Mit Sicherheit im Wireless LAN

Posted by Klaus Weinbrenner Tue, 16 Dec 2008 13:57:00 GMT
Die Technologie Wireless LAN (WLAN) nach dem Standard IEEE 802.11 verbreitet sich sehr schnell und findet zunehmend Akzeptanz als Übertragungsmethode auch in Unternehmen. Fast jedes verkaufte Notebook hat inzwischen WLAN integriert und für 2009 wird prognostiziert, dass erstmals mehr Notebooks als Desktops verkauft werden. Bei der Überlegung WLAN einzusetzen treten allerdings immer auch Bedenken über die Sicherheit dieser Technik in den Vordergrund. Dies gilt natürlich im Besonderen bei kommerziellen Anwendungen und immer dann wenn vertrauliche Daten übertragen werden sollen. WLAN ist zwar sehr bequem und flexibel, bietet aber auch etliche Angriffsmöglichkeiten.

Jeder, der über einen kompatiblen WLAN-Adapter verfügt, kann auf ein WLAN zugreifen. Durch die Tatsache, dass die Übertragung vom Client zum Accesspoint durch Funkwellen über die Luft geschieht, sind die Angriffsmöglichkeiten prinzipbedingt sehr groß. Mit relativ einfachen Mitteln lassen sich die hochfrequenten Signale zwischen einem WLAN-Client und einem Accesspoint aufspüren und aufzeichnen. Der gesamte Verkehr zwischen Access Point und den WLAN-Clients kann aufgezeichnet werden.

RWTHAchen 2008, Feldstudie belegt mangelnde WLAN-Sicherheit:
Eine Arbeit der RWTH Aachen zeigt, dass die Zahl der komplett ungesicherten WLANs abnimmt. Doch nur jedes sechste Funknetzwerk ist wirklich sicher verschlüsselt und viele Firmen schlampen mit vertraulichen Kundendaten.


Gartner 2008:
Die Haltung der Firmen gegenüber Wireless-LANs habe sich geändert, so John Girard, Vice-President bei Gartner. Statt der Ablehnung von Funknetzen würden diese nun über alle Bereiche des Unternehmens eingesetzt. Mit der Zunahme des Einsatzes von WLANs für geschäftkritische Anwendungen wächst die Notwendigkeit für entsprechende Sicherheitslösungen ebenfalls. Gartner erwartet daher, dass der Markt für drahtlose Intrusion-Prevention-Systeme (IPS) in diesem Jahr um 42 Prozent wächst.


Bei der Betrachtung dieser Entwicklung und den Prognosen, stellt sich die Frage, wie es um die Sicherheit von WLAN Verbindungen wirklich bestellt ist. Welche Sicherheit bietet der im Standard 802.11, 802.11i und 802.1x enthaltene Basisschutz, wie weit reicht dieser und welche Möglichkeiten darüber hinaus gibt es. Im Folgenden werden alle Sicherheitsfunktionen der genannten Standards einzeln betrachtet und bewertet. Zu bewerten ist, in wie weit Vertraulichkeit, Authentizität und Integrität bei der Kommunikation über WLAN sichergestellt werden kann.

Authentizität: Unter Authentizität versteht man, dass man Informationen eindeutig ihrem Sender zuordnen kann, d.h. die Echtheit des Absenders (Person oder Dienst) muss gewährleistet und überprüfbar sein.

Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.

Integrität: Daten dürfen nicht unbemerkt verändert werden, respektive es müssen alle Änderungen nachvollziehbar sein. In der folgenden Betrachtung werden nur die Bewertungen „sicher“ und „unsicher“ verwendet. Als „sicher“ gilt eine Methode, wenn zum gegenwärtigen Zeitpunkt keine Überwindung dieser Methode unter Zuhilfenahme vertretbarer Ressourcen über einen vertretbaren Zeitraum bekannt ist. Als „unsicher“ gilt eine Methode, wenn zum gegenwärtigen Zeitpunkt bereits die Überwindung dieser Methode bekannt ist, oder die Überwindung mit vertretbarem Aufwand mittelfristig zu erwarten ist.

