Besserer Schutz für Wireless LANs
Intrusion Prevention in der WLAN-Sicherheit
Ungesicherte WLANs zählen nach wie vor zu den größten Sicherheitsrisiken innerhalb einer IT-Infrastruktur. Controller-basierte WLAN-Architekturen mit einer zentraler Managementkonsole ermöglichen nun die einfache Integration von Intrusion Detection und Intrusion Prevention und damit den Betrieb hochsicherer WLANs.
WLANs im Unternehmensumfeld verteidigen hartnäckig ihren Sonderstatus als Sorgenkinder von
Administratoren, die zurecht auf systematisch ausgebaute Sicherheitsstrukturen hin arbeiten. Dabei
sollte man aufgrund der Ratifizierung und der weit reichenden Nutzung des 802.11i-Standards für
WLAN-Sicherheit eigentlich meinen, dass Firmen ihre WLANs damit nun auch umfassend schützen
können.
Doch der Standard lässt Sicherheitslücken. Er umfasst lediglich Vorgaben für die Sicherheit von
WLAN Sessions (Authentifizierung/Autorisierung von Benutzern für den Netzwerkzugriff) und
spezifiziert die Frame-Level-Sicherheit (Sicherstellen der Vertraulichkeit von Daten mittels
Verschlüsselung).
Es gibt jedoch eine wichtige dritte Komponente, die 802.11i nicht anspricht, nämlich Intrusion
Detection (IDS) und Intrusion Prevention (IPS), bei denen es um die aktive Überwachung des
Funkbereichs geht. Während IDS Risiken erkennt und klassifiziert, ergreift IPS im Gefahrenfall von
sich aus Maßnahmen gegen das Ausnutzen von Schwachstellen.
Über diese grundlegenden Anforderungen hinaus muss die Sicherheit für den Benutzer so
transparent wie möglich und für den Netzwerkbetreiber so kosteneffizient wie möglich sein. Dies
erfordert unter anderem Client-Integration, hohe Benutzerfreundlichkeit, integrierte
Managementfunktionen, die nicht nur Sicherheit bieten und so weiter.
Vor diesem Hintergrund stellt sich die Frage, vor welchen Sicherheitsrisiken sich ein
Unternehmen schützen muss, die nicht durch 802.11i abgedeckt werden. Generell lassen sich hier zwei
Kategorien unterscheiden: "allgemeine" Risiken, die normalerweise unabsichtlich ausgelöst werden
und relativ häufig sind, sowie die seltener auftretenden, jedoch gefährlicheren "böswilligen"
Angriffe. Hierbei versuchen Hacker absichtlich, eine Schwachstelle zu erzeugen oder
auszunutzen.
Allgemeine Risiken in Wireless-LAN-Umgebungen
Zu den allgemeinen Sicherheitsrisiken, die hier im Detail angesprochen werden müssen, zählen
insbesondere die folgenden Punkte:
Falsch konfigurierte Access Points
Ein nicht autorisierter, aber bekannter Access Point, der zwar an das drahtgebundene Netzwerk
angeschlossen, jedoch nicht ordnungsgemäß konfiguriert wurde, kann für die Informationssicherheit
ebenso gefährlich werden, wie ein böswillig eingerichteter "unbefugter" Access Point. Wurden
beispielsweise keine Sicherheitseinstellungen konfiguriert, bietet dieser Access Point einen
offenen Netzwerkzugang für jedermann.
Drahtlose Ad-Hoc-Netzwerke
Betriebssysteme wie Windows ermöglichen es, Netzwerke zu erzeugen, die aus mehreren
Wireless-Clients bestehen, zwischen denen es jedoch keinen Access Point gibt. Ist einer dieser
Computer so eingerichtet, dass er sowohl Mitglied eines Ad-hoc-Netzwerks ist, als auch über eine
Verbindung zum LAN des Unternehmens verfügt, kann er dadurch eine unbeabsichtigte Öffnung für
unautorisierte Benutzer darstellen.
Falsche Client-Zuweisung
Wenn sich mehrere Unternehmen physikalisch in unmittelbarer Nachbarschaft befinden, besteht die
Möglichkeit, dass zwei Wireless-Netzwerke die gleichen Netzwerkinformationen haben. Ein
Wireless-Client verbindet sich in einem solchen Fall mit dem ersten Access Point, mit dem er
Kontakt aufnimmt. Wenn dieser zu einem benachbarten WLAN gehört, entsteht ein Sicherheitsrisiko,
wenn der Benutzer vertrauliche Informationen in ein Unternehmensnetzwerk versendet, das er für sein
eigenes hält.
