AB 11 — Network Security WLAN

Mein Fortschritt0/1 (0 %)

Stunde gelesen

WLAN-Arbeitsweise

WLAN-Konfigurationen

Wegen ihrer einfachen Installation, die es Anwendern erlaubt, ohne das Verlegen einer Kabel- Infrastruktur Computer mobil zu vernetzen, ist Wireless LAN neben Wired LAN die zweite Möglichkeit der Vernetzung in einem LAN. Über die interne WLAN-Netzwerkkarte oder einen WLAN-USB-Adapter können vorhandene Rechner WLAN nutzen. Mobile Rechner (Netbooks, Sub-Notebooks, Notebooks, Tablet-PC etc.) haben standardmäßig WLAN-Schnittstellen integriert. Dabei werden die folgenden WLAN-Standards vorrangig genutzt:

IEEE 802.11b (1999), Wi-Fi 1, theoretische Datenübertragungsrate 11 Mbit/s, praktisch ca. 6 Mbit/s

IEEE 802.11a (1999), Wi-Fi 2, theoretische Datenübertragungsrate 54 Mbit/s, praktisch ca. 20 Mbit/s

IEEE 802.11g (2003), Wi-Fi 3, theoretische Datenübertragungsrate 54 Mbit/s, praktisch ca. 11–22 Mbit/s

IEEE 802.11n (2009), Wi-Fi 4, theoretische Datenübertragungsrate 600 Mbit/s, praktisch ca. 72–120 Mbit/s

IEEE 802.11ac Wave 1 (2013), theoretische Datenübertragungsrate 1,3 Gbit/s, praktisch ca. 300–700 Mbit/s

IEEE 802.11ac Wave 2 (2015), Wi-Fi 5, theoretische Datenübertragungsrate 6,9 Gbit/s, praktisch ca. 0,86–3,47 Gbit/s

IEEE 802.11ax (2019), Wi-Fi 6, theoretische Datenübertragungsrate bis 10 Gbit/s

Grundsätzlich wird bei WLANs zwischen drei Konfigurationsmöglichkeiten unterschieden, mit denen der Datenaustausch organisiert wird:

Independent (Ad-hoc-) WLAN

Infrastructure WLAN

Wireless Distribution System

Independent (unabhängige) WLANs arbeiten im Peer-to-Peer-Betrieb. Jeder Rechner mit einer WLAN-Karte ist in diesem Netzwerk gleichberechtigt und hat die Möglichkeit, Daten zu den jeweils anderen Rechnern zu senden.

Ein einzelner Rechner kann WLAN-Verbindungen zu den Partnern herstellen, die er „sieht“, d. h. in deren Funkreichweite er sich befindet. Verlässt ein Rechner diesen Bereich, kann er nicht mehr erreicht werden.

Die Abbildung rechts zeigt eine Situation, in der vier Rechner über Independent WLAN vernetzt wurden. Die Rechner stehen nahe genug zusammen, um sich alle gegenseitig in Reichweite zu haben. Rechner ist jedoch so weit entfernt, dass er nur noch zu einem der drei anderen Rechner eine Verbindung herstellen kann (Rechner).

Independent WLANs haben den Vorteil, wenig oder keine Konfiguration zu benötigen. Der Nach- teil ist, dass ohne weiteren Aufwand kein Zugriff auf freigegebene Ressourcen möglich ist, die nicht auf WLAN-Rechnern liegen.

Infrastructure WLANs verfügen über eine weitere Komponente. Zusätzlich zu den WLAN-Karten in den Rechnern bilden Access-Points (AP) das Rückgrat des WLAN. Analog zu Mobilfunknetzen baut ein Access-Point eine Funkzelle um sich herum auf. Verbindungen der WLAN-Clients laufen über den Access-Point. Der Access-Point selbst besitzt zusätzlich ein kabelgebundenes Ethernet- Netzwerkinterface, mit dem er an das vorhandene LAN angeschlossen werden kann. Ein Access- Point realisiert eine Layer-2-Verbindung (Translation Bridge) zwischen den Protokollen IEEE 802.3 (Ethernet) und IEEE 802.11 (WLAN).

Standard-Installationen

Ein Access-Point ist ein Layer-2-Device, welches eine Verbindung zwischen einer Wired (LAN) und einer Wireless (WLAN) Netzwerkverbindung ermöglicht. Bei den Access-Points wird das Setup größtenteils durch Plug & Play erleichtert. So kann ein Systemadministrator ohne viel Aufwand neu zugekauftes WLAN-Equipment in sein vorhandenes Netzwerk einbinden. Problematisch wird es jedoch, wenn der herstellerseitig konfigurierte Service Set Identifier (SSID) des Access-Points nicht oder nicht ausreichend geändert wurde. Gleiches gilt auch für Zugangsdaten (Konfiguration des Access-Points über das Webinterface). Mitunter werden die Werkseinstellungen für Benutzername und Passwort nicht geändert, so kann keine ausreichende Sicherheit gewährleistet werden.

So können von Wardrivern auch heute noch unzureichend geschützte Firmen- und Privat-WLANs gefunden werden, die über die Hersteller-SSIDs und nicht vorhandene bzw. nicht sichere Passwörter den Zugriff auf das Firmennetzwerk ermöglichen. Auch eine Änderung der SSID auf beispielsweise den Firmen- oder Familiennamen ist nicht zu empfehlen, da dies den Hacker zusätzlich motivieren kann.

Access-Points antworten auf Broadcasts, um Clients das Auffinden von nahen APs zu ermöglichen. Dies kann jedoch auch von Hackern bzw. Wardrivern ausgenutzt werden, um nach installierten APs zu suchen. Schalten Sie die SSID-Broadcast-Funktion ab, wenn dies in Ihrer Hardware möglich ist. Damit sich ein Client mit dem gewünschten WLAN über den Access-Point verbinden kann, muss dem Client die SSID des entsprechenden WLANs bekannt sein. Um nun die SSID herauszufinden, können vorhandene Verbindungen abgehört werden. Das ist mit entsprechenden Tools auch kein Problem, damit wird allerdings gegen geltendes Recht verstoßen.

Zudem kann das Abschalten der SSID das Hinzufügen neuer WLAN-Clients zum Netz behindern, sofern das Betriebssystem (z. B. MacOS) keine Möglichkeit besitzt, den Beitritt zu einer nicht vorhandenen SSID zu ermöglichen. Insofern sollten Sie abwägen, ob das in Ihrem Unternehmen sinnvoll ist.

MAC-Filterung

Genauso wie Ethernet- besitzen auch WLAN-Karten eine MAC-Adresse. Viele Access-Points unterstützen eine MAC-Filterliste und lassen nur Verbindungen mit WLAN-Karten zu, deren MAC- Adresse für den Zugriff konfiguriert ist. Benutzen Sie dieses Feature, behalten Sie aber im Auge, dass auch MAC-Adressen von entsprechend ausgerüsteten Hackern gefälscht werden können. Zudem erfordert das manuelle Eintragen und Bearbeiten einer größeren Anzahl von MAC- Adressen einen zusätzlichen Zeitaufwand und ist nicht vergleichbar dem in einem kleinen Heimnetzwerk.

Das Abschalten des SSID-Broadcast, MAC-Filterung, das Setzen einer Nicht-Default-SSID sowie eine strengere Authentifizierung der Nutzer sollten zumindest den Gelegenheits-Surfer davon abhalten, zufällig in Ihr Netzwerk zu stolpern und dort vertrauliche Daten einzusehen bzw. auf Ihre Kosten den Internetzugang Ihrer Firma zu nutzen. Einen wirklichen Sicherheitsgewinn stellen diese Maßnahmen aber nicht dar.

WEP – Wired Equivalency Protocol

WEP war das ursprünglich für WLANs verwendete Verschlüsselungsprotokolle. Wie der Name schon sagt, sollte es dafür sorgen, dass in WLANs eine Sicherheit erreicht wird, die der von konventionellen drahtgebundenen Netzen entspricht.

Bevor die amerikanische Regierung die Krypto-Export-Regulierungen lockerte, wurde WEP mit einer Schlüssellänge von 40 Bits implementiert. Seit der Liberalisierung dieser Regulierung finden sich zunehmend Produkte mit 128-Bit-Unterstützung für WEP. Ein Teil dieser 128 Bit ist der Initialisierungsvektor (IV) und fällt somit aus dem möglichen Schlüsselraum heraus. Dies führt bei der Länge des IV von 24 Bit zu einer Schlüssellänge für die Verschlüsselung von 104 Bit.

