Neue Wege zur WLAN-Sicherheit

Kommentieren Drucken
Teil 59 von 71 aus der Serie "Professionelle Datenkommunikation"
Alle Artikel der Serie "Professionelle Datenkommunikation":

Es gibt innerhalb IEEE 802 und 802.11 eine Reihe von Initiativen zur Verbesserung der Sicherheit. Teilweise sind sie spezifisch für WLANs, teilweise allgemein für LAN-Umgebungen gedacht. Wie wir sehen werden, greifen diese Vorschläge teilweise nicht wirklich oder nur in Kombination mit anderen Funktionalitäten. Außerdem sind sie teilweise noch in Entwicklung. Deshalb werden wir sie hier nur kurz vorstellen.

Das Ziel ist es ja nicht nur, innerhalb des kleinen Wirkungsraums eines WLANs für Sicherheit zu sorgen, sondern man möchte ja Sicherheit auch über eine Kette unterschiedlicher hintereinander geschalteter Netze hinweg, wenn z.B. ein Außendienstmitarbeiter sich in einem Hotel-WLAN einloggt, dann via dieses Knotens eine Verbindung zum Internet aufbaut und diese letztlich dazu benutzt, in ein Firmennetz zu kommen um z.B. die erfolgreichen Transaktionen des Arbeitstages niederzulegen. Man sieht sofort, dass ein singulärer punktueller Sicherheitsansatz für WLANs hier über die gesamte Strecke gar nicht greift.

IEEE 802.1x Authentisierung
Ist ein Teilnehmer der, der er zu sein vorgibt ? Das prüft die Authentisierungsphase. Die standardmäßig in IEEE 802.11 WLANs vorgesehene „Shared Key Authentification“ ist vielleicht dazu geeignet, die häusliche Katze davon abzuhalten, sich über das Internet eine Pizza zu bestellen. Mehr taugt sie nicht, weil sie auf WEP basiert.

Unter der Bezeichnung IEEE 802.1x wurde 2001 ein Standard für die portbasierte Netzwerk-Zugriffskontrolle veröffentlicht, der generell für höhere Sicherheit in LANs sorgen soll. Der Standard zerlegt den Authentifikationsprozess in zwei Teile. Zum einen findet eine Kommunikation zwischen einer Station und einem Access Point statt, zum anderen muss es eine laufende Verbindung zwischen diesem Access Point und einem speziellen Authentifikationsserver geben. Mittels eines schon länger definierten Einwahlprotokolls muss sich die Station mittels des Access Points mit dem Authentifikationsserver auseinandersetzen. Es gibt hierfür unterschiedliche Implementierungen auch von den Herstellern, vielfach wird der Authentifikationsserver auch als RADIUS-Server bezeichnet. Nach erfolgter positiver Anmeldung darf die Station dann via Access Point auf Betriebsmittel wie Server zugreifen. Das gesamte System funktioniert gut in geswitchten Ethernet-Umgebungen, denn es ist für Punkt-zu-Punkt-Verbindungen gedacht, die ja hier vorliegen. Das System wurde aber entworfen, als man eigentlich Shared Medium Systeme aus dem Gedankengut gestrichen hatte. Es gibt also Probleme, wenn man es in einem WLAN, was ja nichts anderes als ein Shared Medium System ist, einsetzen möchte. Man braucht als Ersatz für die physischen Ports, die die Endpunkte der Punkt-zu-Punkt-Verbindungen definieren, logische Ports, die die Verbindung zu genau einem Gerät repräsentieren. Dazu muss sichergestellt sein, dass die über einen derartigen Port ausgetauschten Daten unverändert ankommen und definitiv vom gleichen Gerät kommen. Die gesamte Kommunikation muss also verschlüsselt werden, damit das Verfahren überhaupt sicher arbeiten kann. Solange dies nicht sichergestellt ist, führt IEEE 802.1x nicht zu sicherer Kommunikation.

IEEE 802.11i
Auch innerhalb der WLAN-Arbeitsgruppe ist man zu der Erkenntnis gekommen, dass die bisherige Lösung WEP nichts taugt. Also hat man eine Arbeitsgruppe ins Leben gerufen, die sich hiermit beschäftigen soll. Daraus resultierten nun eine Reihe von Entwürfen, die u.a. zwei neue Verschlüsselungsverfahren genannt TKIP und WRAP definieren. Man definiert zudem zwei Arten von Netzen:

Robust Security Network RSN ist ein Netz, welches das Verschlüsselungsprotokoll WRAP und IEEE 802.1x zur Authentifizierung benutzt. Alle Stationen und Access Points benutzen ausschließlich die für RSN definierten Verschlüsselungs- und Authentisierungsmethoden.

Transition Security Network TSN ist ein Netzwerk, welches kein RSN ist, sondern eine Mischung aus RSN-fähigem und älterem nicht-RSN-fähigem Equipment unterstützt.

Das TSN ist ein fauler Kompromiss und nicht wirklich sicher. Wir wollen uns gar nicht mit diesem Migrationsspektakel aufhalten, sondern direkt auf das RSN blicken.

Ein RSN benutzt 802.1x-Authentifikation, ein Schlüsselmanagement basierend auf 802.1x, dynamische, sitzungsspezifische Schlüssel und das Verschlüsselungsverfahren WRAP. WRAP steht für Wireless Robust Authenticated Protocol und ist eine 128-Bit-Variante des AES (Advanced Encryption Standard), welcher seinerseits ein Nachfolger des DES bzw. von TripleDES oder kurz 3DES ist. Es handelt sich also auch um einen symmetrischen Blockchiffrieralgorithmus. Dieser ist zwar richtig gut, aber es gibt noch ein paar Lizenzprobleme.

Deshalb denkt man auch über den Einsatz von TKIP nach, dem so genannte Temporary Key Integrity Protocol. Während man für den Einsatz von AES im Grunde genommen neues Equipment benötigt, würde TKIP die Investitionen in bestehende IEEE 802.11b Komponenten schützen, soweit diese softwaremäßig modifiziert werden können. TKIP verwendet das alte WEP weiter, versieht es aber mit sitzungsspezifischen, dynamischen Schlüsseln und hebelt somit die momentan populärste Angriffsbasis aus. TKIP ist nur ein verändertes Verfahren zur Bestimmung der WEP-Schlüssel.

« Teil 58: Sicherheitsaspekte in WLANsTeil 60: Netzwerk-Management und Betrieb »


zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.