Computerpartner

  
Sie befinden sich hier: HOMENachrichtenKnow HowTipps & Tricks
01.10.2017

Möglichkeiten zur Absicherung von WLANs

Tipps zur Verbesserung der WLAN-Sicherheit, da alle funkbasierten Übertragungstechniken weniger sicher sind als kabelbasierte Varianten.

Mathias Hein

Die WLANs sind ein gern gebrauchter Einstiegspunkt in die Netzwerke für Hacker. Durch WLANs müssen die Angreifer keinen Fuß in die Gebäude des Angegriffenen setzen. Der Grund: WLANs sind aufgrund dem zugrunde liegenden Funkverfahren viel offener als verkabelte Netzwerke. Dies bedeutet für den WLAN-Betreiber, dass dieser sich mehr mit der WLAN-Sicherheit auseinandersetzen muss.

Aber es gibt bei den WLANs jedoch höhere Sicherheitsschwellen als der Schutz der Ressourcen durch einfache Passworte. Das Lernen der zusätzlichen Sicherheitsmaßnahmen kann ein langer Weg sein, aber diese Investition zahlt sich in einem besseren Schutz der Netzwerke aus. Hier sind einige Tipps zur verbesserten Absicherung von WLANs. 

Nutzen Sie einen unauffälligen Netzwerknamen (SSID)

Die Definition eines Service Set Identifier (SSID) gehört zu den grundlegenden  Einstellungen bei WLANs. Eigentlich sollte ein frei vergebener Netzwerkname nicht die Sicherheit beeinträchtigen. In der Praxis hat dieser Name jedoch erhebliche Auswirkungen auf die Netzsicherheit. Wird eine der häufig genutzten SSIDs (beispielsweise "Wireless" oder der Standard-Name des betreffenden Herstellers) genutzt, vereinfacht dies das Knacken der WPA- bzw.WPA2-Passworte. Dies hat seine Ursache darin, dass die zum Knacken der Passworte genutzten Wörterbücher in der Regel die bekannten SSIDs bereits enthalten. Dadurch wird die Arbeit eines Hackers erheblich vereinfacht.

Manchem Administrator erscheint es sinnvoll, die SSID mit sprechenden Bezeichnungen zu versehen. Hierzu gehören beispielsweise der Firmenname, die Adresse oder die Raumbezeichnung. Die sprechenden SSID-Bezeichnungen sind insbesondere dann nicht sinnvoll, wenn sich das WLAN in einem mit anderen Unternehmen geteilten g Gebäude oder in unmittelbarer Nähe zu anderen Gebäuden oder Netzwerken befindet. Wenn Hacker in Netze eindringen wollen, dann suchen diese in der Regel nach Netzen mit niedrigen Sicherheitshürden oder nach "interessanten" Angriffszielen. Leicht identifizierbare und leicht zuordenbare Netzwerke werden höchstwahrscheinlich immer zuerst angegriffen.

Die WLAN-Spezifikationen ermöglichen auch das Ausschalten der SSID-Broadcasts. Dadurch wird für den regulären Nutzer der Namen des Netzwerks unsichtbar. Dies erfordert jedoch die manuelle Eingabe der betreffenden SSID beim Einbuchen in das WLAN. Ein Hacker mit den richtigen Schnüffelwerkzeugen kann jederzeit die SSID

Es geht um die physische Sicherheit

Bei der WLAN-Sicherheit wie auch in anderen Bereichen der IT geht es nicht um die neuesten Technologien und komplexe Protokolle. Die Netze können durch die beste Verschlüsselung abgesichert sein, aber können immer noch Sicherheitslöcher aufweisen. Die physische Sicherheit ist eine dieser Schwachstellen.

Die meisten Access Points (APs) verfügen über eine Reset-Taste, die jemand drücken kann, um die werkseitigen Standardeinstellungen wiederherzustellen. Damit werden in der Regel auch alle bisher für das WLAN eingerichteten Sicherheitsmechanismen entfernt.

In der Regel werden in einem Unternehmen die APs verteilt installiert. Daher müssen diese Geräte zusätzlich physisch gesichert werden, damit eine Manipulation dieser Komponenten verhindert werden kann. Man sollte bei der Installation der APs sicherstellen, dass sich diese immer außerhalb der Reichweite der Nutzer montiert werden. Auch sollten die vom jeweiligen Hersteller vorgeschlagenen Verriegelungsmechanismen (Verhinderung des Zugriffs auf die AP-Tasten und Ports) genutzt werden.

Eine weitere einfacher Trick zum Kompromittieren von WLANs besteht darin einfach einen nicht autorisierten AP (wird auch als "Rogue AP" bezeichnet) in das Netzwerk einzufügen. Zur Verhinderung von Rogue APs im Unternehmen sollte der Netzadministrator alle nicht genutzten Ethernet-Ports deaktiviert. Alternativ zum Abschalten der Ethernet-Ports empfiehlt es sich sowohl im funk- als auch im kabelbezogenen Netzwerk die 802.1X Authentifizierung aktivieren.

Enterprise WPA2 in Kombination mit einer 802.1X Authentifizierung

Einer der bewährtesten Sicherheitsmechanismen ist die Bereitstellung eines Enterprise-Modus der WLAN-Sicherheit. Bei diesem Verfahren wird jeder Benutzer individuell authentifiziert. Jeder WLAN-Nutzer verfügt dabei über seinen eigenen Benutzernamen und sein individuelles Passwort. Sollte ein Laptop oder ein mobiles Gerät verloren gehen bzw. gestohlen werden oder ein Mitarbeiter verlässt das Unternehmen muss der WLAN-Administrator nur das Log-Ins des jeweiligen Benutzers zu ändern bzw. widerrufen. Anmerkung: Nutzt man den persönlichen Modus, nutzen alle Benutzer das gleiche WLAN-Passwort. Geht ein Gerät verloren oder ein Mitarbeiter scheidet aus dem Unternehmen aus, müssen die Passwort auf jedem einzelnen Gerät geändert werden.

Ein weiterer Vorteil des Enterprise-Modus besteht darin, dass jedem Benutzer sein eigener Schlüssel zur Transportverschlüsselung zugewiesen wird. Die Benutzer können daher nur den Datenverkehr ihrer eigenen Verbindung entschlüsseln. Das allgemeine Schnüffeln auf den drahtlosen Verbindungen wird dadurch verhindert.

Um die im Unternehmen installierten APs im Enterprise-Modus betreiben zu können, muss hierfür ein RADIUS-Server einrichtet werden. Dieser sorgt für die Benutzerauthentifizierung und stellt die Datenbank bzw. das Verzeichnis (beispielsweise Active Directory) bereit, in dem alle Benutzernamen und Passwörter gespeichert sind. Obwohl ein eigenständiger RADIUS-Server genutzt werden kann, sollte zunächst überprüft werden, ob nicht ein anderer Server (beispielsweise ein Windows Server) diese Funktion bereits zur Verfügung stellen. Es kann auch ein Cloud-basierter oder ein extern gehosteter RADIUS-Service genutzt werden. Einige WLAN Access Points oder WLAN Controller bieten auch einen integrierten RADIUS Server. Diese integrierten Funktionen bieten gegenüber regulären RADIUS-Servern in der Regel geringere Leistungen und eingeschränkte Funktionalitäten. Daher eignen sich solche Lösungen nur für kleinere Netzwerke.

Absichern der 802.1X-Client-Konfigurationen

Wie alle anderen Sicherheitstechnologien weist der Enterprise-Modus der WLAN-Sicherheit auch einige Schwachstellen auf. Eines davon sind die sogenannten Man-in-the-Middle-Attacken. Hierbei befindet sich der Hacker im Flughafen, Café oder sogar auf dem Parkplatz einer Firma. Der Hacker versucht die Nutzer auf ein gefälschtes WLAN (gleiche oder ähnliche SSID wie das Firmennetzwerk) zu locken . Beim Anmelden eines Nutzers am falschen WLAN kann ein gefälschter RADIUS-Server die Anmeldeinformationen des Nutzers erfassen. Der Hacker nutzt anschließend die legitimen Anmeldeinformationen zum Verbindungsaufbau zum echten Firmen-WLAN. Eine Möglichkeit zur Verhinderung dieser Man-in-the-Middle-Angriffe besteht darin, auf der Client-Seite die Serververifikation zu nutzen. Wurde die Serverüberprüfung auf dem drahtlosen Client aktiviert, übergibt der Client seine WLAN-Anmeldeinformationen so lange nicht an den RADIUS-Server, bis überprüft ist, ob der WLAN Client  mit einem legitimierten Server kommuniziert. Das genaue Server-Verifizierungsverfahren der WLAN Clients variieren je nach Art des Geräts bzw. dem Betriebssystem des Clients.

