Von: Michael Tschernigow, Bernd Reder
Wer ein funkgestütztes lokales Netz einsetzt, muss sich über eines im Klaren sein: Grundsätzlich kann jeder, der sich in Reichweite eines Wireless LANs befindet und die passende Ausrüstung parat hat, den Funkverkehr mithören. Wie einfach das ist, zeigten beispielsweise Mitglieder des Chaos-Computer-Clubs im vergangenen Jahr in Berlin. Sie schafften es unter anderem, sich in das WLAN eines Krankenhauses einzuklinken. Zudem gelang es den Fachleuten, per Handheld in das Netz eines großen Unternehmens einzudringen. Die Lücke, welche die Mitglieder des Clubs in diesem Fall nutzen, lässt sich allerdings relativ einfach schließen: Jede Funkkarte hat eine eindeutige MAC-Adresse (Medium Access Control), die in den WLAN-Access-Points eingetragen wird. Diese Zugangspunkte sind mit dem Kabel-LAN verbunden und dienen als Schnittstelle zwischen den Stationen im Funknetz und dem kabelgestützten lokalen Netz.
Versucht eine Funkkarte, sich in das Intranet einzuloggen, wird zunächst überprüft, ob deren MAC-Adresse registriert ist. Ist das nicht der Fall, erhält sie keinen Zugriff zum Netz. Mit diesem Verfahren kann der Netzwerkverwalter außerdem festlegen, welche Funkkarte in welcher Zelle arbeiten darf. Sobald die Anzahl der Access Points steigt, wird jedoch auch der Verwaltungsaufwand höher, weil jede Basisstation einzeln gepflegt werden muss. Abhilfe schafft ein so genannter Radius-Server (Remote Authentication Dial-in User Service/Server). Auf ihm werden die MAC-Adressen verwaltet.
Drahtgebundenes und Wireless LAN voneinander trennen
Eine wichtige Rolle beim Schutz von kabelgebundenen und Funk-LANs spielen Firewalls. Sie blocken unberechtigte Zugriffe auf ein Netz oder Netzsegment ab. Um das kabelgestützte lokale Netz gegen Angriffe über das Wireless LAN zu schützen, lässt sich zwischen beide eine solche Firewall schalten. Im schlimmsten Fall hört der "Einbrecher" dann zwar die Daten im Funknetz mit, kann aber nicht auf Informationen im Kabelnetz zugreifen. Allerdings muss der Netzwerkverwalter die Datenhaltung entsprechend organisieren. Das heißt: Sensible Informationen bleiben hinter der Firewall im kabelgestützten Netz.
Bei einer solchen Installation werden beide Netze, also das "normale" und das Wireless LAN, als zwei eigenständige Einheiten behandelt. Da in der Praxis beide Netze jedoch oft denselben Switch benutzen, muss der Netzwerkverwalter auf einen kleinen Kniff zurückgreifen: Die Managementsoftware vieler Switches bietet die Option, Netze logisch zu trennen, auch wenn sie am selben Switch angeschlossen sind.
Verschlüsseln ist Pflicht
Beim WLAN ist es zudem unerlässlich, die Daten an der Luftschnittstelle zu verschlüsseln. Funknetze nach dem Standard IEEE 802.11b arbeiten mit einer Verschlüsselung von 40 beziehungsweise 128 Bit auf Basis des RC4-Verfahrens. Diese Angaben bezeichnen die Länge des Schlüssels, mit denen die Daten chiffriert werden, das heißt, je länger ein Key ist, desto besser. Allerdings steigt mit größeren Schlüsseln die Rechenzeit rapide an.
Die Stärken und Schwächen von RC4, das auch als "Wired Equivalent Privacy" (WEP) bezeichnet wird, sind hinlänglich bekannt. Der größte Vorteil des Verfahrens ist, dass es sich als Standard etabliert hat. Produkte verschiedener Hersteller können deshalb mitei-nander kommunizieren. Aber spätestens seit auch der 128-Bit-Schlüssel geknackt worden ist, sind die Hersteller und Normierungsgremien aufs Neue gefragt. Die meisten haben ihre Funkkarten bereits nachgebessert oder arbeiten zumindest an erweiterten Sicherheitsfunktionen.