Shared Secret Keys

WEP arbeitet mit Shared Secret Keys. Das bedeutet für den Administrator, dass auf jedem WLAN- kompatiblen Gerät bzw. für jede WLAN-Karte derselbe WEP-Schlüssel installiert werden muss. Geräte mit unterschiedlichen Schlüsseln können nicht miteinander kommunizieren.

Allein der Aufwand für diese Art der manuellen Schlüsselgenerierung (einmalig) und Verteilung (pro WLAN-Karte) wäre bei größeren Netzwerken immens.

WEP bereits geknackt

Ein Beweis, dass WEP als nicht ausreichend sicher angesehen werden muss, wurde im Sommer 2001 erbracht. WEP, dass zur Verschlüsselung der Daten selbst die Stromchiffre RC4 benutzt, generiert für diese Stromchiffre Verschlüsselungsschlüssel, die auf dem installierten Shared Secret Key basieren.

Die Analyse zeigte, dass diese generierten WEP-Schlüssel einander zu ähnlich waren, sodass ein Angreifer durch rein passives Mitlauschen eine bestimmte Menge an verschlüsselten Datenpaketen speichern konnte, um aus den gesammelten Informationen Rückschlüsse auf den verwendeten Shared Secret Key zu ziehen.

In WEP kommen mehrere kryptografische Probleme zusammen: zum einen die kurzen Initialisierungsvektoren (IV) mit 24 Bits. Diese machen es möglich, dass ein Hacker statistisch gesehen schon nach ca. 5000 abgefangenen Datenpaketen eine Chance von 50 % hat, dass zwei verschiedene Pakete mit demselben IV und somit mit demselben Gesamtschlüssel verschlüsselt wurden. Werden Pakete mit demselben Schlüssel verschlüsselt, so kann man die Verschlüsselung aus den Paketen mathematisch gesehen komplett herauskürzen.

Dazu kommen noch die statischen Verschlüsselungsschlüssel und eine kryptografische Schwäche im verwendeten RC4-Verschlüsselungsalgorithmus, die WEP insgesamt sehr leicht angreifbar macht.

WPA – Wi-Fi Protected Access

Abhilfe für die größten Probleme

Nachdem die gravierenden Probleme von WEP bekannt wurden, wurde fieberhaft an besseren Sicherheitsprotokollen gearbeitet. Dabei wurde allerdings auch klar, dass diese neuen Standards nicht in Kürze verfügbar sein würden.

Zusätzlich war abzusehen, dass man in einem neuen Standard nicht einfach einen neuen Verschlüsselungsalgorithmus vorschreiben kann, da in der bereits verkauften und im Einsatz befindlichen Hardware der verwendete RC4-Algorithmus hardwaremäßig implementiert war.

Als Interimslösung wurde deswegen Ende 2002 der Standard WPA verabschiedet, der die wichtigsten Änderungen des endgültigen Sicherheitsstandards 802.11i vorwegnehmen sollte. Und zwar in einer Form, in der er auch auf bereits verkaufter WEP-kompatibler Hardware lief.

Wireless Protected Access führt einen auf RC4 basierten neuen Algorithmus zur Verschlüsselung ein, das Temporal Key Integrity Protocol (TKIP).

Als eine der wichtigsten Verbesserungen in WPA ist die Tatsache anzusehen, dass das festgelegte Passwort in WPA nicht mehr der Verschlüsselungsschlüssel selbst ist, sondern die Schlüssel mit kryptografisch gesicherten Methoden hergeleitet und regelmäßig erneuert werden. Dieser Modus wird als WPA-PSK bezeichnet. Die Schlüssel werden automatisch in einem Zeitintervall erneuert, in dem es mit üblichen Methoden nicht mehr möglich erscheint, diese Schlüssel auch zu knacken.

Sollte WPA zusammen mit einem Preshared Key (PSK) betrieben werden, besteht die Gefahr, dass man durch einen schlecht gewählten oder einen einfach zu erratenen PSK den Sicherheitsgewinn von WPA wieder zunichtemacht.

Zusätzlich sieht WPA auch die Unterstützung von RADIUS-Servern (Remote Authentification Dial- In User Service) zur Authentifizierung der Funkteilnehmer vor. Dieser Modus wird WPA- Enterprise genannt.

WPA-PSK ist über Offline-Tools angreifbar. Dazu werden die Pakete während der WPA- Authentifizierungsphase aufgezeichnet. Aus diesen versucht das Tool entweder per Brute-Force- (Durchprobieren aller möglichen Kombinationen) oder mittels einer Wörterbuch-Attacke den während der Authentifizierung ausgetauschten Pairwise Master Key (PMK) zu ermitteln.

WPA2 – Wi-Fi Protected Access 2

Im Juni 2004 wurde der WLAN-Sicherheitsstandard mit der Bezeichnung IEEE 802.11i verabschiedet, der von einigen Herstellern als WPA2 bezeichnet wird. Die wesentlichen Kernpunkte, die im WPA schon vorweggenommen wurden (wie z. B. regelmäßige automatische Erneuerung der verwendeten Verschlüsselungsschlüssel) blieben erhalten. Gleichzeitig wurde der moderne Standardalgorithmus AES (Advanced Encryption Standard) verbindlich vorgeschrieben.

Ein Funknetz, das mit 802.11i-Verschlüsselung betrieben wird, kann als sicherer angesehen werden. Allerdings sollten Sie dabei beachten, dass bei Absicherung Ihres Netzes mit Preshared Keys Ihre Sicherheit davon abhängt, wie leicht oder schwer die verwendeten Preshared Keys (also die Passwörter) zu erraten sind.

WPA3 – Wi-Fi Protected Access 3

Auch bei WPA2 wurden inzwischen diverser Sicherheitsmängel gefunden. Durch einen Designfehler im Protokoll ist es einem Angreifer möglich, einen Wörterbuchangriff auf schwache Passwörter (Offline-Passwort-Angriff) erfolgreich durchzuführen. Ein weiterer Aspekt ist die Unterstützung veralteter Verschlüsselung- und Hashverfahren.

Mit WPA3 hat die Wi-Fi-Alliance 2018 einen Nachfolgestandard veröffentlicht. Dieser setzt auf eine verbesserte und sicherere Authentifizierung und Verschlüsselung. Der Schlüsselaustausch beruht nun auf dem Diffie-Hellmann-Algorithmus, wobei Perfect Forward Secret (PFS) genutzt wird. PFS ist ein Verfahren für den Schlüsselaustausch, dass die nachträgliche Entschlüsselung durch Bekanntwerden des Hauptschlüssels verhindert. Es werden Teile des Schlüssels aus- getauscht, aus denen die Partner den vollständigen Schlüssel selbst berechnen. Zusätzlich hat der Sitzungsschlüssel nur eine definierte Gültigkeit. Nach Ablauf dieser Zeit startet PFS die Aushandlung eines neuen Diffie-Hellman-Prozesses. Zeitlich folgende Sitzungsschlüssel haben auch keinen Bezug untereinander und sind nicht gegenseitig ableitbar. Durch die Kenntnis eines einzelnen Sitzungsschlüssels ist kein Folgeschlüssel zu ermitteln.

Weitere Authentifizierung und Verschlüsselung im WLAN

Neben den eben angesprochen Verschlüsselungsverfahren können Sie bei WLAN alternativ auch IPsec nutzen. Dazu muss auf dem Client eine IPsec-Software installiert werden. Dies ermöglicht nun eine authentifizierte und verschlüsselte Verbindung über den Access-Point hinaus zum Router bzw. Zielserver.

Im WLAN können sich die Clients beim Router oder Zielsystem identifizieren, indem sie vor ihrem Einsatz ein X.509-Zertifikat erhalten. So wird über einen Public Key die Identität eines bestimmten Rechners eindeutig nachgewiesen. Ein Sitzungsschlüssel wird durch Diffie-Hellman zwischen den Endpunkten der Verbindung dynamisch ermittelt und automatisch nach dem Transfer einer bestimmten Datenmenge oder dem Ablauf einer maximalen Zeitspanne ausgetauscht. Somit wäre also auch das Problem des manuellen Schlüsseltauschs beseitigt.

Da IPsec nicht auf einen bestimmten Verschlüsselungsalgorithmus festgelegt ist, können die nach dem Schlüsseltausch ermittelten Schlüssel auf beliebig auswählbare Verschlüsselungsprotokolle angewandt werden.

Die Identifizierung über Zertifikate hat überdies auch den Vorteil, dass ein Hacker keine Man-in-the-Middle-Attacke benutzen kann, um Zugang zum Netz zu bekommen. Versucht der Hacker, sich gegenüber dem Client als Router/Zielsystem auszugeben, so kann er sich über IPsec nicht ordnungsgemäß ausweisen, da er den Private Key des Zielsystems nicht besitzt und somit dessen digitale Unterschrift nicht fälschen kann.

RADIUS-Authentifizierung (IEEE 802.1X)

Vor allem in Unternehmensnetzwerken, wo viele Benutzer und bei entsprechend großem Gelände auch viele Access-Points die WLAN-Umgebung darstellen, ist es nicht praktikabel, mit einer Authentifizierung auf Basis eines Preshared Keys zu arbeiten. Hier bietet es sich an, sämtliche Access-Points als sogenannte RADIUS-Clients (Authenticator) mit einem RADIUS-Server – von dem mindestens einer im Firmennetzwerk stehen sollte – zu verknüpfen. Die Access-Points werden daraufhin die Anmeldeanfragen von mobilen Benutzern an den zentralen RADIUS-Server weiterreichen, auf dem Sie als Administrator die Einwahlbedingungen, -zeiten oder berechtige Benutzergruppen definieren können. Ein RADIUS-Server überprüft die Authentifizierung von Anmeldedaten beispielsweise anhand von Zertifikaten, die vorher ausgestellt werden müssen, oder mithilfe der Domänen-Anmeldedaten des jeweiligen Benutzers. Sie haben also nicht mehr ein einziges Passwort als „Generalschlüssel“ für das WLAN, sondern jeder WLAN-Benutzer meldet sich individuell an und kann auch individuell über die Konfiguration der RADIUS-Regeln Einwahl- rechte erteilt oder verweigert bekommen.

Wi-Fi Protected Setup (WPS)

Sofern Ihre WLAN-Komponenten WPS unterstützen, kann der von der Wi-Fi Alliance initiierte Standard zur Anwendung kommen. Er ermöglicht das einfache Hinzufügen von Clients in einer gesicherten Umgebung. Die häufigsten Herstellerimplementierungen sind entweder die Eingabe einer vorgegebenen Client-PIN am Access-Point bzw. die Nutzung eines Push-Buttons. Durch das Drücken des Buttons am Client (sofern vorhanden) und am Access-Point wird der automatische Schlüsselaustausch initiiert und die verschlüsselte Verbindung hergestellt.

Beachten Sie jedoch, dass während der Authentifizierungsphase über WPS der Verkehr abgehört werden kann und der Zugriff durch Dritte über Angriffsvektoren möglich ist.

Arbeitsumgebung

Alle Aufgaben dieses Kurses werden wir in virtuellen Maschinen in VMware oder VirtualBox durchführen. Aus diesem Grund erstellen wir zunächst unsere Arbeitsumgebung für Windows oder Linux.

Ausrüstung

Hardware: 3(4) PCs, 1 Hub, 1 Switch, 3(4) Netzwerkkabel
1. Hardware: 1 Lynksys WRT54GL, 1 Netzwerkkabel
1. Software: VirtualBox VM

Aufgaben

Erläutern Sie Ihre Lösungen in einem gut formatierten Dokument. Verwenden Sie gegebenenfalls Screenshots.

Nur ein Dokument pro Gruppe.

