|
|
 |
 |
Sicheres WLAN |
| |
|
|
|
Die Sicherheit eines WLAN bedeutet im Konkreten die Sicherstellung der Vertraulichkeit, der Authentizität und der Integrität der übertragenen Informationen. Dies soll mit Authentifizierung und Verschlüsselung erreicht werden, wobei der Einsatz von WEP
dafür nicht ausreicht.
|
WLAN Authentifizierung |
Bei WLAN wird Authentifizierung primär über ein geteiltes Geheimnis
durchgeführt. Dieses Geheimnis ist der WEP-Schlüssel, der auf den Clients und den Basis Stationen eingetragen werden muss. Die Kenntnis dieses Schlüssels, sprich sind die ankommenden Daten richtig verschlüsselt, autorisiert den Zugriff.
Eine weitere Information, die für den Zugriff notwendig ist, ist die richtige SSID (Service Set Identifier), welche zur Unterscheidung verschiedener Funknetze dient. Sollten mehrere Funknetze vorhanden sein, kann über die ausgestrahlten Beacons der Basisstation das richtige Funknetz ermittelt werden. D.h. im Grund ist diese Information dadurch schon öffentlich und kann auch von Sniffern aufgefangen werden. Noch dazu kann die SSID für einen Known-Plaintext Angriff auf WEP
genützt werden. Deshalb sollte die SSID nicht über Broadcasts (in den Beacons) gesendet werden und möglichst lange und nicht zu erraten sein. Vor Entdeckung eines WLAN durch einen Sniffer und Brechen des WEP-Schlüssels schützt dies trotzdem nicht - es wird nur die erste Möglichkeit verhindert.
Weitere Absicherung bietet die Filterung auf MAC-Adressen bei den Access Points, aber auch diese Konfiguration bietet keinen endgültige Sicherheit, da MAC-Adressen ja änderbar sind und spätestens nach Brechen des WEP-Schlüssels in Erfahrung gebracht werden können. Im Gegenzug kann die Wartung dieser Access Control Lists erheblichen Aufwand verursachen.
Soll die Authentifizierung weiterhin am Layer 2 stattfinden sollte gleich auf 802.1X gesetzt werden. Dies ist schlussendlich auch für die WEP-Nachfolger WPA und 802.11i notwendig, oder die Authentifizierung auf eine höhere Netzwerk-Schicht legen, z.B. auf ein VPN.
|
Verschlüsselung |
Bevor man gar keine Verschlüsselung und Authentisierung einsetzt, weil sie zu aufwendig ist, sollte man zumindest WEP aktivieren - sicher ist man dabei aber nicht.
Ein erster Schritt ist die Verbesserung des Schlüsselmanagements von WEP. Zusammen mit einer sicheren Authentifizierung kann mit den richtigen EAP-Typen (z.B. EAP-TLS), bietet 802.1X die Generierung von Schlüssel an, die dynamisch und sicher an die einzelnen WLAN-Stationen übermittelt werden können. Konfiguriert man die Austauschzeit entsprechend kurz, kann man den gewünschten oder notwendigen Sicherheitslevel erreichen - man sollte sich dabei an den Häufigkeiten der Schwachen Schlüssel
und am Birthday-Paradoxon
für IV-Kollisionen orientieren.
Besser ist gleich der Einsatz von WPA
, bzw. später von 802.11i
, im sicheren Enterprise Mode, wo mit TKIP (und AES) bessere Algorithmen zur Verfügung stehen. Allerdings bauen auch diese neuen und sicheren Standards auf 802.1X als Authentifizierungsframework auf.
Eine dritte Möglichkeit ist, das WLAN wie ein externes Netz, zu betrachten, und WLAN wie Remote-Zugriffe zu handhaben. D.h. über den "insecure Layer 2" wird auf höherer Ebene eine gesicherte Verbindung aufgebaut, z. B. übernimmt ein VPN die Authentifizierung und die Verschlüsselung des Zugriffs.
|
Komponenten bei 802.1X |
Um 802.1X einzusetzen müssen natürlich alle Komponenten die mit der Kommunikation zu tun haben 802.1X unterstützen, das heißt, der Access Point fungiert als Authenticator und muss die entsprechenden Funktionen implementiert haben. Der Radius-Server im LAN muss EAP für RADIUS implementiert haben und der Client (Supplicant) muss eine entsprechende Authentisierungssoftware installiert haben. Microsoft bietet mit Windows Server 2003 und XP eine umfassende 802.1X Unterstützung.
|
Linktipps |
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum