Schritt für Schritt zum sicheren WLAN

27.12.2005
Von Jan Wagner und Holger Gerlach

Auf Transportebene bietet kein derzeit verfügbarer WLAN-Standard Schutzmechanismen zur Wahrung der Authentizität protokollbedingter Management-Informationen. Ein nicht autorisierter Client kann problemlos Management-Pakete mit gefälschter Absenderadresse an alle Funk-LAN-Komponenten in seiner Reichweite versenden. Unabhängig von den verwendeten Verschlüsselungsmechanismen besteht somit immer die Möglichkeit von (802.11-basierenden) Denial-of-Service- (DoS-) und Man-in-the-Middle-Angriffen. Diese Schwachstelle ermöglicht es Angreifern auch, als Access Point zu agieren, um die nach einem Netzzugang suchenden Clients in seiner Umgebung zu einem Verbindungsaufbau zu motivieren. WLAN-Clients ohne Personal Firewall sind dann dem Angreifer - ähnlich einer ungeschützten Verbindung zum Internet - schutzlos ausgeliefert.

Funkreichweite

Leider gibt es derzeit keine Lösung, um die beschriebene Schwachstelle komplett zu beseitigen. Damit die genannten Angriffsvarianten wenigstens erkannt werden, empfiehlt sich der Einsatz von Wireless Intrusion Detection Systemen. Ein weiterer Ansatz zur Risikoreduzierung ist die physikalische Einschränkung der Funksignale. So kann durch eine ideale Positionierung oder Schirmung der WLAN-Umgebung das Signalfeld auf das benötigte Minimum reduziert werden. Eine weiträumige Überschreitung des Firmenareals ist generell zu vermeiden.

Auf der Authentifizierungsebene existieren ebenfalls Probleme: So beinhalten die Transportstandards der 802.11-Familie keinerlei Mechanismen für eine ausreichend sichere Authentifizierung. Die gängigen Verfahren SSID-Hidding, Shared-Key-Authentifizierung und MAC-Adressfilterung haben Angriffsversuchen nur wenig entgegenzusetzen. Die SSID (Service Set Identifier) als Netzname der WLAN-Umgebung wird sofort beim Verbindungsversuch eines Clients bekannt. Im Shared-Key-Verfahren betriebene Netze vereinfachen sogar das Brechen der damit einhergehenden WEP-Verschlüsselung, da der Angreifer eine gültige Kombination von Klartext und verschlüsselten Authentifizierungsdaten erhält.

Grundregeln, die Sie beachten sollten

  • Wählen Sie bei der Implementierung des WLAN nur die als sicher geltenden Verschlüsselungsstandards (WPA 2.0 / 802.11i) beziehungsweise nutzen Sie zusätzlich VPN-Technologie.

  • Definieren Sie Zugriffsrechte auf Basis von Benutzergruppen und unter Verwendung des Authentifizierungsstandards 802.1x. Dies gilt insbesondere, wenn auch Gäste oder externe Mitarbeiter das WLAN nutzen.

  • Implementieren Sie die WLAN-Umgebung als ein eigenständiges Netzsegment, das durch Paketfilter vom kabelgebundenen Netz getrennt und reglementiert wird.

  • Nutzen Sie für größere WLAN-Umgebungen die Möglichkeit des zentralen Managements, zum Beipiel mittels eines Radius-Servers in Verbindung mit dem 802.1x-Standard.

  • Achten Sie bei der Wahl der Komponenten und bei deren Positionierung darauf, dass das Signalfeld das Firmengelände möglichst nicht überschreitet. Außerhalb regulärer Geschäftszeiten sollten die Access Points deaktiviert werden.

  • Gewährleisten Sie einen optimalen Schutz der WLAN-Clients, insbesondere gegen Computerviren und unautorisierte Systemzugriffe.

  • Beziehen Sie die WLAN-Umgebung in das IT-Sicherheits-Management ein und sorgen Sie durch Schulung und Sensibilisierung für einen bewussten Umgang mit der Technik. Zusätzlich müssen entsprechende Regelungen in den internen IT-Richtlinien verankert werden.