Mobile Computing etabliert sich zusehends als wichtiger Baustein in der Realisation flexibler Infrastrukturen moderner Netze von Firmen, Organisationen und Privathaushalten. Weltweit gibt es in 23 Ländern WLAN-Netze mit insgesamt 3400 Hot Spots, die öffentlich zugänglich sind.
Schätzungsweise 1,8 Millionen Menschen greifen laut Frost & Sullivan auf über 60’000 WLANs zu. Trend stark zunehmend. Synergy Research Group (SRG) prophezeit ein jährliches Wachstum des WLAN-Marktes von 30 Prozent bis ins Jahr 2006. Noch sind in den Flughäfen die VIP-Lounges mit Breitband-Internetzugang für Reisende nicht so häufig anzutreffen, doch mit dem 1999 vom IEEE verabschiedeten Standard 802.11b (auch «high rate» oder «Wi-Fi», Wireless Fidelity genannt) sind die Grundlagen für die kabellose Datenübertrag mit 11Mbps geschaffen.
Roaming wird unterstützt, wie beim Mobilfunk merkt der Anwender nicht, wenn er sich in das Gebiet einer anderen Funkzelle bewegt.
WLAN-Mischkulturen
Mit WLAN-Technologie lassen sich kostengünstig sehr grosse kabellose Netzwerke aufbauen, in der Regel sind die Netzwerke von Unternehmen und Organisationen aber Mischkulturen aus Kabel- und Funknetzen. Die Installation eines WLAN ist denkbar einfach: Access-Point an das Ethernet-Kabel anschliessen, Netzwerkparameter einspeichern, Notebook oder andere mobile Endgeräte mit WLAN-Funkkarte ausrüsten, fertig. Hochrechnungen gehen davon aus, dass bis zu 85 Prozent der Funknetze von semiprofessionellen Anwendern installiert sind und keinerlei oder nur sehr geringe Schutzmassnahmen aufweisen.
Allerdings sind auch WLAN-Administratoren, die auf die Sicherheit ihrer Netzwerke achten, machtlos gegenüber Mitarbeitern, die ihre privat gekauften PDAs einfach ohne Absprache ans Firmennetz anschliessen und mit ihnen unverschlüsselt Daten übertragen.
Trendsport Wardriving
In London sind Zeichen an Hauswänden aufgetaucht, die das Vorhandensein und die Verwundbarkeit eines WLANs anzeigen, im Internet werden die Funkbereiche von WLANs veröffentlicht, internationale Wardriving Days werden durchgeführt: Als «Wardriving» oder «Drive-by-Hacking» wird unter Insidern das Abhören von Funkkommunikation und das Anzapfen von Netzwerken via Funk bezeichnet.
Der Begriff lehnt sich an das «Wardialling» der 80er Jahre an, bei dem systematisch Telefonanschlüsse angewählt wurden, um knackbare Computer ausfindig zu machen. Zum Wardriving benötigt man ein Auto, eine Funk-Antenne und ein leistungsfähiges Laptop oder Notebook mit einer 11Mbps Wireless LAN PC-Card. Sniffer erledigen dann die eigentliche Arbeit des Aufstöberns und Knackens.
Dem Wardriver stehen hierbei eine Vielzahl von Tools für die unterschiedlichen Plattformen zur Verfügung – grosse Unterschiede bestehen in Anschaffungskosten und Qualität. Häufig wird dabei die Freeware Netstumbler genutzt, Netstumbler kann nicht nur WLANs aufspüren, sondern liefert auch Informationen über die eingesetzten Client-Adapter, Access Points und WEP-Implementierungen (Wired Equivalent Privacy) – eine breite Palette an Information für das weitere Vorgehen, das nach StGB, ZGB, Datenschutzgesetz und OR strafbar ist.
Quasi-Sicherheit
Mobilität hat zwei Gesichter. Für viele Unternehmer und Ärzte ist sie heute im Alltag unverzichtbar, aber das Lawrence Livermore National Laboratory USA hat seine beiden WLANs stillgelegt. Grund: es gibt keine hundertprozentige Sicherheit für WLANs.
Schutzmassnahmen können allerdings durchaus ergriffen werden. Um zu verhindern, dass Unbefugte über einen Access Point Zugang zum Netzwerk erhalten, stehen grundsätzlich zwei Alternativen zur Sicherung zur Verfügung: MAC-Filtering (Media Access Control), bei dem die Clients über ihre eindeutige MAC-Adresse identifiziert werden und SSID (Service Set Identifier), eine Adresse, die sicherstellt, dass nur Endgeräte mit der gleichen SSID miteinander kommunizieren können.
Die Sicherheit besteht allerdings nur vordergründig, da sowohl MAC-Adresse als auch SSID nach 802.11 in Klartext mitübertragen werden und WLAN-Karten dazu gebracht werden können, andere MAC-Adressen anzunehmen.
Standard-Verschlüsselung
Abhilfe soll WEP schaffen - Wired Equivalent Privacy (WEP) ist der Standard-Sicherheitsmechanismus für 802.11. Die Verschlüsselungs- und Authentisierungstechnologie arbeitet allerdings mit einem Shared-Key, d.h. es wird ein einziger symmetrischer und statischer Schlüssel auf Basis des RC4-Algorithmus verwendet. Als Schlüssellängen stehen 40 Bit (WEP64) und 104 Bit (WEP128) zur Verfügung. Bei WEP besteht - neben seinen Schwächen bei der Implementierung - das Problem, dass der Initialisierungsvektor bei der Übermittlung von Daten in Klartext mitübertragen wird und so berechnet werden kann.
Gemäss Schätzungen von Experten von Infoguard und von NCP Deutschland benötigt man für das Berechnen von WEP64 eine Viertelstunde und von WEP128 rund 40 Minuten. WEP hat auch noch andere Schwächen wie ein fehlendes Schlüsselmanagement: Geht ein Gerät, das mit einem WEP-Schlüssel ausgerüstet ist, verloren, muss der Administrator den Schlüssel in allen anderen Geräten, die mit demselben Schlüssel ausgerüstet waren, manuell austauschen.
«Man-in-the-middle-attacks»
Einen Schlüssel, der sich für jede Session dynamisch verändert und mit dem alle Daten verschlüsselt übertragen werden, bietet der neue Standard IEEE 802.1x. Ein 802.1x Access Point gibt den Netzwerkzugang erst frei, wenn der User sich gegenüber dem Authentication-Server identifiziert hat. Die Kommunikation findet über das EAPOL-Protokoll (Enhanced Authentication Protocol over LAN) statt. 802.1x hat nun aber die Schwäche, dass sich der Client zwar gegenüber dem Access Point authentifizieren muss, der Access Point in umgekehrter Richtung aber nicht.
Da keine Prüfung der Datenintegrität stattfindet, können zudem Datenpakete zwischen Access Point und Client gefälscht werden. Ein 802.1x-WLAN ist durch sogenannte «Man-in-the-middle-attacks» kompromittierbar. Bei diesem Verfahren stellt der Angreifer einen falschen Access Point in der Nähe des anzugreifenden Netzwerkes auf und gaukelt einem gefundenen Client einen Netzwerk-Logon vor.
Dieser gibt, in der Meinung, dass es sich um einen «echten» Logon handelt – dem falschen Access Point Benutzernamen und Passwort bekannt. Der Angreifer informiert als nächstes den Client, er habe sein Passwort falsch eingegeben. Der Client loggt sich erfolgreich beim richtigen Access Point ein und der Angreifer ist nun im Besitz von Benutzernamen und Passwort.
Lösungen mit Handicap
Neben der eindeutigen Identifizierung muss auch die Vertraulichkeit der übertragenen Daten garantiert werden können. Die Hersteller von WLAN-Technologie reagieren deshalb mit proprietären Security-Lösungen, wie zum Beispiel LEAP von
Cisco, Dynamic Link Security von
3Com, WEPplus von Agere Systems oder Kerberos von Symbol. Handicap dabei: die spezielle Hardware des jeweiligen Herstellers wird vorausgesetzt.
Organisch gewachsene Firmen- und Organisationsnetzwerke bestehen aber oft aus Hardware-Komponenten verschiedener Hersteller und eine Umstellung würde die IT-Budgets überstrapazieren. Möglichkeiten, um WLANs ohne übermässige Aufwendungen sicher zu gestalten, bestehen mit der VPN- (Virtual Private Network) und PKI- (Public Key Infrastructure) Technologie. VPN sichert nicht nur wie bei WEP die Luftstrecke, sondern das gesamte Distributionssystem.
