Die jahrelange Schelte vonseiten der Industrie und der Medien hat Früchte getragen: Laut der jährlich von den Verschlüsselungsspezialisten von RSA durchgeführten Studie zur Sicherheit von Wireless LANs sind beispielsweise in New York 97 Prozent aller Unternehmens-WLANs verschlüsselt. In Paris sind es immerhin 94 Prozent, und auch die in der Banker-Metropole London entdeckten 80 Prozent klingen an sich ganz vielversprechend. Es hat sich offenbar herumgesprochen, dass der Betrieb von unverschlüsselten WLAN-Access-Points keine herausragend gute Idee ist.
Ist somit alles in bester Ordnung, und die Unternehmen haben ihre Hausaufgaben gemacht hinsichtlich des Absicherns ihrer Infrastruktur? Mitnichten. Denn in London und New York setzen knapp über 50 Prozent der Unternehmen auf die WEP (Wired Equivalent Privacy)-Kodierung. Dass diese selbst von Laien binnen Minuten oder gar Sekunden zu knacken ist, hat sich entweder noch nicht ins Bewusstsein der IT-Verantwortlichen gefräst. Oder aber ältere, nicht WPA (WiFi Protected Access)-fähige WLAN-Endgeräte wie VoIP-Telefone oder Barcode-Lesegeräte verhindern das Abschalten der unsicheren Verschlüsselung. In Paris setzen immerhin 72 Prozent der Firmen-WLANs auf die sichereren WEP-Nachfolger WPA und WPA2.
Mike Lange, Manager Business Development & Product Marketing beim Netzwerkhersteller D-Link in Deutschland, sagt: „Unserer Erfahrung nach ist das Wissen um die Wichtigkeit von Verschlüsselung inzwischen in fast allen Köpfen angekommen. Düster sieht es hingegen aus, wenn es um die Details der Angreifbarkeit von WEP und WPA geht. Hier ist bei den Verantwortlichen oft kaum das notwendige Wissen vorhanden.“
WPA2 und feste Passwörter
Oft übersehen wird auch der Nachteil von WPA/WPA2 in Verbindung mit Pre Shared Keys (PSK), also festen Passwörtern. Einmal eingegeben, merken sich die Endgeräte beziehungsweise deren Betriebssysteme den PSK. Geht ein Endgerät verloren, kann ein Dritter den Key auslesen und sich ohne Weiteres im Netzwerk anmelden. Denn per PSK lassen sich nur Endgeräte, aber keine Personen identifizieren. Eine Lösung für dieses Problem ist der Einsatz von WPA2 in Verbindung mit 802.1X, da hier der jeweilige Anwender von einem RADIUS-Server erkannt werden muss.
802.1X macht außerdem Schluss mit dem umständlichen Verwalten der Pre Shared Keys, die im Zweifelsfall zumeist von Hand auf allen Access Points und Endgeräten geändert werden müssen. Insbesondere für Unternehmen mit kleineren IT-Teams ist diese Arbeitserleichterung ein echter Segen. Ein Stolperstein könnte jedoch die Hardware sein: Sind in den meisten Unternehmen bereits RADIUS-Server vorhanden – Windows Server ab Server 2000 bringen RADIUS-Funktion ab Werk mit –, gibt es unter Umständen Schwierigkeiten mit den Ethernet-Switches. So manches ältere Modell kann mit 802.1X nichts anfangen, sodass eventuell eine Investition in neue Netzwerkinfrastruktur fällig ist. Übrigens: Alle Investitionen in ein per 802.1X gesichertes WLAN sind rausgeworfenes Geld, wenn das verdrahtete Netzwerk nicht ebenfalls abgesichert ist. Wenn beispielsweise offen zugängliche Ethernet-Ports in Konferenz- oder Warteräumen zu finden sind, muss ein Angreifer gar nicht erst den Umweg über das Knacken des WLANs gehen: Er dockt per Netzwerkkabel direkt ans Intranet an.
Neue Angriffe, größere Gefahr
Mancher IT-Sicherheitsverantwortliche mag einem Knacken seiner WLAN-Kodierung gelassen entgegensehen, hat er doch beispielsweise die Datenbanken und E-Mail-Server im Intranet ebenfalls verschlüsselt. Ein bösartiger Hacker hätte dann zwar Zugang zum Intranet, stieße hier aber auf perfekt codierte Daten – so zumindest die Idee. Leider ist diese Ruhe mehr als trügerisch. Denn längst ist das Umgehen der ersten Hürde – WLAN-Verschlüsselung im Fall lokaler Attacken, Firewall im Fall einer Attacke über das Internet – für Cracker lediglich die Pflicht. Die Kür ist es, durch verwundbare Anwendungen an die relevanten Daten zu kommen. Beispiele für angreifbare Applikationen gibt es massenhaft: SQL-Injections, Bugs in weit verbreiteten Client-Anwendungen wie Adobe Flash oder Adobe Acrobat, nicht durch Updates behobene Sicherheitslücken in Client- und Serverbetriebssystemen oder auch neuartige Attacken beispielsweise auf automatische Software-Update-Mechanismen.
Letzteres setzt eine aktive Man-in-the-Middle-Attacke voraus, die aber auch in WLANs inzwischen zum Standardrepertoire der Cracker gehört. Ist der Angreifer der Man in the Middle, kommen entsprechende Tools zum Einsatz. Diese gaukeln gängigen, auf den PCs der Opfer installierten Anwendungen wie Adobe Acrobat oder Skype vor, dass Programm-Updates vorliegen. Will der Anwender wie gewohnt über den Update-Mechanismus der Anwendung das Update herunterladen, liefern die Tools die vermeintlich aktuelle Programmversion aus. De facto ist es aber ein Trojaner oder andere Malware, die sich der Anwender auf den PC holt. Da nur wenige Software-Updater wie beispielsweise das Windows-eigene Windows-Update auf Schutzfunktionen wie verschlüsselte Dateiübertragung oder digital signierte Exe-Files setzen, bemerken die übertölpelten Applikationen nicht, dass das Update gar nicht vom Hersteller der Software stammt.
Ist der Cracker erst einmal im Intranet, lauern weitere Gefahren. So ist es inzwischen möglich, selbst SSL-gesicherte Verbindungen zwischen Clients und Servern im Intra- und Internet zu belauschen. Entsprechende Tools agieren als Proxy zwischen Client und Server und tauschen die SSL-Zertifikate der legitimen Site quasi in Echtzeit gegen perfekt gefälschte Zertifikate des Angreifers aus. Somit kann der Cracker den Datenstrom unverschlüsselt mitlesen, ohne dass der Browser oder eine andere SSL-fähige Anwendung verdächtige Fehlermeldungen ausgibt.
Die größte Gefahr: WLAN verbieten
Der mangelnde Einsatz sicherer Verschlüsselungsverfahren und die daraus resultierenden Einbruchsmöglichkeiten sind laut Roger Hockaday, europäischer Marketing-Chef beim WLAN-Infrastrukturhersteller Aruba Networks, noch nicht einmal das größte Problem. Er hält Wörterbuchattacken auf WPA-gesicherte Netzwerke beispielsweise für eher vernachlässigbar, da der Aufwand für den Cracker vergleichsweise hoch ist. Kommt gar das auf dem bislang noch nicht geknackten AES-Algorithmus basierende WPA2 zum Einsatz, sehen Angreifer überhaupt kein Land mehr. Die Kodierung hält sämtlichen bekannten Attacken stand. Hockaday weiß aus langjähriger Praxiserfahrung zu berichten, dass viele Unternehmen durch einen ganz anderen Schritt die Sicherheit ihrer Netzwerke entscheidend gefährden: indem sie unter anderem aufgrund von Sicherheitsbedenken auf den Einsatz von drahtlosen Netzen verzichten.
Es mag paradox klingen: Wie kann eine IT-Komponente gefährlich sein, wenn man sie nicht betreibt? Roger Hockaday kann die Frage beantworten: „Die IT-Verantwortlichen einer großen europäischen Bank sagten uns Ende 2008, dass sie – allem Komfortgewinn zum Trotz – aus Sicherheitsgründen kein WLAN betreiben wollen. Als wir kurz darauf das Verwaltungsgebäude scannten, fanden wir zur Überraschung aller insgesamt 20 verschiedene Funknetze, zwei davon sogar im besonders gesicherten Rechenzentrum der Bank“, erzählt Hockaday.
Foto: Malte Jeschke
Was war geschehen? Die Mitarbeiter der Bank – normale Büroangestellte, aber auch IT-Fachleute – wollten im Büro nicht länger auf den von zu Hause gewohnten Komfort eines drahtlosen Netzwerkes verzichten. Also brachten sie eigene Access Points mit und schlossen sie an vorhandene Ethernet-Ports an – ein sogenannter Rogue-Access-Point ist geboren. Für einen IT-Sicherheitsverantwortlichen ist das ein GAU: Die durch zig verschiedene Wege und Mittel gesicherten Daten des Intranets werden durch einen höchstwahrscheinlich unsachgemäß konfigurierten und somit schlecht gesicherten WLAN-Access-Point aus dem Gebäude des Unternehmens hinausgeblasen. Jegliche Bemühungen, die Datensicherheit durch ausgefeilte Vorgaben zu erhöhen, werden im Handumdrehen ausgehebelt. Roger Hockaday sagt: „Die größte Gefahr für die IT-Sicherheit sind an sich wohlmeinende Mitarbeiter, die es aber leider nicht besser wissen.“
WLAN muss sein – aber sicher
Unternehmen sind demnach gut beraten, die flächendeckende Installation des WLANs selbst in die Hand zu nehmen. Nur so lässt sich sicherstellen, dass alle selbst auferlegten und auch die gesetzlichen Vorgaben erfüllt werden. Gleichzeitig ist es aber wichtig, darauf zu achten, den Zugang zum WLAN nicht übermäßig kompliziert zu gestalten. Ein zusätzlich zu einer starken WPA2-Verschlüsselung notwendiger VPN-Tunnel dürfte viele Mitarbeiter stören, da zum einen der Auf- und Abbau des Tunnels nervt und zum anderen durch die doppelte Kodierung die CPU-Last steigt und somit die Akku-Laufzeit bei Notebooks sinkt. Haben beispielsweise nur ausgewählte Firmen-Notebooks oder Gäste Zugriff auf das Funknetz, entsteht bei den übrigen Mitarbeitern eine ähnliche Unzufriedenheit, als wenn es gar keinen Wi-Fi-Zugang gäbe. Auch dann werden die Kollegen wieder Wege finden, die Einschränkungen zu umgehen, ohne dabei jedoch auf Regelkonformität zu achten.
Aruba-Manager Hockaday erzählt, dass beispielsweise die Mitarbeiter einer Londoner Bank die offenen WLAN-Hotspots aus den Nachbargebäude nutzen, um vom Arbeitsplatz aus online zu gehen: Im eigenen Netz waren penibel eingestellte Content-Filter installiert, die den Bankern das Surfen im Netz vergällten. Was ein solcher Umweg für die Datensicherheit bedeutet, liegt auf der Hand. Schließlich wandern alle Daten durch ein Netzwerk, das vollkommen außerhalb der Kontrolle der IT-Verantwortlichen der Bank liegt.
Erziehung tut not
Überhaupt gehört die Schulung der Mitarbeiter zu den entscheidenden Sicherheitsfaktoren, quasi auf einer Stufe angesiedelt mit einer ordentlichen Verschlüsselung. So ist es beispielweise unabdingbar, Notebook-bewehrten, vielreisenden Kollegen die Grundregeln des sicheren WLAN-Zugangs außerhalb des Büros zu erläutern: Zwar mag die Versuchung groß sein, am Abend im Hotel das WLAN namens „Free Highspeed Internet“ auszuwählen, anstatt das überteuerte Funknetz des Hotels zu nutzen. Den Mitarbeitern muss aber klar sein, dass sich hinter dem Gratisangebot wahrscheinlich kein altruistischer Nachbar verbirgt, sondern ein Angreifer.
Wird das Notebook per Group-Policy so vernagelt, dass es lediglich zu einer kleinen Zahl fest definierter SSIDs Kontakt aufnehmen kann, werden Mitarbeiter das Gerät sicherlich weniger gern einsetzen, als wenn beliebig betitelte Funknetze nutzbar sind. Damit ginge dem Unternehmen ein ordentliches Maß an Produktivität verloren. Produktivität, die ja eigentlich durch die Investition in mobile Endgeräte gewonnen werden sollte.
Auch muss den Kollegen der Umgang mit verschlüsselten Access Points erklärt werden. Denn wer vor der Hürde zurückschreckt, einen WPA-Key einzugeben, der wird alternativ immer das für jedermann zu belauschende, unverschlüsselte Funknetz verwenden. Das Gleiche gilt für SSL-gesicherte Seiten: Nur wer weiß, dass beispielsweise die Anmeldung an einen T-Mobile-Hotspot über eine https-Verbindung stattfindet, erkennt die auf die http setzende Phishing-Variante. Wenngleich auch SSL keine vollkommene Sicherheit mehr bietet, seit es Hackern gelungen ist, über einen Trick an gültige Zertifikate quasi beliebiger Sites zu kommen. Es ist momentan an den Browser-Herstellern, ihren Produkten Techniken einzupflanzen, um die mit diesem Trick erzeugten Zertifikate zu verwerfen.
Ist weit und breit kein verschlüsseltes WLAN zu finden, kann Software wie Ciscos Security Agent (CSA) auf dem Notebook helfen. CSA überwacht unter anderem die ein- und vor allem ausgehenden Datenströme und kann jeglichen Datentransfer unterbinden, wenn beispielsweise ohne VPN-Verbindung über ein ungeschütztes (drahtloses) Netzwerk kommuniziert werden soll. Damit erfüllt CSA bereits die grundsätzlichen Anforderungen an eine auf dem Endgerät installierte DLP-Komponente.
