Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Den Luftraum schützen

Den Luftraum schützen

26. September 2007, 16:24 Uhr |

Wireless-Sicherheit – Netzwerkadministratoren können keine Staffel Abfangjäger starten lassen, um Rogue-Access-Points zu bekämpfen, aber sie können die Wi-Fi-Herausforderung trotzdem annehmen – und gewinnen.

Wer Unternehmen fragt, warum sie noch immer gegen Wi-Fi sind, erhält häufig drei Wörter zur Antwort: Sicherheit, Sicherheit und Sicherheit. Das Netzwerkmedium ist dünne Luft, die Bedenken verständlich.

WLANs zu umarmen statt sie zu bekämpfen ist trotzdem besser, außer es handelt sich um Hochsicherheitsinstallationen. Wi-Fi in einer Organisation zu verbieten, erfordert wasserdichte Richtlinien und Monitoring-Werkzeuge, die vor Rogue-Installationen schützen. Tatsache ist: Jedes Netzwerk wird »in die Luft gehen«, einige früher, andere später. Nur 18 Prozent der Teilnehmer an der Leserumfrage der Network Computing sagten, sie planten keine Einführung eines Produktions-WLANs.

Hier ist ein Lockvogel: Ein richtig entworfenes Wi-Fi-Sicherheitssystem kann nicht nur den Wireless-Benutzern robuste Sicherheit liefern, es kann auch verkabelte Segmente besser schützen.

Wie jedes Unternehmens-Sicherheitssystem muss auch ein effizientes Wireless-Sicherheitssystem mehrere Ebenen aufweisen: Die Benutzer müssen sich beim Netzwerk authentifizieren, bevor sie sich verbinden. Das Netzwerk selbst muss sich authentifizieren, die über die Wireless-Verbindung transportierten Informationen müssen verschlüsselt werden. Auch muss Richtlinienmanagement verfügbar sein. Monitoring- und Auditing-Systeme müssen schließlich Attacken erkennen, die Richtlinienbefolgung erzwingen und die Sicherheit gefährdende Vorfälle effizient bearbeiten.

Die Werkzeuge dafür sind da. Nun ist es die Aufgabe eines jeden Netzwerkadministrators, die harte Arbeit zu erledigen, darunter den klassischen Kreislauf »Test, Angriff, Feineinstellung«, der mit jeder Sicherheitsimplementation einhergeht.

Die Bedrohungen sind real
Die Medien bauschen Wireless-Sicherheitsprobleme häufig auf (Network Computing tut dies natürlich nicht). Viele Journalisten tun sich schwer, die komplexen Bedrohungen und Abschwächungsstrategien zu verstehen, und halten sich deshalb an die Statistiken, beispielsweisel die, dass acht von zehn Wireless-Heiminstallationen weit offen für Attacken sind.

Selbst der vorsichtigste IT-Manager muss akzeptieren, dass es gegen einige Bedrohungen keine Verteidigung gibt. Gegen einer Denial-of-Service-Attacke mit Funkfrequenz-Jamming ist kaum ein Kraut gewachsen. Hier kann der Administrator nur noch hoffen, seine Lage durch Multiband-Infrastruktur und Einsatz von Werkzeugen und Techniken zu verbessern, mit denen er die Quelle des Angriffs bald findet.

Andere verwundbare Stellen lassen sich effizienter behandeln: Passive Lauschangriffe lassen sich beispielsweise durch Verschlüsselung auf der Verbindungs-, Netzwerk- oder Anwendungsschicht abschwächen. WEP, Cisco-LEAP und andere gut bekannte Wireless-Verschlüsselungssysteme wurden zwar schon erfolgreich angegriffen, aber robustere andere Möglichkeiten sind inzwischen weit verfügbar.

