WLAN-Sicherheit nicht auf die leichte Schulter nehmen
In dem Report »WLAN-Sicherheit« gibt der Analyst Paul De Beasi der Burton Group Empfehlungen, um Funknetze zu schützen. Anlass für den Bericht ist die erwartete Zunahme von WLANs durch 802.11n und der Diebstahl von 45 Millionen Kreditkarten bei TJX.
Möglich wurde der Vorfall durch Schutz eines WLANs mit dem unsicheren WEP. Der Bericht der Burton Group zeigt nun Methoden und Best-Practices auf, um drahtlose Netze zu sichern. Im Gegensatz zu anderen unterscheiden die Empfehlungen zwischen für alle Unternehmen, stark gefährdete Unternehmen und mobile Anwender.
Außerdem gibt der Autor immer wieder entsprechende Verweise auf die Website Wireless Vulnerabilities and Exploits. Themen des Reports sind Empfehlungen zu Netzwerksuche, Vertraulichkeit und Integrität von Daten, Authentifizierung, 802.1x und EAP, Eindringen in WLANs, Denial-of-Service sowie Netzwerk-Management.
WLANs lassen sich nicht verstecken
Zunächst stellt De Beasi fest, dass sich WLANs und damit auch deren Name (SSID, Service-Set-ID) nicht verbergen lassen. Der Grund dafür ist, dass Management-Frames nicht verschlüsselt werden. Mögliche Gegenmaßnahmen seien der Einsatz von gerichteten Antennen und eine geringere Sendeleistung bei APs (Access-Point).
Im Gegensatz zu anderen hält De Beasi aber nichts von der Deaktivierung des SSID-Broadcasts und der Probe-Response auf solche. Ersteres erhöhe den Funkverkehr, weil alle Stationen nun mittels Probe-Requests nach gültigen APs suchen müssten. Verzicht auf die Probe-Response zwinge den Administrator, die SSID auf jedem Client zu definieren.
WPA2, IPSec und SSL verwenden
Weiter empfiehlt der Bericht den Einsatz von WPA2 (Wifi-Protected-Access), IPsec oder SSL. Damit ließen sich viele Sicherheitslücken schließen.
Allerdings warnt der Autor vor dem Einsatz von WPA/WPA2 mit Preshared-Keys. Grund sind für ihn die Anfälligkeit gegenüber Wörterbuchattacken, der Management-Aufwand sowie die fehlende Differenzierung beim Zugang.
Die letzten beiden Gründe entfallen jedoch nach unserer Ansicht bei dem System von Ruckus Wireless, weil es individuelle Schlüssel für jeden Client verwendet. Preshared-Keys sind gerade für kleine Unternehmen verführerisch, weil kein Einsatz von 802.1x notwendig ist.
Instrusion-Detection einsetzen
Für De Beasi erfolgt Wireless-Network-Intrusion in den meisten Fällen über einen unerwünschten AP. Die Antwort sei der Einsatz eines Wireless-Intrusion-Detection-Systems (WIDS).
Maßnahmen gegen Denial-of-Service-Attacken zu planen, hängt für den Autor von der jeweiligen Situation des Unternehmens ab.
Managementsysteme absichern
Auch das Wireless-Management-System und die Infrastruktur selbst können, so der Bericht, Gegenstand von Attacken sein. Er empfiehlt den Einsatz von geeigneten Passwörtern, das Deaktivieren des Zugangs zur Administration über Funk und WLAN-Management-System anstatt autonomer APs.
