Der Einsatz von lokalen Funknetzen (engl Wireless Local Area Network, WLAN) ist inzwischen weit verbreitet und gewinnt zunehmend an Bedeutung. WLAN lässt sich kostengünstig und einfach ohne das Verlegen von Kabeln installieren, ermöglicht eine Arbeitsplatz-ungebundene Nutzung des Firmennetzes oder des Internets und eignet sich hervorragend für Messen, Besprechungen und Konferenzen. Ferner ist über die Nutzung von öffentlichen Funknetzen (sog. Hotspots) ein Internet Zugang auch unterwegs möglich. Allerdings ergeben sich bei der Nutzung von WLAN auch zahlreiche Gefährdungen, insbesondere für die Vertraulichkeit von Daten und die Verfügbarkeit der Funknetze.

Wireless LANs (WLAN) sind inzwischen weit verbreitet und werden meist dort eingesetzt, wo Kabel-gebundene Netzwerke (LAN) zu teuer, zu umständlich oder zu unkomfortabel sind.
In der Regel werden drahtlose Netze zur Erweiterung einer bestehenden Netzinfrastruktur verwendet.

Beim Einsatz von WLAN besteht ein wesentliches Problem darin, dass die Kommunikation auch noch aus großer Distanz mitgehört werden kann. Dadurch wird die Vertraulichkeit der übermittelten Daten wie Internet-Telefonie oder E-Mail bedroht, da viele WLAN-Installationen nicht oder nur unzureichend verschlüsselt sind.

Eine weitere Gefährdung für WLAN-Installationen ist deren Anfälligkeit für Störungen der Funkverbindungen. Störungen können durch andere Geräte oder Umwelteinflüsse bedingt oder auch mutwillig provoziert sein und im schlimmsten Fall zum Verlust der Verfügbarkeit führen.

Aufgrund der Vielzahl an Bedrohungen werden in der Richtlinie zu WLAN Maßnahmen beschrieben, um diesen Bedrohungen zu begegnen. Dabei sind insbesondere folgende Empfehlungen von Bedeutung:

WLAN Sicherheit

 - Die gesamte Kommunikation über WLAN sollte mit WPA2, übergangsweise auch mit WPA, verschlüsselt werden, um das unberechtigte Mithören durch Dritte zu unterbinden.
- Es sollte eine gegenseitige Authentisierung zwischen den Benutzern und der WLAN-Infrastruktur erfolgen (z. B. mittels EAP-TLS), um unberechtigte Mitbenutzung zu verhindern.
- Die Sicherheitsrichtlinien müssen um das Thema WLAN erweitert und konsequent umgesetzt werden.

 

Beim Einsatz von WLAN lassen sich drei wesentliche Anwendungen und Aufbauvarianten unterscheiden 


Modus

Infrastruktur-Modus

Die verbreitetste Anwendung von WLAN ist die drahtlose Anbindung von Clients an bestehende Netze. Dazu ist eine Ergänzung der LAN-Infrastruktur notwendig. Den Kern dieser Ergänzung bilden Basic Service Sets, die jeweils aus einem Access Point und dessen Funkzelle bestehen. Die Basic Service Sets sind über das sogenannte Distribution System mit dem LAN verbunden. Das Distribution System mitsamt aller Basic Service Sets wird als Extended Service Set bezeichnet (vgl. Abbildung 1.1). Jedes Extended Service Set besitzt einen eigenen Namen, den sogenannten Service Set Identifier (SSID). Dieser soll eine eindeutige Zuordnung zu einem Extended Service Set ermöglichen, wenn mehrere WLAN verfügbar sind.
Modus

Ad-hoc-Modus

Es ist für Clients jedoch auch möglich direkt, also ohne entsprechende Infrastruktur, miteinander zu kommunizieren. Dieser Betriebsmodus ist derzeit vergleichsweise selten anzutreffen, könnte jedoch im Kontext von Mobile Ad-hoc Networks (MANET, auch Mesh Net) verstärkt an Bedeutung gewinnen. Darunter versteht man Netze, die sich ohne feste Infrastruktur selbstständig aufbauen und konfigurieren.
Modus

