Best Practice relativ – die beispielsweise im Finanzministerium angewandten Best Practices können sich erheblich von denen eines Fastfood-Restaurants unterscheiden. Grund hierfür sind die unterschiedlichen Bewertungen der Gefahren für die WLAN-Sicherheit.

Im Rahmen dieses Beitrags definieren wir Best Practices als häufig angewandte, kosteneffektive und auf nahezu alle Unternehmen anwendbare Methodologie. Der Begriff Practice bezieht sich dabei auf Technologien und Verfahren. So handelt es sich beispielsweise bei Verwendung von Wi-Fi Protected Access 2 (WPA2)-Sicherheit um eine Best Practice für den Einsatz von Technologie. Demgegenüber stellt die Anweisung Mitarbeiter darauf aufmerksam machen, keine Verbindung zu einem Adhoc-WLAN herzustellen eine verfahrensbezogene Best Practice dar.

Aufspüren von Netzwerken

Um WLANs und die entsprechenden Service Set Identifiers (SSID) aufzuspüren, nutzen Eindringlinge eine Reihe verschiedener Methoden. So kommt beispielsweise kostenlose Software wie NetStumbler in Kombination mit Hochleistungsantennen zum Einsatz, um WLANs zu orten. Unglücklicherweise ist es nahezu unmöglich, ein WLAN oder dessen SSID zu verbergen, weil Management- und Control-Frames ursprünglich nicht verschlüsselt waren. Erst mit dem IEEE-Standard 802.11w wurde auch die Möglichkeit geschaffen, einige der Management-Frames verschlüsselt zu übertragen.

Manche Sicherheitsexperten empfehlen, die SSID-Ausstrahlung in Sende-Frames ebenso zu deaktivieren wie die Reaktion auf Anfragen zur SSID-Ausstrahlung. Unserer Meinung nach ist diese Vorgehensweise allerdings nicht ratsam. Die erste Maßnahme führt zu mehr Datenverkehr im WLAN, weil dadurch alle Geräte im Netzwerk gezwungen werden, durch regelmäßige Übertragung einer Anfrage nach einem gültigen Access-Point (AP) zu suchen. Die zweite Maßnahme zwingt den Netzwerk-Administrator zur manuellen Konfiguration der SSID auf jedem Gerät im Netzwerk. Dabei gewährleistet keine der beiden Maßnahmen einen wirklich effektiven Schutz vor der Erkennung des WLANs. Wir möchten daher folgende Best Practices empfehlen:

  • Installieren Sie APs an nicht einsehbaren Standorten. Dies verhindert eine zufällige Entdeckung des WLANs und erschwert zudem die Ermittlung des AP-Standorts.
  • Verringern Sie die Sendeleistung, um das Risiko von Hochfrequenzlecks zu minimieren. Durch die Verringerung der Sendeleistung beschränken Sie die Abdeckung auf die Bereiche, in denen auch wirklich ein Funksignal empfangen werden soll.
  • Aktivieren Sie die Funktion Protected Management Frames, falls Ihre WLAN-Router oder WLAN-Access-Points diese Option bieten.

Unternehmen mit besonders hohen Sicherheitsanforderungen können auch Richtantennen verwenden. Damit haben sie im Vergleich zu Rundstrahlantennen mehr Kontrolle über die Signalausbreitung. Wenn Sie die Richtantennen auf das Gebäudeinnere ausrichten, minimieren Sie damit auch die Gefahr von Hochfrequenzlecks außerhalb des Gebäudes.

Eindringen ins Netzwerk

Bei einem Einbruch in das Netzwerk (Network Intrusion) entsteht nicht autorisierter Datenverkehr. Dieser könnte eine gezielte Ausnutzung von Schwachstellen im System oder die Verbreitung von bösartigem Code (zum Beispiel Würmer und Trojaner) zur Absicht haben oder zumindest gegen die Nutzungsrichtlinien des Unternehmens verstoßen. Am häufigsten erfolgen nicht autorisierte Zugriffe auf ein Funknetzwerk über einen nicht autorisierten AP (Rogue Access Point). Eine weitere Angriffsmethode ist die Herstellung einer Ad-hoc-Verbindung. Dabei kann ein Gerät unabhängig von einem AP eine Verbindung zu einem anderen Gerät herstellen. Diese Art der Wireless-Verbindung eröffnet Möglichkeiten für Man-in-the-Middle-Angriffe (MITM).

