Wer einen WLAN-Access-Point einfach so ins Netz hängt, könnte genausogut einen Ethernet-Port aussen am Gebäude anbringen.» Die Erkenntnis stammt zwar von Aruba, einem Hersteller von WLAN-Sicherheitslösungen, und ist somit wohl eher über- als untertrieben, im Prinzip aber korrekt: Die Sicherheitsmechanismen, die von der WiFi-Alliance in den gängigen WLAN-Standards festgeschrieben sind, genügen den Ansprüchen der Unternehmensinformatik keineswegs.
Viele Unternehmen sind durch Horrorstorys von Wardrivern und Hackern verunsichert und verzichten deshalb ganz auf die Installation eines kabellosen Netzwerks. Die Vorteile der WLAN-Technologie, geringe Kosten und einfache Installation, sind aus Unternehmenssicht gleichzeitig die grössten Nachteile: Selbst dort, wo WLAN generell als Tabu-Thema gilt, haben unzufriedene Mitarbeiter rasch einen «wilden» Access Point installiert und so nicht nur für sich selbst, sondern auch für Aussenstehende einen bequemen Zugang zum Firmen-LAN geschaffen. «Was bei den herkömmlichen WLAN-Standards fehlt, sind Zugangskontrolle, Vertraulichkeit, echte Mobilität und Qualitätsgarantie», fasst BlueSocket, ebenfalls Anbieter von Enterprise-WLAN-Lösungen, die Defizite der gängigen Normen 802.11b, g und a zusammen.
Sicherheitsüberlegungen stehen im Zentrum, wenn es um den WLAN-Einsatz im Unternehmen geht. Die Sicherheit ist aber nicht alles: Daneben fällt auch der Aufwand für Einrichtung, Verwaltung und Überwachung des WLAN (Deployment, Management, Monitoring) stark ins Gewicht. Wenn über das Wireless LAN nicht bloss konventionelle IT-Anwendungen mit geringem Bandbreitenbedarf, sondern auch aktuelle und künftige multimediale Applikationen wie Videoconferencing und Voice-over-IP laufen sollen, braucht es darüber hinaus solide, ans WLAN angepasste Quality-of-Service-Mechanismen sowie auf Level 2 und 3 persistente Sessions beim Roaming zwischen den Access Points.
Schon die Sicherheit umfasst mehrere Teilaspekte. Am Anfang jeder Netzwerkaktivität sollte eine rigorose Zugangskontrolle stehen. Die ersten WEP-Standards liessen diesen Aspekt fast völlig ausser acht – die SSID eines Access Point lässt sich mit simplen Freeware-Tools auch dann mühelos ermitteln, wenn sie nicht wie in vielen Installationen sogar auf dem Vorgabewert des Herstellers belassen und der automatische Broadcast deaktiviert wurde.
Auch mit der Vertraulichkeit ist es bei WEP nicht weit her, wie Jesse Walker von Intel in einem IEEE-Paper feststellte: «Die Art, wie WEP mit der Verschlüsselung umgeht, ist grundsätzlich mangelhaft, egal ob der Schlüssel 1 oder 1000 Bit lang ist und ob RC4 oder ein anderes Kryptographieverfahren zum Einsatz kommt.» Das Problem liegt vereinfacht gesehen darin, dass auf dem ganzen WLAN immer der gleiche geheime Schlüssel verwendet wird. Schon nach relativ kurzem Abhören des Funkverkehrs lässt sich die Encryption knacken, zumal auch dabei automatisierte Tools wie AirSnort dem Hacker die ganze Knochenarbeit abnehmen. Das Fazit: Mit aktiviertem WEP mag ein WLAN zwar vor Wardrivern auf der Suche nach Gratis-Internetzugang sicher sein; wirklich kriminelle Hacker mit Spionageabsicht werden vom relativ geringen Aufwand beim Eindringen eher angestachelt als abgehalten.
