So vermeiden Sie Sicherheitslücken im Wlan

Sicherheitslücke Wireless LAN?
Bild 1 von 6

Sicherheitslücke Wireless LAN?

28.08.2009 - 10:01 Uhr

Wir sagen Ihnen, welche Gefahren bei der Benutzung von Wlan drohen und wie Sie sich schützen.

Kaum ein Unternehmen kommt heute ohne Wireless LAN aus. Mobile Mitarbeiter nutzen es unterwegs ausgiebig, Geschäftspartner greifen in Konferenzräumen darauf zu und in den Büros klinken sich Notebooks drahtlos ins LAN ein, wenn kein Netzwerkkabel mehr frei ist. Kurz: An Funknetzwerken führt kein Weg vorbei – an den Sicherheitseinrichtungen des Unternehmens aber womöglich schon. Ein Security-Fiasko muss es aber nicht geben, wenn IT-Verantwortliche die richtigen Vorkehrungen treffen.

Mal abgesehen von Schusselfehlern bei der Administration, wie dem nie geänderten Standard-Passwort für den Wireless-Router oder der aktivierten Fernwartung mit leicht zu knackendem Passwort, die man als Einladung an Hacker verstehen kann, gehen mit WLANs grundsätzlich zwei Bedrohungen einher:

Gefahren fürs Netzwerk durch Eindringlinge Gefahren fürs Netzwerk durch mobile Mitarbeiter

Funknetze machen im Gegensatz zu drahtgebundenen Netzen an den Gebäudegrenzen Ihres Unternehmenssitzes nicht Halt. Und WLANs haben die Angewohnheit, unberechenbar weit zu funken – 100 Meter im Umkreis bei schwächer werdender Signalstärke sind keine Seltenheit. Doch das reicht Außenstehenden, um kostenlos huckepack mitzusurfen oder im Extremfall die Firmenkommunikation abzuhören.

Die Bedrohung durch Hacker und Trittbrettsurfer lässt sich durch Verschlüsselung einfach abschalten, denken Sie? Hier muss man schon etwas differenzieren. Eine schwache Verschlüsselung lässt sich beispielsweise mit frei verfügbaren Tools in Minuten knacken. Auch die Authentifizierung ist nicht ohne Mängel. MAC-Adressen-Filter, die nur bestimmte Geräte mit einem eindeutigen Gerätecode ins Netz lassen, können ebenfalls leicht ausgetrickst werden. Entscheidend ist die Kombination verschiedener Schutzmechanismen.

WLAN nur WPA-verschlüsselt

Bei der Verschlüsselung ist heute WPA2 state-of-the-art. Neuere Access Points (AP) unterstützen WPA2 und bringen auch leistungsstarke Hardware dafür mit, während sich ältere Geräte zwar oft per Firmware-Upgrade von WPA auf WPA 2 aufrüsten lassen, aber durch die anspruchsvolleren Berechnungen zum Flaschenhals der WLAN-Kommunikation werden können. Ebenso wie beim Funkstandard gilt bei der Verschlüsselung: nur wenn alle Clients WPA2 unterstützen, kann der Administrator ruhig schlafen. Mehrere Verschlüsselungsmethoden gleichzeitig können die meisten APs nicht bereitstellen - den kleinsten gemeinsamen Nenner setzen die Clients. Um sicherzustellen, dass alle Notebooks WPA2 unterstützen, sollte unter Windows XP mindestens das Servicepack 2 eingespielt werden. Windows Vista unterstützt WPA2 von Haus aus.

Einige WLAN-APs können immerhin WPA2 und den ebenfalls sehr sicheren Vorgänger WPA in einem Shared Mode parallel anbieten. Für beide WPA-Versionen gibt es bisher keine Angriffsmethoden außer Passwort-Attacken. Mit einem langen Passwort mit mindestens 63 Zeichen, das nicht im Wörterbuch zu finden ist, haben Hacker das Nachsehen. Tabu ist das leicht zu knackende WEP. Ein Designfehler in dieser Sicherheitstechnik erlaubt es nämlich, die generierten Schlüssel leicht zu erraten.

Alternativ können IT-Administratoren auch zur Verschlüsselung der Funkübertragungen auf IP-Technologie zurückgreifen und das WLAN komplett per IPSec oder VPN absichern. Die getunnelten Verbindungen haben den Vorteil, dass keine Schlüssel zum Verbindungsaufbau ausgetauscht werden müssen, die von einem Hacker abgehört werden könnten. Client und Server sind vorab eingerichtet und aufeinander eingestellt. Damit können auch mobile User sicher ins Internet gelangen – über den gesicherten Umweg übers Firmennetzwerk. Gastzugänge sind auf diese Weise aber etwas aufwändiger zu realisieren.

Benutzerauthentifizierung

Für die Einwahl ins lokale Funknetz stehen neben dem Pre-shared Key (PSK) - also dem Passwort, aus dem der Schlüssel generiert wird - weitere Schutzmethoden zur Verfügung. Am geeignetsten ist die zentrale Benutzerverwaltung, die von einem RADIUS-Server gesteuert wird. Der RADIUS-Server kann auf eigene Datenbanken zugreifen oder Verzeichnisdienste im Netz anzapfen und die Zugangsdaten und Berechtigungen der Clients überprüfen.

Ein reiner MAC-Adressenfilter ist durch gefälschte MAC-Adressen leicht auszuhebeln. Ein Angreifer kann die MAC-Adressen von genehmigten Clients auslesen und mit Hilfsprogrammen diese Gerätecodes auf andere Hardware übertragen, beispielsweise auf sein Notebook.

Funkhoheit sicherstellen

Nicht nur Hacker bedrohen die Netzwerksicherheit, auch die eigenen Mitarbeiter schlagen dem Administrator manchmal ein Schnippchen. Ein irgendwo im Büro aufgestellter WLAN-Access-Point mit Verbindung ins Netzwerk ist eine Sicherheitslücke erster Güte. Denn alles, was der Administrator nicht kontrolliert, bedeutet Probleme. Ein am IT-Verantwortlichen vorbei installierter Access Point ist die ultimative Hintertür für Schädlinge und Hacker, die an allen Sicherheitseinrichtungen vorbei ins Netzwerk gelangen. Deshalb ist es wichtig, solche Piratenfunker flott aufzuspüren und abzuschalten.

Mit Scannern wie NetStumbler unter Windows oder Kismet unter Linux oder Mac finden Sie Wireless-LAN-Sender, lassen sich die Signalstärke und Übertragungsdaten anzeigen und können die APs sogar anpeilen - eine Richtfunkantenne vorausgesetzt. Mit ein wenig Geschick lässt sich solch ein Peilgerät auch "macgyvern". Eine Blechdose um den WLAN-Adapter genügt, und schon können Sie mit dem Laptop auf dem Arm den Empfang testen und auf das stärker werdende Signal zumarschieren.

Mit einem Tool wie myWIFIzone Internet Access Blocker 4.0 behalten Sie außerdem jederzeit die mit dem WLAN verbundenen Clients im Blick, spüren ungebetene Mitsurfer auf und kappen ihnen dauerhaft die Verbindung.

Mobile Virenschleudern

Mobile Anwender stöpseln ihre Rechner unterwegs an fremde Netzwerke an, die nicht der Kontrolle des eigenen IT-Admins unterliegen. Eine Verseuchung mit Viren, Trojanern und anderen Schädlingen ist also nicht auszuschließen. Auch bei der Einwahl ins Internet über Hotspots können sich die Clients alles mögliche einfangen, schließlich sitzen sie nicht im wohlgehüteten Netzwerk hinter der Firewall. Zurück im Büro, werden diese Notebooks dann wieder an allen Sicherheitseinrichtungen vorbei ins Firmennetz eingestöpselt.

Diese mobilen Clients sind eine oft unterschätzte Sicherheitslücke. Bedenken Sie eines: Ihr Netzwerk ist immer nur so sicher wie seine schwächsten Glieder. Mobile Anwender sind mit ihren Notebooks immer für Überraschungen gut. Für den Administrator heißt es also, die Notebooks in fahrende Festungen zu verwandeln. Mit einer Personal Firewall und einer Antivirus-Software ist es aber lange nicht getan. Eine Sicherheitsrichtlinie muss den Umgang mit WLANs regeln und die Mitarbeiter sollten hinsichtlich der Gefahren geschult werden. Und trotzdem ist Kontrolle besser als Vertrauen - Notebook-Anwender sollten sich im Unternehmen am besten in einem eigenen VLAN bewegen, in dem sie Internetzugang, aber nur begrenzten Netzwerkzugang haben.

UTM: Rundumschutz ohne Hintertüren

Ist es nicht praktikabel, mobilen Clients den Vollzugang ins Netzwerk zu verwehren, beispielsweise wenn die Notebooks nicht zusätzlich zum Desktop eingesetzt werden, sondern auch im Büro als Arbeitsgerät Nr. 1 dienen. Dann müssen IT-Verwalter in den sauren Apfel beißen und diese Geräte ins Netzwerk lassen. Statt den Netzwerkschutz komplett am Internet-Gateway zu bestreiten, muss nun eine Lösung her, die auch im Inneren für Sicherheit sorgt. Das leistet eine Unified-Thread-Management-Lösung (UTM). Die meist als Appliances erhältlichen UTM-Lösungen werden an einem zentralen Punkt ans Netzwerk angeschlossen und scannen kontinuierlich das Netzwerk.

Eine UTM-Lösung kombiniert unter anderen Intrusion Detection, Firewall, Antivirus und Content Filter. Anbieter wie Sonicwall, Funkwerk, Astaro, Secure Computing und Fortigate haben passende UTM-Lösungen für verschiedene Unternehmensgrößen parat. UTM-Appliances schließen die Hintertür, die bei einer Gateway-basierenden Sicherheitsstrategie immer offen bleibt. Wer immer sich ins Netzwerk einklinkt - die UTM-Lösung hat ein wachsames Auge darauf. So lässt sich nicht nur das Problem mobiler Clients in den Griff bekommen, auch bislang unentdeckte Zugangspunkte ins Netz werden automatisch überwacht.

Quelle: Copyright (C)2008 www.pcwelt.de
Kommentare
Top-Themen
Neue Technik kann begeistern und den Menschen das Leben erleichtern. Man muss sich nur einmal das Smartphone ansehen.mehr
Trotz versprochener, schneller Datenübertragungsrate des Anbieters dauert es häufig seine Zeit, bis das neue Bild auf ...mehr
Word hat eine Vielzahl an Funktionen zu bieten. Einige davon sind aber versteckt und wenig bekannt. Wir stellen Ihnen ...mehr
Anzeige
Anzeige
Anzeige
Gaming
Wie gewohnt geht es im Juli in Sachen Games deutlich gemütlicher zu, als im Frühjahr oder Herbst. Doch auch in den kommenden Wochen erscheinen einige vielversprechende Titel - so ...mehr
Highlights
Das Smartphone ist häufig überladen von unzähligen Applikationen. Doch eine ist beinahe auf jedem Gerät zu finden: WhatsApp! Der Instant-Messaging-Dienst ist mit 1,5 Milliarden ...mehr
Wurde Ihr Rechner gekapert? Wir geben Ihnen zwölf Tipps, woran Sie erkennen können, ob Sie Opfer von Hackern geworden sind.mehr
Anzeige