VPN-Infrastruktur für SWLAN
Unabhängig von der bereits installierten IT-Umgebung, lassen sich Software-Komponenten mit der Zielsetzung der maximalen Sicherheit betreiben. Beim Konzipieren der Infrastruktur sind allerdings gewisse Regeln zu beachten: Die Access Points sollten vom «verkabelten» Unternehmensnetz getrennt vor einer Firewall oder in einem eigenen IP-Subnetz installiert sein. Der Zugriff sollte abgesichert über einen Secure Gateway erfolgen (Grafik 1). Der Secure Gateway wird am besten im nicht öffentlichen Bereich hinter der Firewall oder in einer DMZ (Demilitarisierte Zone zwischen zwei Firewalls) installiert.
Auf den WLAN-Clients ist hierfür neben dem WLAN-Treiber der Secure Client zu installieren. In Remote-Access-Umgebungen, d.h. wenn eine grosse Anzahl von mobilen Clients in das Firmennetz integriert werden müssen, hat sich der Layer 2 Tunneling Standard auf der Basis von L2TP (Layer 2 Tunneling Protocol) durchgesetzt. Dabei können zwei Verfahren alternativ zum Einsatz kommen: «SSL over L2TP» und «IPSec over L2TP».
Sichere Mobilität
Auch der universelle Zugriff von mobilen Clients aus über öffentliche Funk- und Festnetze auf das zentrale Netzwerk von Unternehmen und Organisationen kann auf dem gleichen Sicherheitslevel ausgestaltet werden (Grafik 2). Dazu sollten neben einer PKI (Public Key Infrastructure) mit den entsprechenden elektronischen Zertifikaten leistungsstarke Verschlüsselungsalgorithmen zum Einsatz kommen. Im Einsatz bewährt haben sich 3DES, Blowfish oder der neue Standard AES – alle mit einer Schlüssellänge von mindestens 128 Bit.
Für «High Security» in einem Secure WLAN sorgen also die folgenden Faktoren: Sicherung der Authentizität durch Technologien der Benutzerauthentifizierung (elektronische Zertifikate und PKI), Sicherung der Vertraulichkeit durch Technologien der Datenverschlüsselung (Schlüsselmanagement und VPN), Sicherung der Datenintegrität durch Fingerprint-Technologie und die Sicherstellung der Verfügbarkeit der Daten und Systeme.
Vorteile des SWLAN
Eine Netzwerkverbindung muss auch dann bestehen bleiben, wenn ein Mitarbeiter während einer Session seinen Standort wechselt, also sich von einem Access Point zu einem anderen bewegt (Roaming). Remote Access am Firmennetz über WLANs und an Hotspots muss ebenso möglich sein, wie die Nutzung öffentlicher Mobilfunk- und leitungsgebundener Netze (Festnetz) wie ISDN, analoges Fernsprechnetz oder xDSL. Wechselnde IP-Adressen dürfen nicht zu Verbindungsabbrüchen führen. Diese Anforderung besteht beispielsweise bei mobilen Einheiten auf grösseren Arealen.
Ermöglicht wird diese Funktionalität durch «IPSec over L2TP». Bei der Zuweisung einer neuen IP-Adresse müssen die kompletten Security Associations (SA’s) nicht neu verhandelt werden. Bei einer nativen IPSec-Lösung hat dies immer einen Abbruch des Tunnels zur Folge und damit einen Sessionverlust bei laufenden Applikationen. Zur mobilen Datenkommunikation können sowohl Laptops mit unterschiedlichen Betriebssystemen als auch PDAs eingesetzt werden. Secure VPN Clients unterstützen Windows 98, 2000, NT, XP, ME, Windows CE und Linux. Durch integrierte LAN-Emulation kann den mobilen Clients letztlich die gleiche Arbeitsweise ermöglicht werden wie Clients, die direkt am Firmennetz (z.B. Ethernet) angebunden sind.
Hacken an der Orbit
Die Infoguard AG zeigt an der Orbit live, wie ein WLAN gehackt wird (Halle 1.1, Stand E34) und demonstriert die heutigen «best practices» zur Sicherung von WLANs. Ferner kann am Stand ein Secure WLAN in Betrieb begutachtet werden.
Der Autor
Roy van Meggelen ist Product Manager VPN bei der Infoguard AG.
Infoguard ist auf dem Gebiet der Informationssicherheit in Geschäftsprozessen von Unternehmen und öffentlichen Verwaltungen tätig. Infoguard ist Mitglied von The Crypto Group in Zug.
roy.vanmeggelen@infoguard.com
