Inhaltsverzeichnis
Es mag seltsam klingen, aber es stimmt, dass zahlreiche Organisationen, die drahtlose Netzwerke eingeführt haben, ernsthaften Sicherheitsverletzungen ausgesetzt sind. Das liegt vor allem daran, dass die Unternehmen die Zugangspunkte einfach einstecken und in Betrieb nehmen, ohne sich die Mühe zu machen, die Werkseinstellungen zu ändern.
Bei drahtlosen lokalen Netzen besteht die Gefahr nicht, weil die Systeme untauglich sind, sondern wegen unsachgemäßer Verwendung. Das größte Problem liegt in unzureichenden Sicherheitsanforderungen und in unzureichend konfigurierten Geräten. Zunächst einmal haben die meisten der von den Anbietern verkauften schnurlosen Basisstationen das eingebaute Sicherheitsverfahren Wired Equivalent Privacy (WEP) ausgeschaltet. Das bedeutet, dass Ihre Netzwerke unverschlüsselte Daten übertragen, wenn Sie Ihre drahtlosen Zugangspunkte nicht manuell neu konfigurieren.
Bei kabelgebundenen regionalen Standortnetzen bietet die Architektur eine gewisse grundlegende Sicherheit. Im Allgemeinen gibt es einen Netzwerkserver und mehrere Geräte mit einem Ethernet-Protokolladapter, die physisch über ein LAN-Backbone miteinander verbunden sind. Wenn Sie nicht physisch verbunden sind, haben Sie keinen Zugriff auf das LAN.
Vergleichen Sie dies mit der brandneuen drahtlosen LAN-Architektur. Das LAN-Backbone der verkabelten Welt wird durch Funkzugangspunkte ersetzt. Die Ethernet-Adapter in den Geräten werden durch eine Funkkarte ersetzt. Es gibt keine physischen Verbindungen – jeder, der ein Funkgerät besitzt, kann sich mit dem Netzwerk verbinden.
Was kann schief gehen?
Im Gegensatz zum kabelgebundenen Netz benötigt der Eindringling keinen physischen Zugang, um die folgenden Sicherheitsrisiken darzustellen:
Lauschangriffe. Dabei handelt es sich um Angriffe auf die Privatsphäre der Daten, die im Netz übertragen werden. Im drahtlosen Netz stellt das Abhören die größte Gefahr dar, da der Angreifer die Übertragung über die Luft aus einer Entfernung, die weit von den Grundstücken des Unternehmens entfernt ist, stören kann.
Manipulation. Der Angreifer kann das Material der gestörten Pakete aus dem drahtlosen Netzwerk verändern, was zu einem Verlust der Datenintegrität führt.
Unerlaubter Zugang zu. Der Angreifer könnte sich Zugang zu wertvollen Informationen und Ressourcen im Netzwerk verschaffen, indem er die Identität eines gültigen Benutzers annimmt. Diese Art von Angriff wird als Spoofing bezeichnet. Um diesen Angriff zu verhindern, müssen im drahtlosen Netzwerk geeignete Authentifizierungs- und Zugriffskontrollmechanismen eingerichtet werden.
Denial of Service. Bei diesem Angriff überflutet der Einbrecher das Netz mit gültigen oder ungültigen Nachrichten, was die Verfügbarkeit der Netzressourcen beeinträchtigt.
Wie kann man sich schützen?
Es gibt 3 Arten von Sicherheitsalternativen: Standard, aktiv und verfestigt. Je nach den Anforderungen Ihres Unternehmens können Sie eine der oben genannten Möglichkeiten nutzen.
Grundlegend
Sie können die grundlegende Sicherheit erreichen, indem Sie Wired Equivalent Requirement 128 oder WEP 128 verwenden. Die Arbeitsgruppe IEEE 802.11 hat diese Anforderung entwickelt. WEP spezifiziert die Erzeugung von Dateiverschlüsselungsgeheimnissen. Die Datenquelle und das Datenziel verwenden diese Geheimnisse, um zu verhindern, dass Abhörer (die diese Geheimnisse nicht haben) Zugang zu den Informationen erhalten.
Die Kontrolle des Netzzugangs erfolgt über einen Service Set Identifier (SSID – eine 32-stellige eindeutige Kennung), der mit einem Zugangspunkt oder einer Gruppe von Zugangspunkten verbunden ist. Die SSID fungiert als Passwort für den Netzzugang.
Eine weitere zusätzliche Sicherheitsmaßnahme ist die ACL (Gain access to Control List). Jedes drahtlose Gerät hat eine eindeutige Kennung, die Media Access Control-Adresse (MAC). Eine MAC-Liste kann an einem Gain Access Point oder einem Server aller Gain Access Points geführt werden. Nur den Geräten, deren MAC-Adresse angegeben ist, wird der Zugang zum Netz gewährt.
Die oben genannten Anwendungen sind für Angriffe anfällig. Selbst wenn Sie WEP aktivieren, gibt es immer noch Probleme, die damit verbunden sind. Das Problem hängt mit dem geheimen Verschlüsselungssystem des Protokolls zusammen, das so ausgeführt ist, dass der Schlüssel durch Auswertung des Datenverkehrs im Netz über einen bestimmten Zeitraum hinweg wiedergefunden werden kann. Dieser Zeitraum wurde auf 15 Minuten bis zu mehreren Tagen geschätzt. Die SSID in der Kopfzeile von Paketen, die über ein drahtloses Lan gesendet werden, wird als unverschlüsselter Text gesendet und ist anfällig dafür, von Dritten abgefangen zu werden. Leider sind die meisten Geräte der Provider so konfiguriert, dass sie die SSID sofort übermitteln, so dass neue Geräte im Grunde eine Eintrittskarte für die Anmeldung im Netz erhalten. Dies ist zwar für öffentliche kabellose Netze an Orten wie Flughäfen und Einzelhandelseinrichtungen nützlich – in den Vereinigten Staaten bietet beispielsweise Starbucks in einigen seiner Filialen 802.11 b-Zugang an -, stellt aber eine weitere Sicherheitslücke für Unternehmen dar, die diese Funktion nicht abschalten. Schließlich kann jede MAC-Adresse in eine andere umgewandelt werden (Spoofing), so dass auch die Verwendung von ACL nicht sicher ist.
Aktiv
Um eine aktive Art der Sicherheit auszuführen, müssen Sie den Sicherheitsstandard IEEE 802.1 x implementieren. Dieser deckt 2 Bereiche ab: den Zugang zum Netzwerk durch gemeinsame Authentifizierung und die Datenkombination durch WEP-Schlüsselrotation. Die gegenseitige Authentifizierung zwischen der Client-Station und den Zugangspunkten hilft sicherzustellen, dass die Kunden mit anerkannten Netzwerken interagieren, und die vibrierende Schlüsselrotation minimiert die direkte Exposition gegenüber wesentlichen Angriffen.
Aufgrund der Schwachstellen von WEP haben sich einige grundlegende Alternativen zu WEP entwickelt. Die meisten Wi-Fi-Hersteller haben die Verwendung einer kurzfristigen Anforderung für verbesserte Sicherheit namens Wi-Fi Protected Gain Access to (WPA) akzeptiert.
Bei WPA wird der Verschlüsselungsschlüssel nach jedem Frame mit dem Short-term Key Integrity Protocol (TKIP) geändert. Dieses Verfahren ermöglicht es, dass entscheidende Änderungen auf einer Frame-by-Frame-Basis stattfinden und sofort zwischen dem Zugangspunkt und dem schnurlosen Kunden integriert werden. TKIP ist das Herzstück der WPA-Sicherheit. TKIP ersetzt die WEP-Dateiverschlüsselung. Und obwohl WEP bei Standard-Wi-Fi optional ist, ist TKIP bei WPA erforderlich. Der TKIP-Verschlüsselungsalgorithmus ist stärker als der von WEP verwendete, funktioniert aber mit denselben hardwarebasierten Schätzsystemen, die auch WEP verwendet.
Geschützt
Es gibt Organisationen wie Banken, die sehr strenge Sicherheitsanforderungen haben. Sie müssen Sicherheitssysteme der gehärteten Art implementieren. Dies sind Optionen, die nach dem Federal Details Security Standard (FIPS 1.40) zertifiziert sind. Produkte dieser Klassifizierung bieten Punkt-zu-Punkt-Sicherheit für die kabellose Informationsinteraktion und bestehen aus Angeboten wie AirFortress und IPSec Virtual Private Networks (VPNs). Ein VPN wird die Kosten Ihres Netzwerks erhöhen, aber Sie können Ihre Entscheidung, ob Sie es implementieren wollen, auf der Grundlage der gleichen Vorgehensweise treffen, die Sie auch für alle anderen Teile Ihrer Einrichtungen anwenden sollten. Stellen Sie die Risiken den Geschäftsdaten gegenüber, die Sie über Funk übertragen werden, und prüfen Sie die finanziellen Auswirkungen eines Verstoßes. Wenn die Informationen zu wichtig sind, sollten Sie neu bewerten, welche Daten über das Netzwerk übertragen werden müssen, oder ein VPN verwenden, um Ihren Schutz zu verbessern.
Zusammenfassung
Die Hersteller arbeiten an der Umsetzung neuerer Standards, und in diesem Jahr werden wir Produkte sehen, die IEEE 802.11 i umsetzen und die Authentifizierung und Dateiverschlüsselung durch WPA noch weiter verbessern. Vor allem wird eine neue Verschlüsselungsgrundlage, der Advanced File Encryption Standard (AES), zusammen mit verschiedenen anderen Verbesserungen eingeführt.
Abgesehen von den neueren Anforderungen sollten sich Unternehmen darüber im Klaren sein, dass es wichtig ist, schnurlose Sicherheit zu erreichen, und das Beste daran ist, dass es einfach ist. Ein Unternehmen muss seine Sicherheitsanforderungen definieren und die in den Systemen angebotenen Funktionen entsprechend nutzen. Wählen Sie einen guten Anbieter, der Sie bei der Umsetzung Ihrer Anforderungen durch standardbasierte Lösungen unterstützen kann. Eine exzellente Ausführung muss durch eine Sicherheitspolitik unterstützt werden, die von allen Mitarbeitern des Unternehmens verstanden wird. Machen Sie Ihren Mitarbeitern bewusst, dass sie alle für die Sicherheit verantwortlich sind und die Kosten von Sicherheitsverstößen mittragen. Weisen Sie einigen wenigen Mitarbeitern die Verantwortung für die verschiedenen Bereiche der Sicherheitspolitik zu und nehmen Sie regelmäßige Bewertungen ihrer Effizienz vor. Das Wichtigste ist, dass Sie Ihre Systeme auf mögliche Verstöße überwachen und gegebenenfalls anpassen. Schlafen Sie nie gut.