In Windows Clients kann man beispielsweise den Domainnamen des legitimen Servers eingeben und die Zertifizierungsstelle festlegen, die das Zertifikat des Servers ausgestellt hat. Auch kann man unterbinden, dass neue Server oder Zertifikatsaussteller zugelassen werden.

Hat ein Hacker ein gefälschtes WLAN-Netzwerk und einen zugehörigen RADIUS-Server eingerichtet und ein Nutzer versucht sich daran anzumelden, dann wird die Windows-Konfiguration den Nutzer daran hindern, eine Verbindung herzustellen.

Erkennen von Rogue-APs oder Wireless Intrusion Prevention

Bisher wurden drei unterschiedliche Angriffsszenarien auf Access Points dargestellt:

  • ein Angreifer richtet ein gefälschtes WLAN-Netzwerk und RADIUS-Server ein,
  • ein Angreifer setzt einen AP in die Werkseinstellungen zurück und
  • ein Angreifer betreibt einen nicht autorisierten AP im Unternehmen bzw. Unternehmensumfeld.

Solche nicht autorisierten APs können unter Umständen von den IT-Mitarbeitern für einen längeren Zeitraum unentdeckt bleiben. Daher ist es notwendig eine automatische Rogue AP Detection zu aktivieren, die in den meisten AP- oder Wireless-Controller-Lösungen bereits integriert sind. Die genaue Funktionsweise der verschiedenen Varianten der Rogue AP Detection variiert von Hersteller zu Hersteller. Die meisten Lösungen scannen periodisch die Funkwellen und geben an den WLAN-Administrator eine Warnung aus, wenn ein neuer AP im Bereich der bereits im Netz vorhandenen APs erkannt wird. Einige AP-Hersteller haben darüber hinaus in ihre Produkte ein vollwertiges Wireless Intrusion Detection System (WIDS) bzw. ein Wireless Intrusion Protection  Einbruchschutz (WIPS) integriert. Diese Mechanismen bestehen aus einem zentralen RF-Managementserver und den im Gebäude oder über das Gelände verteilte WLAN-Sensoren. Die RF Sensoren werden über das gesamte Netz bzw. den zu schützenden Bereich verteilt. Innerhalb des Funkfelds untersuchen die RF-Sensoren kontinuierlich die Funksignale aller Access Points und WLAN Clients. Der RF-Manager sammelt sämtliche Daten aus dem WLAN-Netz und wertet die Informationen entsprechend der vom Administrator festgelegte Regeln ("autorisiert", "nicht autorisiert" oder extern; in diesem Fall: bekannte/benachbarte Komponente) automatisch auf Sicherheitsverstöße aus.

Der RF-Manager sorgt für die Abwehr von WLAN-Angriffen. Die heute verfügbaren Plattformen bieten neben einem automatischen Erkennen und Klassifizieren von Bedrohungen auch Funktionen wie die Überwachung der Clients und Access Points (APs), sowie Hilfsmittel zur Frequenzplanung.  Als Abwehrmaßnahme kann beispielsweise folgende Aktion festgelegt sein: Blockierung der gesamten Kommunikation mit nicht autorisierten Clients oder Access Points ohne den autorisierten WLAN-Verkehr zu beeinflussen. Nach der Entdeckung eines falschen (Rogue) Access Point wird sofort jeglicher Verkehr der Clients mit diesem AP unterbunden. Darüber hinaus schützt das System automatisch vor Adhoc-Netzen, falsch konfigurierten Access Points, falschen AP-Zuordnungen der Client, nicht autorisierte Verbindungen von Client, Evil Twin APs, MAC Spoofing APs und DoS Attacken. Die Sicherheitsfunktionen des WIPS verhindern auch Mehrfachangriffe bei gleichzeitiger Aufrechterhaltung der Sicherheitsscanfunktionen. +