Sicherung der Authentizität durch Authentisierung, Feststellung der Identität des Senders

Open-Systems-Authentisierung, IEEE 802.11 Mit dieser offenen Art der Authentisierung werden verschiedene in Reichweite befindliche Access Points (APs) unterschieden. Jeder AP wird an seiner SSID (Service Set Identifier) erkannt, die frei wählbar ist. Jede Station mit der gleichen SSID kann dem Netzwerk beitreten. Die SSID auf den Clients ist häufig auf "any" gestellt, so dass eine Station jedem Funknetz beitreten kann, das in Reichweite liegt. Nicht geeignet zur sicheren Feststellung der Identität, unsicher!

Shared-Key-Authentisierung, IEEE 802.11 Bei diesem Verfahren wird ein geheimer symmetrischer Schlüssel benötigt, der auf den beteiligten Stationen der gleiche sein muss. Alle Stationen sowie der AP müssen über den gleichen Schlüssel verfügen. Nicht geeignet zur sicheren Feststellung der Identität, unsicher!

MAC-Adressen filtern, IEEE 802.11 Nur zugelassene MAC-Adressen dürfen sich an den Basisstationen anmelden. Für Hacker kein Problem MAC-Adressen zu fälschen, spoofing. Nicht geeignet zur sicheren Feststellung der Identität, unsicher!

Radius Authentisierung, IEEE 802.1x Die Nutzung von 802.1x erlaubt die Authetisierung mit RADIUS. Damit ist eine eindeutige Ientifikation von Benutzern.möglich. Sichere Methode der Authentisierung im WLAN ist mit 802.1x gegeben, sicher!

Sicherung der Vertraulichkeit und Integrität durch Verschlüsselung des Datenstroms

WEP-Verschlüsselung Viele WLAN Komponenten unterstützen noch die WEP (Wired Equivalent Privacy ) Verschlüsselung. WEP Verschlüsselung ist geknackt und bietet keinen wirksamen Schutz, unsicher!

WPA Verschlüsselung
Wi-Fi Protected Access WPA erlaubt eine Verschlüsselung durch die Verwendung des Temporal Key Integrity Protocol (TKIP). Für die kommende Sicherheitskonferenz PacSec 2008 ist ein Vortrag "Gone in 900 Seconds, Some Crypto Issues with WPA" des deutschen Sicherheitsspezialisten Erik Tews angekündigt, der zeigen soll, wie sich bei WLANs auch unter WPA mit TKIP gesicherte Verbindungen mitlesen lassen. Sogar das Einschleusen von Paketen soll so möglich sein. Dazu soll es laut US-Medienberichten jedoch nicht nötig sein, den TKIP-Schlüssel zu knacken. Der genaue Weg wurde bislang aber noch nicht veröffentlicht. WPA Verschlüsselung gilt als „knackbar, unsicher!

WPA2 Verschlüsselung
Wi-Fi Protected Access 2 (WPA2) basiert auf dem Advanced Encryption Standard (AES). Er stellt den Nachfolger von WPA dar, das wiederum auf dem mittlerweile als unsicher geltenden Wired Equivalent Privacy (WEP) basiert. WPA2 implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i. Meldungen darüber, dass auch der WPA2 Verschlüsselung nicht mehr lange als sicher angenommen werden kann, häufen sich.

Neue Version des Tools von ElcomSoft Das für seine Passwort-Knacker bekannte russische Unternehmen ElcomSoft hat eine neue Version seines Programms "Distributed Password Recovery" (DPR) veröffentlicht. Damit sollen sich in kurzer Zeit auch die Passwörter von WLANs aushebeln lassen, die nach WPA2 geschützt sind.

WPA2 Verschlüsselung gilt als noch sicher und bietet einen wirksamen Schutz, sicher!

Fazit zur Sicherung von Vertraulichkeit und Integrität mit IEEE 802.11i:
Mit der Erweiterung des Standard IEEE 802.11 auf IEEE 802.11i und damit der Einführung der Verschlüsselung WPA2 kann nun der Datenstrom von einem WLAN-Client zum Accesspoint sicher verschlüsselt werden. Dies lässt sich aber nur dann realisieren, wenn Accesspoint und WLAN-Client zuvor aufeinander abgestimmt konfiguriert wurden, unter der Voraussetzung, dass von beiden Seiten WPA2 unterstützt wird. Zur Verschlüsselung angewendet wird das Pre-Shared Key Verfahren (PSK) bei dem zuvor im Geheimen beiden Teilnehmern derselbe Schlüssel (symmetrisches Verfahren) mitgeteilt werden muss. Konkret bedeutet das, dass dieser geheime Schlüssel von ausgewählten Vertrauenspersonen manuell in jedem Accesspoint und Client eingetragen werden muss. Dieses Verfahren ist also nur möglich, wenn das WLAN unter eigener Regie aufgebaut und verwaltet wird. Für alle Wireless LAN Anwendungen bei denen öffentliche Zugänge genutzt werden (Hotspots), kann das PSK-Verfahren nicht eingesetzt und somit auch die Verschlüsselung mit WPA2 nicht genutzt werden.

Accesspoints in Hotspots (Hotels, Flughäfen etc.) arbeiten in der Regel ohne jegliche Verschlüsselung, weil kein Schlüsselabgleich zwischen den willkürlichen WLAN-Clients und den Accesspoints erfolgen kann.

Fazit zur Authentisierung, Feststellung der Identität mit IEEE 802.1X
Accesspoint im WLAN können als IEEE 802.1X Clients konfiguriert werden und Zugriffsanforderungen von WLAN-Clients, die über diese APs kommen, können über das RADIUS Protokoll mit einem RADIUS Server kontrolliert werden. Auch hier ist festzustellen, dass diese Methode nur in einem selbst verwalteten WLAN Netzwerk möglich ist. Die Einrichtung bedingt den Zugriff und die Vorkonfiguration aller Accesspoints und aller WLAN-Clients.

Eine Authentisierung von WLAN-Clients die von Hotspots aus auf Unternehmensresourcen zugreifen möchten ist mit IEEE 802.1X nicht möglich.

Ergebnis
Die Sicherung von Authentizität, Vertraulichkeit und Integrität kann bei der Nutzung von nicht vertrauenswürdigen Funknetzen (Hotels, Flughafenlounge etc.) mit den Basisschutzmechanismen die die Standards IEEE 802.11, IEEE 802.11i mit IEEE 802.1X bieten, in keiner Weise erreicht werden. Für diesen Anwendungsfall können die notwendigen Anforderungen nur durch Sicherheitsmethoden erreicht werden, die übergeordnet von Ende zu Ende reichen, also dem WLAN-Client bis zur Gegenstelle in der Lokation mit der eine Verbindungaufgebaut werden soll.

Lösung mit VPN (IPSEC)
Sehr verbreitet sind hier VPN Lösungen, mit denen ein „Tunnel“ vom WLAN-Client zu einem VPN Gateway aufgebaut wird. Die Authentisierung erfolgt über das VPN Gateway, die Verschlüsselung ist mit dem Protokoll IPSec (ESP) sicher.

Nachteil diese Lösung:
Auf jedem Client muss zuvor eine VPN Software installiert und eingerichtet werden. Die Clientsoftware muss in der Folge gepflegt werden, das bedeutet Aufwand. Je nach Konfiguration der Firewall in Hotels etc. kommt es nicht selten vor, dass eine VPN Verbindung über IPSec geblockt wird und somit keine Verbindung aufgebaut werden kann.

Lösung mit HOB RD VPN (SSL)
Mit dem Produkt HOB RD VPN können alle Sicherheitsanforderungen im höchsten Maße für WLAN-Clients realisiert werden und zwar ohne dass zuvor auf dem WLAN Client Software von HOB installiert werden muss!
Die Authentifizierung erfolgt über den Browser, der über SSL / HTTPS mit der Gegenstelle, dem RD VPN verbunden ist. Deshalb ist bereits die Authentifizierung verschlüsselt und sicher. HOB RD VPN hat eine integrierte Radius-Schnittstelle, so dass die Authentifizierung gegenüber allen gängigen Radius-Servern und damit auch LDAP erfolgen kann. Authentifiziert sich ein Benutzer, so kann dies auf drei unterschiedliche Arten erfolgen:

• Userid und Passwort
• Token mit one-time-password wie RSA SecurId, Secure Computing Premier Access oder VASCO DigiPass
• Zertifikat (X.509) für Client-Authentisierung über SSL (gespeichert z.B. auf einer Smart-Card)

HOB RD VPN arbeitet mit SSL-Verschlüsselung. HOB SSL unterstützt alle gängigen Verschlüsselungs-Algorithmen, auch AES (Advanced Encryption Standard) mit bis zu 256 Bit Schlüssellänge. Im Ergebnis bedeutet dies, egal wie unsicher die WLAN Infrastruktur ist über die kommuniziert wird, mit RD VPN ist Authentizität, Vertraulichkeit und Integrität zu 100% von Ende zu Ende mit jedem beliebigen WLAN-Client mit Internetzugang gewährleistet.
Mit HOB RD VPN steht eine einzigartige Lösung zur Verfügung, die den Zugriff zu Daten und Anwendungen auf Windows Terminal Server, virtuellen Windowssystemen, Unix/Linux-Servern, klassischen Hostsystemen und sogar auf Windows Einzelplatzrechnern unter Einhaltung aller Sicherheitskriterien erlaubt.

Vorteil der Lösung mit HOB RD VPN:
Auf den WLAN Clients muss zuvor keine Software installiert werden!
Jeder beliebigen WLAN-Client mit Browser und WLAN Verbindung zum Internet kann genutzt werden.
Funktioniert auch über den Standard TCP Port 80 d.h. die üblichen Barrieren mit denen man oft bei VPN Lösungen zu kämpfen hat, gibt es hier nicht. Integrity Check bevor der Client zugreifen darf. Der Client kann optional nach bestimmten Kriterien überprüft werden bevor der Zugriff auf firmeninterne Daten erlaubt wird. Die Lösung ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Common Criteria zertifiziert.