WLAN-Sicherheit am Beispiel der BlueSocket-Lösung
Erst die verbesserten Standards der letzten Jahre wie die Cisco-Erfindung LEAP mit dynamischer Schlüsselzuteilung pro User-Session und Wechsel des Schlüssels, 802.11x mit Zugangskontrolle durch einen Radius-Server, TKIP mit Verbesserungen in der von WEP verwendeten RC4-Verschlüsselung sowie die nochmals sicherere AES-Encryption, die in WPA-2-konformen Systemen genutzt wird, machen das Firmen-WLAN sicher.
Die Installation von WPA-konformem WLAN-Equipment sowie zentrale Authentifikation sind für ein Firmen-WLAN ein Muss. Ob sich die Investition in ein umfassenderes WLAN-Sicherheitssystem lohnt, steht auf einem anderen Blatt und hängt vor allem von der Unternehmensgrösse und der Art des Netzwerkverkehrs ab: WLAN-Sicherheitslösungen vereinfachen die Verwaltung und Überwachung, vor allem in grösseren Installationen mit Dutzenden oder Hunderten von Access Points, und bieten zusätzlich Bandbreitenmanagement und unterbruchsfreies Roaming zwischen Access Points, ohne dass sich der Benutzer bei jedem Wechsel wieder neu anmelden muss.
Auch die modernsten WLAN-Techniken ändern aber nichts daran, dass Sicherheit kein Produkt, sondern ein Prozess ist. Hacker sind kreativ und finden immer wieder neue Lücken, Angriffe gibt es nicht bloss zu Bürozeiten. Wer ein firmenweites WLAN sicher betreiben will, muss es rund um die Uhr überwachen – es genügt nicht, die offiziell installierten Access Points ab und zu mit einem Site-Survey-Tool manuell auf ihre Funktionstüchtigkeit hin zu prüfen.
Ein WLAN ist nicht einfach eine weitere Methode zum Datentransport, es sollte als grundsätzlich neuer Netzwerktyp gesehen werden. Dementsprechend darf sich Wireless-Security nicht auf die physische Ebene beschränken. Eine sichere WLAN-Implementation greift auf allen Schichten des Netzwerkmodells und lässt sich selbst in vier Ebenen aufteilen, auf denen unterschiedliche Standards und Tools zum Einsatz kommen:
•
Physical Layer: Wireless-spezifische Intrusion Detection, Erkennen von «wilden» Access Points und unautorisierten Ad-hoc-WLANs.
•
Authentication Layer: 802.11x, IPSec, HTTPS
•
Encryption Layer: WEP, Dynamic WEP, TKIP, AES, IPSec
•
Application Layer: Stateful Firewalls
Ein kleines Büro-WLAN mit ein, zwei Access Points ist sehr schnell installiert und lässt sich leicht von Hand verwalten. Wenn das ganze Firmengelände kabellos vernetzt werden soll, steigt der Aufwand im klassischen «Thick-AP»-WLAN-Modell rasch auf ein kaum mehr zu bewältigendes Niveau. Der Grund: Der grösste Teil der WLAN-Intelligenz, zum Beispiel die Verschlüsselung samt Keys, steckt in den Access Points. Auch wenn sich diese dank integriertem Webserver von einer zentralen Stelle aus fernkonfigurieren lassen, müssen sie einzeln eingerichtet, überwacht und bei Bedarf mit neuer Firmware ausgerüstet werden.
Hersteller wie Trapeze Networks propagieren statt dessen eine WLAN-Infrastruktur mit «dummen» Access Points, die bloss noch das Funksignal ausstrahlen, und einem zentralen WLAN-Switch, der Encryption, Schlüsselverwaltung und andere Sicherheitsfunktionen übernimmt. Die Kommunikation zwischen Client und WLAN-Switch erfolgt dabei meist über eine VPN-artige Verbindung. Am vorteilhaftesten sind hier Lösungen, die ohne spezielle Client-Software auskommen und auf allgemein anerkannte, offene Varianten von Standards wie L2TP und IPSec setzen, die heute in den meisten Betriebssystemen bereits integriert sind, Mobilplattformen wie PocketPC inklusive. Proprietäre IPSec-Stacks sind zwar ebenso sicher, müssen aber auf jedem Client installiert und konfiguriert werden, was den Verwaltungsaufwand wieder erhöht.
