Sicherheit fürs WLAN: So geht's, so nicht

Neue Standards verbessern die Sicherheit kabelloser Netze deutlich. Mit einfachen Mitteln lassen sich auch herkömmliche WLANs sichern.

Artikel erschienen in Swiss IT Magazine 2003/14

     

Die Hersteller haben verstanden: Auch wenn echte Hackerangriffe mit negativen Folgen fürs Business selten vorkommen, haben Medienberichte über "Wardriving" und Wireless-Sicherheitslöcher dem Ruf der WLAN-Technologie ziemlich geschadet. Manche Firma sträubt sich nur aus Sicherheitsgründen gegen die Installation eines Wireless LAN.


WPA als Zwischenstufe

Deshalb kommt bereits vor der Verabschiedung des Security-Standards 802.11i, die gegen Ende des laufenden Jahres über die Bühne gehen dürfte, eine neue Generation von WLAN-Equipment mit integriertem "Wireless Protected Access", kurz WPA, auf den Markt. WPA ist wie WiFi eine Handelsmarke der Branchenorganisation WiFi-Alliance. WPA-fähige Geräte verschiedener Hersteller sollten sich problemlos vertragen.



Neu auf den Markt kommende Access Points und Funkadapter sind heute meist von Haus aus mit WPA ausgestattet. Die meisten bestehenden 802.11b-Geräte neueren Datums sowie 802.11a- und 802.11g-Equipment lassen sich per Firmware-Upgrade auf WPA aufrüsten, zumindest theoretisch. In der Praxis ist erstens ein Firmware-Upgrade nicht ganz einfach durchzuführen, zweitens funktionieren Erstversionen erfahrungsgemäss nicht völlig problemlos.




Wer WPA will, muss die bisherigen Geräte aber auf jeden Fall aufrüsten, denn WEP und WPA können nicht gemischt benutzt werden: Wenn im WPA-fähigen WLAN ein WEP-Teilnehmer auftaucht, schaltet das ganze WLAN auf WEP zurück. Daran ändert auch der "WPA-Support" von Windows XP Service Pack 1 nichts - damit ist bloss gemeint, dass Windows XP auch mit WPA-Funkadaptern die automatische WLAN-Konfiguration per Wireless-Zero-Configuration-Service (WZC) unterstützt.




Besser verschlüsselt, besser authentifiziert

WPA bringt Neuerungen, die auch im noch nicht ratifizierten 802.11i-Standard integriert sein werden - WPA ist ein Subset der bisher definierten Teile von 802.11i und wird obsolet, sobald 802.11i definitiv festgelegt ist. Mit WPA kommt das WLAN in den Genuss von TKIP (Temporal Key Integrity Protocol) sowie verbesserter Authentifizierung. Die Neuerungen in WPA im Überblick:




• TKIP verbessert die bisherige WEP-Security durch längere Initialisierungsvektoren mit neu 48 statt lediglich 24 Bit, für jedes 802.11-Frame individuell generiertem statt fixem Schlüssel sowie einem Message Integrity Code (MIC), mit dem sich durch Eindringlinge modifizierte Datenpakete leicht erkennen lassen.





• Der Verbindungsaufbau zwischen Access Point und Funkadapter erfolgt neu über einen gegenseitigen Authentifizierungsmechanismus, wie er in jedem businesstauglichen Netzwerk eigentlich selbstverständlich ist. Als erstes meldet sich der Funkadapter beim Access Point an, der erst darauf die Erlaubnis schickt, überhaupt weitere Frames zu senden. Dann wird auf User-Ebene autorisiert. Im Enterprise-Umfeld greift WPA dazu auf Directory-Services wie RADIUS oder LDAP zurück; für kleinere Netzwerke gibt es auch einen Modus mit vordefiniertem Schlüssel analog WEP.



802.11i wird darüber hinaus als Option den besseren Verschlüsselungsalgorithmus AES sowie dynamische Vereinbarung von Authentifizierungs- und Verschlüsselungsmechanismen bieten; alles zusammen wird auch als "Robust Secure Network" (RSN) bezeichnet. WPA dagegen arbeitet wie WEP mit der schwächeren RC4-Encryption. Genau deshalb werden sich nicht alle WPA-fähigen Geräte auf 802.11i aufrüsten lassen, da AES viele bisherige WLAN-Chipsets überfordert.