Beispielscenario in einem Hotel in Hong Kong
Sie sind für eine Woche auf einer Geschäftsreise durch China. Bei der Ankunft in Hong Kong stellen Sie fest, dass ihr Notebook den Transfer nicht überstanden hat, es ist defekt. Für Ihre Termine benötigen Sie unbedingt Powerpointvorträge, Preislisten und Zugang zu Ihrem Mailsystem in Ihrem Unternehmen in Nürnberg. Sie kaufen sich ein Notebook mit WiFi und einem Browser und begeben sich in ein Hotelzimmer mit WLAN-Zugang in Hong Kong. In einem anderen Hotelzimmer desselben Hotels wohnt ein Hacker der den gesamten Funkverkehr zwischen Ihrem neuen Notebook und dem AP des Hotels aufzeichnet.
Sie möchten nun testen ob der Zugriff auf ihren Arbeitsplatz PC in Ihrem Büro genau so gut funktioniert wie mit Ihrem alten, nun defekten, Notebook. Vor Ihnen die Google Startseite, Internet funktioniert. Sie geben die URL des RD VPN Servers ein, der in der DMZ in Ihrem Unternehmen steht. Sie geben in Ihren Browser „rdvpn.headquarder.de“ ein und landen auf der Anmeldeseite des RD VPN Servers. Ihr Browser zeigt die URL https://rdvpn.headquarder.de an d.h. die angezeigte Seite wurde mit https, also SSL- verschlüsselt übertragen.
Was hat der Hacker bisher verwendbares aufgezeichnet?
Er hat im Klartext die URL rdvpn.hob.de gesehen und die Anforderung des Clients eine SSL Verbindung mit dem RD VPN Server aufbauen zu wollen (Client-Hello Message). Der RD VPN Server schickt dem Client darauf hin den öffentlichen Teil seines Serverzertifikates welches für diesen Server von VeriSign gekauft und eingetragen wurde. Der öffentliche Teil des Zertifikates, darin auch enthalten der öffentliche Teil des RSA Schlüssels, wird vom Server an den Client gesendet. Diese Übertragung ist noch nicht SSL verschlüsselt d.h. auch der Hacker ist im Besitz dieser Daten. Der Client erzeugt nun eine Zufallszahl und verschlüsselt diese mit dem zuvor empfangenen öffentlichen Teil des Schlüssels aus dem Serverzertifikates und sendet das Ergebnis an den Server zurück. Diese so verschlüsselte Zufallszahl kann der Hacker natürlich aufzeichnen, und einsehen, aber er kann daraus aber nicht die eigentliche Zufallszahl ermitteln. Der Server empfängt die verschlüsselte Zufallszahl und dieser kann daraus mit dem privaten Teil seines Zertifikates die vom Client erzeugte Zufallszahl errechnen. Damit sind Client und Server im Besitz der Zufallszahl die als symmetrischer Schlüssel zur SSL Verschlüsselung dient. Die Anmeldeseite wird über https an den Client gesendet. An diese Stelle können Sie durch Prüfung des empfangenen Serverzertifikates die Identität des Servers feststellen. Der Hacker sieht nur SSL-verschlüsselte Daten, die er nicht entschlüsseln kann weil er die Zufallszahl (symmetrischer Schlüssel) unmöglich ermitteln kann.
Vor Ihnen ist nun die Anmeldemaske von HOB RD VPN. Sie geben Username, Passwort und die 8-stellige Zahl ihres RSA Tokens ein. Die Userdaten gehen wieder verschlüsselt zum Server, werden entschlüsselt und die Identität wird über RADIUS und oder LDAP geprüft. War die Prüfung der Identität erfolgreich, bekommen sie das RD VPN Portal mit der Auswahl der Zielsysteme in ihrem Unternehmen. Kollege Hacker sieht nur noch SSL-verschlüsselte Daten. Sie wollen auf Ihren Desktop, der noch ausgeschaltet in ihrem Büro in Nürnberg steht, also wählen sie die Option Desktop-on-Demand. Es folgt die Übertragung des HOB RDP Clients als Javaapplet, HOBLink JWT, auf den Client.
Der Client sendet nun Wake on LAN Pakete zur LAN Karte des Desktop PCs, die den Bootvorgang auslösen. Nach dem Bootvorgang wird die Windows Anmeldemaske angezeigt und sie geben Ihre Windowsanmeldedaten ein und erhalten ihren Desktop. Nun können Sie mit Ihrem PC arbeiten als säßen sie davor!
Mit der Lösung HOB RDVPN ist von der Anmeldung bis zum Dialog über RDP mit ihrem Desktop ist die Datenübertragung lückenlos SSL-verschlüsselt und somit für „Herrn Hacker“ in keiner Weise einzusehen oder zu manipulieren. HOB RD VPN bietet wirklich wirksamen Schutz von Ihrem Client bis zum Zielrechner oder Zielserver Ihrem Unternehmen. Auf dem Client muss keine Software manuell installiert werden, Browser genügt! BSI Zertifiziert!

HOB RD VPN bietet über den geschilderten Anwendungsfall mit WLAN und Desktop-on-Demand hinaus noch eine Reihe zusätzlicher Funktionen zur Realisierung sicherer Lösungen zur Kommunikation auf Server Systeme. Selbstverständlich ist RD VPN nicht nur zur sicheren Kommunikation im WLAN sehr gut geeignet, sondern auch zur Absicherung von lokal installierten Clients in einem LAN.

Mehr Informationen zu HOB RD VPN finden Sie unter www.hob.de

21.11.2008 Klaus Weinbrenner

keine Kommentare |

You must be registered in order to write comments. To register as a new user click here.

If you're already registered, please leave a comment here

Leave a comment


emplates.arcsin.se/'), link_to("Frédéric de Villamil", 'http://fredericdevillamil.com')) %>
Powered by typo