Home

Projekt

Forum
Links
Download
Impressum
 

WLAN PROJECT

 

WLAN Info

Hintergrund

Funktion
Verbindung
Einrichten

Praxis

Hardware

Software
Antennen
Tests
Wardriving
Networks

WI-FI
WI-FI Logo Der Standard für drahtlose Verbindungen

Sicherheit der Wireless Netzwerke

Das Thema Sicherheit wird seit 1999 auf die Fahnen der Task Group E des IEEE (802.11e) geschrieben. Diese Gruppe beschäftigt sich mit speziellen Sicherheitsfragen und Weiterentwicklungen rund um WLAN.

WLAN beinhaltet zwei wesentliche Sicherheitsmethoden: Authentifizierung und Verschlüsselung. Weiterhin hat das IEEE Konsortium eine Task Group 802.1x eingerichtet, die sich mit dem Thema Port-Basierte Authentifizierung beschäftigt, die die bisherigen Sicherheitsmethoden verstärken soll.

Die Weiterführung der Sicherheitsmechanismen wäre die Einrichtung eines Virtual Private Network (VPN).

 

Authentifizierung

Mit Hilfe der Authentifizierung wird jedem Access Point ein Name zugeteilt. Weiterhin kann eine Liste angelegt werden, die die Namen bzw. MAC Adressen (Media Access Control) der berechtigten Stationen enthält, die auf den Access Point zugreifen dürfen. Die MAC Adresse ist eine weltweit einmalig vergebene Nummer, die die Netzwerkkomponente spezifiziert.

Die Station wird so eingerichtet, dass sie sich auf dem Access Point mit eingetragenem Namen anmelden darf, wenn sie einen Key hat, der sie dazu berechtigt (Shared Key).

Es gibt auch die Möglichkeit, das System offen zu halten (Open System). Das bedeutet, dass jede Station sich bei dem Access Point anmelden kann. Das bringt enorme Sicherheitsrisiken mit sich.

 

Verschlüsselung

WLAN bringt standardmäßig ein Verschlüsselungsverfahren mit, das sich WEP (Wired Equivalent Privacy) nennt. Dieses Verfahren nutzt einen RC4 PRNG (Pseudo Random Number Generators) Algorithmus mit 40 (oder 128) Bit Verschlüsselung von der RSA Security (ein sehr bekannter Name im Bereich e-security). Der WEP Algorithmus wurde ausgewählt, weil er halbwegs stabil, sicher und optional ist.

Da das System aber noch sehr viele Lücken aufweist, gibt es bereits Programme, mit denen es möglich ist, die Verschlüsselung innerhalb kürzester Zeit zu knacken (z.B. AirSnort: kann einen WEP Key durch passives Beobachten eines WLANs ermitteln; NetStumbler: identifiziert ein 802.11b Signal und zeichnet die MAC Adresse des Access Point, Netzwerkname, SSIC, Hersteller, Kanal, WEP aktiviert (ja oder nein), Signalstärke, Signal-Rausch-Verhältnis auf).

Standardmäßig werden die Access Points mit der Werkseinstellung „without WEP being enabled" ausgeliefert.

Dennoch sollte man WEP trotz aller Sicherheitslöcher aktivieren. Natürlich bietet die 128 Bit Verschlüsselung höhere Sicherheit, weswegen bereits beim Kauf des Produktes auf eine Unterstützung geachtet werden sollte.

Die WEP Sicherheit ist in Ad Hoc Peer-to-Peer 802.11 Netzen, die keinen Access-Point benötigen, nicht verfügbar.

802.1x Port-Basierte Authentifizierung

802.1x soll bei Einsatz im WLAN über eine Port-Basierte Authentifizierung den Clients erst Zugang gewähren, wenn diese sich erfolgreich am Access Point authentifiziert haben. Dazu implementiert 802.1x das Extensible Authentication Protocol (EAP), das den Zugriff auf unterschiedliche Authentifizierungsverfahren gestattet (wie z.B. auf den zentralen RADIUS-Server (Remote Authentication Dial In User Service), Kerberos oder Secure IDs). Aber diese Konstellation weist erhebliche Schwächen auf, wie zwei Forscher von der Universität Maryland herausgefunden haben.

802.1x wird derzeit beispielsweise in Ciscos Aironet-350-Produkten eingesetzt, auch Microsoft nutzt diesen Standard, unter anderem in Windows XP Professional oder mit CE und .NET.

Ein Beispielfall eines WLANs: Der Benutzer eines mobilen Clients will sich bei einem Access Point anmelden. Dieser leitet die Anfrage an einen zentralen Authentifizierungsserver weiter, der nach einer positiven Bestätigung einen Schlüssel an den AP zurückgibt. Der AP nutzt nun den Key, um eine sichere Verbindung mit dem Client aufzubauen, der sich anschließend ins Firmennetz einloggen kann. Die Kodierung selbst erfolgt mit WEP.

Die Vorteile des 802.1x Ansatzes bestehen darin, dass er auf allgemeingültigen Standards basiert und Administratoren mehrere Methoden zur Authentifizierung anbietet. Zudem lassen sich mit dieser Spezifikation die Sicherheitseinstellungen zentral verwalten. Da die WEP Keys dynamisch generiert werden, müssen diese nicht manuell auf Clients oder APs eingetragen werden.

Auch diese Lösung bietet keinen ausreichenden Schutz vor Angriffen von Außen. Für einen Remote Access über öffentliche Access Points von einem Home Office, einem Flughafen oder Hotel ist nach wie vor ein virtuelles privates Netzwerk notwendig, um die Sicherheit der Daten zu gewährleisten.

 

Virtual Private Network (VPN)

Ursprünglich bietet das VPN (Virtual Private Network) einen sicheren „Tunnel" durch das weltweite öffentliche Netz, seine Sicherheitsverfahren lassen sich aber auch auf ein lokales drahtloses Netzwerk anwenden. Über das VPN sind beispielsweise Filialen mit ihren Mutterkonzernen über einen geschützten virtuellen Pfad verbunden. In Verbindung mit zentralisierten Authentifizierungslösungen wie RADIUS Servern kommen dabei verschiedene Tunneling Protokolle wie PPTP (Point to Pint Tunneling Protocol) oder L2TP (Layer 2 Tunneling Protocol) zum Einsatz.

Vorteile bietet das VPN hinsichtlich der Skalierbarkeit (vorhandene VPN Infrastruktur lässt sich leicht erweitern), geringer Administrationsaufwand (der VPN Server lässt sich zentral verwalten); Schwächen liegen hinsichtlich der Benutzerfreundlichkeit vor, so muss sich ein Anwender beim Roaming (Wechsel von einem zum anderen drahtlosen Netz) erneut neu einloggen.

 

Sicherheitsverfahren

Wenn man kein VPN einsetzten möchte oder aus finanziellen Gründen nicht kann, gibt es trotzdem einige Möglichkeiten, das WLAN einigermaßen sicher zu halten.

Vorweg sei gesagt, dass der gekaufte Access Point die Möglichkeit bieten sollte, die Firmware upzudaten, somit können nach Bedarf weitere Sicherheitspatches eingespielt werden.

 

Adresse für den Access Point

Der Access Point hat einen Service Set Identifier (SSID) mit dem bestimmt werden kann, auf welche Access Points die Stationen zugreifen können. Die Stationen müssen die entsprechende SSID in der Konfiguration hinterlegt haben, damit sie auf die Access Points zugreifen können.

Eine Sicherheitslücke entsteht, wenn der Access Point auf eine „broadcast SSID" eingestellt wurde (das Wort „any"), somit erhält jede Station, die sich bei dem AP anmeldet, vollen Zugriff. Die „broadcast SSID" sollte deaktiviert werden (bei Deaktivierung dieser Funktion muss die SSID des Clients gleich der des Access Points sein).

Die SSID Nummer des Produkts ist werksmäßig eingestellt und sollte bereits vor dem ersten Gebrauch geändert werden (nicht in einen typischen Namen, sondern in eine Zeichenfolge wie z.B. bei einem Passwort), ebenso natürlich das Passwort.

 

Adresse für das Endgerät

Anhand der MAC Adresse wird anhand einer Liste bestimmt, welche Endgeräte Daten über einen Access Point senden oder empfangen können.

Versucht nun ein Client, dessen Adresse nicht in der Liste enthalten ist, Zugang zu dem Access Point zu erhalten, wird er automatisch abgewiesen. Die Liste der Adressen muss der Administrator in jeden Access Point manuell eingeben und aktualisieren.

 

Vergabe der IP Adressen

Die einfachste Möglichkeit für ein WLAN bietet das Dynamic Host Configuration Protocols (DHCP). In diesem Fall kriegt jeder Client bei der ersten Anmeldung im Netz dynamisch eine IP Adresse zugewiesen. Dies ist jedoch auch ein gravierender Nachteil, eine kleine Barriere vor ungewünschten Angriffen baut man auf, indem man statische IP Adressen vergibt. Am besten ändert man auch die IP Subnet Mask. Die meisten Router benutzen das Standardnetz 192.168.1.0, eine Änderung unterstützt die Barriere.

Eine Nutzerfreundliche Variante schafft man, indem man zwar DHCP einsetzt, aber den Clients feste IP Adressen auf Anfrage zuweist. Dafür müssen die MAC Adressen und die gewünschte IP auf dem DHCP Server eingetragen werden. So hat der Benutzer die Möglichkeit, sich im z.B. Firmennetz „dynamisch" immer die gleiche feste IP zuteilen zu lassen, kann sich aber auch im heimischen Netz automatisch eine andere IP zuteilen lassen ohne die IP ständig manuell wechseln zu müssen.

 

Aufstellung der Access Points

Ein weiterer wichtiger Punkt ist die Aufstellung der Access Points. Fensternähe sollte gemieden werden, da der Funkbereich so nach Außen verlegt wird und sich die umliegende Bevölkerung über ein kostenloses Netz und private Daten freut.

Entscheidend ist auch, wie viele Access Points aufgestellt werden. Je nachdem wie viele Mitarbeiter eines Bereiches den Netzwerkzugriff per Funk benötigen, sollte eine entsprechende Anzahl aufgestellt werden, da sich alle Anwender die Bandbreite eine Access Points teilen und somit schnell eine Auslastung des Systems erreicht wird.