Konferenz mit dem Datendieb
Wie D-Link-Manager Mike Lange weiß, sind insbesondere Konferenzräume in Bürogebäuden ein Ort, an dem Sünden gegenüber der Netzwerksicherheit zutage treten. „Wir haben schon zahlreiche Installationen gesehen, bei denen der im Konferenzraum angebrachte Access Point ein zweites, meistens unverschlüsseltes Funknetz erzeugt, das gleichzeitig mit dem firmeninternen WLAN betrieben wird. Das Problem: Es findet zwar eine vermeintliche Trennung im Funknetz statt, aber nicht mehr dahinter, im verdrahteten Ethernet“, erzählt der Netzwerkspezialist.
Damit ist einem Angreifer Tür und Tor geöffnet, da er sich einfach des unverschlüsselten Gast-WLANs bedienen kann, um Zugriff auf das Firmen-Intranet zu bekommen. Er muss sich also gar nicht erst damit aufhalten, die Kodierung des parallel betriebenen, internen WLANs zu knacken.
Lösung des Problems sind dedizierte Wireless-Controller, wie sie von den meisten großen Netzwerkherstellern angeboten werden. Die Controller trennen die einzelnen WLAN-Sessions voneinander, indem sie pro Client einen GRE (Generic Routing Encapsulation)-Tunnel aufbauen. Terminiert wird der Tunnel erst am Controller, der die Daten sauber getrennt an den Router weiterreicht oder umgekehrt wieder zum Client zurückschickt. Eine Firewall im Controller trennt nicht nur die einzelnen WLAN-Clients voneinander, sondern auch die WLAN-Hardware vom Rest des Netzwerkers. Nützlich ist diese Separierung nicht nur, um Hacker auszubremsen. Sie kann auch rechtlich interessant werden, wenn beispielsweise Vertreter verschiedener, miteinander konkurrierender Firmen das gleiche WLAN nutzen.
Teuer, aber nützlich: Wireless-IDS
Intrusion-Detection-Systeme sind in verdrahteten Netzwerken überaus gängig – warum die Technik also nicht auch für WLANs nutzen? Wireless-IDS (WIDS) sind in Relation zu ihren kabelgebundenen Pendants vergleichsweise teuer und aufwendig. Cisco beispielsweise rät Kunden dann zu einem WIDS, wenn mehr als 250 drahtlose Clients im Unternehmen sind. WIDS sind bestens geeignet, um beispielsweise Rogue-Access-Points aufzuspüren. Sie erkennen auch die Muster gängiger WLAN-Angriffs-Tools und können die IT-Sicherheitsverantwortlichen über die Managementkonsole auf die gerade stattfindende Attacke aufmerksam machen.
Problematisch beim Einsatz von WIDS ist oft die – an sich ja überaus sinnvolle – Verschlüsselung der Daten. Nur integrierte WIDS, also proprietäre Systeme, die vom Lieferanten der Infrastruktur direkt in die Produkte eingewoben werden, können die verschlüsselten Daten im Klartext lesen. Angeflanschte Systeme (Overlay-WIDS) können lediglich die Layer 1 und 2 des Netzes analysieren. WLAN-Sicherheitsexperten wie Josh Wrigh trauen diesen Overlay-WIDS aber mehr zu hinsichtlich der Produktreife und des Funktionsumfanges, da sich die Hersteller dieser Produkte zumeist rein auf diesen Markt konzentrieren und im Gegensatz zu Infrastrukturherstellern nicht noch zig andere Punkte berücksichtigen müssen.
Und noch ein Stolperstein macht WIDS Schwierigkeiten: 802.11n. Dieser jüngste WLAN-Standard zwingt WIDS dazu, mehr Zeit mit dem Hin- und Herspringen zwischen den Funkkanälen zu verbringen, als es bei 802.11a/b/g der Fall ist. Damit sinkt die Zeit, in der das System nach Attacken suchen kann. Außerdem ist der durch 802.11n eingeführte High-Throughput (HT)-Modus, auch Greenfield-Modus genannt, ein Problem für ältere WIDS: Sie können die durch den HT-Modus erzeugten Traffic gar nicht erst erkennen, die Datenübertragungen sind unsichtbar.
Nicht immer also bringt Fortschritt auch automatisch mehr Sicherheit mit sich. Das soll aber keinesfalls als Ausrede für all die IT-Verantwortlichen dienen, die entweder per WEP oder WPA gesicherte drahtlose Netzwerke betreiben – oder aber aus Gründen der IT-Sicherheit ganz auf Funknetzwerke verzichten. (mje)