von Redaktion IT-A…
Lesezeit
3 Minuten
Typische Fehler bei der Konfiguration von WLANs
Auch bei der Konfiguration von WLANs können unnötige Fehler passieren. Da es die verschiedensten Möglichkeiten gibt, ein Netzwerk zu konfigurieren, existieren auch viele wirksame Wege zur Vermeidung von Fehlern. In diesem Workshop finden Sie einige Regeln für die richtige Konfiguration von WLANs. So etwa gehen wir darauf an, wie zu viele SSIDs die Stabilität eines Funknetzes gefährden.
Eine relativ beliebte WLAN-Sicherheitsmaßnahme ist das Verbergen der SSID. Jeder Access Point (AP) verfügt über einen 802.11 Media Access Control-Layer (MAC), inklusive dem individuellen Basic Service Set Identifikator (BSSID), dem Service Set Identifikator (SSID) und den notwendigen Sicherheitsfunktionen. Jede MAC-Instanz sendet periodisch eine Beacon-Sequenz. Der Beacon ist eine Art Leuchtfeuer, mit dessen Hilfe die SSID und die wichtigsten Betriebsparameter propagiert werden. Der WLAN-Client sendet eine Anforderungsabfrage (Probe Request), die der Access Point mit einer Anforderungsantwort (Probe Response) quittiert. Sind die gegenseitigen Parameter passend, beginnt der Einbuchungsvorgang des WLAN-Clients auf dem Access Point.
Durch die unabhängigen MAC-Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren können. Auf den meisten Access Points gibt es die Möglichkeit, die propagierten SSIDs zu verbergen. Nutzen Sie Windows, kann die WLAN-Supplicant-Funktion des Clients diese versteckten WLANSSIDs nicht mehr erkennen. Befürworter dieser Sicherheitsoption postulieren, dass das Deaktivieren der SSIDs die WLANs vor Angriffen schützt und die Verfügbarkeit der WLANs verschleiert.
Allerdings gibt es im Internet viele kostenlose Programme wie etwa Kismet, die eine schnelle Erkennung der versteckten SSID ermöglichen. Das kostenlose Tool Netstumbler kann zwar die SSID nicht erkennen, entdeckt aber den Access Point trotzdem. Dieser wird vom Netstumbler mit einer Null-SSID dargestellt. Das Tool erkennt den versteckten Access Point durch das Aussenden von Probe Requests, da der AP selbst bei unterdrückter SSID auf die Requests reagiert. In der Response ist zwar die SSID nicht enthalten, trotzdem liefert diese Antwort nützliche Hinweise wie die MAC-Adresse des APs, die Kanalnummer und die Signalpegel. Ein Angreifer auf das WLAN nutzt diese Informationen als Sprungbrett für seine unerwünschten Zugriffe auf das Wireless Netzwerk. Da legitime Nutzer die SSID für den Zugriff auf das WLAN kennen müssen, erreichen Sie durch das Verstecken der SSIDs nur Verwirrung und die Anrufe bei der Hotline steigen unnötigerweise an.
Übermäßig viele SSIDs
Ein virtueller Access Point stellt eine logische Zugangskomponente innerhalb eines realen Access Points dar. Ein virtueller AP erbringt gegenüber den WLAN-Endgeräten die gleichen Dienste und Funktionen wie ein normaler physikalischer AP. Durch die Implementierung eines kompletten MAC-Protokollstacks in jedem virtuellen AP wird sichergestellt, dass sämtliche IEEE 802.11-Standards eingehalten werden und somit keine Interoperabilitäts-Probleme mit anderen Wi-Fi-Komponenten entstehen. Jede MAC-Instanz agiert dabei wie ein physikalischer AP und sendet periodisch eine Beacon-Sequenz. Durch die unabhängigen MAC-Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren können.
