19.01.2006, 17:44 Uhr
Wireless als drahtloses Einfallstor
Der drahtlose Zugang zum Firmennetzwerk bietet Vorteile - für Unternehmen und ihre Mitarbeiter, aber auch für Angreifer. Wenn nur berechtigte Personen und Systeme auf das Netzwerk zugreifen und übermittelte Daten vor Lauschangriffen verschlüsselt werden, können heutige drahtlose Netzwerke sehr sicher betrieben werden.
Der Einsatz von drahtlosen Netzwerken ist in Mode. Während Private meist lediglich einen drahtlosen Zugang zum Internet schaffen, haben Unternehmen zahlreiche weitere Systeme am Netzwerk angeschlossen. Darum steht bei vielen Firmen die Informationssicherheit oder eine mögliche Schwächung dieser durch den Einsatz von drahtlosen Technologien im Zentrum. Es geht nicht länger nur darum, die «Kabel zu sichern», sondern Informationen, die sich über die Luft wild und schwer berechenbar verbreiten.
Viele Geräte nutzen heute drahtlose Netzwerke oder bieten Möglichkeiten zur unkomplizierten drahtlosen Kommunikation. Die meisten modernen Laptops werden heute mit eingebauten Wireless-Adaptern ausgeliefert und können mit wenigen Handgriffen für den Einsatz im Wireless-Umfeld vorbereitet werden. Oft werden die drahtlosen Kommunikationsfähigkeiten der Laptops auf Geschäftsreisen im Hotel oder zu Hause eingeschaltet, um auf das Internet zugreifen zu können. Nur leider wird oft vergessen, diese drahtlosen Adapter wieder auszuschalten, sobald man sich im Büro an das Firmennetzwerk ankoppelt. Ein solches Versäumnis führt schnell zu einer Angriffsmöglichkeit für Hacker. Sind Angreifer -einmal über Wireless ins Firmennetzwerk eingedrungen, sind diese nur schwer zu fassen, da es aufgrund der drahtlosen Natur kaum Möglichkeiten gibt, den Angriff auf einen Raum und eine Steckdose zurückzuverfolgen.
Wireless als drahtloses Einfallstor
Böser Zwilling
In letzter Zeit wurden nicht nur Angriffe auf Access Points oder Laptops festgestellt. Ein recht neuer Trend zeigt, dass immer häufiger so genannte Evil Twins zum Einsatz kommen. Bei diesen Angriffen wird ein neuer Access Point unter der Kontrolle des Angreifers in unmittelbarer Nähe eines legitimen Access Points aufgestellt. Der Evil Twin besitzt dabei meist eine etwas stärkere Abstrahlung. Da Endgeräte wie Laptops automatisch den Access Point mit dem stärksten Signal aussuchen, fällt die Wahl auf den neuen, falschen Access Point. An diesem versuchen sich die Benutzer nun anzumelden. Dadurch erhält der Betreiber des Evil Twins die Zugangsdaten. So sind heute mehrere Fälle bekannt, in welchen Evil Twins in der Nähe von Public Hotspots aufgestellt wurden, welche dem Benutzer den gleichen Login-Screen präsentierten wie der legitime Access Point. Der Benutzer übermittelte im guten Glauben seinen Benutzernamen und Passwort. Gerade auf Messen oder Flughäfen finden sich immer mehr solch böser Zwillinge und ermöglichen ein sehr effektives Wi-Fi-Phishing.
Wireless verbieten?
Soll nun aber auf den Einsatz von drahtlosen Technologien verzichtet werden? Auf keinen Fall. Der Nutzen kann immens sein, die Produktivität kann in gewissen Bereichen gesteigert werden und einzelne Betätigungsfelder werden erst durch den Einsatz von drahtlosen Technologien ermöglicht. Der sichere Einsatz dieser modernen Technologien muss aber wohl überlegt und geplant sein. Wie sollen drahtlose Technologien mit bestehenden Netzwerk-Infrastrukturen gekoppelt werden? Wie kann die Informationssicherheit weiterhin geschützt werden und wie werden fälschlicherweise aktivierte Wireless-Adapter in Notebooks bemerkt?
Grundsätzlich müssen bei einem Drahtlosen zwei Schwächen gelöst werden: Erstens dürfen nur berechtigte Personen und Systeme auf das Netzwerk zugreifen und zweitens müssen über das Netzwerk übermittelte Daten vor Lauschangriffen geschützt, also verschlüsselt sein. Beide Anforderungen laufen Hand in Hand und müssen zusammen gelöst werden. Sobald diese beiden Anforderungen erfüllt sind, besteht kein Grund mehr, sich über die Ausbreitung des Wireless-Signals Gedanken zu machen, da Dritte die Daten nicht lesen und nicht aktiv am Netzwerk teilnehmen können.
