2008-02-24 09:09:28

Sicherheit ist die Basis für eine erfolgreiche Implementierung von WLANs

IEEE 802.11i :

Sicherheit in drahtlosen Netzwerkstrukturen ist die Voraussetzung für einen angemessen sicheren Betrieb.

Mathias Hein

Druckversion

Soll ein breites Anwendungsspektrum abgedeckt und soll der optimale Nutzen von WLAN erreicht werden, ist eine abhörsichere Nutzung der WLAN Dienst sicherzustellen. Der WLAN Sicherheitsstandard IEEE 802.11i seit Mitte 2004 ratifiziert, doch Kosten, Komplexität, Verfügbarkeit von Clients und Interoperabilitätsprobleme verhindern in vielen Fällen dessen Einführung.

Der steigende Einsatz von WLANs in den Unternehmen führt zu einer erhöhten Nachfrage an Sicherheitslösungen zum Schutz der sensiblen Daten. Denn anders als im Umfeld von Heimanwender, ist ein Einbruch bei Unternehmen für den Hacker durchaus lukrativ. Einfache Sicherheitsprotokolle wie WEP, die für das Heimnetzwerk noch akzeptabel sind, sind nicht für die Absicherung der Unternehmensnetze geeignet.

802.11i enthält eine völlig neue Sicherheitsarchitektur (genannt: Robust Security Network (RSN)), die auf Basis der Vorgabe, eine Weiterverwendung existierender Hardware gewährleisten soll. Daher enthält 802.11i zwei Basisprotokolle für die Verschlüsselung und Integritätssicherung:

  • das auf dem Advanced Encryption Standard (AES) basierende CCMP
  • und dem Temporal Key Integrity Protocol (TKIP).

Obwohl sehr starker Wert auf Rückwärtskompatibilität gelegt wurde, erweist sich die Migration zu 802.11i in der Praxis als nicht problemfrei. Ein Upgrade vom interim Sicherheitsstandard Wi-Fi Protected Access zum 802.11i Protokoll weist eine Reihe von unberechenbaren Stolpersteinen auf:

  • An einem Upgrade der Firmware sowohl auf den Access Points als auch auf den Clients kommt niemand bei der Migration zu 802.11i vorbei. Dies bedingt jedoch, dass die betreffende Hardware relativ neu ist. Ältere Access Points müssen, zur Unterstützung des Advanced Encryption Standards (AES) meist vollständig ausgetauscht werden. Darüber hinaus erfordert ein Upgrade zu AES die Installation von Autentifizierung- und Zertifikatsservern, plus die Integration eines neuen Protokolls im Netzwerk.Im 802.11i Standard ist die Verschlüsselung integraler Bestandteil der WLAN Sicherheit. Die Authentifizierung erfordert darüber hinaus die Integration des relativ neuen 802.1X Protokolls. Der fundamentale Unterschied zum bisherige Standard WPA besteht darin, dass WPA-2 das Temporal Key Integration Protokoll (TKIP) für die Verschlüsselung nutzt. Der 802.11i nutzt für die Verschlüsselung den AES Mechanismus. WPA ist zwar integraler Bestandteil des 802.11i Standards, stellt jedoch nur einen Bruchteil der Sicherheitsmechanismen zur Verfügung. So genannte WPA-enabled Access Points unterstützen in der Regel beide Verschlüsselungsmechanismen.
  • Altere Geräte lassen sich aufgrund ihres Hardwaredesigns kaum auf den neuen Standard anpassen. Besonders im öffentlichen WLAN-Bereich stellt die Vielzahl parallel verfügbarer Sicherheitsmechanismen zunehmend ein Problem dar. Die Hotspots oder auch Firmen WLANs müssen, zumindest über einen längeren Zeitraum, zur Unterstützung aller potentiellen Nutzer den WEP-, den WPA und den AES Standard parallel bereitstellen. Jeder dieser Standards verfügt über seine eigenen individuellen Sicherheitsmerkmale, die vom Netzbetreiber verwaltet und gemanaged werden müssen.
  • Interoperabilität ist eine große Hürde auf dem Weg zur Vereinheitlichung der Zugangsmechanismen. Die 802.11i Verschlüsselungsprotokolle stehen inzwischen allen Herstellern als Standardmechanismen zur Verfügung. Der Bereich der Authentifizierung auf Basis des IEEE 802.1X Standards lässt jedoch eine Reihe von Interpretationsmöglichkeiten offen. Da der 802.1X Standard nicht in allen Bereichen in Stein gemeißelt wurde, haben die Hersteller genügend Freiraum zur individuellen Auslegung der jeweiligen Funktionen.