Session-Highjacking liegt irgendwo in der Mitte des Verteidigungsspektrums. Moderne Wireless-Sicherheitssysteme schützen vor den meisten Mann-in-der-Mitte-Angriffen, aber die Benutzer fühlen sich vielleicht noch immer durch Rogue-Access-Points (APs) bedroht, die sich als legitime Systeme maskieren. Die Hersteller haben sich redlich bemüht, 802.11 den Massen näherzubringen, es dabei den Benutzern aber viel zu einfach gemacht, sich mit Rogue-Wireless-Infrastrukturen zu verbinden und dies noch nicht einmal zu merken.

Der größte wunde Punkt ist wahrscheinlich der Rogue-AP, entweder ein billiges WLAN-Gateway oder ein Soft-AP auf einem Client-Computer. Moderne Wireless-Monitoring-Systeme entdecken Rogues sehr effizient, entdeckte Rogues aber einzudämmen, ist eine wesentlich größere Herausforderung.

Größeres Interesse erregten kürzlich mobile Sicherheitsbedrohungen: Viren, Würmer und kompromittierte Systeme, eingeführt über Notebooks und andere portable Geräte, die sich mit dem Unternehmensnetzwerk, Heimnetzwerk und öffentlichen Netzwerken verbinden. Die Endpunkte werden zunehmend ein Schlüsselbestandteil einer umfassenden Wireless-Sicherheitsstrategie. Also ja, die Bedrohungen sind real, die Verteidigung aber auch.

Eine Wireless-Richtlinie tut Not
Sicherheitsexperten predigen unermüdlich den Bedarf einer umfassenden, durchsetzbaren und regelmäßig aktualisierten Sicherheitsrichtlinie. Das ist keine einfache Aufgabe. Sicherheitssysteme sind teuer und komplex, und hinter diesen technischen Hürden lauern kulturelle Probleme, denn viele Organisationen bemühen sich um eine gute Balance zwischen Sicherheit und Bedienungsfreundlichkeit.

Wer aber ein beliebiges Netzwerk ohne Wireless-Sicherheitsrichtlinie betreibt, der erzeugt eine Blöße, die nicht einmal den geringsten Risiko-Management-Standards entspricht. Die Organisation kann sich noch nicht einmal hinter einer Kein-Wireless-Strategie verstecken: Eine Wireless-Richtlinie ist erforderlich, unabhängig davon, ob produktive Wireless-Dienste existieren oder nicht. Tatsächlich könnte das Risiko sogar noch größer sein, wenn kein zentral administriertes Wireless-System existiert, es sei denn, die IT-Gruppe schafft, was andere IT-Gruppe nicht schaffen: Rogue-APs herauszufiltern. Ohne effizientes Wireless-Sicherheits-Monitoring ist es nahezu unmöglich, diese Bedrohung auszumerzen.

Wenn wir davon ausgehen, dass eine Kein-Wireless-Richtlinie nicht funktioniert, sieht die Realität so aus: Die effizienteste Methode, Rogue-Wireless-Installationen zu verhindern, ist selbst sichere und zentral verwaltete Wi-Fi-Dienst anzubieten. Seit den Anfangstagen des PCs zeigt es sich doch immer wieder: Eine zwingende Technik zurückzuhalten ist fast unmöglich. Und Wi-Fi ist heute so zwingend, wie es nur sein kann.

Auch wer sich wegen exzellenter, zentral verwalteter Wireless-Dienste auf die Schulter klopfen darf, braucht noch immer ein Monitoring-System. Die einzige Frage ist, ob es in die WLAN-Infrastruktur integriert oder ein separates Sicherheitsmonitoringsystem sein soll. Die meisten Administratoren schwören auf die integrierte Methode, aber separate Systeme bieten normalerweise größere Funktionalität.

Für welches System auch immer sich der Administrator entscheidet, er muss die Alarme und Alert-Schwellenwerte des Systems gescheit konfigurieren, damit sie der internen Richtlinie entsprechen.

