Organisatorische und technische Maßnahmen
Sicherheit für WLANs
"Privatanwender verschlüsseln WLANs besser als Unternehmen", stellte eine Studie im November fest. Generell scheint es um die Sicherheit der drahtlosen Netze im professionellen Umfeld noch immer nicht so gut bestelt zu sein, wie man es angesichts der vorhandenen Sicherheitstechnik erwarten würde. Der folgende Artikel zeigt, dass neben technischen immer auch organisatorische Security-Maßnahmen treten müssen.
Unternehmen müssen heute damit rechnen, dass jeder Besucher und Mitarbeiter einen WLAN-fähigen Laptop, ein Netbook, ein Dual-Mode-Handy oder einen WLAN-fähigen MP3-Player besitzet und dass 802.11n-Access-Points (APs) in jedem Elektronikladen für wenig Geld zu haben sind. Daher kann kein Unternehmen behaupten, seine Netze seien sicher - es sei denn, es hat Programme installiert, die das unbefugte Eindringen in die Infrastruktur mit drahtlosen Systemen vorbeugend verhindern oder wenigstens sofort aufspüren (Wireless Intrusion Detection and Prevention, WIDS/WIPS).
Mindestens fünf klassische Schwachstellen sollte jede Organisation berücksichtigen, ob nun ihr Netzwerk komplett verkabelt ist oder eine Mischung zwischen kabelgebundenen und kabellosen Zugangsmöglichkeiten bietet. Die Tabelle zeigt diese Aspekte. Was an dieser Aufstellung zunächst überraschen mag, ist die Verletzlichkeit der verkabelten Infrastruktur. Tatsächlich kann die Implementierung von WLAN-Technik die Wahrscheinlichkeit, dass Schwachstellen auftreten, sogar verringern. Ob drahtlos oder verkabelt - ein WIDS/WIPS sichert das Netz, wo zuvor nur mit Glück Sicherheitszwischenfälle verhindert wurden.
"Rogue Access Points" sind wahrscheinlich die bedeutendste drahtlose Bedrohungsquelle für eine Organisation, ob diese nun WLANs nutzt oder nicht. Rogue APs werden meist von Mitarbeitern implementiert, die meinen, sie würden damit "ihre IT-Abteilung unterstützen" - und zwar, ohne diese davon in Kenntnis zu setzen. Daraus folgt, dass diese Anwender, wenn überhaupt, nur wenige Sicherheitsfunktionen verwenden. Häufig werden die Geräte von zu Hause mitgebracht oder irgendwo billig eingekauft und unter einem Tisch oder anderweitig unsichtbar installiert. Dann verbinden sie sich mit den WLAN-Ports und versorgen die Kollegen mit "Mobilität" rund um ihren Schreibtisch, bis hin zum Parkplatz oder dem Nachbargebäude.
"Brücken-Laptops" sind eine Form des Rogue APs, die auch das verkabelte Netz signifikant bedrohen. Jede Organisation hat Mitarbeiter (oder Gäste und Lieferanten), die Laptops mit integriertem WLAN verwenden. Werden diese zu Hause oder an Hotspots genutzt, ist es wahrscheinlich, dass sie sich automatisch bei Netzen mit einem verbreiteten Netzwerknamen (Service Set Identifier, SSID) wie zum Beispiel "Linksys", "D-Link" oder "T-Mobile" anmelden. Im schlimmsten Fall wird aber diese - gültige - SSID von einem Hacker präsentiert. Melden sich genügend Laptops an dessen Netzwerk an, werden wahrscheinlich zumindest einige fälschlich so konfiguriert sein, dass sie eine Verbindung zwischen der kabellosen und verkabelten Infrastruktur herstellen. So erhält ein Hacker unter Umständen direkten Zugang zum drahtlosen Unternehmensnetz.
Firmen, deren Mitarbeiter sich auf Desktop-Rechner beschränken müssen, weil Laptops, Mobiltelefone und PDAs (Personal Digital Assistants) verboten sind, droht wahrscheinlich keine Gefahr durch "Dirty Clients". Jede andere Organisation allerdings muss sich überlegen, wie sie Infektionen verhindern will. Solche Infektionen gehen bevorzugt von MobilcomputingPlattformen aus, die auch außerhalb ihres Firmengebäudes und in öffentlichen Netzen verwendet werden. Laptops, die nicht dem Unternehmen gehören, und Mobiltelefone oder PDAs, die ins Büro mitgebracht und ans Netz angeschlossen werden, entsprechen sehr wahrscheinlich nicht den Sicherheitsanforderungen der jeweiligen Firma hinsichtlich Firewall oder Virenschutz. Mobile Systeme sollten daher immer als potenziell verseucht betrachtet werden. Deshalb sollte man eine verbindliche Methode definieren, ihre Sicherheitskonfiguration festzustellen.
Weil es nahezu überall drahtlose Netze gibt, ist es nur zu einfach (und zu verbreitet!), dass sich Mitarbeiter, frustriert von der Anti-Wireless-Politik ihres Unternehmens, in externe Netze einloggen - über eine unsichere Verbindung. Es kann sich dabei um ein ungesichertes WLAN einer benachbarten Firma handeln oder um einen öffentlichen Hotspot. Zwar ist es unwahrscheinlich, dass in einer derartigen Umgebung viele interne Daten über ein öffentliches Netz fließen - aber dennoch bedroht diese Situation das Unternehmen signifikant: Mitarbeiter können im Internet auf Seiten surfen, die ihr Arbeitgeber nicht freigegeben hat. Sie können es auch ungewollt Hackern ermöglichen, Daten mit Man-in-the-Middle-Angriffen abzufangen. Diesen Angriffstyp bezeichnet man als "Evil Twin". Er wird immer häufiger dort beobachtet, wo viele Wireless-Anwender zusammenkommen. Dabei ist ein AP im Spiel, der von einem Hacker konfiguriert wurde, um harmlose Wireless-Anwender dazu zu verführen, sich an seinem Netzwerk anzumelden. Dann können die Hacker Authentisierungsinformationen für das Unternehmensnetz oder Details wie Kreditkartennummern abgreifen. Nur wenige, gut informierte Anwender würden wahrscheinlich den Unterschied zwischen dem echten Hotspotnamen "T-Mobile" und dem falschen "T-Mbile" überhaupt erkennen. Dies gilt erst recht für eine verführerische Netzwerkbezeichnung wie "T-Mobile High Speed WLAN". Beide zuletzt genannten Namen sind aber falsch und werden wahrscheinlich von Hackern genutzt.
Sicherheitsbedrohungen entwickeln sich ständig weiter. Eine heute nicht bemerkte Schwachstelle wird morgen zum ungesicherten Eingangstor zum Netz. Eine gefährliche Schwachstelle kann viele Formen haben - ältere Wireless-Clients, die nur die schwache Verschlüsselung mit WEP (Wired Equivalent Privacy) beherrschen, verkabelte Ethernet-Ports in einem Konferenzraum, an denen ein Rogue AP angebunden ist, oder WLAN-Implementierungen, die die Anwender nicht jeweils durch individuelle Firewalls voneinander trennen. Fehlen diese Firewalls, können Hacker IP-Adressen ausspähen (IP-Spoofing) und von einem VLAN (Virtual LAN) ins andere springen (VLAN-Hopping).
Da bösartig und unvorhersehbar, sind Denial-of-Service-Angriffe (DoS) für drahtlose Netze immer gefährlicher als für verkabelte. Obwohl netzwerkweites DoS nicht sehr wahrscheinlich sind, gibt es durchaus begrenzte Unterbrechungen des Netzverkehrs durch fehlerhafte Geräte. Dabei kann es sich um einen schlecht isolierten Mikrowellenherd handeln, der den 802.11b/gVerkehr stört, oder um ein fehlerhaftes Elektrokabel, das elektromagnetische Interferenz in einem großen Teil des Funkspektrums erzeugt. Solche Interferenzquellen müssen schnell erkannt und gefunden werden, damit die mobilen Systeme (WLAN, DECT-Telefonie oder sogar 3G-Mobilnetze) betriebsfähig bleiben. Zwar kommt dies sehr selten vor, doch kann DoS auch eine Attacke auf das Netz anzeigen; EAP-Flood-Angriffe (Enhanced Authentication Protocol) zum Beispiel, die darauf zielen, den Authentisierungsprozess eines RADIUS-Servers zu unterbrechen, sind ein Spezialtyp dieser Angriffsform. Eher generelle DoS-Angriffe werden vom Fake-AP-Tool ausgelöst, einer Software, die eigentlich dafür entwickelt wurde, echte SSIDs abzuschirmen. So können Unbefugte, die versuchen, in private, wenn auch ungesicherte WLANs einzudringen, diese nicht ausfindig machen und nutzen. Inzwischen verwenden Hacker dieses Tool, um drahtlose Unternehmensnetze durch Überflutung des Funkraums mit falschen SSIDs zu unterbrechen.