Die meisten Hersteller nutzen das Extensible Authentication Protokoll (EAP) zur Übermittlung der Port-Access Requests zwischen dem Client und dem Access Point. Die EAP Pakete transportieren nur die betreffenden Requests, aber das Protokoll enthält keine Mechanismen zur Festlegung des jeweiligen Authenfifikationsmechanismus. Daher muss bei der Konfiguration festgelegt werden, welche EAP Geschmacksrichtung aktiviert werden soll. Die bekanntesten Mechanismen sind die Transport Layer Security (EAP-TLS) und die EAP Tunneled Transport Layer Security (EAP-TTLS). Weitere Varianten werden in der 802.1X Framework beschrieben. Das Problem besteht jedoch darin, dass diese Mechanismen nicht immer interoperabel sind.

Cisco hat darüber hinaus noch das Lightweight Extensible Authentication Protocol (LEAP) entwickelt. Tests haben bewiesen, dass dieser Mechanismus durch einfache Dictonary-Attacken geknackt werden kann. Aus diesem Grund entwickelte Cisco das EAP-FAST (Flexible Authentication via Secure Tunneling).

Inzwischen hat auch Microsoft (unter Beihilfe von Cisco und RSA Security) das Protected EAP (PEAP) veröffentlicht. Im Gegensatz zu EAP-FAST, bei dem sowohl der Client und der Server vor der Kommunikation einen Schlüssel generieren, basiert PEAP auf den von einem Authentifikationsserver generierten Zertifikaten. Microsoft unterstützt PEAP in einigen Windows XP Versionen. Die Zertifikate werden auf Basis des Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP) oder dem Generic Token Card Certificate von Cisco übermittelt.

Der 802.1X Standard erlaubt die Verwendung fast jedes Authentifikationsprotokolls und jedes Zertifikatmechanismus. Daher können die Produkte unterschiedlicher Hersteller dem 802.11i Standard entsprechen, eine generelle Interoperabilität ist trotzdem nicht garantiert.
Ein großes Problem stellt für viele Netzbetreiber jedoch die generelle Integration von Zertifikaten dar. Der Vorgang, den Zertifikatserver durch eine externe Zertifizierungsstelle authentifizieren zu lassen um die Zertifikate zwischen den Servern und den mobilen Clients zu synchronisieren, ist einfach viel zu kompliziert oder erfordert zu viel Personal. Daher nutzen einige Firmen die RSA Token (oder ähnliche Mechanismen) um das leidige Problem der Zertifikate zu umgehen.

 

Migration auf 802.11i

Eine Migration kann nur erfolgreich und mit vertretbarem Aufwand durchgeführt werden, wenn die Umstellung graduell erfolgen kann. Lassen sich im WLAN sichere und unsichere Betriebsarten parallel betreiben, ohne die Sicherheit der Netzwerke zu kompromittieren oder diese neuen Gefahren auszusetzen? Eine positive Beantwortung dieser Frage setzt vorausgesetzt, dass die installierten Access Points unsichere Methoden wie WEP, MAC basierende und Login Pages auf separate SSID kanalisieren und via APs direkt an ein zentrales IDS System kanalisieren. Hierfür sieht der Standard eine sichere Zugangskontrolle und eine Authentifizierung der Benutzer im WLAN nach dem bewährten Standard 802.1x vor.

Trotz aller Notlösungen bleiben Zweifel an den kurzfristigen Migrationsstrategien. Aus diesem Grund hat Colubris ein mehrschichtiges Sicherheitskonzept in seine Access Points integriert. WiFi Clients, die nur über die normalen Sicherheitsmechanismen verfügen, stellt ein Colubris AP die notwendigen Zusatzmechanismen, zur sicheren Authentifizierung und Verschlüsselung bereit. Die Nutzer werden entsprechend ihren Sicherheitsfunktionen, in die für sie freigeschalteten, virtuellen Netze und Ressourcen weitergeleitet.

Darüber hinaus unterstützen die Colubris Produkte neben dem WEP und WPA-2 Mechanismus auch den 802.11i Standard und das 802.1X Protokoll. 802.11i nutzt für die Verschlüsselung den AES Mechanismus. Da sich ältere Geräte aufgrund ihres Hardwaredesigns nicht auf den 802.11i Standard migrieren lassen, müssen öffentliche und private WLANs, eine Vielzahl paralleler Sicherheitsmechanismen über einen längeren Zeitraum bereitstellen. Die Colubris WLAN Architektur sorgt gegenüber anderen WLAN Systemen für die notwendige, umfassende Sicherheit der Benutzer und schafft die Voraussetzung für eine echte Mobilität ohne die Betriebskosten zu erhöhen.