* Reto Baumann ist IT Security Specialist bei IBM
* Reto Baumann ist IT Security Specialist bei IBM
Wireless als drahtloses Einfallstor
Der Zugriff auf das Wireless-Netzwerk wird heute primär über 802.1x geschützt. Das Protokoll stammt ursprünglich aus dem Bereich der drahtgebundenen Netzwerke, um Port-basierte Autorisierung zu ermöglichen und wurde für den Einsatz in drahtlosen Netzwerken angepasst. Ein Benutzer erhält erst nach einer erfolgreichen Autorisierung einen Vollzugriff auf das Netzwerk. Dieser Status hat eine gewisse Zeit Gültigkeit und muss nicht für jedes Paket erneut geprüft werden, was den verursachten Netzwerkverkehr aufgrund der Autorisierung gering hält. In einem Wireless Umfeld kann der Client mit dem Access Point eine Verbindung aufbauen und diesem seine Zugangsdaten übermitteln, welcher dieser normalerweise an einen so genannten Remote Authentication Dial-In User Service (Radius) zur Prüfung weiterleitet. Sofern diese erfolgreich verläuft, wird der Access Point über die Zulassung des Clients informiert und das Netzwerk kann freigegeben werden. Um diese initialen Zugangsdaten über das drahtlose Netzwerk sicher zu übermitteln, müssen bereits diese Daten verschlüsselt werden. Zum Einsatz kommt das Extensible Authentication Protocol (EAP). Dieses bietet eine Art Basis für eine Autorisierungslösung, welche über EAP implementiert werden kann. So findet man heute diverse Lösungen, angefangen von LEAP (EAP-Cisco) über PEAP bis zu EAP-TLS oder EAP-TTLS. Die verschiedenen Protokolle bieten Vor- und Nachteile. Einige benötigen Client-Zertifikate, einige sind proprietär und andere herstellerübergreifend. Die Wahl für das optimale Verfahren muss auf die Umgebung abgestimmt werden.
Nachdem der Benutzer Zugriff auf das Netzwerk gewährt bekommen hat, werden vom Radius normalerweise die Daten für die Verschlüsselung bereitgestellt. Auch hier sind die Angebote sehr vielfältig und je nach Umgebung unterschiedlich gut geeignet. Entscheidend ist die Tatsache, dass heute in einer modernen drahtlosen Netzwerkinfrastruktur der Access Point lediglich die Brücke zwischen dem luft- und drahtgebundenen Netzwerk darstellt. Vor einigen Jahren wurden so genannte Fat Access Points verwendet, welche selber eine Autorisierung der Clients durchführten. In geschäftlich verwendeten drahtlosen Netzwerken wird heute jedoch auf Thin Access Points gesetzt. Sie stellen nur die wirklich benötigten Funktionen bereit. Aufgaben wie Zulassungskontrolle und Wahl der Schlüssel werden an andere Komponenten abgegeben. Dies hat den immensen Vorteil, dass die Verwaltung einer Wireless-Umgebung heute, dank der Zentralisierung der «Logik und Benutzerverwaltung», viel einfacher wurde. Mit diesen Methoden lässt sich eine Wireless-Infrastruktur mindestens so sicher wie eine drahtgebundene betreiben.
Wireless als drahtloses Einfallstor
Risiko Mitarbeiterlaptop
Diese Möglichkeiten helfen jedoch in Bezug auf die in Laptops installierten Wireless Clients nicht. Ebenso besteht das Risiko, dass interne Benutzer aus Unwissenheit oder Ignoranz selber einen Access Point kaufen und am internen Netzwerk in Eigenregie betreiben. Um dieser Gefahr begegnen zu können, muss der «Luftraum» überwacht werden. Dies kann durch regelmässige, manuelle Scans, durch Ablaufen der Umgebung mit einem Wireless Scanner, oder aber effektiver durch Wireless-Intrusion-Detection-Sensoren erfolgen. Nur letztere Variante bietet dabei die kontinuierliche Überwachung und kann im Falle von Bedrohungen entsprechend schnell reagieren. Eine Wireless-Intrusion-Detection-Lösung versendet im Fall von Sicherheitsproblemen Nachrichten und kann auch direkt geeignete Gegenmassnahmen einleiten.
Heutige drahtlose Netzwerke können sehr sicher betrieben werden. Oft werden sie sogar sicherer betrieben als das drahtgebundene Netzwerk. Benutzer müssen nachweisen, wer sie sind, da der Datenverkehr verschlüsselt ist und der Zugriff auf Benutzerebene kontrolliert wird. Trotz all dieser Vorteile ist es zwingend notwendig, ein geschäftskritisches drahtloses Netzwerk kontinuierlich zu überwachen - nicht nur auf dessen Verfügbarkeit, sondern auch auf dessen Sicherheit und mögliche Attacken durch Dritte.
Reto Baumann*