Der Schlüssel zu einer vollständigen Interoperabilität virtueller APs liegt in der Bereitstellung unabhängiger MAC-Protokolle (inklusive universeller BSSIDs pro SSID). Dieses Verfahren wird auch als "Single SSIDs/Beacon, Multiple Beacon, Multiple BSSIDs" bezeichnet. Auf Basis dieses Verfahrens enthält jeder Management Frame nur noch eine SSID. Der Netzzugangspunkt übermittelt somit die individuellen Beacon Frames während des Standard Beacon Intervalls für jeden konfigurierten virtuellen AP und propagiert ebenfalls pro virtuellen AP den individuellen BSSID (oder die MAC-Adresse). Die Zugangskomponente reagiert auf Probe Requests der unterstützten SSIDs (inklusive Broadcast SSIDs) mit einem Probe Response und übermittelt damit die Betriebsparameter des virtuellen APs.
Das Problem mit vielen SSIDs in einer Funkzelle besteht darin, dass jede SSID pro Sekunde zehn Beacons aussendet. Dies bedeutet, dass ein physikalischer Access Point, der in fünf virtuelle Access Points aufgeteilt ist, pro Sekunde 50 Beacons übermittelt. Die Beacons kosten verfügbare Bandbreite in der Funkzelle und wirken sich somit negativ auf die WLAN-Performance aus. Aber selbst kleinere Unternehmen benötigen zwei bis drei unterschiedliche SSIDs, um die Nutzergruppen zu segmentieren beziehungsweise diesen den verschiedenen VLANs zuzuordnen. Auch unterschiedliche Authentifizierungs- und Verschlüsselungssysteme – wenn beispielsweise interne Mitarbeitern mit Hilfe des 802.1x-Mechanismus autorisiert werden und Gäste per WPA2 auf ein Captive Portal übermittelt werden – gehören zu den Standards.
Allerdings finden sich in den Unternehmen oftmals mehrere Benutzergruppen, die die gleiche Authentifizierungs- und Verschlüsselungsmethoden nutzen, aber über unterschiedliche SSIDs auf das WLAN zugreifen. In solchen Fällen sollten Sie die SSIDs beziehungsweise die Nutzergruppen konsolidieren. In der Praxis bedeutet dies, dass die Mitarbeiter unterschiedlicher Organisationseinheiten (beispielsweise Buchhaltung und Technik) über ein Active Directory provisioniert werden. Sowohl die Mitarbeiter der Buchhaltung als auch die Techniker greifen auf das drahtlose Netzwerk mit Hilfe der gleichen SSID (beziehungsweise 802.1x und EAP-Protokoll) zu. Reagiert der RADIUS-Server auf die über das drahtlose Netzwerk empfangenen Anfragen, orientiert sich dieser auf Basis der Organisationseinheit (OU) und nutzt dieses als RADIUS-Attribut. Das drahtlose Netzwerk erkennt diese OU-Informationen und ordnet den Nutzer in die richtige Benutzergruppe (entweder Buchhaltung und Technik) ein. Das drahtlose Netzwerk kann darüber hinaus auf Basis spezifischer Zugriffsregeln für jede Benutzergruppe den Zugriff auf Ports, Services, IP-Adressen et cetera regeln.
Wireless Intrusion Detection mit Time Slicing
Funkwellen sind nur schwer zu kontrollieren. WLAN-Laptops auf Basis des WLAN-freundlichen Windows suchen in der Default-Einstellung automatisch nach Access Points, um mit diesen eine Verbindung aufzubauen. Für diesen Verbindungsaufbau bevorzugen die WLAN-Komponenten immer den AP mit dem stärksten Signal. Dabei wird nicht zwischen einem neuen AP oder einem Laptop-AP eines Hackers unterschieden. Als "Rogue WLAN" wurden in der Vergangenheit physikalische APs bezeichnet, die nicht von einem Administrator freigegeben wurden. Heute fallen unter den Begriff auch Laptops, Handhelds, Barcode Scanner und Drucker. Diese Geräte verfügen nur über eine geringe Sicherheit und machen es dem Angreifer leicht, in das Netzwerk einzudringen. Solche Rogue APs können nicht nur von einem Angreifer, sondern auch unabsichtlich von einem Mitarbeiter des Unternehmens aktiviert werden.
