Absicherung von WLANs: Methoden

Transkript

1 2010 Absicherung von WLANs: Methoden Philipp Schwarz 5AHTIN

2 Inhalt Bedrohungen für ein WLAN-Netzwerk... 3 Abhören... 3 Abfangen und Ändern abgefangener Daten... 3 Spoofing... 4 Denial of Service (DoS)... 4 Schwarzsurfen... 4 Zufällige Bedrohungen... 4 Inoffizielle WLANs... 4 Wie kann ich nun mein Netzwerk schützen?... 5 Keine WLANs zulassen... 5 Verwendung von VPN... 5 Verwendung von IPsec... 6 Mac-Filter... 6 SSID Broadcast ausschalten... 7 Überwachen des WLAN-Netzwerkes... 7 Absicherung der Access Points... 7 Ausschaltung des WLANs... 7 Änderung der Reichweite... 7

3 Bedrohungen für ein WLAN-Netzwerk Abhören Durch das Abhören, des Netzwerkverkehrs, kann es zur ungewollten Weitergabe vertrauter Daten und Anmeldeinformationen an Dritte führen (in solchen Fällen meistens ein Hacker). Ist ein erfahrener Eindringling am Werk, kann er sogar die IT-Struktur des von ihm gehackten Netzwerkes herausfinden, die er sich für weitere Angriffe zum Nutzen machen könnte. Abfangen und Ändern abgefangener Daten Ein Netzwerkeindringlich kann den Netzwerkverkehr zwischen zwei Rechner im Netzwerk Abfangen und diese auch selbst verändern, sodass sie etwas vollkommen anderes ergeben.

4 Spoofing Der Eindringling hat problemlosen Zugriff auf ein Netzwerk und verfälscht gesendete Daten so, dass es den Anschein erweckt, die Daten wären ordnungsgemäß übertragen worden. Ein effektives Beispiel hierfür wären s, wenn diese durch einen Hacker verändert werden, könnte es sehr unangenehm werden. Denial of Service (DoS) Die Einfachste Art mit Dienial of Service Attacken ein WLAN-Netzwerk lahm zu legen wäre ein Mikrowellenherd, welcher durch seine Strahlung wie ein Störsender wirkt. Ein weiteres Beispiel wäre natürlich auch die simple Datenüberflutung des Netzwerkes mit irgendwelchen Anfragen. Schwarzsurfen Schwarzsurfer ist ein Begriff, der Personen bezeichent, die einfach nur über andere Netzwerke eine kostenlose Internetverbindung haben wollen. Diese Bedrohung ist zwar nicht unbedingt schädlich, führt aber zu einer geringeren Verfügbarkeit der Dienste für rechtsmäßige Benutzer. Ein weiteres Problem ist, dass sich auf diese WeiseViren und andere gefährliche Dinge in ein Netzwerk gelangen. Zufällige Bedrohungen Eine zufällige bedrohung wäre, dass eine Person z.b. mit einem Notebook seinen PC bootet und automatisch eine Verbindung zu einen Netzwerk herstellt. Dieses Problem tritt jedoch nur bei ungesicherten Netzwerken auf, was heutzuge nur mehr sehr selten der Fall ist. Inoffizielle WLANs Wenn man ein Unternehmen besitzen in dem eigentlich keine WLAN-Netzwerke existieren, kann es immer noch der Fall sein, dass Mitarbeiter ihre eigenen Netzwerke aufbauen und so ein potenzielle Sicherheitsrisiko darstellen. Meisten erfolgen solche Sicherheitslücken wenn Mitarbeiter mit Netzwerken herumexperimentieren, wofür sie ein gewisses Know-How benötigen.

5 Wie kann ich nun mein Netzwerk schützen? Keine WLANs zulassen Die vermutlich einfachste Methode um sein Netzwerk abzusichern, ist erst gar kein WLAN-Netzwerk aufzubauen. Hat man nur ein Kabelnetzwerk, ist es Hackern nicht so leicht möglich in das Netzwerk einzudringen. In der heutigen Zeit in der immer mehr WLANs Gang und Gebe sind, sollte sich Firmen vielleicht diesen Gedanken zu Herzen nehmen und auf das veraltete, aber sicherere Kabelnetzwerk zurückgreifen. Verwendung von VPN In einem VPN Netzwerk, verbinden sich die Geräte zu einem speziellen Gateway. Auf dem Computer des Client läuft eine spezieller VPN-Client Software, die auch einen eigenen VPN-Netzwerkadapter besitzt. Diese Software empfängt die Pakete und packt sie aus um dadurch die ursprünglich gesendeten Pakete zu erhalten. Andersherum funktioniert die Kommunikation genauso. Die Client-Software packt die Pakete in ein VPN-Protokoll und schickt sie zum VPN-Gateway. Dieser wiederum packt die Daten aus und sendet sie zum eigentlichen Empfänger. VPN arbeitet unabhängig von der physikalischen Topologie und kann zwischen zwei vollkommen unterschiedlichen Netzen verwendet werden. Dies resultiert durch das VPN-Protokoll, in dem die Daten verpackt sind. Diese Netzwerkpakete müssen lediglich von den beiden VPN-Partnern verstanden werden, nicht aber von den Netzwerkgeräten. Gegenüber anderen Tunnelarten hat der VPN-Tunnel voraus, dass er unabhängig von höheren Protokollen wie HTTP oder FTP die gesamten Netzwerkpakete weiterleitet. Damit ist es möglich, den gesamten Netzwerkverkehr zwischen zwei Netzwerkkomponenten über ein benachbartes Netz zu leiten.