Mit einem Wireless Intrusion Detection System (WIDS) beziehungsweise Wireless Intrusion Prevention System (WIPS) lässt sich das Netzwerk auf nicht autorisierte APs oder Geräte überwachen. Gleichzeitig sorgt ein solches System auch für die Durchsetzung von Richtlinien und spürt anomales oder verdächtiges Verhalten auf. Eine übergeordnete WIPS-Lösung basiert auf dedizierten, verteilten Hardwaresensoren, die von der Optik her APs ähnlich sehen. Diese Sensoren überwachen kontinuierlich sämtliche Kanäle und melden Anomalien sofort der zentralen Management-Konsole. Alternativ können Unternehmen eine integrierte WIPS-Lösung (von WLAN-Systemanbietern) beziehen, bei der die Sensorfunktion in einen AP integriert ist. Allerdings bieten viele dieser integrierten Lösungen keine kontinuierliche Überwachung und könnten daher manche Einbruchsversuche übersehen.

Wir empfehlen hier folgende Best Practices:

  • Verwenden Sie eine WIPS-Lösung zur Überwachung auf nicht autorisierte APs in den Frequenzbereichen 2,4 GHz und 5 GHz. Zusätzlich sollten Sie auf beiden Frequenzbändern – vor allen in Bereichen ohne oder mit nur schlechter Abdeckung – mit einem mobilen Gerät regelmäßig nach nicht autorisierten APs Ausschau halten.
  • Setzen Sie im kabelgebundenen Netzwerk spezielle Überwachungstechnologien ein, um Eindringlinge in das Funknetzwerk aufzuspüren. So sollten beispielsweise nur die DHCP-Anforderungen (Dynamic Host Configuration Protocol) autorisierter Netzwerkgeräte akzeptiert werden. Diese Technik verhindert die Vergabe von IP-Adressen an nicht autorisierte APs. Gleichzeitig alarmiert sie bei Versuchen den Netzwerk-Administrator und macht ihn auf einen möglichen Einbruch aufmerksam.
  • Bringen Sie Ihren Mitarbeitern bei, keine Verbindung zu einem Ad-hoc-WLAN herzustellen.

Benutzer schützen

Dieser Teil beschreibt die Best Practices für starke Benutzer-Authentifizierung und Datensicherheit in einem WLAN.

Authentifizierung

Der erste Schritt zur Kontrolle des Zugriffs auf Netzwerkressourcen ist die Einrichtung einer Benutzeridentität. In manchen Unternehmen werden Benutzer anhand ihrer MAC-Adresse (Media Access Control Address) authentifiziert. Für einen Eindringling ist es allerdings ein Leichtes, die MAC-Adressen gültiger Frames zu kopieren und anschließend die MAC-Adresse seines eigenen Notebooks entsprechend zu ändern, um auf diese Weise Zugang zum Netzwerk zu erhalten. Eine identitätsbasierte Authentifizierung setzt alternativ dazu auf den IEEE 802.1X-Standard, das Extensible Authentication Protocol (EAP) und den Remote Authentication Dial-In User Service (RADIUS).

Andere Unternehmen realisieren mithilfe von Technologien wie IPsec oder SSL ein VPN über das WLAN. Dabei wird die Authentifizierung über das VPN verwendet, beispielsweise durch Extended Authentication (XAUTH) mit dem Challenge-Handshake Authentication Protocol (CHAP).

Der 802.1X-Standard nutzt für die Benutzerauthentifizierung EAP. Dabei handelt es sich um ein Framework, das Möglichkeiten zur Verkapselung verschiedener Authentifizierungsverfahren definiert. Aufgrund ihrer weiten Verbreitung und der nur geringen bis moderaten Risiken bei Ihrer Verwendung, empfehlen wir die der Tabelle genannten EAP-Typen.

Tabelle

Erläuterungen zu Akronymen in der Tabelle:

  • EAP-TLS: Transport Layer Security
  • EAP-TTLS MS-CHAP v2: Tunneled TLS mit Microsoft Challenge-Handshake Authentication Protocol Version 2
  • PEAP MS-CHAP v2: Protected EAP mit Microsoft Challenge-Handshake Authentication Protocol Version 2
  • EAP-FAST: Flexible Authentifizierung über Secure Tunneling
  • LEAP: Lightweight Extensible Authentication Protocol
  • PAC: Protected Access Credentials

Wir empfehlen dazu die folgenden Best Practices:

  • Bei Implementierung von 802.1X für das kabelgebundene Netzwerk sollten Sie 802.1X mit EAP verwenden, um eine gegenseitige Authentifizierung von Benutzern und Servern zu gewährleisten. Unternehmen sollten einen der folgenden EAP-Typen einsetzen: TLS, TTLS, PEAP, FAST oder das proprietäre LEAP von Cisco. Beachten Sie, dass für EAP-TLS auf dem anfragenden und dem Authentifizierungsserver entsprechende Zertifikate benötigt werden.
  • Ist kein 802.1X für das kabelgebundene Netzwerk implementiert, sollten Sie IPsec oder SSL verwenden (falls durch die Unternehmensanwendungen unterstützt). Dies dient einer gegenseitigen Authentifizierung von Benutzern und Servern.
  • Die Authentifizierung von Gästen sollte über eine Portal-Webseite erfolgen und ihre Nutzung des Netzwerks überwacht werden.

Vertraulichkeit und Integrität von Daten

Unternehmen müssen dafür Sorge tragen, eine absichtliche, versehentliche, nicht autorisierte oder unangemessene Offenlegung von Informationen zu verhindern. Eindringlinge könnten den Datenverkehr in Ihrem Netzwerk mit kostenloser Software (beispielsweise. Aircrack-ng) und kommerziellen Tools für die Paketerfassung (etwa WiFi Analyzer Pro von AirMagnet) belauschen. In Kombination mit Hochleistungsantennen lässt sich so ein WEP-Schlüssel oder ein RC4-Keystream (Rivest Cipher 4) ermitteln (oft auch als Shared-Key-Angriff bezeichnet). Abgesehen davon ist auch der von WEP verwendete Cyclic Redundancy Check (CRC) eine Schwachstelle, da der CRC die Manipulation eines Frames durch einen Eindringling nicht erkennt.

WEP wurde zunächst durch das Interim-Verfahren WPA und später durch den WPA2-Sicherheitsstandard (basierend auf dem 802.11i-Standard) ersetzt. WPA2 bietet eine starke Verschlüsselung durch den Advanced Encryption Standard (AES), dynamischen Schlüsselaustausch und starke Authentifizierung mit 802.1X.

Wir empfehlen hier die folgenden Best Practices:

  • Falls bereits 802.1X für die Authentifizierung im kabelgebundenen LAN verwendet wird, sollten Sie die Vertraulichkeit und Integrität Ihrer Wireless-Daten mit WPA2 schützen. Ist die Verwendung von WPA2 nicht möglich (zum Beispiel aufgrund veralteter Geräte), sollten Sie WPA nutzen. Für WPA/WPA2 empfiehlt sich die Verwendung des 802.1X-Standards, weil dieser ein Verfahren zur automatischen Verteilung von Schlüsseln bietet. Darüber hinaus unterstützt er auch die Benutzer-Authentifizierung.
  • Ist kein 802.1X für das kabelgebundene Netzwerk implementiert, sollten Sie IPsec oder SSL verwenden (falls durch die Unternehmensanwendungen unterstützt), um Vertraulichkeit und Integrität Ihrer Wireless-Daten sicherzustellen. Eine vertretbare Alternative zu 802.1X, IPsec oder SSL – allerdings nur für kleine Standorte – ist die Verwendung von WPA oder WPA2 mit Pre-Shared Keys (PSK). Beachten Sie, dass PSKs für Offline-Dictionary-Angriffe anfällig sind. Dieser Schutz kann auch durch Mitarbeiter ausgehebelt werden, die einen PSK entweder versehentlich oder mit Absicht an Dritte weitergeben. Zudem ist die Verwaltung von PSKs in großen Netzwerken äußerst kompliziert, wenn der PSK geändert werden soll (beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt). In diesem Fall muss jeder Client im Netzwerk mit dem neuen PSK konfiguriert werden. Aus diesem Grund sollte bei der Verwendung von PSKs mit größter Sorgfalt vorgegangen werden.
  • Die Verwendung von WEP ist nicht empfehlenswert. Falls Sie trotzdem WEP oder gar keine WLAN-Verschlüsselung verwenden, sollten Sie das WLAN außerhalb der Firewall implementieren. Bei dieser Vorgehensweise stuft die Firewall das WLAN als nicht vertrauenswürdig ein.
  • Trennen Sie den von Gästen generierten Datenverkehr über das gemeinsame WLAN/LAN mithilfe einer separaten SSID sowie einem separaten kabelgebundenen, virtuellen LAN (VLAN).
  • Isolieren Sie den WEP-Datenverkehr von WPA/WPA2-Traffic mit einer separaten SSID sowie einem separaten kabelgebundenen VLAN.

Das Netzwerk schützen

In diesem Abschnitt erörtern wir Verfahren für den Schutz Ihres Netzwerks vor Angriffen und nennen Best Practices für den Fall eines DoS-Angriffs (Denial-of-Service).

Denial-of-Service

Als DoS-Angriff bezeichnet man ein Ereignis, das autorisierten Benutzern die Ausführung entsprechender Funktionen unmöglich macht. Ein DoS-Angriff kann auf jede Komponente der IT-Infrastruktur abzielen oder sogar außerhalb der IT ansetzen. Spielarten von DoS-Angriffen sind zum Beispiel die Überflutung des User Datagram Protocol (UDP), das auf die Internetanbindung von Unternehmen abzielt. Auch Hochfrequenz-Jamming ist eine Angriffssart, die das WLAN eines Unternehmens zum Ziel hat. Im Rahmen dieses Artikels definieren wir DoS-Angriffe als Attacken, die den eigentlichen WLAN-Betrieb stören (im Gegensatz zu auf höhere Schichten abzielende DoS-Attacken).

DoS-Angriffe auf WLANs lassen sich vollkommen problemlos in die Wege leiten. Tatsächlich kann schon das einfache Erhitzen eines Fertiggerichts in der Mikrowelle zu einer unabsichtlichen Störung des WLAN-Betriebs führen. Durch die höhere Reichweite von 802.11n (im Vergleich zu 802.11g/a) könnten sich auch unbeabsichtigte Interferenzen durch benachbarte WLANs ergeben. Eine Implementierung von 802.11n im Frequenzbereich 5 GHz kann die Wahrscheinlichkeit solcher unbeabsichtigten DoS-Interferenzen senken. Grund hierfür ist die bislang deutlich geringere Verbreitung von Produkten, die in diesem Frequenzbereich senden.

Allerdings können Eindringliche mit einer Richtantenne von außerhalb des Gebäudes einen DoS-Angriff starten, indem sie das anvisierte WLAN mit gerichteten Funksignalen überlasten. Im Gegensatz zu Broadcast-Storms in kabelgebundenen LANs, die sich über das ganze LAN ausbreiten, konzentriert sich ein drahtloser DoS-Angriff auf den direkt unter Beschuss genommenen Bereich.

