Grundlagen der
Sicherheit für
Drahtlose Netzwerke
Vorwort
In den letzten Jahren haben sich mobile Computer und drahtlose Netzwerke bei
Konsumenten und Geschäts-
kunden sehr schnell durchgesetzt. Die Vorteile für Geschäftskunden
sind offensichtlich: Angestellte sind pro-
duktiver, da sie auch arbeiten und mit dem Unternehmen in Kontakt bleiben können,
wenn sie sich nicht an
ihrem Arbeitsplatz aufhalten. In einem Unternehmen, in dem ein Virtuelles Privates
Netzwerk (VPN) verwen-
det wird, kann ein Angestellter mit einem mobilen Computer sogar vom Flughafen,
einem Café oder tausen-
den anderen Hotspots aus auf die unternehmenseigenen Ressourcen zugreifen.
Unglücklicherweise gehören drahtlose Netzwerke ebenfalls zu den am
meisten missbrauchten Verbraucher- u-
Geschäftstechnologien. Wenn Sie ein drahtloses Netzwerk verwenden, können
Angreifer unter Umständen in
Ihr Netzwerk eindringen, ohne wirklich Ihr Gebäude zu betreten. So könnten
diese Angreifer Zugriff auf Ihre in-
ternen Netzwerkressourcen erlangen, Ihre Kommunikation abhören und Ihre
Identität annehmen, wenn sie an-
dere Computer auf dem Internet angreifen.
Wenn Ihr drahtloses Netzwerk richtig konfiguriert ist, können die Risiken
eines Angriffs drastisch reduziert werden.
Microsoft Windows Server 2003 hat mehrere Funktionen, die Ihnen die Verbesserung
der Sicherheit des drahtlosen
Netzwerks ermöglichen. So können Sie die Vorteile der drahtlosen Kommunikation
ausnutzen, ohne unnötige Risi-
ken einzugehen. Hier werden diese Funktionen beschrieben. Sie werden praktive
Erfahrungen im Konfigurieren von
Drahtlosnetzwerk-Sicherheit sammeln.
Grundlagen zur Sicherheit in drahtlosen Netzwerken
Verantwortliche für Netzwerksicherheit wissen, dass drahtlose Technologien
schwere Sicherheitslücken verursachen kö-
nnen, di eman jahrelang übesehen hat. Bei verdrahten Netzwerken hat man
sich auf physische Sicherheitsmaßnahmen
verlassen, um die Kommunikation zu schützen. Anders gesagt war der einzige
Weg, um einen Angreifer vom Abfangen
des Netzwerkverkehrs anderer Benutzer abzuhalten, der, ihn von der direkten,
physischen Verbindung auf physische Si-
cherheitsmaßnahmen, um den Zugriff der Benutzer auf das Netzwerk zu automatisieren.
Wenn Sie auf einen Ethernet-
anschluss zugreifen können, erhalten Sie meist vollständigen Zugriff
auf das Intranet eine Unternehmen.
Drahtlose Netzwerke haben ebenfalls diese Schwächen, ihnen fehlt jedoch
die den verdrahteten Netzwerken eigen phy-
sische Sicherheit. Tatsächlich kann man auf die drahtlosen Netzwerke der
meisten Unternehmen mti einem mobilen
Computer von einem Firmenparkplatz aus zugreifen. Dazu kommt, dass die meisten
Angreifer ausreichen Motive haben,
um drahtlose Netzwerke zu missbrauchen. Durch den Zugriff auf ein drahtloses
Netzwerk hat ein Angreifer Zugriff auf
die Ressourcen des internen Unternehmensnetzwerks. Angreifer können sich
ebenfalls mit verborgener Identität im
Internet bewegen und dann Hosts auf entfernten Netzwerken angreifen - getarnt
durch die IP-Adresse des Unternehmens.
Diese Sorgen bezüglich des Missbrauchs drahtloser Netzwerke sind leider
nicht nur Theorie. Eindringlinge verfügen
über eine Vielzahl von Programmen, die ihnen ermöglichen, drahtlose
Netzwerke auszuspüren, sich mit ihnen zu ver-
binden und die erhaltenenen Informaitonen zu missbrauchen. Wie bei den meisten
Sicherheitsaspekten gibt es auch
hier Technologien, die Ihnen helfen, die Angreifbarkeit von drahtlosen Netzwerken
einzuschränken. Drahtlose Kommu-
nikation kann so eingerichtet werden, dass sie authentifiziert und verschlüsselt
sein muss. Dies bietet eine ähnliche
Sicherheits wie die physische Sicherheit verdrahteter Netzwerke. Das Spiel zwischen
Sicherheitsexperten und An-
greifern besteht weiterhin, die frühen Technologien zur drahtlosen Authentifizierung
und Verschlüsselung können jetzt
jedoch leicht von einem Eindringling überlistet werden.
Sicherheitsrisiken
Da drahtlose Kommunikation nicht durch das physische Medium eines Kabels übertragen
wird, sind diese Netzwerke
anfälliger für eine Reihe von Angriffe, beispielsweise:
Abhören:
Angreifer können Datenverkehr zwischen einem drahtlosem Computer und dem
WAP (Wireless Applica-
tion Protocol)
abfangen. Abhängig vom verwendeten Antennentyp und der Übertragungsenergie
kann ein Angreifer
aus hunderten
oder tausenden Metern Entfernung abhören.
