Direkt zum Inhalt
denkfabrik groupcom GmbH

Agentur

Nur Zertifikate schützen Enterprise-WLANs vor fremden Zugriffen


09. April 2013, 15:02
PRESSEMITTEILUNG/PRESS RELEASE

Hacker von WLANs gehen fast immer nach dem gleichen Schema vor: Netzwerk finden, Datenpakete abfangen und in das Netz eindringen. Dabei gibt es grundsätzlich zwei Angriffsansätze: Erstens das Mithören der Daten zum Knacken des WLAN-Zugangs oder zweitens das Umleiten von Datenpaketen über einen Access Point des Hackers. Der zweite Ansatz ist besonders kritisch, da der Hacker als „Man in the Middle“ Datenverbindungen mithören oder auch manipulieren kann. Insbesondere besteht die Gefahr, dass der Hacker Anmeldeinformationen zu wichtigen Ressourcen im internen Netz ausspäht.

Wie schnell sich trotz verschiedener Security-Maßnahmen in Funknetze von Unternehmen eindringen lässt, haben die Experten der Unternehmensberatung mikado ag kürzlich den Teilnehmern eines Workshops demonstriert. Als größte Schwachstelle zeigte sich dabei die manuelle Eingabe der Zugangsberechtigungen, weshalb sich mikado-Vorstand Wolfgang Dürr für den Einsatz von Zertifikaten ausspricht. „Erfolgt der Zugang zum WLAN über die manuelle Eingabe eines Passwortes, werden in der Regel von einem Anwender merkbare Zeichenfolgen verwendet. Diese lassen sich aber durch die Analyse einer ausreichenden Datenmenge mitgeschnittener WLAN-Daten, mit dem Einsatz der entsprechenden Rechenpower und geeigneter Dekodiertools in kurzer Zeit entschlüsseln. Die Effektivität der Cracking-Tools hat sich in der letzten Zeit erheblich verbessert, da durch die Einbrüche bei Online-Diensten wie LinkedIn, Twitter, Evernote etc. die Hacker in den Besitz von Millionen von „echten“ Passwörtern gekommen sind.

Nach seinen Beobachtungen weisen die Sicherheitskonzepte für die betrieblichen Funknetze jedoch häufig noch eine Vielzahl weiterer Schwächen auf. Dürr hat deshalb Tipps für den sicheren Aufbau von WLANs erarbeitet:

1. Entwicklung einer WLAN-Strategie, in der die gesamten Anforderungen hinsichtlich der Geräte im Netzwerk, Einsatzbereiche und Risikobewertungen aufgenommen werden.
2. Erstellung einer Sicherheitsrichtlinie zur WLAN-Nutzung mit Definition des Nutzerkreises und der Administratoren, Lokalisierung der WLAN-Komponenten sowie Festlegung von Standardkonfigurationen und des Sicherheitsverantwortlichen.
3. Einen geeigneten WLAN-Funkstandard festlegen. Typischerweise werden bei Neuinstallationen die aktuellen leistungsfähigen Standards wie IEEE 802.11 g, n und bald auch ac gewählt, wobei zu beachten ist, ob auch ältere am WLAN beteiligte Geräte „mitspielen“. Wichtig ist, dass beide zugelassenen Frequenzbänder bei 2,4 und 5 Mhz genutzt werden.
4. Auswahl geeigneter Authentifizierungsverfahren. Möglich sind hier WPA2 (Wifi Protected Access) in der Variante WPA2-PSK (Preshared Keys) für kleinere Installationen sowie WPA2-Enterprise mit Nutzer-spezifischer Anmeldung per RADIUS-Server. WPA2 ist Nachfolger des unsicheren WEP-Standards.
5. Beim Einsatz von WPA2-PSK Definition eines ausreichend langen Passworts mit dessen regelmäßigem Wechsel. Es sollte aus mindestens 20 Zeichen mit Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen bestehen, damit Brute-Force- oder Wörterbuchangriffe erschwert werden. Problematisch beim Einsatz von Preshared-Keys ist der Passwortwechsel, da im Standard alle Nutzer dasselbe Passwort nutzen und somit gleichzeitig das Passwort ändern müssen.
6. Beim Einsatz von WPA2-Enterprise ein vertrauenswürdiges Zertifikat für den Radius-Server nutzen. Dadurch lassen sich bei korrekter Client-Konfiguration MITM-(Man-in-the-middle-)Angriffe unterbinden. Wird für die Anmeldung das Windows-AD-Konto genutzt, kann ein Angreifer mit einem MITM-Angriff den Benutzernamen und das Passwort ausspähen. Als deutlich sicherere Alternative ist deshalb der Einsatz eines Client-Zertifikats zu empfehlen. Zusätzlich sollte eine über MAC-Adressen realisierte Zugriffsbeschränkung für autorisierte Geräte erfolgen.
7. Planung der Administration der WLAN-Infrastruktur mit Nutzung eines Managementsystems, Prozessen für regelmäßige Auswertung der Log-Informationen und Planung von Ersatzsystemen.
8. Entwicklung eines übergreifenden Netzwerkkonzepts mit Erweiterung des eigenen LANs, Einrichtung eines separaten Gästenetzes sowie Sicherheitszonen und VLAN-differenzierter Unterteilung des Netzwerks.
9. Wirksame Verfahren für Rogue Access Point Detection implementieren, um unautorisierte Access Points (Rogue-APs) gezielt eliminieren zu können.
10. Eine Notfallvorsorge für mögliche WLAN-Ausfälle realisieren. Dazu gehören insbesondere redundante Kommunikationsverbindungen und Regelungen für Ausfallsituationen sowie für Gegenmaßnahmen bei Sicherheitsvorfällen.

Kontakt
Wilfried Heinrich
+49 0 22 33 – 61 17 72