11.07.2008, 03:49 Uhr

Hacker, nein danke!

In kleinen Firmennetzen schlummern erhebliche Risken - vor allem, wenn die mobilen Mitarbeiter von unterwegs aus darauf zugreifen. So sichern Sie die Zugänge durch einige wenige Massnahmen.
Roger Hockaday ist Director of Marketing, EMEA bei Aruba Networks.
Die IT-Infrastruktur im Home Office besteht nur allzu oft aus WLAN-Produkten für Privatanwender. Auch kleinere Niederlassungen behelfen sich gerne damit, denn die drahtlosen Netze sind schnell zu installieren und flexibel. Der Haken an der Sache: Diese Systeme arbeiten oft ungesichert und praktisch unverschlüsselt. Wenn sich dann noch die Unternehmens-Laptops das Heimnetz mit PCs fragwürdiger Sicherheit teilen, könnte man genauso gut ein Ethernet-Kabel aus dem Fenster hängen und einen Zettel mit der Aufschrift: «Hacker, hier bitte aufs Netz aufschalten» befestigen. Ähnlich riskant sind öffentliche Hotspots.
Neuerdings reicht es sogar schon, das eigene Endgerät mit einem drahtlosen Access Point (AP) zu verbinden. Inzwischen gibt es Hacker-Software, die solche APs einfach emuliert. Diese «Evil-Twins» dienen dazu, die Login-Daten von Business-Anwendern abzuschöpfen. Solche Schein-APs tauchen zunehmend dort auf, wo sich Laptop-Nutzer versammeln. In gut frequentierten Business-Hotels bietet dann ein SSID (Service Set Identifier) mit der Bezeichnung «LowCost_Guest_Access» seine Dienste an, und die Versuchung ist gross, diesen zu nutzen statt über die Kreditkarte Swisscom-Zugangsrechte zu kaufen.

Risiken am Netzwerkrand

Das Dilemma: Mobile Mitarbeiter brauchen von überall Zugangsmöglichkeiten zum Unternehmensnetz: in der Unternehmenszentrale, in Niederlassungen, Home Offices, im Hotelzimmer, beim Kunden und an öffentlichen Orten über Hotspots. Das bedeutet: Eine Organisation, die ein mobiles Netz aufbaut, muss nicht nur die verwendbaren Geräte, sondern auch die unterschiedlichen Einsatzorte dieser Geräte berücksichtigen. Viele Organisationen verlangen von ihren Mitarbeitern, dass sie perimetergetriebene Sicherheitsmechanismen (Sicherheitsschleusen) nutzen, um damit von Niederlassungen oder Heimbüros aus sichere Virtual Private Networks (VPN) aufzubauen.
Die meisten Organisationen haben ein Netzwerk implementiert, das auf sicheren Perimetern basiert und sowohl physisch als auch logisch das private Unternehmensnetzwerk vom öffentlichen Netzwerk trennt. Physisch betrachtet verhindern die Empfangsdame, der Sicherheitsbeamte und die Wände des Gebäudes, dass Aussenstehende auf das verkabelte Unternehmensnetzwerk zugreifen können. Als logische Hindernisse für Eindringlinge fungieren Firewalls oder eine demilitarisierte Zone (DMZ). Die Firewalls einer DMZ isolieren ein System gegenüber anderen Netzen. In einer sicheren Perimeter-Implementierung muss sich der Mitarbeiter durch eine Art Tunnel in das Netzwerk einloggen, häufig über Client-basierte VPNs. Diese Lösung hat sich gerade bei Laptop-Nutzern bewährt, weist jedoch auch Nachteile auf. Der traditionelle IPSec-Client oder das SSL-basierende VPN eignen sich beispielsweise nicht immer für private Personal Digital Assistants (PDAs) oder VoIP-fähige Dual-Mode-Mobiltelefone.