Neben den traditionellen Netzwerkspezialisten wie Cisco, die mit ihrer Wireless Security Suite die essentiellen Sicherheitsaspekte abdeckt, bietet eine ganze Reihe spezialisierter Hersteller umfassende Lösungen für Sicherheit und Management in kabellosen Netzwerken an. Die Produkte von Aruba, BlueSocket und Trapeze Networks in Kürze:
Die kalifornische Firma Aruba Wireless Networks bietet WLAN-Switches, dazu passende Software sowie Thin-Access-Points an, genannt Grid Points, die gleichzeitig als RF-Monitore für Überwachung und Intrusion Detection dienen. Die neueste Version seiner Lösung nennt Aruba «Grid Architecture» und positioniert sie als «Dritte Generation von WLANs»: Das «WLAN-Gitter» wird als neue Service-Ebene über das bestehende LAN installiert, ohne dass dieses dazu logisch oder physisch umkonfiguriert werden muss. Als Zusatzvorteil macht Aruba geringe Anschaffungskosten geltend: Ein Switch vom Typ Aruba 800 für 9000 Dollar, der für eine Filial-Installation genügt, ersetzt laut Prospekt eine Vielzahl von Hardware- und Softwarekomponenten vom VPN-Konzentrator über den Mobile-IP-Router bis zur Site-Survey-Software, die insgesamt über 100'000 Dollar kosten würden.
Info: www.arubanetworks.com
BlueSocket spricht bereits von der vierten WLAN-Generation, die sich durch «Mobilgeräte, Standard-APIs, Wireless Gateways und unverändertes Legacy-Netzwerk» auszeichnet. Die Matrix ist ein verteiltes System, in dem Konfigurations- und Zugangskontrolldaten zentral verwaltet und permanent auf die verschiedenen WLAN-Gateways repliziert werden. Eigene Access Points bietet BlueSocket nicht an. Neben den Wireless Gateways, die wie bei Aruba mehrere konventionelle Netzwerkfunktionen in einem Gerät zusammenfassen, bietet BlueSocket auch ein separates Intrusion-Protection-System mit Windows-basierter Serversoftware und speziellen Funksensoren an, die übers Ethernet mit Strom versorgt werden.
Info: www.bluesocket.com
Die WLAN-Sicherheits- und -Mobilitätslösung von Trapeze Networks setzt sich aus vier Komponenten zusammen: Die WLAN-Switches nennen sich hier «Mobility Exchange» (MX), dazu passend gibt es Thin-Access-Points namens «Mobiliy Point». Für die Integration der Wireless-Hardware mit dem Wired-Backbone sorgt die Mobility-Systemsoftware. Die RingMaster-Suite besteht aus Planungs- und Management-Tools, darunter ein Site-Survey-Werkzeug, das die Lage und Funkabdeckung der Mobility Points anhand von Gebäudegrundrissen anschaulich darstellt.
Info: www.trapezenetworks.com
•
Strenge Authentifikation:
Das System sollte serverbasierte, zentral verwaltbare Zugangskontrollmechanismen bieten.
•
Flexible Autorisierung:
Die 801.11-Standards erlauben entweder vollen oder gar keinen Netzwerkzugang. Ideal ist rollenbasierter Zugang zu bestimmten Diensten.
•
Bombensichere Verschlüsselung:
State of the Art ist IPSec-basierte Encryption auf VPN-Niveau.
•
Benutzerfreundlichkeit:
Das Gesamtsystem sollte zentral und einfach zu konfigurieren, verwalten und überwachen sein.
•
Skalierbarkeit:
Das WLAN sollte jederzeit erweitert werden können; Leistung, Sicherheit und Benutzerfreundlichkeit sollten unabhängig von der Grösse gewährleistet bleiben.
•
Geringere Gesamtkosten:
Die Kosten für die Sicherheitslösung sollten den WLAN-Kostenvorteil nicht gleich wieder zunichte machen.
•
Zukunftssicherheit:
Damit das System mit künftigen Technologien mithalten kann, sollten möglichst nur offene Standards und keine proprietären Entwicklungen zum Einsatz kommen.
