- IT&Production - https://www.it-production.com -

Sicherheitsstandards in WLAN-Netzwerken

Zugriffssichere Kommunikation

Sicherheitsstandards in WLAN-Netzwerken

Funkkommunikation kennt keine räumlichen Grenzen. Um den Zugang Unbefugter zum Unternehmens- oder Maschinennetzwerk zu verhindern, ist eine Absicherung des Funknetzes gegen das Eindringen sowie das Abhören und Manipulieren von Daten zwingend erforderlich. Denn mit leistungsstarken Antennen können Funksignale weit außerhalb der üblichen Arbeitsreichweite empfangen werden.

Mit den Funktionen, die Wireless-Standards wie WLAN und Bluetooth unterstützen, lässt sich ein umfassender Zugriffsschutz für Funknetzwerke umsetzen. Denn aktuelle Systeme bieten zahlreiche Sicherheitsmechanismen, um unbefugten Zugriff zu unterbinden. Allerdings erweist sich die Absicherung eines WLAN-Netzwerks nicht zuletzt aufgrund der vielen Fachbegriffe und Funktionen für zahlreiche Anwender als Hürde.

Wirksame Sicherheitsmechanismen

Die Sicherheitsmechanismen der Funknetzwerke bewegen sich erst seit wenigen Jahren auf einem hohen Niveau. In den Anfangsjahren der drahtlosen Datenübertragung wurde der Zugriffssicherheit gerade bei WLAN keine ausreichende Bedeutung beigemessen und mit der Wired Equivalent Privacy (WEP) ein zu schwaches Security-Verfahren im IEEE-Standard 802.11 definiert. Der relativ unsichere Verschlüsselungsmechanismus hat dem Ansehen der Funktechnik in Bezug auf zugriffssichere Kommunikation nachhaltig geschadet. Deshalb werden Funknetze noch heute häufig als unsicher bewertet, obwohl für WLAN schon im Jahr 2004 mit der IEEE 802.11i ein neuer, sicherer Security-Standard verabschiedet wurde. Die sich daraus ergebenden vielfältigen Sicherheitsoptionen haben die entsprechende Einstellung von WLAN-Netzwerken jedoch erheblich kompliziert. Dass der Aufbau zugriffssicherer Funknetze auch einfach realisierbar ist, zeigt beispielsweise der Bluetooth-Standard. Hier wurden von Beginn an wirksame Sicheheitsverfahren implementiert, die vom Anwender ohne spezielles Know-how aktiviert werden können.

Authentifizierung und Verschlüsselung

Die Sicherheit von Funknetzwerken basiert auf zwei wesentlichen Säulen. Zum einen soll ein Zugangsschutz mittels Authentifizierungsverfahren nur autorisierten Teilnehmern den Zugriff auf das Wireless-Netz erlauben. Die Authentifizierung erfolgt üblicherweise beidseitig. Sowohl der ‚Client‘ – beispielsweise ein Mobilgerät – als auch die Sendestation oder der ‚Access Point‘ eines Funknetzes müssen auf die Sicherheitsschlüssel für den drahtlosen Zugriff zugreifen. Das schützt einerseits das Netzwerk vor unbefugten Zugriffen und andererseits Teilnehmer vor ‚falschen‘ Access Points, die von Angreifern aufgestellt werden, um etwa Login-Daten auszuspionieren.

Für diesen Zugriffsschutz kommen Zertifikate oder Passwörter zum Einsatz. Im Gegensatz zu Kabelnetzen, in denen der Zugang räumlich oder mechanisch begrenzt werden kann, lässt sich der Funkverkehr allerdings prinzipiell immer aufzeichnen. Durch leistungsstarke Empfänger und Antennentechnik können Funksignale selbst weit außerhalb der für die Arbeit üblichen Reichweite empfangen werden. Zusätzlich zu anderen Sicherheitsmechanismen muss daher eine Verschlüsselung dafür sorgen, dass Dritte die empfangenen Datenpakete nicht auswerten können. Dies bezeichnet man als Vertraulichkeit. Über eine Prüfsumme wird zudem die Integrität der gesendeten Daten kontrolliert, um Manipulationen aufzudecken.

WEP-Standard bietet wenig Sicherheit

Der erste WLAN-Sicherheitsstandard WEP wies erhebliche Mängel auf. Die WLAN-Herstellervereinigung Wi-Fi Alliance hat den daraus drohenden Imageverlust früh erkannt und schon im Jahr 2003 vorab als eigenen Standard den Wifi Protected Access (WPA) auf Basis des Entwurfs der IEEE 802.11i veröffentlicht. Später publizierte die Wi-Fi Alliance mit WPA2 eine zweite, ebenfalls auf dem IEEE-Standard gründende Version. WPA und WPA2 sind heute etablierte Marktstandards für die WLAN-Sicherheit. Der größte Schwachpunkt von WEP lag in der Verschlüsselung mit einem statischen Schlüssel und dessen Sequenzzähler ‚Initialization Vector‘ (IV), der mit nur 24 Bit viel zu kurz war.