Zollkontrolle für mobile Geräte

Client-basierende VPNs sichern zwar die Daten, die vom Client ins Unternehmensnetz fliessen, nicht aber den Client selbst. Dafür sorgen Network Access Control (NAC) oder Network Access Protection (NAP) von Microsoft. NAC und NAP erzwingen die Einhaltung von unternehmensweit gültigen Sicherheitsstandards, sobald Clients sich mit dem Unternehmensnetz verbinden. Dazu können etwa eine aktivierte Firewall oder ein aktueller, mit allen Updates versehener Antiviren-Scanner gehören.
Systeme, die den Sicherheitsstandards nicht entsprechen, müssen vor dem Login zuerst regelkonform konfiguriert oder aktualisiert werden. Ist das nicht möglich, stellen NAC oder NAP zusammen mit der WLAN-Firewall oder dem VLAN-Übergang am LAN-Switch sicher, dass diese potenziell gefährlichen Clients nur Zugang zu bestimmten, nicht sicherheitsrelevanten Netzdiensten bekommen. Sie greifen beispielsweise via Hypertext Transport Protocol (HTTP) nur aufs Internet oder via Session Initiation Protocol (SIP) nur aufs VoIP-Gateway zu. Dieses Sicherheitsreglement greift allerdings nur, wenn der Client sich direkt ins Unternehmensnetz einloggt. Bei Heimanwendern und mobilen Mitarbeitern, die einen öffentlichen Hotspot benutzen, ist das nicht immer der Fall.

Drahtlose Luftüberwachung

Gegen falsche Acess Points wiederum hilft ein Wireless Intrusion and Detection System (WIDS). Es scannt den Funkraum und sucht nach potenziellen Bedrohungen. Verdächtig sind auffällig viele Beacon-Frames auf einem Service Set Identifier (SSI), die auf eine AP-Personalisierung, also einen Hacker mit einem Access Point, hinweisen. Die Alarmglocken läuten auch bei einer Zunahme der Test-Frames, die auf einen
Wiedererkennungsangriff etwa durch NetStumbler hindeuten können. Genauso wie kabelgebundene IDS/IPS, funktioniert WIDS als Frühwarnsystem vor potenziellen Bedrohungen. Es muss aber, um hundertprozentig sichern zu können, auf alle Standorte des kabelgebundenen und kabellosen Netzwerkes ausgeweitet werden.
Tipps für die Praxis

Sicherheits-TÜV für Unternehmen

Mit folgenden Massnahmen schützen Sie das Firmennetz vor Hackern und Spionen.

- Bauen Sie eine WLAN-Infrastruktur auf, damit Mitarbeiter nicht zu unsicheren Behelfslösungen greifen müssen. Sichern Sie Ihr WLAN mit Verschlüsselungstechnologie und Authentisierung ab.

- Implementieren Sie ein drahtloses Intrusion-Detection-System, um die «Lufthoheit» im Unternehmen zu gewinnen. Auch Organisationen mit sehr hohem Sicherheitsbewusstsein haben bei sich schon «Rogue APs», also von Mitarbeitern installierte illegale Access Points, gefunden.

- Sichern Sie besonders die äusseren Netzzugänge. Installieren Sie im Heimnetz der Mitarbeiter und in Niederlassungen Remote-AP-Lösungen, die das WLAN des Unternehmens bis dorthin ausdehnen. Dann ist Intrusion Detection bis zur Peripherie des Netzes verfügbar. NAC, NAP und andere Sicherheitsregeln gelten auf jedem Netzzugangssystem.

- Sichern Sie die Verbindungsschicht und das Netzwerk selbst: Implementieren Sie 802.1x und WPA-2, sodass klar ist, welche Systeme vertrauenswürdig sind und welche nicht. Terminieren Sie jede eingehende drahtlose Verbindung auf einer identitätsbasierenden Firewall.

- Sorgen Sie für eindeutige Regeln. Gleichgültig, ob die Verbindung von einem Laptop in der Unternehmenszentrale oder von einem Hotelzimmer im Ausland aufgebaut wird: Immer sollten dieselben
Sicherheitsregeln gelten.
Roger Hockaday



Das könnte Sie auch interessieren