 Ein
Wireless LAN (WLAN) abzusichern, ist nicht immer so einfach wie
es uns die Hersteller von Wireless LAN (WLAN) Access Points (AP),
die auch Hotspots genannt werden, glauben lassen wollen. Ich versuche,
Sie in diesem Artikel sensibel für mögliche Angriffspunkte
zu machen, diese Angriffspunkte und mögliche Abhilfen dazu
aufzuzeigen und sie letztendlich so paranoid zu machen, dass Sie,
zumindest für Ihr Firmennetz, zusätzliche Sicherungsmaßnahmen
ergreifen und beim Wahren Ihrer Betriebsgeheimnisse
nicht nur dem Hersteller eines WLAN Access Points (beziehungsweise
den Entwicklern des darin integrierten Verschlüsselungsalgorithmus)
vertrauen werden.
Zielgruppe dieses Artikels sind Unternehmen von kleiner, die Firmengeheimnisse
wahren wollen, und Privatpersonen, denen an der Sicherheit ihres
WLAN gelegen ist, ohne dabei zu viel Aufwand investieren zu wollen.
Dieser Artikel ist bei Weitem nicht der Weisheit letzter Schluss.
Die hier gezeigten Maßnahmen sind ein erster Schritt, um Ihr
Netzwerk ein gaaaanz klein sicherer zu machen. Absolute Sicherheit
gibt es nie (schon gar nicht in WLANs).
 Übersicht
über die Abschnitte dieses Artikels:
Die
SSID
DHCP-
und MAC-Adresse
Windows-Dienste
Drucker
Zeitpläne
Verschlüsselung
Just
for fun
Ankündigung:
SSL-Einstellungen
Zugang
zu Ihrem WLAN Netzwerk: Die SSID
Sobald
sich ein Angreifer, der gerne Zugang zu Ihrem Netzwerk
hätte, in der Nähe Ihres AP aufhält, hat er die Möglichkeit,
alle Pakete mitzulesen, die Ihr AP über die Luftschnittstelle
sendet. WLAN stellt nur eine spezielle Form des Ethernet dar. Deshalb
ist jede WLAN-Karte, zumindest theoretisch -die passende Karte auch
praktisch-, in der Lage, im sogenannten Promiscuous Mode betrieben
zu werden. Dieser erlaubt es, alle Pakete am Übertragungsmedium,
also nicht nur die an den eigenen Rechner gesendete Pakete, mitzulesen
und somit auch mit zu protokollieren.
Auf
diesem Weg findet der Angreifer beispielsweise den "Namen"
Ihres AP heraus. Im Konfigurationsmenü Ihres AP heißt
dieser Name "SSID". Diesen muss der Angreifer verwenden,
wenn er Ihren AP von anderen APs auseinander halten will. Hier liegt
der erste Angriffspunkt. Denn ohne die SSID zu kennen, wird es für
den Angreifer schon mal schwieriger, mit Ihrem AP zu kommunizieren.
Die meisten APs senden jedoch andauernd und sehr wild (etwa 10mal
pro Sekunde) Ihre SSID durch die Gegend (Broadcast). Das sollte
nicht sein. Schalten Sie das
Broadcasting der SSID ab!
Wenn Sie einen AP haben, der dies nicht zulässt, sehen Sie
auf der Website des Herstellers Ihres APs nach, ob eine neue Firmware
existiert, die dieses Problem behebt. Ist dies nicht der Fall, senden
Sie eine Anfrage an den Hersteller. Beabsichtigt dieser nicht, diese
Funktionalität in naher Zukunft einzubauen, verkaufen Sie Ihren
AP und kaufen sich einen, der das kann!
Hat der Angreifer erst mal eine Möglichkeit gefunden, mit Ihrem
AP zu "reden", ist das Kind noch nicht ganz in den Brunnen
gefallen, wenn (aber nur wenn) der Zugriff auf Ihren AP passwort-geschützt
ist. Ist der Zugriff auf den AP nicht passwort-geschützt, ist
alles zu spät. Ihr Netzwerk "gehört" jetzt dem
Angreifer. Er kann die IP-Adresse des APs ändern, er kann jedem
von ihm gewünschten Rechner den Zugang auf Ihr Netzwerk erlauben
(siehe auch Abschnitt DHCP- und MAC-Adresse),
er kann die Firewall Ihres AP verstellen, er kann alles tun, was
der AP an Funktionalität anbietet. Deshalb: Aktivieren
Sie den Passwort-Schutz Ihres Access Points!
Zugang
zu Ihrem WLAN Netzwerk: DHCP und MAC-Adresse
Sobald
sich der Angreifer mit Ihrem Netzwerk verständigen
kann, wird er versuchen, eine IP-Adresse für seinen Rechner
zu bekommen, die in Ihrem Netzwerk gültig ist, weil er damit
die Kommunikation mit anderen Rechnern in Ihrem Netzwerk aufnehmen
kann. Sie machen es dem Angreifer besonders leicht, eine solche
Adresse zu erhalten, wenn Ihr AP so eingestellt ist, dass er jedem
Rechner im Netzwerk automatisch eine Adresse zuteilt. Dieses Feature
nennt sich im Konfigurationsmenü Ihres AP "DHCP".
Bei vielen APs lässt sich dieses Feature global aktivieren
und deaktivieren. Natürlich ist es für Sie und Ihre Mitarbeiter
und Mitbewohner toll, wenn man die IP-Adresse automatisch zugewiesen
bekommt, jedoch bekommt dann auch jeder Angreifer eine gültige
Adresse, wenn Sie keine Gegenmaßnahmen ergreifen.
Zu
den Gegenmaßnahmen muss ich kurz ausholen: Jede Netzwerkkarte
besitzt eine sogenannte MAC-Adresse, auch Hardware-Adresse oder
abgekürzt HW-Adresse genannt. Diese ist weltweit eindeutig
(sic!) und hat zum Beispiel etwa folgende Form: FC-4B-32-92-AE-53.
Ein guter WLAN AP ist in der Lage, anhand dieser MAC-Adresse IP-Adressen
zuzuteilen und nur einem Rechner eine IP-Adresse
zuzuweisen, dessen Netzwerkkarte eine passende MAC-Adresse hat.
Deaktivieren Sie globales DHCP
und sorgen Sie dafür, dass nur Rechner mit der passenden Netzwerkkarte
anhand derer MAC-Adresse eine IP-Adresse zugewiesen bekommen.
Zum Trost muss ich Ihnen leider sagen: Eine MAC-Adresse lässt
sich durch einigermaßen versierte Leute mit nicht allzu großem
Aufwand fingieren. Aber immerhin ist nicht jeder x-beliebige WLAN-Benutzer
dazu in der Lage. Ein schwacher Trost.
Zugang
zu Ihrem kabelgebunden Netzwerk: Windows-Dienste
Viele
APs fungieren nicht nur als solche, sondern bieten auch die Möglichkeit,
zusätzlich kabelgebundene Rechner anzuschließen, diese
bei Bedarf (siehe voriger Abschnitt DHCP- und
MAC-Adresse) mit einer IP-Adresse zu versorgen und somit die
Kommunikation zwischen kabelgebundenen Rechnern und per WLAN verbundenen
Rechnern zu ermöglichen.
Diese Möglichkeit ist sowohl ein Feature als auch der nächste
Angriffspunkt. Alle Rechner, die sich im selben Netzwerk, genauer:
im selben Subnetz, wie der AP befinden, sind nun angreifbar. Hinzu
kommt das gängige Feature der APs, als Gerät zu fungieren,
das den Internetzugang aller angeschlossenen Rechner übernimmt.
Fast alle APs haben eine integrierte Firewall, die die Rechner im
eigenen Netz vor Angriffen von außen, also aus dem Internet,
schützen soll. Aktivieren
Sie die Firewall Ihres AP! Aber: Auch wenn diese
Firewall ganz gut funktioniert, was nutzt Sie Ihnen, wenn der Angreifer
aus dem eigenen Netz kommt und vom AP gar nicht als ein vom Internet
aus agierender Angreifer erkannt werden kann?
Hat
ein Angreifer Zugang zu Ihrem WLAN Netzwerk, kann er ungehindert
auf die Dienste anderer Rechner in Ihrem lokalen Netz zugreifen,
vorausgesetzt, diese sind aktiviert und freigegeben. Microsoft (R)
Windows (R) zum Beispiel existiert in verschiedenen Versionen, von
denen manche einen Zugriff auf das Dateisystem des Rechners sehr
einfach machen. Ein Ordner auf der Festplatte, den Sie unter Windows
(R) XP Home Edition mit dem Feature "Freigabe und Sicherheit"
freigegeben haben, ist zunächst nicht nur für bestimmte
Personen freigegeben, sondern für alle, die im Netzwerk Zugriff
auf diesen Recher haben (eigentlich müsste dieses Feature von
Windows (R) "Freigabe ist Unsicherheit" heißen). Geben
Sie auf den Rechnern im lokalen Netz keine Ordner frei
und wenn das doch unbedingt nötig ist, dann sorgen Sie dafür,
dass dort nur vorübergehend und für sehr kurze Zeit Daten
liegen.
Wenn
Sie überhaupt nicht auf Kommunikation zwischen Rechnern im
lokalen Netz angewiesen sind, zum Beispiel weil diese von WLAN AP
nur mit einem Internetzugang versorgt werden sollen und mehr nicht,
dann installieren Sie auf jedem
der Rechner eine Personal Firewall . Diese verhindert
zumindest auf rudimentäre Weise, dass sich ein Angreifer aus
dem lokalen Netz ohne Weiteres Zugang zu Ihrem Rechner verschafft.
Vergessen Sie aber nicht: Personal Firewalls sind nur so sicher
und so stabil wie das ihnen zugrunde liegende Betriebssystem. Und
glauben Sie besser niemandem, wenn er sagt, dass das Betriebssystem
XYZ sicher sei, schon gar nicht, wenn er mit den argumentiert, dass
XYZ ja offensichtlich ein gutes Betriebssystem sein muss, weil es
ja von 90% der Leute verwendet wird.
Ein
weiterer Punkt, den Sie in Betracht ziehen können, wenn Sie
wissen, dass sie keine Kommunikation zwischen Rechner im lokalen
Netz benötigen, ist, den AP so einzustellen, dass er keine
Kommunikation zwischen Rechnern, die über WLAN und Rechnern,
die mittels Kabeln angeschlossen sind, zulässt. Bei manchen
APs heißt dieses Feature "Enable
bridging to wired LAN" und kann abgeschaltet werden. Tun Sie
dies!
Zugang
zu Ihrem kabelgebunden Netzwerk: Drucker
So
wie es möglich ist, auf Rechner im lokalen Netz zuzugreifen,
ist es auch möglich, auf Drucker im lokalen Netz zuzugreifen.
Ich meine an dieser Stelle Drucker, die als Netzwerkdrucker mit
Netzwerkkabeln direkt ans lokale Netz angeschlossen sind. Sie denken
jetzt vielleicht: "Na und?" Da denken Sie aber leider
falsch. Mit diesen Druckern kann man nicht nur kommunizieren, um
sie zum Drucken zu bewegen, nein, man kann auch mit ihnen reden,
um ihre Konfiguration zu ändern.
Beispielsweise sind diese Drucker nicht immer in der Lage, vom AP
automatisch ihre IP-Adresse zu beziehen. Daher muss die Adresse
manuell vergeben werden. Dies erfolgt bei manchen Druckern z.B.
so, dass man sich über ein Browser- oder ein Terminalfenster
an einem der ans lokale Netz angeschlossenen Rechner mit dem Drucker
verbindet und diesen dann konfigurieren kann. Schön und gut,
aber was ist, wenn ein Angreifer dies tut und beispielsweise die
IP-Adresse des Druckers ändert? Schon wundern Sie sich, warum
Sie am nächsten Tag keine Mahnungen mehr drucken können
und Ihre Mitarbeiter frustig in der Kaffeeecke stehen. Da Sie auf
dem Drucker keine Personal Firewall installieren können, ist
hier guter Rat etwas teurer.
Eine Möglichkeit fällt mir jedoch ein: Richten
Sie einen speziellen Rechner ein, der nur Druckdienste bietet und
schließen Sie die Drucker an diesen Rechner an.
Erlauben Sie nur diesem Rechner den direkten Zugriff auf den Drucker
und sichern Sie diesen Rechner so weit wie möglich ab. Keine
Angst, ein alter Rechner, von dem Sie dachten, er müsse ausgemustert
werden (ein Rechner mit einem Pentium-1-Prozessor und etwa 133-200
MHz, als Betriebssystem eignet sich hier Linux sehr gut), reicht
völlig aus.
Benutzen
Ihres Internetzugangs: Was ist ein Zeitplan?
Manche
APs erlauben es, Zeitpläne zu erstellen und andere Funktionen
anhand dieser Zeitpläne zu aktivieren bzw. zu deaktivieren.
Beispielsweise lässt sich die in Ihrem AP eingebaute Firewall
so einstellen, dass Sie nur zwischen 8 und 17 Uhr den Zugang ins
Internet erlaubt. Da Ihr Internetzugang unter Umständen nach
dem übertragenen Datenvolumen tarifiert wird, kann es teuer
werden, wenn jemand Ihren Internetzugang in der Nacht benutzt, große
Datenmengen überträgt oder gar illegale Handlung, nebenbei:
in Ihrem Namen!, tätigt. Verhindern
Sie, dass außerhalb der Arbeitszeiten ein Internetzugang möglich
ist. Bei manchen APs heißt diese Funktion
"Schedule" oder "Block by Schedule".
Und als Ergänzung zum vorigen Punkt und außerdem um Geiz
geil sein zu lassen: Schalten
Sie nicht benötigte Rechner außerhalb der Arbeitszeiten
ab.
Verschlüsselung:
Ist das sicher?
Beim
Surfen im Internet, beispielsweise bei der Anmeldung zum Online-Banking,
haben Sie vielleicht schon gelesen, dass Ihre Daten sicher übertragen
werden und mit SSL gesichert und einem Schlüssel mit der Länge
von 128 Bit verschlüsselt werden. Danach werden Sie vielleicht
gedacht haben: "Hey, bei meinem WLAN AP kann ich auch eine
128 Bit Verschlüsselung aktivieren. Wenn meine Bank das macht
und es für sicher hält, mach' ich das einfach auch und
schon ist mein WLAN sicher".
SSL als Verschlüsselungstechnik ist in der Tat relativ (aber
nur relativ, siehe Ankündigung ganz unten) sicher. Der WLAN-Standard
verwendet auch in der Tat eine Verschlüsselung mit einem Schlüssel,
der maximal 128 Bit lang ist. Jedoch ist das Verfahren, das hinter
der Verschlüsselung steckt, ein anderes, es nennt sich Wired
Equivalent Privacy (WEP). Mit dem Namen wollten die Entwickler des
darin steckenden Algorithmus wohl vortäuschen, dass WEP genau
so sicher sei wie Verfahren, die in verkabelten Netzen verwendet
werden. Weit gefehlt: Die Entwickler haben leider völlig geschlafen
und eine ziemlich markante Sicherheitslücke in das Verfahren
eingebaut. (Näheres dazu finden Sie in diesem
Artikel und in diesem
Artikel.) Will ein Angreifer trotz Verschlüsselung in Ihr WLAN
eindringen, protokolliert er dazu einfach mal einige Zeit lang den
gesamten Netzwerkverkehr Ihres APs mit. Nach einer Zeit ist er dann
in der Lage, aus ausreichend vielen protokollierten Paketen aufgrund
der Schwachstelle in WEP Datenpakete zu schicken, die der AP als
Pakete ansehen wird, die von einem vertrauenswürdigen Rechner
kommen und auf diese Weise in Ihr Netzwerk eindringen. Danach kann
ist die Verschlüsselung praktisch nutzlos, sämtliche oben
bereits beschriebenen Punkte gelten wieder. Die Zeit, wie lange
der Angreifer Datenpakete mitprotokollieren muss, ist abhängig
davon, wie lang der Schlüssel ist und wieviele Datenpakete
über die Luftschnittstelle ausgetauscht wurden. Je kürzer
der Schlüssel und je mehr Datenverkehr, desto schneller lässt
sich der verwendete Schlüssel errechnen. Bei einem 128 Bit
Schlüssel (WEP-104-Verschlüsselung) sind erfahrungsgemäß
etwa 4 bis 6 Millionen mitprotokollierter Pakete
nötig, um den Schlüssel zu errechnen (das ist etwa die
Größenordnung von 1 GB). Diese Grenze ist oftmals
schneller erreicht als man denkt, zumal in einem Firmennetzwerk
u.U. recht viele Rechner über WLAN angeschlossen sind. Daraus
resultieren zwei Ratschläge: Verwenden
Sie so lange Schlüssel wie möglich. Verwenden
Sie nicht die WEP-40-, sondern die WEP-104-Verschlüsselung
und ändern Sie Ihren Schlüssel
regelmäßig, mindestens einmal in der Woche,
am besten jeden Tag.
Da also auch die Aktivierung der WEP-Verschlüsselung keine
Sicherheit bietet, um Ihre Daten zu schützen, ist mehr Technik
notwendig als Ihr WLAN Access Point Ihnen bieten kann. Ein Virtual
Private Network (VPN) bietet Ihnen die Möglichkeit, sämtlichen
Datenverkehr mit einem wirklich recht sicheren Verfahren zu sichern.
VPNs verwenden in der Regel SSL und zusätzlich ein asymmetrisches
Verfahren, um einen sicheren Schlüsselaustausch und Authentizität
zwischen den Kommunikationspartnern zu gewährleisten. Ist ein
VPN eingerichtet, kann ein Angreifer zwar die Pakete wie oben beschrieben
entschlüsseln, die Nutzlast der Datenpakete ist wiederum nochmals
verschlüsselt, dieses mal weitaus sicherer. Das Einrichten
von VPNs ist nicht ganz unkompliziert und bedarf einiger Konfigurationsarbeit.
Trotzdem: Richten Sie ein VPN
ein! Dieses Geschäftsfeld jedoch überlasse
ich an dieser Stelle kommerziellen Anbietern und Beratern, unter
anderem meinen Ex-Kommilitonen, die sich hierauf spezialisiert haben
und Ihnen gerne zur Seite stehen. Möglicherweise gibt es momentan
auch studentische Projekte an der Hochschule der Medien zu diesem
Thema. Wenn Sie sich vorstellen können, Studenten innerhalb
von Projektarbeit Ihr Firmennetz sichern zu lassen, so nehmen Sie
Kontakt zu Prof. Roland Kiefer (kiefer AT hdm-stuttgart.de) oder
Prof. Dr. Roland Schmitz (schmitz AT hdm-stuttgart.de) an der Hochschule
der Medien in Stuttgart auf.
Just
for fun: Die etwas andere Sicherheit ;-)
Alle
WLANs in Stuttgart sind sicher! Zumindest vor Wardrivern (Leuten,
die im Auto durch die Straßen fahren, um WLANs aufzuspüren).
Denn: In jeder Straße, in der irgendwo ein WLAN Access Point
steht, sind die Parkplätze vor'm Haus belegt. Kein Angreifer
hat also im Vorbeifahren die Möglichkeit, in das Netz einzudringen,
außer er schafft es, das zu tun, bevor das nächste Auto
von hinten kommt und ihn weghupt ;-) Deshalb auch hier ein Tip:
Sorgen Sie dafür, dass alle
Parkmöglichkeiten nahe Ihres Access Points verschwinden oder
laufend belegt sind. Sonst geht es Ihnen wie
Katrina...
*Ankündigung:
Artikel zur Konfiguration von Browsern hinsichtlich SSL
Ich
habe vor, einen kleineren Artikel zu schreiben, der erläutert,
wie Browser konfiguriert sein sollten, damit sie bei der Datenübertragung
mit SSL wenigstens etwas Sicherheit bieten. Denn es gibt Mechanismen,
die Ihnen unter Umständen falsche Sicherheit vorgaukeln, ohne
dass Sie dies unbedingt bemerken. Dieser Artikel wird auch erklären,
wie Sie Zertifikate, mit denen der SSL-Datenverkehr unterzeichnet
ist, auf ihre Richtigkeit prüfen.
|
About
my Studies
Security
in WLANs
Article
on heise.de (HTML)
Wireless
Security Archive
A
collection of articles on WLAN Security
(HTML)
Unsafe
at any key size
Article
on WLAN insecurity by
Jesse
Walker of Intel (PDF, 71kB)
IEEE
Working Group for WLANs
(HTML)
Extremely
nice WLAN-related comic
(HTML)
|
Securing
your Wireless LAN