Neue Standards sichern drahtlose Netzwerke und strapazieren Budgets und Geduld

WLAN-Security bewegt sich in Richtung End-to-End-Sicherheit

20.11.2007 | Autor / Redakteur: Andreas Beuthner / Ulrike Ostler

Ein Schlüssel reicht längst nicht mehr, um WLANs zu sichern
Ein Schlüssel reicht längst nicht mehr, um WLANs zu sichern

Das Verschlüsseln von Datenströmen in Wireless Local Area Networks (WLAN) boten bisher nur unzureichend Schutz vor Hacker-Angriffen. Neuere Sicherheitsstandards verlangen mehrstufige Sicherheitslösungen, die die Integrität der Endgeräte, eine Authentifizierung der Netzteilnehmer und der aktiven Access Points einschließen. Mehr Sicherheit bedeutet allerdings auch mehr Aufwand für die Netzadministration und Geduld beim Anwender.

Drei Maßnahmen tragen zur Sicherheit eines drahtlosen Netzwerks bei: Durch das Verschlüsseln der Datenübertragung zwischen Sender und Empfänger erhält ein unerwünschter Mithörer lediglich wertlosen Chiffriersalat. Passwort-geschützte Logins verhindern den unerlaubten Zutritt ins Funknetz und das zusätzliche Aufspüren und Lokalisieren so genannter Rogue Access Points sorgt dafür, dass sich kein Zugriffspunkt, der nicht zugelassen ist, mit dem Funknetz verbindet.

Jakob Strebel, Sales Director bei Colubris Networks, kennt die Schwachstellen, weiß aber auch, dass Sicherheit einen Preis hat: „Der WLAN Sicherheitsstandard IEEE 802.11i ist seit Mitte 2004 ratifiziert, doch Kosten, Komplexität, mangelhafte Verfügbarkeit von Clients und Interoperabilitätsprobleme verhindern in vielen Fällen dessen Einführung“, sagt Strebel.

Vor einem halben Jahr hat Colubris in Zusammenarbeit mit Juniper Networks ein Tool für Network Admission Control (NAC) entwickelt, das nicht autorisierte Clients am Zugang zum WLAN hindert oder diese in einen Quarantänebereich weiterleitet.

Kritische Zugriffe umleiten

Kernstück des Network Admission Control ist ein WLAN Switching System, das den Quarantäneschutz am WLAN Edge über festgelegte Zugangsregeln steuert. NAC kombiniert das Colubris Intelligent Mobility Systems (CIMS) mit der von Juniper Networks entwickelten Unified Access Control (UAC) 2.0. Die Sicherheitsfunktionen sind auf die Multiservice Access Points verteilt und unterstützen den Authentifikationsstandard IEEE 802.1n.

Der Vorteil einer dezentralen Lösung liegt in dem frühen Abschotten der drahtgebundenen Netzwerkumgebung vor illegalen Datenströmen. Zugangskontrolle und Verschlüsselungsregeln kommen bereits am Access Point zum Einsatz und sortieren risikobehaftete Client-Zugriffe aus.

Während einfache Sicherheitsprotokolle wie WEP (Wired Equivalent Privacy) lediglich Sicherheitsanforderungen für ein Heimnetz erfüllen, liegen die Security Levels zur Absicherung der Unternehmensnetze wesentlich höher. Für die WLAN-Verschlüsselung und -Authentisierung gelten je nach WLAN-Typ Wi-Fi Protected Access (WPA) und Wi-Fi Protected Access 2 (WPA2) sowie Virtual Private Networking (VPN) als sicherer Weg. Um verschiedene Sicherheitsrichtlinien für Benutzer oder Benutzergruppen im Funknetz einzurichten, bieten sich virtuelle LANs am Access Point an.

Mehrstufiger Schutzwall

Einen anderen Weg geht Trapeze Networks zusammen mit Air Defense. Die Anbieter haben in ihr Produktpaket vier Sicherheitsstufen integriert: Eindringschutz, Sicherstellung der Integrität von Endgeräten, Authentifizierung und Verschlüsselung sowie anwendungsspezifische Firewall-Richtlinien.

Vor allem beim nicht autorisierten Zugriff von Fremdgeräten setzt Trapeze auf eine Technik von Air Defense. Das Intrusion Prevention System überwacht den Funkverkehr und identifiziert unerwünschte Geräte (Rogue Devices) ebenso wie Denial-of-Service-Angriffe oder so genannte Evil Twins, die sich als legitime Hotspots ausgeben.

Dabei unterstützt ein Verfahren namens Dynamic Threat Response das Orten von Bedrohungen, indem es die Access Points zeitweise als Sensoren einsetzt. Nach der Durchführung von Gegenmaßnahmen aktiviert eine Rekonfiguration wieder den Access Point-Dienst.

Doppelt genäht hält besser

Eine weiterreichende Sicherheitsarchitektur postuliert der Wi-Fi-Sicherheitsstandard 802.11i. Dieses so genannte Robust Security Network (RSN) enthält zwei Basisprotokolle für die Verschlüsselung und Integritätssicherung: Das auf dem Advanced Encryption Standard (AES) basierende CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) sowie das Temporal Key Integrity Protocol (TKIP). CCMP ist ein Kryptographie-Algorithmus, der einen 128-bit starken Schlüssel mit einem 48-bit starken Initialisator für Antwort-Abfragung verwendet.

Das von der Wireless Ethernet Compatibility Alliance (WECA) verabschiedete Temporal Key Integrity Protocol ersetzt das WEP-Protokoll, verwendet aber wie WEP den RC4-Algorithmus für die Verschlüsselung. Allerdings ändert sich der Schlüssel temporär – daher auch der Name des Protokolls.

Obwohl die Standardisierungsgremien bereits sehr ausgefeilte Protokollvorgaben veröffentlicht haben, sehen sich WLAN-Verantwortliche in der Praxis mit zahlreichen Hürden konfrontiert. Zum Beispiel ist die Migration zum 802.11i-Protokoll immer dann ein kostspieliges Unterfangen, wenn ältere Hot Spots und Access Points vorhanden sind. Sowohl das Upgrade der Firmware muss auf jedem Access Point durchgeführt werden als auch die Installation von Authentifizierungs- und Zertifikatsservern samt AES-Upgrade und neuem Protokoll im Netzwerk.

Hardware sträubt sich gegen Firmware

Ein weiterer Wermutstropfen bei der WLAN-Verschlüsselung ist das Hardwaredesign älterer Access Points. Falls der Chipsatz den AES-Standard nicht unterstützt, müssen Anwender das Gerät austauschen. Zwar bieten Equipment-Hersteller wie Cisco, Netgear oder 3Com Geräte mit starker Verschlüsselung und 802.11i-Kompatibilität, aber eine Neuanschaffung von Access Points schlägt nun mal kräftig zu Buche.

Ein weiteres Problem sind die mobilen Endgeräte. Diese müssen den aktuellen Sicherheitsstandard der Infrastruktur unterstützen, ansonsten entstehen notgedrungen Lücken im Sicherheitsnetz. Da 802.11i-Netze erst allmählich in Hotspots und Firmen-WLANs Einzug halten, wird es eine zeitlang den Parallelbetrieb mehrer Sicherheitstandards – hauptsächlich WEP, WPA und AES – geben. Jeder dieser Standards verfügt über seine eigenen individuellen Sicherheitsmerkmale, die vom Netzbetreiber verwaltet werden müssen.

Standard mit Schwachstellen

Die 802.11i Verschlüsselungsprotokolle enthalten eine Reihe von Interpretationsmöglichkeiten, die den Herstellern genügend Freiraum zur individuellen Auslegung der jeweiligen Funktionen einräumen. So halten sich die Equipment-Anbieter an das Extensible Authentication Protokoll (EAP) zur Übermittlung der Port-Access Requests zwischen dem Client und dem Access Point.

Aber welche EAP-Variante zugrunde liegt und wie die jeweiligen Authenfifikationsmechanismen konfiguriert sind, das kann sich von Hersteller zu Hersteller sehr wohl unterscheiden. So stellt sich in der Praxis immer wieder heraus, dass auch eine standardkonforme Implementierung auf technische Hindernis stößt, vor allem bei der Interoperabilität der eingesetzten Verfahren.

Um eine End-to-End-Sicherheit im WLAN zu realisieren, fassen umsichtige Netzadmins ohnehin weitere Mechanismen wie die Transport Layer Security (EAP-TLS) und die EAP Tunneled Transport Layer Security (EAP-TTLS) ins Auge.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009175 / Wireless Security)