Tarnung:
Angreifer können Zugriff auf ein eingeschränktes Netzwerk erlangen,
indem sie die Identität eine autori-
sierten Benutzers
verbunden ist.
Angriffe
gegen drahtlose Clients: Angreifer können einen netzwerkbasierten
Angriff gegen ein drahtlosen Com-
puter starten,
der mit einem Ad-Hoc-Netzwerk oder enem nicht vertrauenswürdigen Netzwerk
verbunden ist.
Denial-of-Service-Angriffe:
Angreifer können Drahtlose-Übertragungsfrequenzen mit einem Transmitter
blockieren
und so die legitimen
Benutzer an einer erfolgreichen Kommunikation mit einem WAP hindern.
Datenmanipulation:
Angreifer können drahtlose Kommunikation mit einem Man-in-the-Middle-Angriff
löschen,
wiederholen
oder ändern.
Um die Angreifbarkeit von drahtlosen Netzwerken gegenüber solchen Angriffen
zu reduzieren, können Sie WEP
(Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) und weitere Sicherheitstechniken
für drahtlose Kommuni-
kation verwenden.
WEP
WEP ist ein Sicherheitsprotokoll für drahtlose Netzwerke, das Ihnen hilft,
Ihre Informationen zu schützen, indem Sie
eine Sicherheitseinstellung namens Gemeinsamer
geheimer Schlüssel (Shared Secret) oder einem Gemeinsamen
Schlüssel (Shared Key) verwenden, um Netzwerkverkehr vor der Übertragung
zu verschlüsseln. So werden nicht au-
torisierte Benutzer am Zugriff auf die Daten, die übertragen werden, gehindert.
Unglücklicherweise haben ein paar schlaue Kryptografen theoretische Wege
gefunden, um die gemeinsamen Schlü-
ssel durch die Analyse von abgefangenen Datenverkehr herauszufinden. Diese theoretischen
Schwächen wurden
schnell in frei erhältliche Software implementiert. Die Kombination aus
frei erhältlichen Programmen für das Knacken
der WEP-Verschlüsselunge, der Leichtigkeit, mit der man drahtlosen Datenverkehr
abfangen kann und die starke
Ausbreitung von drahtlosen Netzwerken hat dazu geführt, dass WEP heute
das am häufigsten geknackte Netzwerk-
verschlüsselungsprotokoll ist.
Sicherheitswarung:
Sie müssen die Details des WEP-Standards für die Prüfung nicht
verstehen, aber dies ist eine interessante Studie
darüber, wie ein Verschlüsselungsprotokoll erstellt wird. Die am leichtesten
auszunutzende Schwäche von WEP ist,
dass viele der möglichen Initialisierungsvektoren (IVs) kryptografisch
schwach sind und einzelne Bytes des WEP-
Schlüssels enthüllen können. WEP ändert diese IVs, so dass
die Offenlegung des WEP-Schlüssels viel mehr Zei
in Anspruch nimmt. Fragen Sie Ihren Netzwerkadapter-Lieferant, was unternommen
wurde, um die WEP-Kommuni-
kation sicherer zu machen. Weitere Informationen über die Schwächen
von WEP finden Sie im Artikel "Weaknesses
in the Kay Scheduling Agorithmof RC4" auf dem Internet.
Neben schwacher Kryptografie ist ein weiterer Punkt, der zur Angreifbarkeit
von WEP beiträgt, die schwierige Verwalt-
ung von WEP, denn es gibt keine Funktion, mit de rman den gemeinsamen geheimen
Schlüssel ändern kann. In dra-
htlosen Netzwerken mit Hunderten von Hosts, die alle ein WEP verwenden müssen,
ist es praktisch unmöglich, den
gemeinsamen geheimen Schlüssel bei allen Hosts zu ändern. Das Resultat
ist, dass der gemeinsame geheime Schl-
üssel von WEP immer der gleiche bleibt. Das gibt Angreifern genügend
Möglichkeiten, den gemeinsamen geheimen
Schlüssel zu knacken und alle Zeit der Welt, diesen Netzwerkzugriff zu
nutzen.
Wenn Sie den gemeinsamen geheimen Schlüssel regelmäßig ändern
könnten, könnten Sie einen Angreifer jedoch da-
ran hinder, genug Daten zum Knacken des WEP-Schlüssels zu sammeln. Dies
würde die Sicherheit von WEP entsch-
eident verbessern. Es gibt Techniken zum dynamischen und automatischen Ändern
des gemeinsamen geheimen Sch-
lüssels, um die Schwächen von WEP stark zu reduzieren. Wenn WEP mit
einem dynamischen gemeinsamen gehei-
men Schlüssel verwendet wird, wird es dynamisches
WEP genannt. Wenn WEP mit einem staatlichen gemeinsamen
geheimen Schlüssel verwendet wird, wird es statisches
WEP genannt.
Sicherheitswarung
Suchen Sie im Internet nach AirSnort und WEPCrack, um Informationen über
zwei Programme zu erhalten, die oft da-
zu verwendet werden, um WEP-geschützte drahtlose Netzwerke einzubrechen.