Bereits unter WPA frisst die Erzeugung eines neuen Schlüssels für jedes Frame Rechenkapazität und belastet das Netzwerk zusätzlich. Schon bei aktiviertem WEP leidet die Performance ja merklich; mit WPA dürfte sich das Problem noch verschärfen. Dies gilt vor allem für bestehende, mit WPA-Firmware aufgerüstete WLAN-Geräte, wo WPA nicht durch die Hardware beschleunigt wird.



Ein Problem, das WPA nicht löst, sind Denial-of-Service-Angriffe: Empfängt ein Access Point in rascher Folge mehrere Datenpakete mit falschem Schlüssel vom gleichen Teilnehmer, unterbricht er alle Verbindungen für eine Minute - das WLAN bricht zusammen.


Schnelle Tips fürs sichere WLAN

Auch ohne WPA und 802.11i können WLANs bedeutend sicherer konfiguriert werden, als es in der Praxis oft geschieht. Der Schlüssel zur Security: Die vorhandenen Sicherheitsmechanismen sollten auch wirklich genutzt werden, überflüssige Features deaktiviert man am besten. Die folgenden Security-Tips sind ohne Mühe sofort umsetzbar:




• SSID-Broadcasting auf allen Access Points ausschalten. So finden Hacker und Wardriver nicht schon auf Anhieb den Namen des WLAN heraus, der zum Zugang benötigt wird. Gegen aktives "Sniffing", das Herausfinden der SSID aus den bei der Kontaktaufnahme zwischen Access Point und Funkadapter ausgetauschten Daten, hilft diese Massnahme allerdings nicht.





• Die vom Hersteller voreingestellte SSID vor Inbetriebnahme des WLAN ändern. Wer mit dem Defaultnamen arbeitet, öffnet unbefugten Usern die Tore zum WLAN sperrangelweit.




• Als SSID nicht den Firmennamen wählen. Wie bei Passwörtern sollte auch der WLAN-Name möglichst unintuitiv gewählt werden, zum Beispiel eine bedeutungslose Kombination von Ziffern und Buchstaben, die nicht erraten werden kann.




• Access Points weg vom Fenster plazieren. Je weiter die Access Points von der Fassade entfernt sind, desto schwieriger wird der Empfang für ausserhalb des Gebäudes aktive Eindringlinge.




• Die integrierte WEP-Verschlüsselung aktivieren. Auch wenn WEP nicht über alle Zweifel erhaben ist: Eine schwache Veschlüsselung ist immer noch besser als gar keine.



Mit etwas mehr Aufwand wird das WLAN noch sicherer:




• Firewall zwischen WLAN und Firmennetzwerk installieren. Mit einer demilitarisierten Zone lassen sich Hackerangriffe am besten eliminieren - der Preis dafür ist ein ebenfalls eingeschränkter Zugang der WLAN-Teilnehmer zu den übrigen Netzwerkdiensten.




• Hardwarebasierte Zugangskontrolle aktivieren. Jede Netzwerkkarte, auch Funkadapter, haben eine weltweit einmalige, in der Hardware festgelegte MAC-Adresse. Die meisten Access Points ermöglichen, den WLAN-Zugang nur für bestimmte MAC-Adressen zu erlauben. Dieses Vorgehen ist allerdings nur bei einer geringen Zahl von Teilnehmern praktikabel.




• Eine der bestehenden Sicherheitslösungen implementieren. Hersteller wie Cisco oder Proxim bieten proprietäre Lösungen mit serverbasierter Zugangskontrolle an. Attraktiv überall dort, wo höchste Sicherheit erforderlich ist, das WLAN schon mit Produkten des betreffenden Herstellers betrieben wird und nicht auf 802.11i-zertifizierte Geräte gewartet werden kann.




• DHCP nicht verwenden. Die automatische Vergabe von IP-Adressen durch einen DHCP-Server ist zwar bequem, aber sicherheitstechnisch bedenklich: Ist DHCP aktiviert, erhält ein Hacker wie jeder autorisierte Teilnehmer automatisch eine IP-Adresse. Mit fixen IP-Adressen fällt das Eindringen ins WLAN schwerer.




• Sensitive Daten mit VPN-Verbindungen schützen. Der vom WLAN ausgehende Zugriff auf Server mit firmenkritischen Daten kann, analog zu Dialup-Usern, auf Teilnehmer mit VPN-Verbindung eingeschränkt werden. Dann ist die gesamte Strecke zwischen Server und Client verschlüsselt - WEP und auch WPA kümmern sich ja nur um die Strecke zwischen Client und Access Point.



Sicherheit über WPA hinaus: Das Robust Secure Network



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER