von Redaktion IT-A…
Lesezeit
3 Minuten
WLAN im Unternehmen richtig absichern (1)
Wenn das kabellose Netz das physikalische Netzwerk weitgehend oder auch nur teilweise im Unternehmen ersetzt, genießt die Sicherheit selbstverständlich die gleiche, hohe Priorität. Doch muss der IT-Verantwortliche auf andere Technologien zurückgreifen, um diese zu realisieren. Gleichzeitig muss er sich mit einer neuen Rechtslage hinsichtlich WLAN und dessen Schutz vertraut machen. In ersten Teil unseres Online-Workshops stellen wir Sicherheitsmechanismen für kabellose Netze vor und gehen auf die Möglichkeiten von virtuellen Access Points in diesem Umfeld ein.
Über den Nutzen von WLANs bedarf es keiner Diskussion mehr – die ständig steigenden Zahlen der bereits erfolgten Implementierungen in den Unternehmen sprechen für sich. Neue Standards wie IEEE 802.11n mit Datenraten von mehr als 500 MBit/s oder IEEE 802.11e forcieren die rasche Verbreitung. Diskussionen darüber, ob Unternehmen die Wireless-Technologie einsetzen sollten, erübrigen sich also – nicht erübrigen wird sich jedoch die Frage, wie diese Technologie sinnvoll und vor allen Dingen sicher im alltäglichen Unternehmensbetrieb integriert werden kann.
Fakt ist, dass zunehmend mehr Wireless-Komponenten verkauft werden – folgerichtig müsste der steigende Einsatz von WLAN im Unternehmen auch zu einem erheblichen Anstieg der Nachfrage an Sicherheitslösungen und -applikationen zum Schutz der sensiblen Daten führen. Denn anders als im Umfeld von Heimanwendern, das als Wirkungskreis nicht sonderlich interessant ist, außer zum kostenlosen Surfen, kann ein virtueller Einbruch bei Unternehmen für Hacker durchaus lukrativ sein. Einfache Sicherheitsprotokolle wie WEP, für das Heimnetzwerk noch akzeptabel, sind somit wenig geeignet für die Absicherung der Unternehmensnetzwerke. Diese Tatsache dringt mittlerweile auch in das Bewusstsein der Verantwortlichen – so ist zu beobachten, dass Unternehmen anfangen, ihre Schutzstrategien zu überdenken und auf neue Schutzmechanismen zu setzen.
Absicherung mit AES
Da WEP keinen wirklichen Schutz bietet, sollten eigentlich die evolutionären Absicherungsmechanismen, basierend auf WPA (WPA2) oder IEEE 802.11i, zur Standardausstattung der Hardware gehören. Das zum Schutz von 802.11i im Hintergrund ablaufende Verfahren ist eine Weiterentwicklung des Wired Equivalency Protocol (WEP) und heißt Temporal Key Integrity Protocol (TKIP). Bei der Entwicklung dieses Protokolls wurde insbesondere die – in den meisten Fällen sehr geringe – Rechenleistung der Access Points berücksichtigt. Das hierbei verwendete Verschlüsselungsverfahren ist konsequenterweise der RC4-Algorithmus, der nur eine geringe Rechenleistung benötigt.
Da dieser Algorithmus Mängel aufweist, ersetzen ihn neue Implementierungen, die sich durch einen verstärkten Einsatz von Hardware-Komponenten auszeichnen, durch den Advanced Encryption Standard (AES), um eine verbesserte Sicherheit zu erreichen. AES führt die Verschlüsselung mit einem temporären Schlüssel durch, der nach einer gewissen Anzahl von Paketen wechselt. Dieser regelmäßige Austausch des verwendeten Schlüssels nennt sich Re-Keying. Dabei wird der – in WEP verwendete – 24 Bit-Initialisierungsvektor durch einen 48 Bit-IV ersetzt. Zusätzlich bildet AES bei der Datenverschlüsselung für jedes zu verschlüsselnde Paket über eine Hash-Funktion einen neuen Schlüssel.
Die Hash-Funktion verläuft in zwei Phasen: In der ersten Phase werden die ersten 32 Bit des Initialisierungsvektors, die MAC-Adresse sowie der temporäre Schlüssel vermischt. Das hieraus generierte Ergebnis wird in der zweiten Phase dann mit den restlichen 16 Bits des Initialisierungsvektors und mit dem temporären Schlüssel versetzt. Durch Einsatz des RC4-Algorithmus entsteht hieraus schließlich der Schlüsselstrom. Die 16 Bit des Initialisierungsvektors bilden zudem die Sequenznummer, die nach jedem Paket inkrementiert wird. So lässt sich eine Wiederholung bei der Vergabe von Schlüsseln vermeiden. Dieser Vorgang ist aufgrund der ständigen Änderung kennzeichnend für Per Packet Keying (PPK).
Sicherheit durch einen RADIUS-Server
Die beste Absicherung des Firmennetzes bietet jedoch der Einsatz eines RADIUS-Servers. Diese Authentifizierungsmethode ist im IEEE 802.11i-Standard beschrieben. Die Hauptfunktionen von RADIUS sind Authentifizierung, Autorisierung und Abrechnung:
Die Authentifizierung kontrolliert die Identität eines Benutzers. Um die Identität zu überprüfen, bietet RADIUS verschiedene Möglichkeiten, wie zum Beispiel PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), Unix Login und spezielle Algorithmen, die von anderen Sicherheitssystemen gesteuert werden. Das wichtigste Protokoll ist hierbei das EAP (Extensible Authentication Protocol).
Sobald ein Anwender authentifiziert ist, beginnt die Autorisierung. Hierzu sendet der RADIUS-Server zum Remote Access Server (RAS) oder alternativ zum Network Access Server (NAS) ein vordefiniertes Benutzerprofil, das festlegt, welche Zugriffsrechte dieser Benutzer hat. Neben diesen Berechtigungen kann das Benutzerprofil auch aus Aktionen bestehen, zum Beispiel einem Rückruf. Dabei trennt der RAS-Server die Verbindung und ruft den Benutzer unter einer vorher festgelegten Nummer an.
Neben Authentifizierung und Autorisierung ist die Abrechnungsfunktion (Accounting) ein wichtiger Teil von RADIUS. Es wird eine Log-Datei geführt, die Einwählversuche und weitere Informationen, wie beispielsweise die Verbindungsdauer, festhält. Diese Informationen sind unter anderem interessant, um die entstehenden Kosten auf die Kostenstellen der Benutzer umzulegen.
Einige Hersteller bieten Access Points mit RADIUS-Servern zu erschwinglichen Preisen an. Aber auch kleinere Anbieter im Markt der WLAN-Sicherheitstechnologien sind durchaus in der Lage, zusätzliche effektive Lösungen zu präsentieren. Einen Vorteil gegenüber den etablierten Herstellern können sich innovative, kleine Unternehmen dadurch verschaffen, indem sie neben den erweiterten Lösungen zusätzliche Dienstleistungen zur Verfügung stellen. Denn mit dem Aufkommen neuer Standards werden beträchtliche Investitionen seitens der Unternehmen zur Verstärkung der Sicherheitsstufen notwendig.
Eingesetzte WLAN-Sicherheitslösungen sollten aus diesem Grund mit zusätzlichen Funktionen angereichert sein wie beispielsweise der Fähigkeit zum Policy-Management, der Skizzierung von Dienstklassen oder der Begleitung der Kunden bei der Umsetzung von Netzwerkrichtlinien. So ist letztendlich zu gewährleisten, dass sich Unternehmensnetzwerke nicht nur effektiver, sondern tatsächlich auch sicherer über WLAN nutzen lassen.
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
Fakt ist, dass zunehmend mehr Wireless-Komponenten verkauft werden – folgerichtig müsste der steigende Einsatz von WLAN im Unternehmen auch zu einem erheblichen Anstieg der Nachfrage an Sicherheitslösungen und -applikationen zum Schutz der sensiblen Daten führen. Denn anders als im Umfeld von Heimanwendern, das als Wirkungskreis nicht sonderlich interessant ist, außer zum kostenlosen Surfen, kann ein virtueller Einbruch bei Unternehmen für Hacker durchaus lukrativ sein. Einfache Sicherheitsprotokolle wie WEP, für das Heimnetzwerk noch akzeptabel, sind somit wenig geeignet für die Absicherung der Unternehmensnetzwerke. Diese Tatsache dringt mittlerweile auch in das Bewusstsein der Verantwortlichen – so ist zu beobachten, dass Unternehmen anfangen, ihre Schutzstrategien zu überdenken und auf neue Schutzmechanismen zu setzen.
Absicherung mit AES
Da WEP keinen wirklichen Schutz bietet, sollten eigentlich die evolutionären Absicherungsmechanismen, basierend auf WPA (WPA2) oder IEEE 802.11i, zur Standardausstattung der Hardware gehören. Das zum Schutz von 802.11i im Hintergrund ablaufende Verfahren ist eine Weiterentwicklung des Wired Equivalency Protocol (WEP) und heißt Temporal Key Integrity Protocol (TKIP). Bei der Entwicklung dieses Protokolls wurde insbesondere die – in den meisten Fällen sehr geringe – Rechenleistung der Access Points berücksichtigt. Das hierbei verwendete Verschlüsselungsverfahren ist konsequenterweise der RC4-Algorithmus, der nur eine geringe Rechenleistung benötigt.
Da dieser Algorithmus Mängel aufweist, ersetzen ihn neue Implementierungen, die sich durch einen verstärkten Einsatz von Hardware-Komponenten auszeichnen, durch den Advanced Encryption Standard (AES), um eine verbesserte Sicherheit zu erreichen. AES führt die Verschlüsselung mit einem temporären Schlüssel durch, der nach einer gewissen Anzahl von Paketen wechselt. Dieser regelmäßige Austausch des verwendeten Schlüssels nennt sich Re-Keying. Dabei wird der – in WEP verwendete – 24 Bit-Initialisierungsvektor durch einen 48 Bit-IV ersetzt. Zusätzlich bildet AES bei der Datenverschlüsselung für jedes zu verschlüsselnde Paket über eine Hash-Funktion einen neuen Schlüssel.
Die Hash-Funktion verläuft in zwei Phasen: In der ersten Phase werden die ersten 32 Bit des Initialisierungsvektors, die MAC-Adresse sowie der temporäre Schlüssel vermischt. Das hieraus generierte Ergebnis wird in der zweiten Phase dann mit den restlichen 16 Bits des Initialisierungsvektors und mit dem temporären Schlüssel versetzt. Durch Einsatz des RC4-Algorithmus entsteht hieraus schließlich der Schlüsselstrom. Die 16 Bit des Initialisierungsvektors bilden zudem die Sequenznummer, die nach jedem Paket inkrementiert wird. So lässt sich eine Wiederholung bei der Vergabe von Schlüsseln vermeiden. Dieser Vorgang ist aufgrund der ständigen Änderung kennzeichnend für Per Packet Keying (PPK).
Sicherheit durch einen RADIUS-Server
Die beste Absicherung des Firmennetzes bietet jedoch der Einsatz eines RADIUS-Servers. Diese Authentifizierungsmethode ist im IEEE 802.11i-Standard beschrieben. Die Hauptfunktionen von RADIUS sind Authentifizierung, Autorisierung und Abrechnung:
Die Authentifizierung kontrolliert die Identität eines Benutzers. Um die Identität zu überprüfen, bietet RADIUS verschiedene Möglichkeiten, wie zum Beispiel PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), Unix Login und spezielle Algorithmen, die von anderen Sicherheitssystemen gesteuert werden. Das wichtigste Protokoll ist hierbei das EAP (Extensible Authentication Protocol).
Sobald ein Anwender authentifiziert ist, beginnt die Autorisierung. Hierzu sendet der RADIUS-Server zum Remote Access Server (RAS) oder alternativ zum Network Access Server (NAS) ein vordefiniertes Benutzerprofil, das festlegt, welche Zugriffsrechte dieser Benutzer hat. Neben diesen Berechtigungen kann das Benutzerprofil auch aus Aktionen bestehen, zum Beispiel einem Rückruf. Dabei trennt der RAS-Server die Verbindung und ruft den Benutzer unter einer vorher festgelegten Nummer an.
Neben Authentifizierung und Autorisierung ist die Abrechnungsfunktion (Accounting) ein wichtiger Teil von RADIUS. Es wird eine Log-Datei geführt, die Einwählversuche und weitere Informationen, wie beispielsweise die Verbindungsdauer, festhält. Diese Informationen sind unter anderem interessant, um die entstehenden Kosten auf die Kostenstellen der Benutzer umzulegen.
Einige Hersteller bieten Access Points mit RADIUS-Servern zu erschwinglichen Preisen an. Aber auch kleinere Anbieter im Markt der WLAN-Sicherheitstechnologien sind durchaus in der Lage, zusätzliche effektive Lösungen zu präsentieren. Einen Vorteil gegenüber den etablierten Herstellern können sich innovative, kleine Unternehmen dadurch verschaffen, indem sie neben den erweiterten Lösungen zusätzliche Dienstleistungen zur Verfügung stellen. Denn mit dem Aufkommen neuer Standards werden beträchtliche Investitionen seitens der Unternehmen zur Verstärkung der Sicherheitsstufen notwendig.
Eingesetzte WLAN-Sicherheitslösungen sollten aus diesem Grund mit zusätzlichen Funktionen angereichert sein wie beispielsweise der Fähigkeit zum Policy-Management, der Skizzierung von Dienstklassen oder der Begleitung der Kunden bei der Umsetzung von Netzwerkrichtlinien. So ist letztendlich zu gewährleisten, dass sich Unternehmensnetzwerke nicht nur effektiver, sondern tatsächlich auch sicherer über WLAN nutzen lassen.
Seite 1 von 2 Nächste Seite>>
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