Diese Programme können einen WEP-
Schlüssel in ein paar Tagen oder ein paar Wochen ermitteln, abhängig
von der Stärke des Datenverkehrs im Netzwerk,
von der Verschlüsselungsstufe und vom Glück. Sie ermöglichen
jedoch keinen sofortigen Zugriff zu einem drahtlosen
Netzwerk.
Um es einfach zu sagen: Wenn Sie sich auf einen statischen gemeinsamen geheimen
Schlüssel verlassen, können
Sie sich nicht auf WEP zum Schutz der Netzwerkkommunikation verlassen oder darauf,
dass WEP Sie vor ungelad-
enen Gästen in Ihrem drahtlosen Netzwerk schützt. Wenn Sie gezwungen
sind, statisches WEP zu verwenden, um
die Kompatibilität mit allen drahtlosen Geräten Ihres Netzwerks sicherzustellen,
gibt es ein paar Dinge, die Sie tun
können, um die Sicherheit zu verbessern. Erstens, verwenden Sie die höchstmögliche
Verschlüsselungsstufe: 128-
Bit. Kurze Schlüssel mögen für einige Verschlüsselungsszenarian
ausreichend sein, die 40-Bit-Verschlüsselung von
WEP ist jedoch sehr angreifbar. Zweitens, platzieren Sie WAPs in einem Perimeternetzwerk,
um den Zugang zu in-
ternen Ressourcen einzuschränken. Wenn Benutzer von einem drahtlosen Netzwerk
aus auf ein internes Netzwerk
zugreifen müssen, können Sie ein VPN-Verbindung verwenden. Drittens,
positionieren Sie Ihre WAPs so, dass dra-
htlose Übertragungen auf Orte beschränkt sind, die Sie physisch absichern
können, wie das Gebäudeinnere.
Praxistipp
WEP wird von vielen als schwach kritisiert, und die Kritik ist berechtig...aber
ich denke, es erfüllt seinen Zweck. Der
Name, Wired Equivalent Privacy (Vertraulichkeit
wie verdrahtet) zeigt, dass die Ambitionen für WEP nicht so hoch
sind. Erstens ist das Ziel von WEP nur, Vertraulichkeit zu ermöglichen,
und nicht ebenfalls Datenintegrität, Authen-
tifizierung oder Autorisierung. Zweitens will WEP nur die Vertraulichkeit bieten,
die auch von drahtgebundenen Netz-
werken geboten wird. Meine Meinung nach haben traditionelle drahtgebundene Netzwerke
eine schwache Sicherheit.
An einem meiner Arbeitsplätze befand sich eins der größten Internet-Datenzentren.
In diesem Datenzentrum befanden
sich Hunderte von Servern, mehrere Millionen Dollar wert, und vertrauliche Daten,
ebenfalls mehrere hundert Millionen
Dollar wert. Passend zu den Werten des Inhalts war das Gebäude mit einem
Betongraben umgeben, um einen poten-
tiellen Angreifer davon abzuhalten, mit einem Fahrzeug in das Gebäude zu
rasen, und um die Zutrittsmöglichkeiten auf
den Haupteingang zu beschränken. Der Portier am Eingang stand in direkter
Telefonverbindung mit einem Sicherheits-
dienst.
Trotz dieser Sicherheitsmaßnahmen war die physische Sicherheit praktisch
bedeutungslos. Ich hatte damals eine Fr-
eundin, die mich regelmäßig besuchte. Sie war keine gelernte Spionin
oder ambitionierte Hackerin, aber Sie schaffte
es fast jedesmal, die Sicherheitskontrollen zu umgehen, indem Sie einfach mit
einem selbstbewussten Gesichtsaus-
druck am Empfang vorbeispazierte. Wenn Sie eine Hackerin gewesen wäre,
hätte Sie sich mit einem mobilen Compu-
ter direkt mit einem Ethernetanschluss verbinden können und hätte
so innerhalb der Firewall Zugriff auf das Netzewerk
gehabt.
Die meisten Gebäude haben diese Sicherheitsmaßnahmen nicht. Selbst
wenn es eine Sicherheitskraft am Hauptein-
gang gibt, hat das Gebäude sehr wahrscheinlich noch andere Eingänge.
Um das Gebäude zu betreten, müssen Sie
nur auf dem Parkplatz warten und dann einem autorisierten Angestellten durch
einen Seiteneingang folgen.
Zurück zur Sicherheit von verdrahteten Netzwerken. Bei den meisten Unternehmen
ist die einzige Barriere, die einen
Eindringling am Zugriff auf das interne Netzwerk und auf die vielen interne
Ressourcen hindert, die Tatsachte, dass sich
dieser Eindringling nicht ühysisch mit dem Ethernetanschluss verbinden
kann. Die Netzwerkingenieure verlassen sich
daher meist auf die physische Sicherheit auf dem Firmengelände, um die
Vertraulichkeit ihrer Daten zu wahren. Sicher
kann WEP von jedem auch nur mittelmäßig ambitionierten Eindringling
umgangen werden, aber das kann auch von der
physischen Sicherheit der meisten Gebäude gesagt werden.
Offene und gemeinsame Netzwerkauthentifizierung
Die ersten WEP-Standards ermöglichen zwei Arten der Computerauthentifizierung:
Ein offenes System (Open System)
und Gemeinsamer geheimer Schlüssel (Shared Secret). Bei der Shared Secret-Authentifizierung
müssen sich die Dra-
htlosclients mit einem gemeinsamen geheimen Schlüssel authentifizieren,
beim Open System kann sich ein Client ohne
Kennwort mit dem Netzwerk verbinden.
Glücklicherweise ist die Wahl zwischen Open System und der Authentifizierung
mit dem gemeinsamen geheimen Schl-
üssel leicht: Verwenden Sie immer die Open System-Authentifizierung. Oberflächlich
gesehen erscheint dies unlogisch,
da beim offenen System der drahtlose Client ohne Identitätsnachweis identifiziert
wird, die Shared Secret-Authentifizier-
ung aber das Wissen des geheimen Schlüssels voraussetzt. Die Authentifizierung
mit dem gemeinsamen geheimen
Schlüssel schwächt die Sicherheits jedoch, da die meisten WEP-Client-Implementierungen,
einschließlich Windows XP,
den gleichen geheimen Schlüssel für Authentifizierung und WEP-Verschlüsselung
verwenden. Ein böswilliger Benutzer,
der die Schlüssel sowohl für die Authentifizierung als auch die Verschlüsselung
ermittelt, kann kryptoanalaytische Me-
thoden anwenden, um den Gemeinsamen geheimen Authentifizierungsschlüssel
und somit die WEP-Schlüssel zu be-
stimmen.
Wenn der WEP-Schlüssel einmal ermittelt wurde, hat der böswillige
Benutzer vollen Netzzugriff, so als ob die WEP-
Verschlüsselung nicht aktiviert wäre. Daher macht die Shared Secret-Authentifizierung
die WEP-Verschlüsselung
schwächer, obwohl sie stärker ist als die Open System-Authentifizierung.
Wenn Sie die Open System-Authentifizier-
ung verwenden, kann jeder Computer in Ihr Netzwerk. Ohne den WEP-Schlüssel
können drahtlose Clients jedoch we-
der Kommunikation senden noch empfangen, und sie können das drahtlose Netzwerk
nicht missbrauchen.
802.1X-Authentifizierung
Auch wenn die frühen Implementierungen von WEP erbärmlich ungeeignet
waren, kann WEPs Angreifbarkeit mit der
802.1X-Authentifizierung doch stark verringert werden. Mit 802.1X wird ermöglicht,
dass die WEP-Schlüssel regelmä-
ßig geändert werden, was die Wahrscheinlichkeit, dass ein Angreifer
genügend Daten zur Identifizierung des gemein-
samen geheimen Schlüssels ermittelt, drastisch reduziert.
802.1X verwendet ein IETF-Standardprotokoll (Internet Engineering Task Force)
namens EAP (Extensible Authentica-
tion Protocol), um die Authentifizierungskonversation zwischen Client, WAP und
RADIUS-Dienst (Remote Access Di-
al-In User Server) durchzuführen. Als Teil des 802.1X-Authentifizierungsprozesses
erstellt die EAP-Methode einen Sch-
lüssel, der für jeden Client eindeutig ist. RADIUS zwingt den Client,
regelmäßig einen neuen Schlüssel zu erstellen,
was es für einen Angreifer schwieriger macht, genug Daten für die
Identifizierung eines Schlüssels zu sammeln. Das
ermöglicht die Verwendung von WEP-fähiger Hardware, während die
Angreifbarkeit von WEP minimiert wird.
Weitere Informationen:
Weitere Informationen über die 802.1X-Authentifizierung finden Sie im Artikel
"IEEE 802.1X Authentication for Wireless
Connections" unter http://www.microsoft.com/columns/cableguy/cg402.asp.
Der Prozess der von einem Client bei der Verbindung mit einem dynamischen WEP-Netzwerk
mit 802.1X-Authentifizie-
rung verwendet wird (siehe untere Abbildung), ist wesentlich komplexer als der
Prozess, den Clients bei der Verbindung
mit einem ungeschützen drahtlosen Netzwerk verwenden.
Bild von Seite 593
Der Client muss die folgenden Schritte durchführen, um sich mit einem drahtlosen
Netzwerk mit 802.1X-Authentifizier-
ung zu verbinden:
Wenn der
Client und der RADIUS-Dienst für Verwendung der PEAP-Authentifizierung
(Protectet EAP) konfiguriert wur-
den, stellt
der Client eine TLS-Sitzung (Transport Layer Security) mit dem RADIUS-Dienst
her und übermittelt dann
die Anmeldeinformationen
mit dem konfigurierten Authentifizierungsprotokoll.
Wenn der
Client und der RADIUS-Dienst für die Verwendung der EAP-TLS-Authentifizierung
konfiguriert wurden, wird
sich der Client
mit den Öffentlicher-Schlüssel-Zertifikaten authentifizieren.
