Kabelloses Vertrauen

Best Practices für sichere WLAN-Umgebungen Schneller, höher, weiter – bei vielen WLAN-Installationen stehen vor allem Komfortgedanken hinsichtlich möglichst hoher Übertragungsgeschwindigkeiten und optimaler Ausleuchtung im Vordergrund. Beim Thema Sicherheit...

Best Practices für sichere WLAN-Umgebungen

Schneller, höher, weiter – bei vielen WLAN-Installationen stehen vor allem Komfortgedanken hinsichtlich möglichst hoher Übertragungsgeschwindigkeiten und optimaler Ausleuchtung im Vordergrund.

Beim Thema Sicherheit wird darauf vertraut, dass bereits die Kombination aus WPA2-Verschlüsselung mit einer unsichtbar ausgestrahlten SSID ausreichenden Schutz bietet. Viele Unternehmen unterschätzen dabei, dass hinsichtlich der sechs großen WLAN-Bedrohungen die Gefahr oft nicht von Cyberkriminellen, sondern von den eigenen Mitarbeitern ausgeht.

Die Akzeptanz von WLAN-Umgebungen nimmt nicht nur im Unternehmensumfeld stetig zu. Allgegenwärtig sind die unzähligen Hotspots im Hotel- und Gaststättengewerbe, auf Messen und Veranstaltungen sowie in öffentlichen Verkehrsmitteln und zunehmend in Ladengeschäften. Vielen Anbietern ist allerdings nicht bewusst, dass die Access Points ideale Einfallstore für den Zugriff auf die weitere Netzwerkinfrastruktur oder zum Abgriff von Nutzerdaten sind.

IT-Administratoren müssen ihre kabellosen Netzwerke vor den folgenden sechs WLANBedrohungen schützen: benachbarte Access Points, Rogue Access Points, Evil Twin Access Points mit gefälschten SSID, Rogue Clients, Ad-hoc-Netzwerke sowie falsch konfigurierte Access Points.
Dabei gilt es, zwei Bereiche zu unterscheiden: Neben aktiven Angriffen von Cyberkriminellen, die Systeme für den Zugang ins interne Netzwerk oder zum Datendiebstahl manipulieren, wiegt das bewusste oder unbewusste Fehlverhalten von Mitarbeitern in diesem Bereich ungleich schwerer. Denn beide unterminieren das Vertrauen aller Nutzer einer WLAN-Umgebung. Schutz bietet hier nur der Aufbau eines “Trusted Wireless Environments“, das schnell, einfach zu managen und vor allem sicher ist. Alle Vorkommnisse darin werden über ein Wireless Intrusion Prevention System (WIPS) erkannt, Bedrohungen proaktiv unterbunden, protokolliert sowie zu Analysezwecken transparent aufbereitet.

Benachbarte Access Points In vielen Unternehmen ist es den Mitarbeitern untersagt, das firmeneigene Internet für private Zwecke zu nutzen, etwa für soziale Medien wie Facebook oder Twitter. Über entsprechende Einstellungen in der Gateway-Firewall lässt sich der Verbindungsaufbau zu diesen und weiteren Seiten beispielsweise über URL-Content- und DNS-Filter zuverlässig blacklisten.
Doch wer oder was hindert den Mitarbeiter daran, den Zugang über den Firmenlaptop in Verbindung mit einem eigenen Smartphone-Hotspot oder den Gast-Hotspot eines Unternehmens in Reichweite des WLAN aufzubauen? Die Gefahr in diesem Szenario besteht darin, dass jeglicher Datenverkehr parallel zur eigenen Infrastruktur stattfindet und daher nicht kontrolliert werden kann. Falls sich ein Rechner auf diesem Weg mit Malware infiziert, ist dies für den Administrator zudem nicht mehr nachvollziehbar, da in den Logfiles keinerlei Hinweise zu finden sind.

Rogue Access Points
Bei Rogue Access Points handelt es sich um Hardware, die an der IT-Abteilung vorbei ins Unternehmen eingeschleust und an einen internen LAN-Port oder Switch angesteckt wird. Das kann das Werk von Cyberkriminellen sein, die sich Zugang ins Unternehmen verschafft haben, aber häufiger geschieht dies über eigene Mitarbeiter, die auf diese Weise eine vielleicht schlechte WLAN-Performance an ihrem Arbeitsplatz verbessern wollen. Das stellt insbesondere ein Problem für Unternehmen dar, die ihr WLAN gemäß dem Payment Card Industry Data Security Standard (PCI DSS) eingerichtet haben.
Ein Rogue Access Point stellt einen direkten Verstoß dagegen dar. Wie im Fall zuvor hat der IT-Administrator auch hier keine Ahnung davon, was da überhaupt eingerichtet wurde und wie das Gerät aus sicherheitstechnischer Sicht konfiguriert ist. Häufig handelt es sich hierbei jedoch um keine gezielte, böswillige Attacke, sondern ein unbewusstes Fehlverhalten von Mitarbeitern, die eine Problematik im Netzwerkbereich in Eigenregie lösen wollen und sich über die Konsequenzen nicht klar sind. Zu Rogue Access Points zählen auch WLAN-fähige Drucker und Faxgeräte ohne ausreichende Verschlüsselung, die über den LAN-Port ans interne Netzwerk angeschlossen sind.