Rogue Access Points
Hierbei handelt es sich um nicht autorisierte Access Points, diemit einem drahtgebundenen
Netzwerk verbunden wurden. Sie können böswilligen oder nicht autorisierten Benutzern einen offenen
Zugang zum LAN bieten. Die Installation solcher Access-Points gehört zum Lieblingsarsenal
professioneller Angreifer, die sich Zutritt zu einem Unternehmensgebäude verschaffen und das
Netzgeschehen dann bequem von Auto oder im Café in der Nebenstraße aus verfolgen.
Das Arsenal der böswilligen Angriffe
Zu den selteneren, aber potenziell noch erheblich gefährlicheren Risiken zählen alle Angriffe,
die vorsätzlich gefahren werden, sei es von innen oder außen. Hierzu zählen beispielsweise:
Honeypot Access Points
Einige Hacker sind unter Umständen in der Lage, die Konfigurationseinstellungen des WLAN zu
ermitteln, und richten dann einen Access Point mit den gleichen Einstellungen im Bereich des
Netzwerks ein. Durch falsche Zuweisung können sich Clients mit diesen Honeypots verbinden, weil sie
davon ausgehen, dass es sich bei ihnen um reguläre Access Points handelt. Geschickte Hacker nutzen
diese Schwachstelle aus, indem sie vorgetäuschte Netzwerkressourcen mit dem Access Point verbinden,
auf denen sich die Benutzer dann anmelden. Der Hacker kann so Passwörter oder sogar vertrauliche
Dokumente abfangen.
Access Point MAC Spoofing
Client-Computer mit Wireless-Verbindung können so konfiguriert werden, als wären sie Access
Points. Auf diese Weise können interne Benutzer, aber auch externe Eindringlinge, ihren eigenen PC
als Honeypot einsetzen.
Nicht autorisierter Client-Zugriff
Offene Wireless-Netzwerke sind ein gefundenes Fressen für jeden Angreifer. Hat das gefundene
Netzwerk eine schwache oder gar keine Benutzerauthentifizierung, kann er sehr einfach auf das
Unternehmensnetzwerk zugreifen und Informationen entwenden oder aber Angriffe auf Ressourcen
starten, um Störungen zu verursachen.
Denial of Service (DoS)
Entsprechend ihrer Funktionsweise müssen Netzwerkgeräte auf jede Client-Anfrage antworten.
Hacker können dies ausnutzen und eine Netzwerkressource mit mehr Anfragen überschwemmen, als diese
bearbeiten kann. Verteilte DoS-Angriffe potenzieren dieses Problem, denn sie tragen eine Vielzahl
von Computern mittels eines versteckten Codes in die Liste ein, die dann ohne Wissen der
Computernutzer gleichzeitig Denial-of-Service-Angriffe in einer großen Anzahl auslösen.
Man-in-the-Middle-Angriff
Sind Daten nicht geschützt, können Hacker Nachrichten abfangen und den Inhalt ändern, um die
kommunizierenden Teilnehmer irrezuführen und ihnen vorzutäuschen, der Hacker wäre einer von
ihnen.
Verschiedene Ansätze für IDS/IPS-Lösungen
Derzeit gibt es für IDS/IPS-Lösungen zwei Alternativen auf dem Markt. Die erste ist die
Implementierung einer "Overlay"-Lösung. Hierbei handelt es sich um ein spezielles, vom WLAN
komplett getrenntes Sensorennetzwerk. Da diese Lösungen nur einen einzigen Zweck haben und sich auf
Produkte für die WLAN-Intrusion-Detection/Prevention konzentrieren, bieten sie meist eine
hervorragende Performance. Sie haben jedoch den Nachteil, zusätzliche Komplexität und Kosten zu
erzeugen, da zwei Wireless-Netzwerke ohne Managementintegration oder Hardwareeinsparungen
implementiert werden müssen.
Die Alternative besteht darin, die integrierten IDS/IPS-Lösungen der WLAN-Anbieter zu nutzen,
die diese zusammen mit ihren Lösungen anbieten. Das Problem besteht hier darin, dass die angebotene
IDS/IPS-Lösung den Overlay-Produkten im Allgemeinen unterlegen ist – wenn schon nicht bei den
Leistungsmerkmalen, dann ganz sicher in puncto Performance.
Neue Ansätze fassen nun die besten Merkmale beider Alternativen zusammen und integrieren
vorhandene Overlay-Lösungen nahtlos in die Controller-basierte WLAN-Architektur. Dadurch erhält man
die Performance und die Leistungsmerkmale führender Overlay-IDS/IPS-Systeme, während gleichzeitig
das Management beider Komponenten integriert wird, um den Betrieb des Netzwerks zu verbessern und
effizienter zu machen. Dies ist insbesondere dann wichtig, wenn das Wireless-Netzwerk wächst und
seine Komplexität zunimmt.
Einfache Integration in bestehende Umgebungen
In einer solchen integrierten Lösung werden alle relevanten Informationen automatisch von den
Wireless-Controllern an die Managementplattform weitergeleitet. Diese unterstützt die automatische
Konfiguration und die "Plug-and-Play"-Implementierung sämtlicher Komponenten innerhalb des Wireless
Network. Werden Access Points zum Netzwerk hinzugefügt, müssen sie nicht manuell autorisiert
werden, sondern erhalten die Genehmigung automatisch und sind betriebsbereit.
In einer solchen Umgebung ist es erforderlich, dass alle Access Points zusätzlich zum
Standardmodus auch in einem Sensormodus betrieben werden können. Hierfür müssen sie als
IDS/IPS-Sensoren aufgerüstet werden, um über die entsprechend ausgestatteten Wireless Controller
dem IDS/IPS-Sicherheitsmodul alle Netzwerkinformationen zur Verfügung stellen zu können. Auf diese
Weise entfällt die Implementierung eines separaten Overlay-Sensorennetzwerks. Idealerweise ist es
dabei sogar möglich, die Access Points durch eine zentrale Konfigurationsänderung in der
Managementkonsole vom Standard- auf den Sensormodus umzuschalten und umgekehrt.
Obwohl derzeit Netzwerkplanung, Standortanalysen und so weiter als unabhängig vom
Netzwerkbetrieb betrachtet werden, bringt die Integration der Planungs-Tool-Ausgabedaten in die
Managementplattform weitere Vorteile. So ermöglicht sie beispielsweise den Import von Plänen und
Informationen zum Aufbau von Materialien und so weiter, die man ansonsten in der
Management-Plattform neu erstellen müsste. Das Managementsystem verwendet dann Echtzeitdaten, die
es sammelt, um die Performance-Modelle, die es aus den Originaldaten erstellt, zu aktualisieren. So
entsteht ein ständig aktueller Überblick über die RF-Umgebung.
Ein Dashboard sorgt für Komplettüberblick
Insgesamt wird die Verwaltung eines sicheren WLANs deutlich vereinfacht, da nun eine integrierte
Verwaltungsoberfläche für alle Funktionen eingesetzt werden kann, einschließlich Sicherheit,
Standortbestimmung, Richtlinien, Netzwerküberwachung, Konfiguration und so weiter. Aus diesem Grund
beinhaltet eine umfassende Managementplattform neben den IDS/IPS-Funktionen auch eine
Funkfeldplanung, Tools zur Performance-Optimierung sowie Überwachungs-/Berichtsfunktionen. Hierzu
zählt etwa ein zentrales Armaturenbrett oder Dashboard, das dem Administrator bei der Anmeldung
angezeigt wird und ihm eine komplette Übersicht über den Netzwerkstatus bietet. Zudem kann er sich
hier mit jedem Bereich im Detail befassen – gleichgültig ob es nun um die Lösung von Problemen, das
Verbessern der Performance oder die Erstellung von Berichten geht. Zudem kann man hier die
Möglichkeit schaffen, vorformatierte Berichte zu generieren. Besonders hilfreich ist dies zur
Einhaltung von behördlichen Vorschriften wie etwa Sarbanes-Oxley oder von spezifischen Gesetzen wie
HIPAA für das Gesundheitswesen.
Fazit
Die Sicherheit war bislang eine wichtige Herausforderungen und ein Haupthindernis für die
Implementierung von WLANs. Die Ratifizierung von Sicherheitsstandards hat Lösungen für einige
Aspekte dieses Problembereichs (wie zum Beispiel Verschlüsselung und Sitzungssicherheit)
geschaffen. Overlay-Wireless-IDS/IPS-Lösungen haben die Lücken geschlossen, die von den Standards
nicht abgedeckt wurden (Sicherheit des Funkbereichs), ließen sich jedoch nur schwer in bestehende
Netzwerke integrieren. Neue Ansätze erleichtern diese Integration sowohl in die Infrastruktur als
auch in vorhandene Managementsysteme und ermöglichen so die Schaffung eines Wireless-Netzwerks, das
alle Mobilitätsanwendungen unternehmensweit, effektiv, einfach und vor allem sicher
unterstützt.
Lesen Sie mehr zum Thema
