Schritt für Schritt zum sicheren WLAN

27.12.2005
Von Jan Wagner und
Holger Gerlach, Senior Director Product Management EMEA bei dem Webhoster Verio Europe.
Unternehmen sollten bei Planung, Aufbau und Betrieb ihrer drahtlosen Netze an Security denken.

Der Trend zum drahtlosen Netz im Unternehmen ist ungebrochen. In der Werbung wird der neue Büroalltag in den buntesten Bildern skizziert, auf denen die Mitarbeiter auch gerne einmal im Grünen ihrer Tätigkeit nachgehen. Solche Visionen des unabhängigen und mobilen Arbeitens scheitern aber oftmals schon an Banalitäten wie dem zu schwachen Akku des Notebooks oder den störenden Sonnenstrahlen auf dem Display. Die vielerorts von der IT-Abteilung eingeforderte und aufwändig implementierte WLAN-Umgebung verkommt so rasch zum teuren und obendrein riskanten Kabelersatz. Die Freiheit genießen dann andere: Ungebetene Gäste im Firmennetz, die das unzureichend abgesicherte WLAN für ihre Zwecke missbrauchen. Damit drahtlose Netze sicher genug sind, sollten bei der Konzeption, Implementierung und dem Betrieb von WLAN-Umgebungen die nachfolgenden Punkte beachtet werden.

Hier lesen Sie...

  • was bei der Konzeption eines sicheren WLAN zu beachten ist;

  • welche Sicherheitsmechanismen bereits überholt und welche zu empfehlen sind;

  • wie die Sicherheit der WLAN-Umgebung im täglichen Betrieb aufrechterhalten wird.

Mehrwert oder Desaster

Ob ein WLAN für das Unternehmen wirtschaftlich ist und tatsächlich Vorteile bietet, sollte vor Projektbeginn kritisch hinterfragt werden, können doch die Kosten und der Aufwand für eine sichere Implementierung erheblich sein. Letztendlich entsteht für die IT-Abteilung eine Baustelle, die sich in ihrer Komplexität durchaus mit der Absicherung und dem Betrieb der Internet-Anbindung vergleichen lässt.

So begegnen Sie Schwachstellen im WLAN

Ebenen

Schwachstellen

Angriffsmöglichkeiten

Technische Lösungen

Transport

Fehlende Absicherung der Management-Pakete innerhalb der Übertragungsstandards; Störanfälligkeit (z.B. durch Bluetooth oder DECT)

Denial-of-Service-Angriffe; Man-in-the-Middle-Angriffe; direkte Angriffe auf einzelne Clients

Wireless IDS - zum Erkennen von Angriffen; Signal Analyser - zur Ermittlung von Störquellen; Personal Firewall (Client-seitig)

Authentifizierung

Fehlende protokolleigene Authentifizierungsfunktionen; Übertragung schwach- oder unverschlüsselter Authentifizierungsdaten; Verwendung schwacher pre-shared-Schlüssel für VPN

Mitlesen von schwach- oder unverschlüsselten Authentifizierungsdaten; Identitätsfälschung auf Basis gültiger MAC-Adresse; Brute-Force-Angriffe auf die VPN-Authentifizierung

Wireless Login-Portal (https) in Verbindung mit der MAC-Adresse; 802.1x-User-Authentifizierung/dynamische Schlüssel; WPA-Verbindung von MAC-Adresse und Schlüssel; VPNs mit starken Zertifikaten

Verschlüsselung

Schwache protokolleigene Verschlüsselung (WEP); Mangelhaftes RC4-Verfahren bei Dynamic WEP und WPA1.0; Schwache Verschlüsselung innerhalb des VPN (DES etc.)

Brechen der zu schwachen Verschlüsselung

AES-basierende Verfahren (WPA 2.0/802.11i); VPN (mit moderater Verschlüsselung; >DES3); Zusätzliche Verschlüsselung auf Applikationsebene (z.B. SSH); Zusätzliche Dateiverschlüsselung (z.B. PGP)

Applikation

Analog der Schwachstellen im LAN (TCP-, UDP-Protokolle); Broadcast aller Pakete

Identisch der Angriffsmöglichkeiten im LAN (Spoofing, Man in the Middle etc.)

Netzsegmentierung (Firewall, VLAN etc.); Personal Firewalls (clientseitig); Einschränkung der erreichbaren Dienste und regelmäßige Updates aller Systeme; IDS/IPS-Systeme"

Unternehmen mit hohem Schutzbedarf müssen darüber hinaus abwägen, ob die stets verbleibenden Restrisiken tragbar sind. Ebenfalls ist vor Projektbeginn der Realismus technischer Erwartungen an das WLAN zu prüfen. So können zum Beispiel geografische und bauliche Gegebenheiten oder weitere im 2,4-Gigahertz-Band operierende Techniken wie Bluetooth oder Dect den Produktivbetrieb stark beeinträchtigen. Spätestens nach der Implementierung starker Verschlüsselungsalgorithmen wird die Übertragungsrate dann in den analogen Bereich oder sogar gegen null tendieren.

Aber selbst bei optimalen Bedingungen lassen sich Geschwindigkeiten von mehr als 25 Mbit/s derzeit kaum realisieren. Dies resultiert unter anderem aus dem Protokoll-Overhead des Standards 802.11g. Sollen überdies Clients auf Basis des b- und g-Standards gemeinsam angebunden werden, reduziert der Kompatibilitätsmodus den Durchsatz zusätzlich. Zu niedrige Übertragungsgeschwindigkeiten und häufige Verbindungsabbrüche können letztendlich dazu führen, dass die Applikationen im Funknetz ihren ordnungsgemäßen Dienst versagen.