Suchen

IBM Secure Open Wireless Server-Zertifikat soll Legitimität offener WLAN Access Points bezeugen

| Redakteur: Stephan Augsten

Forscher der IBM ISS X-Force wollen mobile Anwender vor den Gefahren offener Funknetzwerke schützen. Beim sogenannten „Secure Open Wireless“-Ansatz garantiert ein Zertifikat die Authentizität und Integrität des Servers bzw. Access Points. Damit wären Traffic Sniffing, Sidejacking und Man-in-the-Middle-Attacken kein Problem mehr.

Firmen zum Thema

Beim „Secure Open Wireless“-Ansatz von IBM muss sich der Server gegenüber dem Client ausweisen.
Beim „Secure Open Wireless“-Ansatz von IBM muss sich der Server gegenüber dem Client ausweisen.
( Archiv: Vogel Business Media )

Mobile Anwender müssen auf der Hut sein, wenn sie sich mit offenen WLAN-Access-Points verbinden. Eine Gefahr besteht beispielweise darin, dass die übermittelten Datenpakete bei einer unverschlüsselten Verbindung mittels Sniffing ausgespäht werden können. Aber selbst verschlüsselte Verbindungen sind nicht sicher – denn für Hacker ist es kein Problem, einen legitimen WLAN Access Point zu imitieren.

Abhilfe soll „Secure Open Wireless“ von IBM schaffen. Dabei wird ein vertrauenswürdiger Server mit einem digitalen Zertifikat ausgestattet, das mit dem Netzwerk-Namen (SSID, Service Set Identifier) verbunden wird. Diese Methode ähnelt stark dem HTTPS-Ansatz im Internet, bei dem sich eine Webseite per Zertifikat als vertrauenswürdig ausweist.

Mit dem WLAN-Zertifikat erhält der Client-Anwender also einen Beleg für die verschlüsselte Verbindung und die Legitimität des Access Points. Die sichere Verbindung wird bei über EAP-TLS (Extensible AuthenticationProtocolTransport Layer Security) hergestellt, das in Unternehmen bereits zur Absicherung von WLAN-Strukturen verwendet wird.

In seiner ursprünglichen Form funktioniert EAP-TLS genau umgekehrt: das jeweilige Endgerät – sei es nun Laptop oder Smartphone – muss sich mittels Zertifikat gegenüber dem Access Point authentisieren. Da bei Secure Open Wireless jedoch das Funknetz öffentlich zugänglich sein soll, wurde das Konzept seitens IBM umgebogen.

„Unser Ansatz erfordert weder ein Zertifikat noch einen anderen Berechtigungsnachweis auf dem Client“, erläutert Tom Cross, Threat Intelligence Manager bei IBM X-Force und leitender Forscher hinter Secure Open Wireless. „Wir stellen einfach nur sicher, dass der WLAN Access Point hinter einer bestimmten SSID sicher ist und dem Client die verschlüsselte Verbindung ermöglicht.“

Um Secure Oppen Wireless verwenden zu können, muss der WLAN-Provider für eine Jahresgebühr von 20 bis 30 US-Dollar ein digitales Zertifikat erstehen. Darüber hinaus wird ein RADIUS-Server wie FreeRADIUS benötigt, der zentralisiertes Authentication Management in Funknetzwerken unterstützt.

(ID:2052673)