Mit den folgenden sechs Schritten lassen sich die Risiken in drahtlosen wie verkabelten Netzen wirksam mindern:
1. Implementieren Sie WLANs
Dieses Vorgehen widerspricht vielleicht Ihrer Intuition, doch ist die Installation eines WLANs (genauer: eines WIDS/WIPS) der effizienteste Schritt für jede IT-Abteilung, um das verkabelte Netz zu schützen. Nur indem sie permanent die Funkumgebung überwachen, können Organisationen sicher sein, dass sich in ihrem LAN keine Rogue APs oder Brücken-Laptops befinden - oder dass nicht irgendeine der anderen oben erwähnten Bedrohungen einen Angriffsweg ins Unternehmen geöffnet hat.
2. Verschlüsseln Sie den Datenverkehr
Verschlüsselung des gesamten Datenverkehrs - vom drahtlosen Client bis zum Kern des Netzes - mit WPA2-AES bringt Organisationen ein ganzes Stück auf dem Weg zum hochsicheren Netzwerk voran. WEP sollte in Firmennetzen grundsätzlich nicht eingesetzt werden, da die Verschlüsselung relativ einfach zu knacken ist. Heute findet man in fast allen öffentlichen, halböffentlichen und sicheren Netzstandorten ein WLAN vor. Alle Daten, die über das WLAN und seine Rückverbindung zum Kernnetz transportiert werden, sollten verschlüsselt sein. Drahtlose Lösungen, die keine Client-Core-Verschlüsselung unterstützen und die Daten nur auf der Funkstrecke verschlüsseln, während sie die Sicherheit auf der verkabelten Verbindung ignorieren, sollte man nicht einsetzen.
3. Authentisieren Sie die Anwender am Netzwerkzugang Die Authentisierung von WLAN-Anwendern ist in der Regel weniger schwierig, als sie aussieht. Zur Authentisierung gemäß 802.1x gibt es mehrere Varianten: EAP-PEAP (Protected EAP) auf der Serververbindung, EAP-TLS (Transport Layer Security) auf der Server- und Client-Verbindung oder EAP-GTC (Generic Token Card). Alle helfen, Anwender und Geräte zu identifizieren. Gleichzeitig bilden diese Verfahren eine gute Basis für Netzwerkzugangslösungen (NAC, Network Access Control).
4. Implementieren Sie NAC oder NAP
NAC oder Microsofts NAP schützen das Netz vor Geräten, die infiziert sein könnten, und stellen sicher, dass die Anwender ihr System in Ordnung bringen, bevor sie sich am Netz anmelden. Ein NAC oder NAP mit einer Firewall im WLAN zu verbinden, ist eine weitaus robustere Zugangskontrollmethode als die traditionellen VLAN- oder DHCP-Zuordnungen (Dynamic Host Configuration Protocol), da die Firewall garantiert, dass Anwender nur auf die für sie frei geschalteten Domains oder Server zugreifen können.
5. Terminieren Sie Anwenderverbindungen an der Firewall
Unglücklicherweise reicht es für den Aufbau einer sicheren Umgebung nicht aus, Anwender einfach durch VLANs zu trennen. Vielmehr sollten drahtlose Verbindungen (am besten jedes einzelnen Anwenders) auf einer Firewall im WLAN terminiert werden. Dies stellt sicher, dass jeweils nur Applikationen eines bestimmten Anwenders oder Geräts zum Netz zugelassen oder vom Netzzugang ausgeschlossen werden.
Ohne eine solche Stateful Firewall sind Man-in-the-Middle-Angriffe oder VLAN-Hopping möglich.
6. Implementieren Sie eine spezielle Mobil-Domain
Anders ausgedrückt: Geben Sie den Anwendern, was sie wollen! Die meisten Nutzer von Laptops, PDAs oder Dual-Mode-Telefonen wissen genau, wie sehr sie von ihrem Gerät profitieren, weil sie auf ihre Daten zugreifen können, wo und wann sie wollen.
Viele Sicherheitslücken verkabelter Netze werden durch Anwender ausgelöst, die unternehmensfremde Drahtlosverbindungen verwenden. Damit verursachen sie Lücken im Sicherheitsnetz, die Hacker ausbeuten können. Wenn man Anwendern auf sichere und kontrollierte Weise gibt, was sie brauchen, entschärft dies gleichzeitig das größte Risiko für verkabelte LANs, nämlich wohlmeinende Mitarbeiter.
Lesen Sie mehr zum Thema