Wireless-Richtlinien müssen viele Fragen klären, darunter Einkaufskriterien, Nutzungsbeschränkungen und Monitoring. Sie müssen Regeln für die interne Nutzung enthalten und Regeln für die Remote-Nutzung mobiler Geräte in Heim- und öffentlichen Netzwerken. Zu schützen sind das Unternehmenssystem, die Netzwerkinfrastruktur und die mobilen Geräte.

Standards treiben die WLAN-Sicherheit
Während der jüngst vergangenen Jahre wurde die Wi-Fi-Sicherheit erfreulich verbessert, beispielsweise durch Technik, die kompatibel mit 802.11i und der zugehörigen WPA2-Zertifizierung (Wifi-Protected-Access) ist. Theoretisch lässt sich ein robustes WLAN-Sicherheitssystem bauen, das den Ansprüchen der Sicherheitsgemeinschaft genügt. Aber ein System zu implementieren, das die Anforderungen der Benutzer und Sicherheitsadministratoren gleichermaßen erfüllt, ist immer noch trickreich.

Administratoren, die ihr Wi-Fi-Netzwerk mit anderen Methoden schützen, beispielsweise mit einem VPN-Konzentrator, sollten einen Umstieg auf WPA2 erwägen. Vergangen ist das Verlangen nach flachen Wireless-VPNs, VPN-Konzentratoren oder proprietären Wireless-Sicherheits-Gateways. Diese Werkzeuge haben vielen Organisationen gut gedient und werden es vielleicht noch viele Jahre lang tun, aber für neue Installationen ist WPA2 der richtige Weg.

Die Wi-Fi-Alliance führte ihr WPA-Zertifizierungsprogramm im Oktober 2002 ein. Es entstand, weil der Standard 802.11i noch länger auf sich warten ließ. WPA führte vor allem TKIP (Temperal-Key-Integrity-Protocol) für die Schlüsselerzeugung und 802.1x für die Zugangskontrolle ein. Die meisten Equipment-Hersteller liefern seitdem Produkte zur WPA-Zertifizierung.

Der 802.11i-Standard wurde vom IEEE im Juli 2004 ratifiziert. WPA2 ist passende Zertifizierung der Industrie für 11i. Vor der Verabschiedung wurden aber schnell noch einige kritische Elemente des Fast-Secure-Roamings in eine neu gebildete Arbeitsgruppe 802.11r ausgelagert. Bis diese ihre Arbeit beendet hat, enthält Fast-Secure-Roaming proprietäre Elemente, welche die Interoperabilität einschränken – nur wenige Unternehmen werden dies tolerieren.

Das Fast-Secure-Roaming-Problem beiseite gelassen, ist das 802.11i-Framework ein wohl überlegter Weg zur WLAN-Sicherheit, den die meisten Unternehmen in den kommenden zwei, drei Jahren wahrscheinlich einschlagen werden. Vollständige, mehrschichtige Sicherheit bietet 802.11i zwar nicht, aber der Standard kümmert sich um die schwerstwiegenden WLAN-Sicherheitsaspekte, darunter starke gegenseitige Authentifikation zwischen Clients und APs, Nachrichten-Geheimhaltung sowie Datenquellen- und Integritätsschutz.

Da fast alle WLAN-Komponenten der Unternehmensklasse bis zum Jahresende 802.11i beziehungsweise WPA2 unterstützen werden, stehen Administratoren vor zwei Herausforderungen: Erstens brauchen sie eine Radius-Server-Infrastruktur, um Authentifizierungs-, Autorisierungs- und Accounting-Dienste (AAA-Dienste) liefern zu können. Zweitens müssen sie den 802.11i-Client sorgfältig auswählen. Der Radius-Server und der 802.11i-Client müssen die Authentifikation mit derselben Methode, in Form eines gemeinsamen 802.1X-EAP-Typs, durchführen.
dj@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Dahua Technology GmbH

Dahua Technology GmbH
Securepoint GmbH

Securepoint GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
Vodia Networks GmbH

Vodia Networks GmbH
Zyxel Networks A/S

Zyxel Networks A/S