6 Verwendung von IPsec IPsec ermöglicht zwei Computern in einem Netzwerk, eine gegenseitig sichere Authentifizierung, sowie die Verschlüsslung einzelner Netzwerkpakete. Dies kann entweder über einen Tunnel durch ein anderes Netzwerk geschehen, oder einfach nur indem IP-Pakete zwischen 2 Computern geschützt werden. IPsec ist eine Form von VPN und funktioniert indem, ein ganz normales IP-Paket in einen sicheren IPsec Paket gelagert wird. Durch diese Methode wird zwar ein Overhead erzeugt, dieser ist aber für die Kommunikation in einem Netzwerk nicht wirklich relevant. Zusätzlich kann IPsec den End-to-End Verkehr zwischen zwei PCs sichern. Ähnlich wie VPN, ist IPsec eine wunderbare Lösung WLANs abzusichern, ist aber keine 100%iger Versicherung und aus diesem Grunde auch kein Ersatz für einen WLAN-Schutz auf Hardwareebene.. Mac-Filter Ein Mac-Filter, ist ein relativ einfacher und unsicherer WLAN-Schutz. Beim Mac-Filter wird nur Geräten mit einer bestimmten physikalischen Adresse der Zugang in ein Netzwerk gewährt. Der warum ein Mac-Filter leicht umgangen werden kann heißt MAC-Spoofing. Beim spoofen einer MAC-Adresse, wird eben diese Softwaretechnisch verändert. Ist einem Angreifer die physikalische Adresse eines registrierten Gerätes in einem WLAN-Netzwerk bekannt, kann diese auf äußerst einfach Weise diese auf seinem Gerät annehmen. Hat der Eindringling die andere Netzwerkadresse angenommen, erkennt dies der MAC-Filter nicht und glaubt es wäre der rechtsmäßige User.

7 SSID Broadcast ausschalten Bei dieser Variante der Absicherung eines Netzwerkes, schaltet man am Router den Broadcast, also das Aussenden des Routernamens aus. Durch dieses Vorgehen ist Eindringlingen das WLAN-Netzwerk nicht sichtbar. Der große Nachteil daran ist, dass dadurch auch potenziell erlaubte User keinen WLAN-Zugriff auf das Netzwerk haben, da sie die SSID nicht sehen. Überwachen des WLAN-Netzwerkes Es gibt diverse Tools, mit dem es einem Netzwerkadministrator einfach gemacht wird den Netzwerkverkehr zu beobachten (Monitoring) und aufgrund der erhaltenen Informationen herauszufinden, ob sich ein Eindringling im Netzwerk befindet. Mögliche Verwirklichung dieser Variante wäre das Programm Wireshark oder andere Netzwerkmonitoring-Tools. Es ist außerdem möglich in Log-Files nachzusehen, ob im Netzwerk irgendetwas Ungewöhnliches auftritt. Absicherung der Access Points Es ist sinnvoll auf folgende Funktionen auf einem Router zu deaktivieren: HTTP, Telnet. Anstatt dessen SSH und SSL benutzen Deaktivierung der Konfigurationsfunktion aus dem WLAN heraus Nutzung von langen und komplexen Passwörtern, Aderung dieser z.b. alle 6 Monate Regelmäßige Aktualisierung der Firmware Ausschaltung des WLANs Wenn das WLAN ohnehin nicht verwendet wird, ist es sinnvoll dieses auszuschalen. Es könnte ja etwas passieren Änderung der Reichweite In manchen Routerfirmwares ist es möglich die Reichweite des WLANs zu begrenzen. Diese Methode ist in einer Firma sehr effektiv. Man regelt die Reichweite soweit hinunter, dass Personen die sich vor dem Gebäude befinden keinen Zugriff mehr auf das Netzwerk haben.