Setzen Sie Ihren Access Point (AP) zurück:
Wie macht man das beim Linksys WRT54GL?
Wie lauten der Standardbenutzername und das Standardkennwort?
Verbinden Sie Port 1 Ihres AP mit einem PC (vorerst keine anderen Verbindungen!):
Welches „interne“ Netzwerk nutzt der AP in der Grundeinstellung?
Was sind die Standard-WLAN-Einstellungen?
Der Internet-Port sollte eine statische IP-Adresse erhalten (die IP Ihres Desktops + 200). Verwenden Sie SNM = 255.255.0.0, GW = 172.16.0.1 und DNS = 158.64.5.130.
Die WLAN-SSID sollte AP-x sein, wobei x das letzte Byte der IP-Adresse ist (Desktop + 200).
Erhöhen Sie die Sicherheit Ihrer WLAN-Verbindung:
Welche Einstellungen sind für ein WLAN mit minimaler Sicherheit erforderlich?
Ändern Sie jeweils nur einen Parameter. Geben Sie an, welcher Parameter geändert wurde, und überprüfen Sie, ob Ihr WLAN-Zugang bei jeder Änderung weiterhin funktioniert.
Welche erweiterten Einstellungen empfehlen Sie, um die Sicherheit zu erhöhen?
Beschreiben Sie eine reale Situation, in der viele APs in unmittelbarer Nähe zueinander laufen. Welche Vorsichtsmaßnahmen müssen in diesem Fall getroffen werden?
Zählen Sie die von Ihrem AP bereitgestellten Sicherheitsfunktionen auf. Stellen Sie jeweils einen Screenshot und eine kurze Erklärung bereit (die Firewall kann ignoriert werden).
Testen Sie die Geschwindigkeit der WLAN-Antenne und füllen Sie die folgende Tabelle aus.

Distanz [m]	Geschwindigkeit [Mbps]
5
10
15
20
25

Stellen Sie die gesammelten Daten in einer grafischen Form dar.
Setzen Sie Ihren AP zurück.
Beantworten sie folgende Fragen:
Welche Verschlüsselungsprotokolle nutzt WLAN?
Welche dieser Verschlüsselungsprotokolle für drahtlose Netzwerke existieren?

A		WPA
B		SSID
C		TKIP
D		WIFI
E		MAC
F		WEP
G		WPA2

Das aktuell sicherste Verschlüsselungsprotokoll für drahtlose Netzwerke ist…

A		WPA4
B		SSID
C		TKIP
D		WIFI
E		MAC
F		WEP
G		WPA3
H		PSK

Welche der folgenden Aussagen sind zutreffend?

A		WEP unterstützt eine maximale Schlüssellänge von 128 Bit.
B		WEP arbeitet mit RADIUS.
C		WPA nutzt zur Verschlüsselung den Standardalgorithmus AES.
D		Unter WPA wird allgemein Wi-Fi Protected Access verstanden.
E		WPA2 arbeitet mit dem Standard IEEE 802.11i.

Wie wird ein drahtloses Netzwerk optimal geschützt?

A		WLANs sind sicher.
B		Die SSID wurde versteckt. / WPA wird als Verschlüsselung verwendet. / MAC-Adressen-Filterung / Der Access-Point wurde so positioniert, dass dieser nur geringfügig über die Gebäudegrenzen hinausstrahlt.
C		Die SSID wurde versteckt. / WEP 2 wird als Verschlüsselung verwendet. / Ein Mischbetrieb der Übertragungsstandards wurde unterbunden. / MAC-Adressen-Filterung / Der Access-Point wurde so positioniert, dass dieser nur geringfügig über die Gebäudegrenzen hinausstrahlt.
D		WEP wird als Verschlüsselung verwendet.
E		Die aussagelose SSID wurde verwendet. / WPA3 wird als Verschlüsselung mit einem sicheren Passwort verwendet. / Ein Mischbetrieb der Übertragungsstandards wurde unterbunden. / Es findet eine MAC-Adressen-Filterung sowie eine Einschränkung der DHCP-Clients statt. / Der Access-Point ist so positioniert, dass dieser nur geringfügig über die Gebäudegrenzen hinausstrahlt.

Erstelle für die obenstehende Fragen ein Word und PDF-Dokument. Überprüfen sie jeweils ob ihre Konfigurationen immer richtig funktioniert haben.

Abbildung

Lernkontrolle

Welche Sicherheitsmechanismen sind für WLAN essentiell?

WPA2 oder WPA3 — moderne Verschlüsselung.Starkes WLAN-Passwort (mind. 12 Zeichen, gemischt).WEP — veraltet aber besser als nichts.SSID verstecken bringt keine echte Sicherheit, nur ein Hindernis.