Neugierige WLAN-Clients
Artikel erschienen in Swiss IT Magazine 2004/13
Wird über Wireless-Security gesprochen, ist fast ausnahmslos davon die Rede, wie man Access-Points optimal absichert, welche Sicherheitslecks bei WEP vorhanden sind oder wie man sinnvollerweise Protokolle wie 802.1x unternehmensweit einsetzen kann. Kaum beachtet wurde bisher dagegen ein weiterer, nicht weniger wichtiger Aspekt der WLAN-Sicherheit: die Client-Security.
Ein aktivierter WLAN-Client versucht in definierten Abständen automatisch, einen Access-Point zu finden, der seiner konfigurierten ESSID (Extended Service Set ID) entspricht. Der Client unterscheidet dabei allerdings nicht, ob es sich bei einem gefundenen Access-Point um einen erwünschten oder unerwünschten Kommunikationspartner handelt. Der Client ist neugierig und bändelt grundsätzlich mit jedem Access-Point an, dem er über den Weg läuft.
Dieses Verhalten ja durchaus wünschenswert, würde doch ohne die Kontaktfreude der Clients ein Wireless-Netzwerk gar nicht funktionieren. Dennoch ist dieser Automatismus gefährlich, und zwar sobald ein Client in einem Firmennetzwerk eingebunden ist. Verbindet er sich nämlich gleichzeitig mit einem unerwünschten Access-Point, kann das die Absicherung des Unternehmensnetzes entscheidend kompromittieren und zu grossen Sicherheitsproblemen führen (vgl. Grafik S42).
Während sich das LAN-Interface des Clients im gut geschützten Schoss des Firmennetzwerks befindet, in dem Antiviren-, Intrusion-Detection- und andere Systeme die Sicherheit gewährleisten, kann sich sein WLAN-Interface möglicherweise mit einem Access-Point ausserhalb des geschützten Netzes verbinden. Dies wiederum kann es einem Hacker ermöglichen, über den Client einen Einbruchsversuch in das Netzwerk zu starten – quasi durch die Hintertür und unbemerkt von Administratoren und IDS (Intrusion Detection System).
Es ist beispielsweise ein Fall bekannt, bei dem der Client sich mit einem Access-Point mit Kabelmodem und damit Direktanschluss ans Internet verbunden hat. Unglücklicherweise handelte es sich bei diesem Client um ein soeben neuinstalliertes Notebook, das zuerst die WLAN-Treiber und erst später die MS-Hotfixes installiert bekam. In der kurzen Zeitspanne zwischen diesen Installationsschritten gelang es dem Wurm Gabot, den Client zu befallen und sich über das LAN-Interface des Notebooks weiter im Firmennetzwerk zu verbreiten.
Erschwerend kommt die Tatsache hinzu, dass mit sehr hoher Wahrscheinlichkeit bei den meisten Business-Notebooks – welche oft auch unterwegs verwendet werden – eine Konfiguration mit «ESSID=any» und ohne WEP (Wireless Encryption Protocol) gewählt wird, weil die Notebooks sonst an den Hotspots der Carrier gar nicht funktionieren würden. Auch bei der Neuinstallation eines Clients oder bei der Auslieferung eines Neugerätes ab Werk wird häufig nur eine Standard-Konfiguration mit «ESSID=any» eingestellt. Dies gibt einem potentiellen Angreifer zumindest für einen begrenzten Zeitraum eine Chance – umso mehr, als bei grösseren Firmen Clients häufig in der Nacht neu installiert werden, was das mögliche Zeitfenster für Angriffe mitunter noch vergrössert.
Nun könnte man meinen, dass eine höhere Sicherheit bereits erlangt wird, indem bei den Clients die ESSID geändert und WEP aktiviert wird. So einfach ist es aber nicht.
Wer in seinem WLAN ein höchstmögliche Sicherheit erreichen will, muss statt dessen eine ganze Anzahl von Massnahmen treffen. Jede Massnahme für sich erhöht zwar die Abdichtung des Netzes, aber erst das Zusammenspiel der Massnahmen garantiert eine bequeme Nutzung bei gleichzeitig hoher Sicherheit.
Mit diesen Massnahmen werden die Sicherheitsrisiken von WLAN-Clients verringert:
WLAN deaktivieren, wenn nicht gebraucht.
Firewallsoftware auf dem Notebook installieren.
Mit WLAN-Profilen arbeiten (z.B. IBM Access Connections) und das jeweilige Profil aktivieren, wenn man sich am entsprechenden Ort (Hotspot) befindet.
Windows XP SP2 (sobald verfügbar) installieren.
Via IPSec-Policy eingehenden Traffic auf die bekannten Ports blockieren (kann auf die WLAN-Netzwerkverbindung beschränkt werden).
Notebooks so installieren, dass der WLAN-Treiber erst installiert/ aktiviert wird, wenn alle Parameter, Servicepacks und Hotfixes geladen und konfiguriert sind.
User über das Sicherheitsproblem informieren und darauf achten, dass die WLAN-Verbindung nur aktiviert ist, wenn sie sich ausserhalb der Firma befinden.
Die zunehmende Verbreitung von Access-Points in Ballungsgebieten und die Zunahme von Notebooks, welche bereits mit vorkonfigurierten WLAN-Karten ausgeliefert werden, führen zu einem hohen Risiko sowohl für Privat- als auch für Firmenanwender. Da Hard- und Softwarehersteller immer noch die Funktionalität über die Sicherheit stellen, ist es leider einmal mehr in der Verantwortung jedes einzelnen, dafür zu sorgen, dass wir WLAN auch in Zukunft ohne anschliessenden «Kater» nutzen können.
WLAN-Client-Schutz ist notwendig
Sandro Galfo ist Wirtschaftsinformatiker und leitet die Abteilung IT der Firma Berna Biotech AG. Sie erreichen ihn unter sandro.galfo@ eidias.chh