computerwoche.de

Archiv

Was Anwender bei Funknetzen beachten müssen

Sicherheit und andere Tücken im WLAN

28.06.2002
MÜNCHEN (hi) - Wireless LANs werden als moderne Methode der Rechnervernetzung ohne Kabelverhau immer populärer. Damit das Funknetz in der Praxis reibungslos funktioniert, sind einige Grundregeln bei der Installation zu beachten. Neben der richtigen Auslegung der Funkzellen verdient der Sicherheitsaspekt Aufmerksamkeit.

Ist das Aufspüren von Funknetzen überhaupt strafbar? Diese ketzerische Frage stellten Maximilian Dornseif, Doktorand am Lehrstuhl für Strafrecht der Universität Bonn, sowie der Informatiker Christian Klein, nachdem beide in Köln und Bonn nach ungesicherten Funk-LANs gesucht hatten. Das ernüchternde Ergebnis: Von 300 WLANs war rund die Hälfte völlig ungesichert. Und deshalb, so argumentiert Dornseif, sei das Ausspionieren von Daten in diesen Netzen womöglich nicht strafbar, denn der Schutz des Gesetzes erstrecke sich nur auf besonders gesicherte Daten. Entsprechend harsch fällt das Urteil von Hartmut Pohl vom Institut für Informationssicherheit in Köln aus. Er rät den Unternehmen, sofort alle WLANs abzuschalten. Der Sicherheitsexperte glaubt, dass die Schäden durch das Ausspionieren der drahtlosen Netze je Schadensfall in zweistellige Millionenhöhe gehen können.

Unter Aspekten der absoluten Sicherheit hat Pohl mit seiner Forderung nach einem sofortigen Abschalten der Netze vermutlich Recht, doch viele Funknetzbetreiber können beim besten Willen nicht mehr auf dieses Übertragungsverfahren verzichten. Beispielsweise verbieten Denkmalschutzvorschriften oft das Verlegen neuer Leitungen. Mitunter erfordern auch Anwendungsszenarien wie die Materialerfassung in einer Lagerhalle oder ein multimedialer Museumsrundgang, für den der Besucher einen PDA erhält, den mobilen Netzzugriff.

In Sachen Sicherheit wäre schon viel gewonnen, wenn die Netzverantwortlichen die standardmäßigen Sicherheits-Features der WLANs überhaupt nutzen würden. Selbst wenn das eigentliche Verfahren WEP (Wired Equivalent Privacy) bereits vor längerer Zeit geknackt wurde (siehe CW 7/01, Seite 22), so erschwert doch seine Benutzung ungebetenen Gästen zumindest die Arbeit. Ein weiterer Schritt wäre die Verwendung von Netzwerknamen (=SSID), die nicht selbsterklärend und deshalb nicht einfach zu erraten sind. Die Verwendung der Default-Einstellung "Any" mit der die Geräte ausgeliefert werden, kommt geradezu einer Einladung gleich.

Zugriff über MAC-Adressen einschränken

Ferner bieten fast alle Access Points - so heißen die Punkte, über die Funkkarten Zugang zum Netz erhalten - die Option, die MAC-Adressen der WLAN-Karten zu überprüfen. Hierbei handelt es sich um eine weltweit einmalige Kennnummer, die jede Netzkarte vom Hersteller bekommt. Werden nun die Access Points so konfiguriert, dass nur festeingetragene MAC-Adressen mit ihnen kommunizieren dürfen, ist für ungebetene Gäste die Kontaktaufnahme beim Lauschangriff deutlich schwieriger. Allerdings bedeutet diese Vorgehensweise für den Netzadministrator einen erheblichen Mehraufwand, denn die verwendete Funkkarte ist eigens freizuschalten. Zudem widerspricht dieser Ansatz dem Gedanken der mobilen Freiheit, da es dann etwa nicht mehr ohne Vorarbeiten möglich wäre, Gästen in einem Besprechungsraum einen temporären Zugriff auf Informationen via WLAN einzuräumen.

Hier hilft womöglich ein zweigleisiger Netzaufbau weiter: In den internen WLANs, die nur für die eigenen Mitarbeiter bestimmt sind, wird eine rigide Sicherheitspolitik verfolgt, während die WLANs in Bereichen mit Publikumsverkehr als öffentliches Netz betrachtet werden. Dieses öffentliche Netz ist dann aber auch, so die einstimmige Meinung der Experten, wie das öffentliche Internet zu betrachten und vor der Firewall anzuschließen. Es ist grundsätzlich als unsicher zu bewerten.

Gefährlicher Ad-hoc-Modus

Ferner sollte in diesem Zusammenhang darauf geachtet werden, dass der Ad-hoc-Modus der Funkkarten deaktiviert wird. Er erlaubt es zwei Funkkarten, direkt ohne Access-Point miteinander in Kontakt zu treten. Damit könnte also ein Notebook selbst in einem geschützten WLAN auf Informationen Zugriff erhalten, wenn es direkt mit einem anderen Rechner kommuniziert.

Mit darüber hinausgehenden Maßnahmen lässt sich der Schutz weiter verbessern. Pohl rät etwa, ein Zugriffsprotokollsystem zu verwenden. WLAN-Benutzer erhalten dabei erst dann Zugriff, wenn sie über einen Radius-Server eindeutig authentifiziert sind. Ebenfalls empfehlenswert ist die Verwendung von VPNs, um die Daten mit Hilfe einer End-to-End-Verschlüsselung gesichert zu übertragen. Um überhaupt etwaige Angriffsversuche erkennen zu können, ist zudem die Installation eines Intrusion-Detection-Systems in Erwägung zu ziehen.

Kommen diese Verfahren zum Einsatz, so kann Pohl zufolge möglicherweise auf WEP verzichtet werden. Verzicht ist meist auch bei den herstellerspezifischen Sicherheitmaßnahmen angesagt. Leugnete die IT-Industrie anfangs noch die Sicherheitsrisiken von WLANs gemäß dem Standard 802.11b (siehe Kasten "Standards für Wireless LANs"), besserten die Hersteller später nach. Dabei kocht jedoch fast jeder sein eigenes Süppchen: Der eine verlängerte die WEP-Schlüssellänge von 40 Bit auf 128 Bit, der andere ersetzte den verwendeten Algorithmus RC4 durch Triple DES und andere Verfahren. Methoden, die zwar mehr Sicherheit schaffen, jedoch einen gravierenden Nachteil haben: Sie sind proprietär.

Wer sich beim Aufbau und Betrieb eines WLAN nicht auf einen Hersteller festlegen will, kommt nicht umhin, WLAN-Equipment mit dem Wifi-Logo zu kaufen. Dieses Logo der etwa 140 Hersteller umfassenden Wireless Ethernet Compatibility Alliance (Weca) soll das Zusammenspiel der Komponenten unterschiedlicher Firmen garantieren. Kleinster gemeinsamer Nenner ist dabei der WLAN-Standard 802.11b, und der sieht nur das diskreditierte WEP-Verfahren als Sicherheitsmaßnahme vor. Darüber hinausgehende Standards des Normungsgremiums Institute of Electrical and Electronics Engineers (IEEE), die eine höhere Sicherheit gewährleisten sollen, haben bislang in die Wifi-Definition keinen Einzug gehalten. Ferner bewerben etliche Hersteller Funktionen als Standards, für die heute lediglich IEEE-Entwürfe existieren. Unter Kompatibilitätsaspekten ist deshalb eine genaue Unterscheidung zu treffen.

Auch wenn die Frage nach geeigneten Sicherheitsmaßnahmen den größten Raum bei der Planung und Einrichtung eines Wireless LANs einnimmt, sollten einige andere Aspekte nicht vergessen werden. Pohl zufolge ist bereits vor Beginn der Planung zu prüfen, ob die WLANs wirklich notwendig oder ob nicht Bequemlichkeit und technischer Spieltrieb die eigentlichen Motivationsfaktoren sind. Damit man diese Diskussionen nicht laufend neu führen muss, sollte der Entscheidungsprozess als standardisierte Richtlinie im Unternehmen festgeschrieben werden. An einer Formalisierung dieses Prozesses, bei dem die geschäftliche Notwendigkeit Kriterien wie Sicherheit und Kosten gegenübergestellt wird, arbeitet etwa BMW, wie Daniel Lange, IT-Stratege bei dem bayerischen Autobauer, erzählt.