Evil Twin Access Points
Im Falle eines Evil Twin Access Points wird seitens eines Cyberkriminellen der Versuch gestartet, Unternehmensgeräte wie Laptops oder Smart Devices dazu zu bringen, sich mit einem gefälschten Access Point zu verbinden. Das setzt allerdings voraus, dass der Angreifer sich wirklich in Reichweite des Unternehmens-WLAN befindet. Das Gerät des Angreifers sendet dazu die gleiche SSID- und MAC-Adresse aus, die sich übrigens selbst bei einer „unsichtbaren“ Ausstrahlung problemlos mit frei im Internet verfügbaren Tools finden und auslesen lassen.
Mit weiteren Werkzeugen können in der Folge Mitarbeiter dazu verleitet werden, eine Verbindung mit dem falschen Access Point aufzubauen. Sobald das passiert, hat der Angreifer Kontrolle über den gesamten Datenverkehr. Im Sinne einer Man-in-the-Middle-(MitM)-Attacke kann er sämtliche Eingaben manipulieren, mitschneiden, verändern und umlenken oder einfach nur Informationen sammeln – im schlimmsten Fall erhält er auf diese Weise Zugriff auf Usernamen und Passwörter für Social Media-Plattformen oder sogar Unternehmensanwendungen.

Rogue Clients
Rogue Clients sind allgemein Rechner mit WLAN-Adapter oder entsprechende Smart Devices, die sich in Reichweite des Unternehmens-WLAN befinden und sich mit diesem verbinden wollen. In minderschweren Fällen wird dabei nur die firmeneigene Internetverbindung mitgenutzt, was beim Aufruf illegaler Inhalte allerdings auf den WLAN-Betreiber zurückfallen kann. Tiefergehende Attacken könnten darüber hinaus geschützte Bereiche des Netzwerks zum Ziel haben.
IT-Administratoren sollten jederzeit Kenntnis darüber haben, welche Geräte sich überhaupt mit dem Unternehmens-WLAN verbinden dürfen und diejenigen erkennen, denen dies trotz richtiger Anmeldedaten nicht erlaubt ist – wie etwa mitgebrachten privaten Smart Devices von Mitarbeitern.

Ad-hoc-Netzwerke
WLAN-Umgebungen sind in der Regel für den Einsatz im Infrastruktur-Modus konfiguriert. Das bedeutet, dass die Kommunikation aller angemeldeten Geräte über einen definierten Zugriffspunkt erfolgt. Alternativ oder als Option dazu kann jedoch auch der Ad-hoc-Modus aktiviert werden. Das versetzt die Geräte im WLAN in die Lage, untereinander zu kommunizieren. Dadurch lassen sich beispielsweise Druckaufträge direkt an einen WLAN-Drucker senden. Das Problem dabei: Oftmals sind diese Verbindungen entweder überhaupt nicht oder nur mit einer schwachen und schnell knackbaren Verschlüsselung wie WEP/WPA gesichert. Darüber hinaus werden auf diesem Übertragungsweg vorhandene Network Security Policies umgangen. Außerdem läuft jeglicher Datenverkehr in einer Ad-hoc-Verbindung ohne Kenntnis des IT-Administrators ab. Bei Clients im Ad-hoc-Modus besteht zudem die Gefahr, dass bestehende Ordnerfreigaben auf einem Laptop den Zugriff auf eigentlich nicht beabsichtigte Bereiche zulassen oder lokale Adressbücher etc. ausgelesen werden können.

Falsch konfigurierte Access Points
Zu den Basics in diesem Bereich gehört, dass alle Access Points über die aktuelle Firmware, identische SSID und Einstellungen bzw. Policies sowie mindestens WPA2-Enterprise-Verschlüsselung verfügen müssen. Der Zugang zur Benutzeroberfläche sollte mit einem starken Passwort geschützt und nur von einer zentralen Stelle aus möglich sein. Es empfiehlt sich, unnötige Ports für Telnet, HTTP und FTP usw. zu schließen. Ein entsprechender „Health Check“ in Form von Verbindungstests zu Clients und Unternehmensapplikationen hinsichtlich Geschwindigkeit und Qualität sollte regelmäßig erfolgen.

Sicherheit im WLAN über Transparenz gewährleisten
Mit dem Aufbau eines “Trusted Wireless Environments“ unter Verwendung eines Wireless Intrusion Prevention Systems (WIPS) schützen sich Unternehmen nicht nur vor Cyberkriminellen und unvorsichtigen Mitarbeitern. In Verbindung mit Lösungen wie Discover von WatchGuard bietet sich ihnen darüber hinaus die Möglichkeit, das Verhalten aller unternehmenseigener und fremder Geräte in WLAN-Reichweite zu kontrollieren und zu steuern. Die sechs großen WLAN-Bedrohungen verlieren durch mehr Transparenz
ihren Schrecken. Darüber hinaus übliche Problemsituationen im Netzwerk – wie Clients mit einer schlechten Verbindung, sich immer wieder an- und abmeldende Systeme oder die Eingabe falscher Pre-shared-Keys – lassen sich automatisiert verarbeiten und in Form eines Dashboards darstellen. Individuelle Anfragen von Anwendern können bis zu einer Woche rückwirkend abgerufen und im Rahmen eines Drilldowns bis auf das jeweilige Endgerät bearbeitet werden.

Autor: Jonas Spieckermann, Senior Sales Engineer bei WatchGuard Technologies

 

In this article

Join the Conversation