Im Einzelnen gibt es zahlreiche Schwachstellen für DoS-Angriffe auf WLANs. Sie richten sich auf die physische Schicht (PHY), die Zuordnungsprozesse sowie auf die Authentifizierungsprozesse:

  • 802.11-Netzwerke sind anfällig für die gezielte Übertragung von Funksignalen, die Störungen bei der Paket-Übertragung sowie der Netzwerkverfügbarkeit verursachen.
  • 802.11-Netzwerke sind anfällig für DoS-Angriffe, bei denen unter Verwendung mehrerer gefälschter MAC-Adressen eine hohe Anzahl an Frames mit Zuordnungsanforderungen an einen AP übertragen werden.
  • 802.11-Netzwerke sind anfällig für EAPoL Start DoS-Angriffe, bei denen ein AP mit EAPoL-Startmeldungen überflutet wird.

Trotz der vielen Möglichkeiten für DoS-Angriffe halten viele Unternehmen das Risiko eines DoS-Angriffs für gering und ignorieren diese Gefahr einfach.

Wir empfehlen, ein Wireless-DoS-Szenario in Ihren Planungsprozess für die Business Continuity Ihres Unternehmens aufzunehmen. Darüber hinaus können Firmen auch eine netzwerkweite Überwachung implementieren, um mithilfe von im ganzen Unternehmen verteilten Funksensoren mögliche DoS-Angriffe aufzuspüren.

Netzwerk-Schutz

Weitere mögliche Angriffspunkte sind Systeme für das Netzwerk-Management und die Wireless-Infrastruktur. Zu den Schwachstellen hinsichtlich des Netzwerk-Managements zählen Bedrohungen wie nicht autorisiertes Management von APs, Controllern, Switches und Gateways über die Netzwerkverwaltung.

Hier sind folgende Best Practices zu empfehlen:

  • Verwenden Sie statt der Standard-SSID eine für das Unternehmen spezifische Bezeichnung.
  • Nutzen Sie ein Controller-basiertes WLAN-System und keine autonomen APs. Die zentrale Verwaltung eines WLAN-Systems verringert die Zahl möglicher Angriffspunkte im Netzwerk.
  • Sorgen Sie für mehr Sicherheit beim Zugriff auf WLAN-Hardware durch Verwendung starker Passwörter. Tauschen Sie Ihre Kennwörter regelmäßig aus.
  • Deaktivieren Sie den Wireless-Zugriff auf Management-Funktionen für Wireless-APs und WLAN-Controller.
  • Sehen Sie häufig nach möglicherweise verfügbaren Software-Updates der Hersteller und sorgen Sie für die sofortige Installation von Patches, die mehr Netzwerk-Sicherheit ermöglichen.

Manche Unternehmen sollten auch über die Implementierung folgender Verfahren nachdenken:

  • Verwendung verschlüsselter Protokolle für das Netzwerk-Management wie Simple Network Management Protocol v3 (SNMP), Secure Shell (SSH) und SSL; Deaktivierung von SNMP v1 und v2 in APs und Controllern.
  • Beschränkung des kabelgebundenen Zugriffs auf APs und Controller auf bestimmte IP-Adressen, Subnetze oder VLANs.

Weitere Informationen

Die Informationen in diesem Experten-Tipp stammen zum Teil von der Website Wireless Vulnerabilities and Exploits (WVE). WVE bietet eine Datenbank bekannter Wireless-Schwachstellen. Sie ähnelte damit anderen Systemen wie den Datenbanken Common Vulnerabilities and Exposures (CVE) und Open Source Vulnerability Database (OSVDB), in denen ebenfalls Schwachstellen katalogisiert werden. Die WVE-Datenbank steht jedem offen und kann von jedem Nutzer ergänzt werden. Zweitweise ist die Webseite aber nicht erreichbar. Alle Beiträge müssen von der WVE-Redaktion genehmigt werden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

WLAN-Sicherheit: Eine Liste mit Angriffstechniken auf 802.11 und 802.1X

Wi-Fi-Verschlüsselung: Grundlegendes zu WEP, WPA und WPA2

Ratgeber: Die besten Lösungen für lokal gesteuertes WLAN

Ratgeber: Die besten Lösungen für Cloud-gesteuertes WLAN

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Wireless LAN einrichten

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close