Ferner ist zu bedenken, welche Daten über das drahtlose Netz übertragen werden. Für eine Entwicklungsabteilung mit großen CAD/CAM-Dateien dürfte die nutzbare Bandbreite von 5 bis 6 Mbit/s bei 802.11b wohl kaum ausreichen. Hier empfiehlt sich das Warten auf Geräte gemäß IEEE-Standard 802.11a, denn er sieht Bruttotransferraten von bis zu 54 Mbit/s vor.

Ein Umschwenken auf 802.11a hat jedoch wiederum Konsequenzen für das geplante Layout der drahtlosen Infrastruktur. Theoretisch hat das schnellere WLAN nämlich eine geringere Funkreichweite als das heute übliche 802.11b. Damit sind etwa zwei- bis viermal so viele Access Points notwendig - ein Gesichtspunkt, der auch bei Migrationsplänen von 802.11b auf 802.11a zu beachten ist. Dafür wartet 802.11a mit einem anderen technischen Vorteil auf: Die Access Points verfügen über acht parallel nutzbare Funkkanäle, während die heute gebräuchlichen WLANs nur drei verwendbare Kanäle bieten. In der Praxis hat dieser Unterschied zur Folge, dass sich auf gleichem Raum mehr Access Points gemäß IEEE 802.11a installieren lassen und somit einer größeren Zahl an Benutzern der gleichzeitige drahtlose Netzzugriff erlaubt ist - allerdings zum heutigen Zeitpunkt auch zu deutlich höheren Kosten.

Ein weiterer Fallstrick bei der Konzeption der Funknetze lauert in der unterschiedlichen Richtcharakteristik der Antennen. Wird etwa in der Evaluierungsphase ein Netz mit dem Equipment von Hersteller A konzipiert und eine flächendeckende Ausleuchtung erzielt, so können später - falls dann doch die Entscheidung zugunsten von Produzent B getroffen wurde - Funklöcher entstehen, wenn dessen Antennen ein anderes Abstrahlverhalten aufweisen. In Zusammenhang mit der Funkabdeckung ist zudem auf potenzielle Störungen durch elektrische Geräte oder Industrieanlagen zu achten, da diese die Reichweite drastisch reduzieren können. Was also in den typischen Teststunden der IT-Abteilungen zu nachtschlafender Zeit noch funktioniert, kann am nächsten Morgen im Produktivbetrieb der Maschinen aufgrund von Störungen möglicherweise versagen.

Anschluss der Access Points

Bei aller Euphorie in Sachen Mobilität und Flexibilität - auch die Access Points benötigen Strom und einen verkabelten Netzanschluss an die IT-Infrastruktur. Was im ersten Moment trivial klingt, bereitet etwa in denkmalgeschützten Gebäuden durchaus Schwierigkeiten. Zumindest das Problem der Stromversorgung kann teilweise mit der neuen Technologie "Power over Ethernet" umgangen werden, denn sie sieht eine gleichzeitige Niederspannungsversorgung über die Netzverkabelung vor. Doch selbst die Netzverkabelung der Access Points kann sich als trickreich und kostspielig herausstellen, wenn unter Berücksichtigung der oben angesprochenen Sicherheitskriterien das WLAN wirklich physisch vor der Unternehmens-Firewall angeschlossen wird.

Standards für Wireless LANsUnter der Zahlenkombination 802.11 sind die diversen IEEE-Spezifikationen beziehungsweise Standardentwürfe zusammengefasst, die für Wireless LANs relevant sind.

802.11b (verabschiedet)

Ist heute von WLANs die Rede, so sind in der Regel Funknetze gemeint, die auf dem 1999 verabschiedeten Standard 802.11b basieren. Er definiert drahtlose Netze, die im 2,4-Gigahertz-Bereich funken und eine Brutto-Transferrate von 10 Mbit/s über Entfernungen von bis zu 100 Metern erreichen.

802.11a (verabschiedet)

Dieser ebenfalls 1999 beschlossene Standard gilt bei vielen als Nachfolger der heutigen WLANs. Gemäß Spezifikation sind mit dieser Netzgeneration Übertragungsgeschwindigkeiten von bis zu 54 Mbit/s realisierbar. De facto besitzt dieser Standard derzeit in Europa keine allgemeine Zulassung, da er das Fünf-Gigahertz-Frequenzspektrum zur Übertragung nutzt. Hinter dem Problem des verwendeten Frequenzbandes verbergen sich jedoch hauptsächlich industriepolitische Überlegungen, da das European Telecommunications Standards Institute (ETSI) mit Hiperlan 2 ein europäisches Verfahren dem US-amerikanischen 802.11a vorzieht. Glaubt man Herstellern wie Cisco, so ist der Betrieb von 802.11a-Netzen dennoch in Deutschland möglich. Der Anwender muss hierzu jedoch eine Einzelgenehmigung beantragen, die nicht mit einer generellen Zulassung wie etwa bei 802.11b zu vergleichen ist. Der Standard ist nicht kompatibel zum heutigen 802.11b.

802.11d (verabschiedet)

Diese Norm ist auch als "World Mode" bekannt. Damit ist das "Roaming" eines Endgerätes zwischen unterschiedlichen Ländern möglich. Denn obwohl 802.11a und b eigentlich als Standards gelten, gibt es länderspezifische Unterschiede. So sind bei 802.11b etwa in den USA nur elf Funkkanäle erlaubt, während ETSI in Europa 13 ermöglicht. Ebenso gibt es Unterschiede bei der erlaubten Funkleistung in Milliwatt sowie der Frage, ob diese nun an der Antenne oder am Ausgang des Radiochips anliegen darf. Ein Gerät gemäß 802.11d stellt sich nun automatisch auf die verschiedenen Vorschriften ein.

802.11g (Entwurf)

Mit der Verabschiedung dieser Norm rechnen Experten im Januar 2003. Ähnlich wie 802.11a ermöglicht sie eine breitbandige Übertragung. Derzeit gelten Transferraten von bis zu 22 Mbit/s als wahrscheinlich. Als Frequenzband wird wie bei 802.11b das 2,4-Gigahertz-Band verwendet. Der Standard ist kompatibel zur heutigen WLAN-Technologie.

802.11e (Entwurf)

Ist als Ergänzung zu 802.11a und 802.11b konzipiert. Mit ihm sollen Quality of Services sowie Multimedia-Unterstützung in der Wireless-Welt Einzug halten. Damit wären in den Funknetzen auch Sprach-, Video- und Tonübertragungen definiert. Treibende Kraft hinter diesem Entwurf sind vor allem die Service-Provider.

802.11f (Entwurf)

Ziel ist es, unter dieser Spezifikation ein Inter Access Point Protocol (IAPP) zu erarbeiten, das die Interoperabilität zwischen verschiedenen Access Points in verteilt aufgebauten Funknetzen ermöglicht. Letztlich also ein Roaming zwischen verschiedenen Funkzellen - vergleichbar mit den heutigen Handy-Netzen.

802.11h (Entwurf)

In der derzeitigen Diskussion ist diese Definition als Ergänzung zu 802.11a vorgesehen. Unter anderem sieht diese Norm vor, dass ein Sender den Kanal bei Störungen wechseln kann. Ferner ist die Verabschiedung von Mechanismen geplant, die eine automatische Anpassung der Sendeleistung erlauben, so dass ein Endgerät bei guter Verbindung zum Access Point nicht immer mit der maximalen Leistung funkt. Viele Hersteller vertreten die Ansicht, dass diese Ergänzung auch für 802.b und 802.11g sinnvoll wäre.

802.11i (Entwurf)

Er soll die Sicherheit der WLANs erhöhen und das heftig umstrittene WEP-Verfahren ersetzen. Bestandteil dieses Entwurfs ist der IEEE-Standard 802.1x, ein Netzstandard der eigentlich nicht zur 802.11-Familie gehört. 802.1x definiert die "Network Authentication". Ferner gibt es in Sachen Verschlüsselung Bestrebungen AES-Verfahren (= Advanced Encryption System) zu verwenden. Dies würde jedoch Änderungen an der heutigen Hardware erfordern. 802.11i regelt außerdem das Zusammenspiel mit Radius-Servern.