Wichtig:
Es gibt eine dritte Authentifizierungsmethode, genannt EAP-MD5 CHAP (EAP-Message
Digest 5 Challenge Handshake
Authentication Protocol).Diese ist jedoch nicht für die Authentifizierung
von drahtlosen Verbindungen geeignet und wird
vom Windows XP Service Pack 1 als Option entfernt. In Windows Server 2003 existiert
es nicht als Option.
3. Der RADIUS-Dienst
gleicht die Client-Anmeldeinformationen mit dem Verzeichnis ab. Wenn er die
Client-Anmelde-
information
authentifizieren kann und die Zugriffsrichtlinien dem Client eine Verbindung
erlauben, wird dem Client
der
Zugriff gewährt. Der RADIUS-Dienst leitet die Zugriffsentscheidung an das
WAP weiter. Wenn dem Client Zugriff
gewährt
wird, übermittelt der RADIUS-Dienst den dynamischen gemeinsamen geheimen
Schlüssel an das WAP.
Client
und WAP teilen jetzt einen gemeinsamen Schlüsselmaterial, das sie zur Entschlüsselung
und Verschlüss-
elung
des Datenverkehrs zwischen sich verwenden können.
Hinweis:
In Windows-Umgebungen ist der RADIUS-Dienst meist ein Windows Server 2003-basierter
Computer mit Internet Au-
thentification Service (IAS), und das Verzeichnis eine Active Directory-Verzeichnisdienst-Domäne.
4. Das WAP stellt
dann eine Brücke für die Verbindung des Client mit dem internen Netzwerk
her und schließt den
und schließt den 802.1X-Authentifizierungsprozess ab. Wenn der Client
für die Verwendung des DHCP-Protoko-
lls (Dynamic Host Configuration Protocol) konfiguriert ist, kann er einen Lease
anfordern.
Im folgenden Abschnitt werden die Authentifizierungesmethoden und die Funktion
des RADIUS-Dienstes genauer be-
schriben.
PEAP
PEAP wird normalerweise verwendet, um drahtlose Clients unter Verwendung eines
Benutzernamens und eines Kenn-
worts zu authentifizieren. EAP-TLS wird verwendet, um drahtlose Clients unter
Verwendung eines Öffentlicher-Schlü-
ssel-Zertifikats zu authentifizieren. Obwohl die Verwendung von Benutzername
und Kennwort nicht so sicher wie die
Verwendung von Öffentlicher-Schlüssel-Zertifikaten ist (da Kennworte
geraten oder gestohlen werden könnten), ist die
resultierende Verschlüsselung immer noch sehr stark. Wenn PEAP-Authentifizierung
mit einem RADIUS-Dienst ver-
wendet wird, der die Schlüssel regelmäßig ändert, kann
die WEP-Verschlüsselung kaum in kurzerer Zeit geknackt
werden. Der wichtigste Vorteil von PEAP gegenüber EAP-TLS ist, dass es
einfacher einzuführen ist, da man keine
PKI (Public Key Infrstructure) implementieren muss.
Die PEAP-Authentifizierung hat zwei Phasen: In Phase 1 wird der RADIUS-Server
durch das Öffentlicher-Schlüssel-
Zertifikat des RADIUS-Server authentifiziert und dann wird eine TLS-Sitzung
mit dem RADIUS-Server erstellt. In Phase
2 wird eine zweite EAP-Methode (getunnelt in der PEAP-Sitzung) zur Authentifizierung
des Clients gegenüber dem
RADIUS-Dienst benötigt. So kann PEAP verschiedene Clientauthentifizierungsmethoden
verwenden.
Der folgende Punkt ist wichtig: Für PEAP werden zwei verschiedene Authentifizierungstypen
verwendet, jeder in einer
Authentifizierungsphase: Die erste Authentifizierung wird von PEAP durchgeführt,
ohne dass eine administrative Kon-
figuration notwendig ist. Das zweite Authentifizierungsprotokoll muss jedoch
von Ihnen konfiguriert werden. Obwohl
Drahtlose-Standards theoretisch jede Authentifizierungsmethode unterstützen
könnten, unterstützen Windows Ser-
ver 2003 und Windows XP nur zwei Methoden standradmäßig: MS-CHAP
v2 (Microsoft Challenge Handhas Authen-
tication Protocol Version 2) und Zertifikate, die EAP-TLS (getunnelt in PEAP)
verwenden. Sie werden fast ausschl-
ießlich MS-CHAP v2 mit PEAP verwenden, Sie sollten jedoch EAP-TLS für
die zertifikatbasierte Authentifizierung
benutzen. Für die zertifikatbasierte Authentifizierung wird die zusätzliche
Verschlüsselungsstufe von PEAP nicht be-
nötigt.
Sicherheitswarung:
Es ist gut, dss die MS-CHAP v2 -Authentifizierung durch TLS-Verschlüsselung
geschützt ist, denn MS-CHAP v2 ist
tatsächlich anfällig für einen Offline-Wörterbuchangriff.
Ein Angreifer, dem es gelingt, einen erfolgreichen MS-CHAP
v2 -Austausch abzufangen, kann methodisch Kennworte erraten und das richtige
Kennwort wird bestimmt. Es dau-
ert zwar eine Weile, aber dann hat der Angreifer das Kennwort.
Nachdem der Benutzer erfolgreich authentifiziert wurde, leitet der Authentifizierungsserver
dynamisch erstelltes Ver-
schlüsselungsmaterial an das WAP weiter. Aus diesem Material erstallt das
WAP neue Schlüssel für den Datensatz.
EAP-TLS
EAP-TLS führt dieselben Funktionen wie PEAP aus: Authentifizierung des
Clientcomputers und Erstellen des Verschl-
üsselungsmaterials für die Verschlüsselung der drahtlosen Kommunikation.
EAP-TLS verwendet jedoch Öffenlicher-
Schlüssel-Zertifikate, um sowohl Client als auch RADIUS-Dienst zu authentifizieren.
EAP-TLS wurde von Microsoft ent-
worfen und basiert auf einem Authentifizierungsprotokoll, dass mit dem SSL-Protokoll
(Secure Sockets Layer) für die
Absicherung von Webtransaktionen verwendet nahezu identisch ist. Während
Öffentlicher-Schlüssel-Zertifikate wirk-
same Authentifizierung und Verschlüsselung bieten, sollten Sie EAP-TLS
nur verwenden, wenn Sie schon ein PKI für
eine andere Anwendung haben oder wenn die Sicherheitsbestimmungen Ihres Unternehmens
einfache Kennwortauthe-
tifizierung nicht zulassen.
Weitere Informationen:
Weitere Informationen über EAP-TLS finden Sie unter RFC 2716.
RADIUS
RADIUS ist ein standardisierter Dienst zur Authentifizierung von DFÜ-Anwendern.
In Windows Server 2003 ist ein RADI-
US-Dienst und Proxy namens IAS enthalten. Normalerweise wird IAS unter Windows
angewendet, damit ein Internet-
dienstanbieter (Internet Service Provider, ISP) die Benutzer eines Unternehmens
basierend auf den Active Directory-Do-
mände-Anmeldeinformationen authentifizieren kann.
Da RADIUS es ermöglicht, Netzwerkhardware durch eine externe Benutzerdatenbank
zu authentifizieren, können WA-
Ps ebenfalls RADIUS verwenden, um Drahtlosnetzwerk-Benutzer zu authentifizieren,
wenn diese auf das Netzwerk zu-
greifen. Authentifizierung durch einen RADIUS-Dienst ermöglicht, dass Benutzerauthentifizierung
für drahtlose Netzwer-
ke zentralisiert wird; Administratoren müssen Benutzeranmeldeinformationen
so nicht mehr für jedes WAP speichern.
Der RADIUS-Dienst erhält eine Benutzerverbindungsanfrage vom WAP und authentifiziert
den Client mit seiner Authen-
tifizierungsdatenbank. Ein RADIUS-Dienst kann ebenfalls eine zentrale Speicherdatenbank
mit anderen wichtigen Be-
nutzereigenschaften enthalten. Zusätzlich zu einfachen Ja- oder Nein-Antworten
auf eine Authentifizierungsanfrage ka-
nn RADIUS andere anwendbare Verbindungsparameter für den Benutzer verfügbar
machen, einschließlich Zuweisung
statischer IP-Adressen und maximale Sitzungszeit.
Die Fähigkeit, eine maximale Sitzungszeit festzulegen,
ermöglicht dem RADIUS-Dienst, den Client zu zwin-
gen, sich in regelmäßigen Zeitabständen neu zu authentifizieren.
Durch diese erneute Authentifizierung w-
ird automatisch ein neuer gemeinsamer geheimer Schlüssel erstellt, der
das statische WEP in ein dynami-
sches WEP aktualisiert. Jedes Mal, wenn
der gemeinsame geheime Schlüssel geändert wird, muss ein Angreifer
den Prozess des Knackens eines Schlüssel neu beginnen. Wenn die maximale
Sitzungszeit kurz genug ist, damit
ist es praktisch unmöglich für einen Angreifer, genug Daten zum Knacken
des gemeinsamen geheimen Schlüssels
zu sammeln. Das Resultat ist, dass ein dynamisches WEP für die meisten
Umgebungen ausreichend sicher ist.
Wi-Fi Protected Access
Obwohl WEP mit dynamischer Schlüsselerneuerung sicher genug ist, um die
Anforderungen der meisten Unternehmen
zu erfüllen, hat WEP doch noch Sicherheitsschwächen. WEP verwendet
immer noch einen separaten statischen Sch-
lüssel für Übertragungspakete. Ein Angreifer kann diese Übertragungspakete
analysieren, um eine Zuordnung von pri-
vaten IP-Adressen und Computernamen aufzustellen. WEP-Schlüssel müssen
häufig erneuert werden, was den RA-
DIUS-Dienst zusätzlich belastet.
Insidertipp:
Ein dynamisches WEP ist sehr sicher. Seine größte Schwäche ist
vielleicht sein schlechter Ruf. Oft lassen leitende
Angestellte eines Unternehmens die Einführung einer drahtlosen Umgebung
nicht zu, da sie gehört haben, dass An-
greifer die WEP-Sicherheitsmaßnahmen umgehen können. Obwohl ein Standard-WEP
nicht leicht zu missbrauchen
ist (und fast unmöglich zu mißbrauchen, wenn dynamische erneute Schlüssel
verwendet werden), macht die in der
Öffentlichkeit viel besprochene Angreifbarkeit von WEP im Gegenzug WAP
noch attraktiver.
Die Angreifbarkeit von WEP hatte auch die Wi-Fi Alliance, ein Konsortium von
führenden Herstellern von Ausrüstung
für drahtlose Netzwerke, im Kopf, als es WPA (Wi-Fi Protected Access) entwickelte.
WPA kann die gleichen Auten-
tifizierungsmechanismen und Verschlüsselungsalgorithmen wie WEP verwenden.
Diese Kompatibilität ermöglicht,
dass ein e WPA-Ünterstützung durch eine einfache Firmwareaktualisierung
erreicht werden kann. WPA eliminiert
die meistgenutzte Schwäche von WEP: Für jedes Paket wird ein eindeutiger
Schlüssel verwendet.
Praxistipp:
Wie bei jeder anderen Bleeding Edge-Technologie können Probleme auftreten,
wenn Sicherheitsmaßnahmen für draht-
lose Übertragung in heterogene Netzwerke eingeführt werden sollen.
So bin ich bis jetzt beim Einsetzen von drahtlos-
en Netzwerken vorgegangen:
Das Resultat: Selbst drahtlose Netzwerke, die einmal sehr sicher waren, enden
als angreifbar. Die Moral der Geschich-
te ist, dass Sie eventuell gezwungen sind, auf Geräte im Netzwerk zu verzichten,
um eine hohe Sicherheit gewährleis-
ten zu können. Irgendwann wird das auch besser.
Es gibt zwei Verschlüsselungsoptionen für WPA: TKIP (Temporal Key
Integrity Protocol) und AES (Advanced Encryp-
tion System). TKIP ist der von WEP verwendete Verschlüsselungsalgorithmus,
der in den meisten WPA-Implementie-
rungen benutzt wird. WPA verbessert die TKIP-Implementierung von WEP jedoch.
Bei WPA mit TKIP werden IVs (In-
itialisierungsvektoren) weniger häufig wiederverwendet als bei WEP mit
TKIP. Dies führt dazu, dass die Wahrscheinlich-
keit verringert wird, dass ein Angreifer genug Datenverkehr sammeln kann, um
die Verschlüsselung zu knacken. Zusä-
tzlich erstellt WPA mit TKIP den MIC (Message Integrity Code), oft auch Michael
genannt, der gegen Fälschungsatta-
cken schützt.
WPA kann ebenfalls AES verwenden, einen Algorithmus, der sicherer als TKIP ist.
Unglücklicherweise können Geräte
für drahtlosen Datenverkehr zwar meist zur Unterstützung von WPA aufgerüstet
werden, nicht aber zur Unterstützung
von AES. Das heißt, dass Sie nur dann AES verwenden können, wenn
Sie spezielle Geräte wählen, die AES unterstü-
tzen.
Wenn Sie WPA aktivieren, erstellen Sie ein Passphrase, das automatisch mit den
dynamisch erstellten Sicherheitsein-
stellungen assoziiert wird. Dieses Passphrase wird mit den anderen Netzwerkeinstellungen
in der Basisstation und auf
jedem vernetzten Computer gespeichert. Andere drahtlose Geräte mit dem
WPA-Passphrase können in Ihr Netzwerk
gehen und Netzwerkübertragungen entschlüsseln.
WPA bietet eine höhere Sicherheit als WEP. Der WEP-Datenschutz kann jedoch,
kombiniert mit starker Authentifizier-
ung und oft gewechselten Schlüsseln, den Sicherheitsanforderungen der meisten
Unternehmen entsprechen. Das ist
ein Glück, denn die meisten Unternehmen werden gezwungen sein, weiterhin
WEP zu verwenden. Nicht alle Geräte für
drahtlose Netzwerke unterstützen WPA, aber WEP wird universell unterstützt.
Windows 2000 und frühere Versionen
von Windows verfügen nicht über eine vordefinierte WPA-Unterstützung,
Sie können jedoch evtl. eine Aktualisierung
vom Hersteller Ihred Adapter für das drahtlose Netzwerk herunterladen.
WPA muss auf Windows XP manuell konfigu-
riert werden, da die Einstellungen der WPA-Konfiguration nicht durch die Verwendung
von GPO's (Gruppenrichtlinien-
objekten) mit der vordefinierten Active Directory-Funktion wie unter Windows
Server 2003 definiert werden können. Aus
diesem Grund müssen Sie WEP evtl. gegenüber WAP bevorzugen, obwohl
dabei ein gewisser Grad an Sicherheit ge-
opfert wird.
Andere Techniken für Sicherheit in drahtlosen
Netzwerken
WEP und WPA sind die wichtigsten Techniken für Sicherheit in drahtlosen
Netzwerken. Es gibt jedoch noch weitere,
sekundäre Techniken, mit denen Sie vertraut sein sollten: MAC-Adressfilterung
(Media Access Control), Deaktivieren
von SSID Broadcasts und Virtuelle Private Netzwerke (VPN's).
MAC-Adressfilterung
Eine gebräuchliche Technik, welche die Verbindung mit Ihrem drahtlosen
Netzwerk für einen zufälligen Benutzer schw-
ieriger macht, ist die WAP's so zu konfigurieren, dass nur ein vordefinierter
Satz von MAC-Adressen zugelassen wird.
Genau wie verdrahteten Ethernetkarten wird jeder drahtlosen Netzwerkarte eine
eindeutige MAC-Adresse vom Herstel-
ler zugewiesen.
Wenn ein WAP zur Verwendung von MAC-Adressfilterung konfiguriert ist, ignoriert
es alle Meldungen von drahtlosen
Karten, die keine MAC-Adresse von der Liste der genehmigten Adressen haben.
Dies verbessert zwar die Sicherheit,
hat aber große Nachteile, was die Verwaltung angeht. Erstens müssen
Sie die Liste der MAC-Adressen im WAP ma-
nuell warten, was unmöglich wird, wenn Sie mehr als ein Dutzend Computer
oder mehrere WAPs verwalten. Zweitens
haben WAPs normalerweise einen begrenzten Speicherplatz und sind evtl. nicht
in der Lage, die vollständige MAC-
Adressliste Ihres Unternehmens zu speichern. Drittens kann ein Angreifer, der
schlau und entschlossen genug ist, um
Ihre WEP- oder WPA-Verschlüsselung zu umgehen, ebefalls eine genehmigte
MAC-Adresse identifizieren und ihre
Identität annehmen.
Tipp:
Es ist wichtig, mit der MAC-Adressfilterung vertraut zu sein, aber in der Praxis
ist der Gewinn an Sicherheit so gering,
dass es die Mühe nicht wert ist.
Deaktivieren von SSID Broadcasts
In WAPs gibt es die Option, SSID Broadcasts zu deaktivieren, aber das sollte
nicht als Sicherheitsfunktion behandel
werden. Mit SSID Broadcasts wird Drahtlosclients ermöglicht, ein verfügbares
drahtloses Netzwerk zu ermitteln. Win-
dows XP zeigt eine Benachrichtigung für den Benutzer an, wenn es das erste
Mal SSID Broadcasts von einem draht-
losen Netzwerk empfängt. Dies ist praktisch; wenn Benutzer aktiv von der
Anwesenheit eines Drahtlosclients informiert
werden sollen, sollten Sie SSID Broadcasts aktivieren.
Das Deaktivieren von SSID Broadcasts hindert zwar einen zufälligen Computerbenutzer
daran, Ihr Netzwerk zu entde-
cken, aber es kann einen professionellen Angreifer nicht daran hindern. Ihr
Netzwerk zu ermitteln. Ein Benutzer mit
einem frei erhältlichen Programm Netzwerk Stumbler kann die SSID eines
drahtlosen Netzwerks, bei dem SSID Broad-
casts deaktiviert sind, schnell ermitteln, da 802.11-Zuordnungs-/Trennungsmeldungen
immer unverschlüsselt gesendet
werden und die SSID enthalten, zu welcher der Client zugeordnet werden möchte
oder von dem er getrennt werden mö-
chte.
Weitere Informationen:
Sie können Network Stumbler herunterladen unter http://www.stumbler.net.
Virtuelle Private Netzwerke
Obwohl ein Virtuelles Privates Netzwerk (VPN) eine exzellente Lösung für
das Durchqueren eines öffentlichen Netzwer-
ks wie das Internet ist, sind VPN's nicht die beste Lösung für die
Absicherung eines drahtlosen Netzwerks. Für diese
Art von Anwendungen ist ein VPN unnötig komplex und teuer. Es erhöht
die Sicherheit eines dynamischen WEP nur
unwesentlich, steigert die Kosten aber erheblich, verringert die Brauchbarkeit
und entfernt wichtige Teile der Funktio-
nen.
Benutzer von VPN-Clients müssen eine Verbindung mit dem VPN-Server starten,
daher ist die Verbindung niemals so
transparent wie eine verdrahtete Netzwerkverbindung. Nicht-Microsoft VPN-Clients
fordern evtl. auch Anmeldeinforma-
tionen, zusätzlich zur Standard-Netzwerk- oder Dömanenanmeldung, wenn
die Verbindung aufgebaut wird. Wenn das
VPN wegen eines zu schwachen Signals die Verbindung abbricht oder weil der Benutzer
zwischen WAPs hin- und her
geht, muss der Benutzer den Verbindungsprozess wiederholen.
Da die VPN-Verbindung nur benutzerdefiniert ist, kann ein inaktiver, abgemeldeter
Computer nicht mit dem internen Ne-
tzwerk verbunden werden. Daher kann ein Computer nicht extern verwaltet oder
überwacht werden, wenn der Benutzer
nicht angemeldet ist. Bestimmte Computer-GPO-Einstellungen wie Skripts zum Starten
und computerzugeordnete So-
ftware können evtl. nicht angewendet werden. Dazu kommt, dass mobile Computer
oft in der Standby- oder Ruhezusta-
nd wechseln. Beim Wechsel vom Standby- oder Ruhezustand in einen aktiven Zustand
wird die VPN-Verbindung je-
doch nicht automatisch wieder aufgenommen; der Benutzer muss dies manuell tun.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006