Um Daten chiffriert zu übertragen, müssen sowohl Sender als auch Empfänger den Schlüssel kennen. Dieser Key wird in der Software des Clients und am Access Point eingestellt. Das Problem dabei liegt auf der Hand: Um den Schlüssel zu ändern, müsste der Administrator von Hand auf alleAccess Points und Clients zugreifen. Das ist bei mehreren hundert Benutzern nicht zu bewältigen. Für unerwünschte Mithörer bedeutet dies: Wer den Code einmal entschlüsselt hat, kann alle Informationen dechiffrieren.
Dies ist jedoch alles andere als trivial. So benötigt der "Bösewicht" fundierte Kenntnisse über die OSI-Netzwerkebenen. Zudem müssen Treiber umgeschrieben und umfangreiche statistische Auswertungen durchgeführt werden. Inzwischen sind auch Funksysteme erhältlich, die mit Einzelverschlüsselung arbeiten. Dabei werden für jede neue Kommunikation zwischen Client und Server neue Schlüssel generiert. Ein unbefugter Mithörer muss dann nicht nur von Anfang an beim Datenaustausch dabei sein, sondern er erfährt mit hohem Aufwand nur den Inhalt dieser einen Verbindung und hat keinen Zugang zu anderen Daten.
Schutz oberhalb der Netzwerkebene
Ebenso wie in kabelgebundenen Intranets können auch in drahtlosen Netzen Sicherungsmechanismen auf höheren OSI-Schichten eingesetzt werden. So lassen sich zusätzliche Authentifizierungs-Routinen (Radius) einrichten. Zudem erhöhen Tunneling-Mechanismen, also Virtual Private Networks (VPN), die Sicherheit. Dabei kommt mit IPSec ein Security-Standard zum Zuge.
Doch diese Sicherheitsmechanismen nutzen nichts, wenn sie nicht eingesetzt oder falsch konfiguriert werden. Viele Netzwerkverwalter, Umfragen sprechen von bis zu 70 Prozent, vergessen beispielsweise schlichtweg, die Verschlüsselungsfunktionen zu aktivieren, die in WLAN-Komponenten standardmäßig integriert sind. In der Grundeinstellung der Systeme sind diese Funktionen meist deaktiviert. Ein weiteres Manko: Wireless LANs werden häufig nicht in ein umfassendes Netzwerksicherheitskonzept eingebunden, sondern führen quasi ein Eigenleben. Das geht so weit, dass einzelne Abteilungen ohne Wissen der IT-Abteilung Funknetze installieren. Es liegt auf der Hand, dass dadurch Sicherheitslöcher entstehen können.
Grundsätzlich muss jedes Unternehmen selbst entscheiden, wie sensibel die Daten sind, auf die im Netzwerk zugegriffen wird. Je höher die Sicherheit, desto größer auch die Implementierungskosten. Oft müssen dann niedrigere Netto-Übertragungsraten in Kauf genommen werden. Dies gilt übrigens im selben Maße für Kabelnetze. Dennoch werden Wireless LANs nie ganz die Sicherheit von Kabelnetzen erreichen. Sie halten den Security-Anforderungen an unternehmensweite Kabelnetze aber weitestgehend stand und überzeugen durch hohe Flexibilität.
Noch attraktiver dürften Funk-LANs werden, wenn Geräte nach der Spezifikation IEEE 802.11a auch in Europa auf den Markt kommen. Diese Norm sieht Bruttodatenraten von 54 MBit/s vor. Allerdings debattieren zurzeit noch Standardisierungsgremien aus Europa und den USA darüber, wie eine "europäische Variante" der Technik aussehen könnte.
Zur Person
Michael Tschernigow
studierte an der TU Berlin Informatik und Betriebswirtschaft. Seit 1999 ist er bei DeTeLine als Produktmanager Wireless LAN tätig.