In einem ausgelasteten Funknetz wiederholt sich der IV sehr schnell und liefert Angreifern so eine Vorlage zur Krypto-Analyse. Ein Rechenbeispiel soll dies verdeutlichen: Bei einer Übertragungsrate von acht Megabit pro Sekunde und einem Datenumfang von 1000 Byte pro Paket, also der Weiterleitung von einem Pakt pro Millisekunde, wird der IV jeweils nach 224 Paketen und somit alle 16.777 Sekunden oder 4,6 Stunden wiederholt. Im Internet finden sich einige Programme, mit denen Angreifer den WEP-Schlüssel aus einer mitgeschnittenen Datenübertragung berechnen können. WEP-Sicherheitsmechanismen sollten daher grundsätzlich nicht mehr verwendet werden. Ältere WLAN-Netzwerke und -Geräte, die noch mit diesem Sicherheitsstandard arbeiten, müssen ersetzt oder mit Hilfe weiterer Maßnahmen im Netzwerk abgesichert werden.

Hoher Entschlüsselungsschutz durch WPA und WPA2

Der 2003 veröffentlichte WPA-Standard setzt auf das damals aktuelle WEP auf, bietet aber zusätzlichen Schutz durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP) basieren. Darüber hinaus wurde IV auf 48 Bit erweitert. Die Wiederholungsrate im vorangegangenen Rechenbeispiel erhöht sich damit von 4,6 Stunden auf 8935 Jahre. Es wird weiterhin ein gemeinsamer Schlüssel genutzt, aus dem zur eigentlichen Datenverschlüsselung jedoch zusätzliche, nur temporär verwendete Schlüssel abgeleitet werden. Diese erneuern sich in festgelegten Zeitintervallen (Re-Keying). Weitere Verbesserungen betreffen die Sicherung der Datenintegrität. WPA war ursprünglich als Zwischenlösung bis zur Verabschiedung von IEEE 802.11i gedacht, kommt aber heute noch in vielen WLAN-Netzwerken zum Einsatz. Aktueller Stand der Technik ist WPA2, wobei das Verfahren den Sicherheitsstandard IEEE 802.11i umsetzt. In Ergänzung zum TKIP umfasst WPA2 das Verschlüsselungsprotokoll Counter Mode With CBC-MAC Protocol (CCMP), dessen Grundlage der sichere Advanced Encryption Standard (AES) ist. AES wird auch zum Schutz von VPN-Tunneln genutzt, die durch das Internet führen.

Verschiedene Identifikationsverfahren

WLAN stellt verschiedene Verfahren für die Authentifizierung zur Verfügung. Der Anwender kann zwischen einem geheimen Text, dem Pre-Shared Key (PSK), und dem Extensible Authentication Protocol (EAP) wählen, das vom IEEE-Standard 802.1X als Authentifizierungsverfahren vorgeschlagen wird. Die PSK-Methode findet sich häufig in kleinen und mittleren Installationen, wie sie im industriellen Bereich oder bei Privatanwendern üblich sind. Deshalb wird PSK oft als ‚Personel‘ bezeichnet. EAP dient der Authentifizierung in größeren Netzen. Aufgrund der Verwendung von Servern für Remote Authentication Dial-In User Service (Radius) ermöglicht das Verfahren eine zentrale Benutzer-Administration inklusive Accounting. Dazu leiten die Access Points die Authentifizierungs-Anfragen der Clients an den Radius-Server weiter und lassen bei positiver Rückmeldung den Zugriff zu. Diese Variante von WPA2 ist unter dem Begriff ‚Enterprise‘ bekannt.

Hilfestellungen für Sicherheitsmaßnahmen

Um den Missbrauch übertragener Daten und das unzulässige Eindringen in Unternehmens- und Maschinennetzwerke zu verhindern, sollten WLAN-Anwender stets das aktuelle Verschlüsselungsverfahren WPA2 aktivieren. Die WPA2-Technologie entspricht dem heutigen Stand der IT-Sicherheitstechnik und kann daher als wirksam betrachtet werden. Neben den IT-Abteilungen sind Anlagenbetreiber besonders gefordert, entsprechende organisatorische Maßnahmen zur Datensicherheit und zum störungsfreien Betrieb zu implementieren. Weitere Informationen bieten der Verein Deutscher Ingenieure (VDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Richtlinie VDI/VDE 2182 ‚Informationssicherheit in der industriellen Automatisierung‘ beschreibt, wie die Informationssicherheit von automatisierten Maschinen und Anlagen durch die Umsetzung konkreter Maßnahmen erreicht werden kann. Von der Homepage des BSI können die Richtlinien ‚Sichere Nutzung von WLAN – BSI-Leitlinie zur Internet-Sicherheit‘ und ‚Drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte‘ herunter geladen werden.