LAN-Kopplung

WLAN-Infrastrukturen können auch entsprechend der Art ihrer Clients kategorisiert werden. Bei der Verwendung homogener Clients ist eine einheitliche Sicherheitsrichtlinie wesentlich einfacher zu realisieren als bei einer heterogenen Umgebung. Werden viele verschiedene Client-Geräte verwendet, so kann es unter Umständen vorkommen, dass nicht alle Geräte die bevorzugten Sicherheitsmechanismen unterstützen. Beispiele für solche Geräte sind Produkt-Scanner, Mobiltelefone oder ältere Notebooks.
WLAN Sicherheit

Leitpfaden

Der Einsatz von WLAN ermöglicht eine komfortable, kostengünstige und unkomplizierte Erweiterung kabelgebundener Netze. Auch bietet es die Möglichkeit zur Kopplung nahe gelegener Standorte, ohne die Notwendigkeit Kabel zu verlegen. Andererseits ist die Verwendung von WLAN auch mit erheblichen Gefahren verbunden, die insbesondere die Vertraulichkeit von Daten und die Verfügbarkeit des Netzzuganges betreffen. Während sich die Verfügbarkeit von WLANs im Allgemeinen nicht gewährleisten lässt, lassen sich die Integrität und die Vertraulichkeit der Kommunikation mittels geeigneter Verfahren, wie WPA2 oder eines VPN, schützen.

Generell ist der Einsatz von WPA2 (CCMP) gegenüber WPA (TKIP) zu bevorzugen, sofern dies technisch möglich ist. Einsatz von WEP ist grundsätzlich abzuraten.

WLAN Eindringen und Übernehmen

Gefährdungen durch Abhören der Luftschnittstelle

Da sich die Ausbreitung von Funkwellen nicht genau kontrollieren lässt, kann ein mit einem ausreichend sensiblen Empfangsgerät ausgerüsteter Angreifer den Netzverkehr auch aus einiger Entfernung noch abhören. Wird der Netzverkehr nicht verschlüsselt, so kann der Angreifer die übertragenen

Informationen mitlesen. Davon betroffen sind unter Umständen auch vertrauliche Daten, wie beispielsweise E-Mails.

Eine besondere Gefährdung für den WLAN-Client besteht bei der Nutzung von öffentlichen Hotspots. Hotspots verwenden häufig keine oder nur schwache Sicherheitsmechanismen, um Kunden einen unkomplizierten Zugang zu ermöglichen.
Dadurch sind Übertragungen in der Regel leicht abzuhören.

Aber selbst wenn der Netzverkehr verschlüsselt wird, kann ein Angreifer versuchen diese Verschlüsselung zu brechen. Bei Verwendung statischer Schlüssel, wie bei WEP, WPA-PSK oder WPA2-PSK, kann ein Angreifer mittels einer Wörterbuch-Attacke versuchen, den Schlüssel zu erraten. Besonders gefährdet sind dabei Funknetze, die zur LAN-Kopplung eingesetzt werden, da diese Verbindungen stationär sind und ein Angreifer somit viel Zeit für seinen Angriff hat. Auch führen solche Kopplungen oft über Terrain, das nicht unter der Verfügungsgewalt des WLAN Betreibers liegt, was dem Angreifer das Mithören der Übertragungen erleichtern kann.

Gefährdungen durch Abhören der Ethernet-Anbindung

Eine weitere Möglichkeit zum Ausspähen von Daten ist der Anschluss zusätzlicher Geräte an die Netz-Infrastruktur, sofern diese zugänglich ist (z. B. für einen Innentäter). So kann ein Angreifer beispielsweise einen Hub zwischen die Access Points und das Distribution System schalten, um den gesamten Netzverkehr abzuhören. Dieses stellt selbst bei einer Verwendung von WPA/WPA2 eine Gefährdung dar, da sich die Absicherung durch diese Methoden nur auf die Luftschnittstelle bezieht, die Ethernet-Anbindung aber nicht weiter berücksichtigt.

Auch der Anschluss eines weiteren Access Points birgt erhebliche Gefahren. Dieses gilt insbesondere für Access Points, die vom Angreifer selbst installiert wurden, aber auch für von Mitarbeitern angeschlossene Access Points, die unzureichend konfiguriert sind und z. B. keine Verschlüsselung erzwingen.