Hardware-APs standen bisher im Mittelpunkt der Sicherheitsüberlegungen. Dabei lassen sich WLAN-Laptops mit Hilfe von Freeware wie HostAP problemlos in einen "Soft AP" umwandeln. Solche Soft APs sind wesentlich schwieriger zu finden als Rogue APs, denn diese Geräte verhalten sich bei Netzwerkscans wie normale Endgeräte. Falsche Netzzugänge entstehen, wenn ein AP eines benachbarten Unternehmens seine Funksignale unbeabsichtigt in den Bereich des eigenen Firmengebäudes übermittelt. Dadurch erhält der Nachbar unter Umständen unbeabsichtigt Zugang zu den Unternehmensdaten.
Ludwig Hein, Mathias Hein, Axel Simon/dr/ln
Durch die unabhängigen MAC-Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren können. Auf den meisten Access Points gibt es die Möglichkeit, die propagierten SSIDs zu verbergen. Nutzen Sie Windows, kann die WLAN-Supplicant-Funktion des Clients diese versteckten WLANSSIDs nicht mehr erkennen. Befürworter dieser Sicherheitsoption postulieren, dass das Deaktivieren der SSIDs die WLANs vor Angriffen schützt und die Verfügbarkeit der WLANs verschleiert.
Allerdings gibt es im Internet viele kostenlose Programme wie etwa Kismet, die eine schnelle Erkennung der versteckten SSID ermöglichen. Das kostenlose Tool Netstumbler kann zwar die SSID nicht erkennen, entdeckt aber den Access Point trotzdem. Dieser wird vom Netstumbler mit einer Null-SSID dargestellt. Das Tool erkennt den versteckten Access Point durch das Aussenden von Probe Requests, da der AP selbst bei unterdrückter SSID auf die Requests reagiert. In der Response ist zwar die SSID nicht enthalten, trotzdem liefert diese Antwort nützliche Hinweise wie die MAC-Adresse des APs, die Kanalnummer und die Signalpegel. Ein Angreifer auf das WLAN nutzt diese Informationen als Sprungbrett für seine unerwünschten Zugriffe auf das Wireless Netzwerk. Da legitime Nutzer die SSID für den Zugriff auf das WLAN kennen müssen, erreichen Sie durch das Verstecken der SSIDs nur Verwirrung und die Anrufe bei der Hotline steigen unnötigerweise an.
Übermäßig viele SSIDs
Ein virtueller Access Point stellt eine logische Zugangskomponente innerhalb eines realen Access Points dar. Ein virtueller AP erbringt gegenüber den WLAN-Endgeräten die gleichen Dienste und Funktionen wie ein normaler physikalischer AP. Durch die Implementierung eines kompletten MAC-Protokollstacks in jedem virtuellen AP wird sichergestellt, dass sämtliche IEEE 802.11-Standards eingehalten werden und somit keine Interoperabilitäts-Probleme mit anderen Wi-Fi-Komponenten entstehen. Jede MAC-Instanz agiert dabei wie ein physikalischer AP und sendet periodisch eine Beacon-Sequenz. Durch die unabhängigen MAC-Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren können.
Der Schlüssel zu einer vollständigen Interoperabilität virtueller APs liegt in der Bereitstellung unabhängiger MAC-Protokolle (inklusive universeller BSSIDs pro SSID). Dieses Verfahren wird auch als "Single SSIDs/Beacon, Multiple Beacon, Multiple BSSIDs" bezeichnet. Auf Basis dieses Verfahrens enthält jeder Management Frame nur noch eine SSID. Der Netzzugangspunkt übermittelt somit die individuellen Beacon Frames während des Standard Beacon Intervalls für jeden konfigurierten virtuellen AP und propagiert ebenfalls pro virtuellen AP den individuellen BSSID (oder die MAC-Adresse). Die Zugangskomponente reagiert auf Probe Requests der unterstützten SSIDs (inklusive Broadcast SSIDs) mit einem Probe Response und übermittelt damit die Betriebsparameter des virtuellen APs.
Das Problem mit vielen SSIDs in einer Funkzelle besteht darin, dass jede SSID pro Sekunde zehn Beacons aussendet. Dies bedeutet, dass ein physikalischer Access Point, der in fünf virtuelle Access Points aufgeteilt ist, pro Sekunde 50 Beacons übermittelt. Die Beacons kosten verfügbare Bandbreite in der Funkzelle und wirken sich somit negativ auf die WLAN-Performance aus. Aber selbst kleinere Unternehmen benötigen zwei bis drei unterschiedliche SSIDs, um die Nutzergruppen zu segmentieren beziehungsweise diesen den verschiedenen VLANs zuzuordnen. Auch unterschiedliche Authentifizierungs- und Verschlüsselungssysteme – wenn beispielsweise interne Mitarbeitern mit Hilfe des 802.1x-Mechanismus autorisiert werden und Gäste per WPA2 auf ein Captive Portal übermittelt werden – gehören zu den Standards.
Allerdings finden sich in den Unternehmen oftmals mehrere Benutzergruppen, die die gleiche Authentifizierungs- und Verschlüsselungsmethoden nutzen, aber über unterschiedliche SSIDs auf das WLAN zugreifen. In solchen Fällen sollten Sie die SSIDs beziehungsweise die Nutzergruppen konsolidieren. In der Praxis bedeutet dies, dass die Mitarbeiter unterschiedlicher Organisationseinheiten (beispielsweise Buchhaltung und Technik) über ein Active Directory provisioniert werden. Sowohl die Mitarbeiter der Buchhaltung als auch die Techniker greifen auf das drahtlose Netzwerk mit Hilfe der gleichen SSID (beziehungsweise 802.1x und EAP-Protokoll) zu. Reagiert der RADIUS-Server auf die über das drahtlose Netzwerk empfangenen Anfragen, orientiert sich dieser auf Basis der Organisationseinheit (OU) und nutzt dieses als RADIUS-Attribut. Das drahtlose Netzwerk erkennt diese OU-Informationen und ordnet den Nutzer in die richtige Benutzergruppe (entweder Buchhaltung und Technik) ein. Das drahtlose Netzwerk kann darüber hinaus auf Basis spezifischer Zugriffsregeln für jede Benutzergruppe den Zugriff auf Ports, Services, IP-Adressen et cetera regeln.
Wireless Intrusion Detection mit Time Slicing
Funkwellen sind nur schwer zu kontrollieren. WLAN-Laptops auf Basis des WLAN-freundlichen Windows suchen in der Default-Einstellung automatisch nach Access Points, um mit diesen eine Verbindung aufzubauen. Für diesen Verbindungsaufbau bevorzugen die WLAN-Komponenten immer den AP mit dem stärksten Signal. Dabei wird nicht zwischen einem neuen AP oder einem Laptop-AP eines Hackers unterschieden. Als "Rogue WLAN" wurden in der Vergangenheit physikalische APs bezeichnet, die nicht von einem Administrator freigegeben wurden. Heute fallen unter den Begriff auch Laptops, Handhelds, Barcode Scanner und Drucker. Diese Geräte verfügen nur über eine geringe Sicherheit und machen es dem Angreifer leicht, in das Netzwerk einzudringen. Solche Rogue APs können nicht nur von einem Angreifer, sondern auch unabsichtlich von einem Mitarbeiter des Unternehmens aktiviert werden.
Hardware-APs standen bisher im Mittelpunkt der Sicherheitsüberlegungen. Dabei lassen sich WLAN-Laptops mit Hilfe von Freeware wie HostAP problemlos in einen "Soft AP" umwandeln. Solche Soft APs sind wesentlich schwieriger zu finden als Rogue APs, denn diese Geräte verhalten sich bei Netzwerkscans wie normale Endgeräte. Falsche Netzzugänge entstehen, wenn ein AP eines benachbarten Unternehmens seine Funksignale unbeabsichtigt in den Bereich des eigenen Firmengebäudes übermittelt. Dadurch erhält der Nachbar unter Umständen unbeabsichtigt Zugang zu den Unternehmensdaten.
Seite 1 von 2 Nächste Seite>>
Ludwig Hein, Mathias Hein, Axel Simon/dr/ln