Gefährdungen durch fehlerhafte Konfiguration

Ein Beispiel für eine Gefährdung ist, dass ein Access Point nicht entsprechend den Sicherheitsrichtlinien konfiguriert ist und voreingestellte Passwörter nicht geändert wurden. Dies kann es einem Angreifer erheblich vereinfachen den Access Point zu kompromittieren. Eine weitere Schwachstelle in der Konfiguration besteht, wenn WLAN-Clients nicht nur Verbindungen mit voreingestellten Access Points aufbauen können.
In diesem Fall kann ein Angreifer einen zusätzlichen Access Point in Reichweite platzieren und Clients dazu bewegen, sich bei ihm statt am regulären Access Point anzumelden. Geht ein Client eine solche Verbindung ein, so kann der Angreifer über diese Verbindung Angriffe auf den Client starten. Selbst wenn WLAN-Karten und Adapter entsprechend konfiguriert sind und keine Verbindungen zu fremden Access Points erlauben, können Benutzer diesen Schutz überwinden, indem sie zusätzliche WLAN-Adapter anschließen.

Gefährdungen durch Hotspots

Eine erhöhte Gefährdung besteht, wenn Clients auch in Netzen anderer Betreiber, insbesondere an Hotspots, genutzt werden. Um das Web-Portal von Hotspots zu erreichen, müssen die Ports für DHCP, HTTP und gegebenenfalls auch DNS für alle IP-Adressen freigeschaltet sein. Zudem erfolgt die Anmeldung am Hotspot häufig über eine Web-Oberfläche, die Aktive Inhalte verwendet. Um sich anzumelden, müssen Aktive Inhalte also am WLAN-Client zugelassen sein. Dadurch bietet der Client eine größere Angriffsfläche.

Gefährdung durch unzureichende Authentisierung des Clients

WLAN verwendet ein offenes Medium, d. h. es kann von jedem genutzt werden. Daraus ergeben sich mehrere mögliche Angriffswege auf die Authentizität. Wird keine Authentisierung durchgeführt, so kann ein Angreifer versuchen als Client eine bestehende WLAN-Installation mitzubenutzen. Gelingt ihm dies, so kann er beispielsweise Spam-E-Mails verschicken oder illegale Inhalte herunterladen.

Gefährdungen durch unberechtigten Zugang

Eine solche Gefährdung besteht, wenn ein Angreifer auf das System (d. h. auf einen WLAN-Client oder Bestandteile der Infrastruktur) zugreift und dieses unter seine Kontrolle bringt. Dazu kann ein Angreifer Schwachstellen in der verwendeten Software ausnutzen. Die Kompromittierung eines Systems dient meist als Vorbereitung eines Angriffes auf einen Sicherheitsgrundwert wie z. B. die Vertraulichkeit von Daten. Da bei WLAN- Installationen häufig mobile Endgeräte (z. B. Notebooks) verwendet werden, besteht auch die Gefahr, dass ein Angreifer ein solches Gerät in seinen Besitz bringt und somit Zugriff auf das WLAN hat. Voraussetzung dafür ist, dass die Authentisierungs-Merkmale des Benutzers (beispielsweise Passwörter) auf dem entwendetem Gerät gespeichert sind.

Gefährdung durch fremde Hardware

Ein weiterer Angriff auf die Authentizität besteht darin, dass ein Angreifer sich als Teil der WLAN Infrastruktur ausgibt. Er könnte beispielsweise einen zusätzlicher Access Point (Rogue Access Point) bereitstellen, der keine Verschlüsselung verlangt.In diesem Szenario würden WLAN-Nutzer sich beim Angreifer statt am richtigen Access Point anmelden. Der Angreifer kann dann über die bestehende Verbindung Angriffe auf den Client starten. Ebenso kann er den gesamten Netzverkehr seines Opfers mitlesen (Man-in-the-Middle-Angriff).

Gefährdungen durch Paketfälschungen

Bei unverschlüsselten oder WEP-verschlüsselten Netzen sind auch Angriffe auf die Integrität von Nachrichten möglich. In der WEP-Spezifikation ist zwar eine Prüfsumme vorgesehen, um Übertragungsfehler zu erkennen, aber diese Prüfsumme eignet sich nicht zur Abwehr systematischer Paketfälschungen. Unter bestimmten Bedingungen ist es möglich auch in ein mit WPA verschlüsseltes Netz einige Pakete zu injizieren.

Gefährdungen durch Hardware-Schäden

Durch Hardware-Schäden kann es zu Störungen im Funkverkehr und damit zu Einbußen bzw. dem Verlust der Verfügbarkeit kommen. Dieses betrifft insbesondere WLAN-Geräte, die außerhalb von geschützten Räumen angebracht werden.

Sie sind zusätzlichen Gefährdungen ausgesetzt, wie beispielsweise vorsätzliche Beschädigungen durch Angreifer oder umweltbedingte Schäden durch Witterung oder Blitzeinschlag. Erfolgt die Authentisierung und das Schlüsselmanagement nach IEEE 802.1X, so bildet der Authentisierungs-Server unter Umständen einen „single point of failure“, bei dessen Ausfall keine Neuanmeldungen am WLAN mehr möglich sind.

 

Absicherung eines Infrastruktur-WLANs

Es wird empfohlen, die Kommunikation auf der Luftschnittstelle mit WPA2 zu verschlüsseln oder wenn dies technisch nicht möglich ist zumindest WPA zu verwenden. 
Insbesondere bei einer Verwendung von WPA ist darauf zu achten, dass die verwendeten Schlüssel in kurzen Abständen neu ausgehandelt werden (ReRe-Keying ). Falls aufgrund 
mangelnder Unterstützung einige Geräte sogar auf WEP zurückgreifen müssen, so sollten diesen Geräten weniger Rechte bei der WLAN-Nutzung eingeräumt werden. Diese Trennung 
zwischen einzelnen Geräteklassen oder Benutzergruppen sollte nach Möglichkeit physisch durch mehrere Access Points umgesetzt werden. Auf diese Weise lässt sich der 
Zugriff auf das WLAN und auf vertrauliche Daten entsprechend des verwendeten Sicherheitsstandards regeln.
Bei kleinen WLAN-Installationen ist auch der Einsatz von KeysPre-Shared Keys möglich, wobei das Passwort eine ausreichender Länge und Komplexität aufweisen muss. 
Das Passwort sollte dabei die maximale Schlüssellänge ausnutzen und neben Ziffern, Klein- und Großbuchstaben auch Sonderzeichen enthalten.

Maßnahmen für Access Points

Voreingestellte Standard-Passwörter und SSIDs müssen bei der Konfiguration von Access Points
geändert werden. Dabei ist zu beachten, dass neu gewählte SSIDs keinen Rückschluss auf die verwendete Hardware, das Netz oder den Betreiber zulassen. 
Zum Schutz der Access Points sollten diese unzugänglich montiert werden (z. B. in Zwischendecken), um Manipulationen vorzubeugen.
Ferner sind unsichere Administrationszugänge (über die Luftschnittstelle oder unsichere Protokolle) zu deaktivieren.
Wenn andere Möglichkeiten zur Verfügung stehen, sollte von der Verwendung eines Web-Interfaces Interfaces zur Konfiguration abgesehen werden.

Absicherung mobiler Clients

Mobile Clientswerden häufig in fremden Umgebungen eingesetzt und sind deshalb vermehrt Gefährdungen ausgesetzt. Aus diesem Grund sollten sie 
besonders abgesichert sein. Zu den üblichen Maßnahmen zählen unter anderem die Absicherung des Betriebssystems, Festplattenverschlüsselung, Einsatz einer Personal Firewall 
und eines Virenschutzprogramms und das Arbeiten mit ein-geschränkten Benutzerrechten.

Zusätzlich ist für die WLAN-Konfiguration Folgendes zu beachten: Das automatische Verbinden zu verfügbaren WLANs sollte deaktiviert werden. Rechner, die nicht für die Hotspot Nutzung gedacht sind, sollten so konfiguriert sein, dass eine Verbindung nur zu voreingestellten WLAN-Installatio-nen möglich ist. Benutzer sollten auch keine zusätzlichen WLAN-Adapter (z. B. über USB) anschließen dürfen, um zu verhindern, dass die vorgegebene Konfiguration umgangen wird. Des Weiteren sollte der Ad-hoc-Modus in der Client Konfiguration deaktiviert werden, wenn er nicht explizit benötigt wird.

Diese Website verwendet Cookies. Jedes davon ist essentiell für den Betrieb von reboot-edv.com. Bitte benutze meine Website nicht, wenn du damit nicht einverstanden bist.