Lufthoheit sichern  

Von: Werner Veith

Buyer's Guide: Wireless-Intrusion-Prevention – Funknetze schaffen neue Möglichkeiten, ins Unternehmsnetz einzudringen. Daher überwachen spezielle drahtlose Systeme den Bereich eines Wireless-LANs und blockieren Invasoren, die durch die Luft kommen. Die Lösungen arbeiten selbstständig oder im Rahmen von WLAN- Infrastruktur-Systemen.

Eindringversuche in Wireless-LANs sind keine hypothetische Gefahr. Dass solche Angriffe existieren, zeigen IT-Fachmessen wie die Cebit. Wireless-Intrusion-Prevention-Systeme (»WIPS«) haben hier testweise schon entsprechende Attacken aufgezeichnet. Überhaupt verdeutlicht eine IT-Messe in sehr verdichteter Form die Herausforderung einer Überwachung von drahtlosen Netzen. In einer Halle befinden sich sehr viele verschiedene Funknetze, die einander behindern. Dazwischen finden Wireless-Attacken statt. Sind Probleme beim Funknetzzugang nun auf einen Angriff oder etwas anderes zurückzuführen? Wäre nur das eigene WLAN in der Halle zugelassen, könnten alle anderen drahtlosen Geräte als unerwünscht (Rogue) klassifiziert und entsprechend behandelt werden. Nun muss der Administrator aber unterscheiden: zwischen benachbarten, bekannten Netzen anderer Stände und den weiter existierenden Angreifern. Hat er einen solchen ausgemacht, muss der WLAN-Verwalter versuchen, diesen zu neutralisieren und dann zu lokalisieren. Wegen der Dichte der Netze, der großen Anzahl und der Mobilität der Besucher ist beispielsweise Letzteres natürlich nicht einfach.

Bevor es aber um den Einsatz eines Wips geht, gibt es natürlich noch Hausaufgaben in Sachen Sicherheit zu machen. Da sind ganz allgemein die offene Tür zum Serverraum oder unsichere Passwörter, die in jedem Wörterbuch für Dictionary-Angriffe vorkommen. Auch das WLAN selbst sollte entsprechend geschützt sein. Instrumente dafür sind etwa der Einsatz des drahtlosen Sicherheitsstandards 802.11i mit 802.1x und von Radius-Servern. Ein andere Instrumente ist beispielsweise ein entsprechendes Netzwerkdesign mit Hilfe von VLANs.

Bei der Wahl des Wips geht es zunächst um den Ansatz des Systems: separat oder in ein Wireless-Infrastruktursystem integriert. Daneben gibt es zwar auch mobile Lösungen mit Laptop und passender Karte. Diese eignen sich aber nicht für eine flächendeckende, kontinuierliche Überwachung. Sie helfen, wenn es um eine konkrete Suche oder Problemlösung vor Ort geht. Drahtgebundene IPS können ein Wireless-System nicht ersetzen. Ersteres kommt erst zum Tragen, wenn der Hacker über das WLAN bereits einen Zugang zum Netz bekommen hat. Bei den Sensoren stellt sich die Frage, ob diese separat oder kombiniert als LAN-Zugang arbeiten sollen. Das Aufspüren von Rogue-Geräten ist eine der wichtigsten Aufgaben eines Wips. Gut ist es, wenn Wips auch andere Funktionen noch mitbringen, um bei der Fehlersuche zu helfen, oder die Einhaltung von drahtlosen Sicherheitsrichtlinien überwachen. Ein Beispiel für Letzteres ist, dass Access-Points keinen SSID-Broadcast (Service-Set-ID) versenden.

Unabhängig oder integriert
Ein separates Wips arbeitet unabhängig vom WLAN selbst. In der Regel verfügt das Standalone-System über mehr Funktionen als ein integriertes. Dies gilt insbesondere bei der Erkennung von verschiedenen drahtlosen Angriffen. Integrierte Systeme beherrschen im einfachsten Fall nur die Erkennung von Rogue-Geräten. Es gibt aber Lösungen, die das Stand-alone-System eines anderen Herstellers integriert haben, wie sich Trapeze auf Airdefense oder Colubris auf Airtight stützt. Außerdem arbeiten integrierte Systeme begrenzt mit Extra-Produkten zusammen. So gibt es beispielsweise bei Airmagnet und Airtight eine automatische Erkennung von Cisco-Access-Points als eigene, bekannte Geräte. Ein separates Wips kann sich ganz auf die Aufklärung konzentrieren, etwa Meldungen verschiedener Sensoren korrelieren. Hier nehmen beispielsweise mehrere Sensoren den gleichen Angriff war. Das System erkennt das und meldet die Attacke nur einmal. Ein Wireless-Controller ist mehr oder weniger auch mit anderen Aufgaben beschäftigt.

Extra-Lauscher hören mehr
Der Einsatz reiner Sensoren hat einige Vorteile. Sie können sich auf das Scannen konzentrieren. Bei komplett integrierten Geräten für Scannen und Datenübertragung wird die Zeit zum Hören desto geringer, je mehr Daten durch die Luft müssen. Nun gibt es auch integrierte Systeme mit mehreren Funkmodulen. Sie können ein Interface zum Übertragen und eins zum Hören verwenden. Problematisch ist hier nur die Zeit, in der das WLAN-Interface Daten empfängt. In dieser Zeit ist der Sensor mehr oder weniger auf Grund der ummittelbaren Nähe zum WLAN-Interface von den Funkwellen geblendet. Sensoren sollten beim Scannen immer den ganzen Frequenzbereich im 2,4- und 5-GHz-Band erfassen und die aktuellen Standards 802.11a/b/g/h beherrschen. Für den kommenden Standard 802.11n gibt es erst einen Draft. Zwar sind nicht immer alle Frequenzbereiche im jeweiligen Land zugelassen. Aber ein fremdes Gerät muss sich ja nicht unbedingt daran halten.

Extra-Sensoren haben auch den Vorteil, dass sie nicht da stehen müssen, wo es für die Datenübertragung notwendig ist. Stattdessen postiert der Administrator die separaten Lauscher beispielsweise so, dass eine möglichst gute Lokalisierung von WLAN-Geräten mittels Triangulierung möglich ist. Außerdem sind wegen der höheren Empfindlichkeit in der Regel weniger Extra-Sensoren als Access-Points notwendig. Abnehmbare Antennen sind beim Outdoor-Einsatz oder in speziellen Räumlichkeiten interessant.

Integrierte Sensoren dagegen sind Dank des Wireless-LANs schon da. Es muss kein eigener Rollout mit zusätzlichen Sensoren erfolgen, was auch eine Kostenfrage ist. Sehr interessant sind Lösungen, bei denen das System während des Betriebs bei Funkeinheiten zwischen Sensor oder Access-Point hin- und herschalten kann. So lassen sich bei Bedarf für eine Aufklärung auch zusätzliche Lauscher bereitstellen.

Die Suche nach WLAN-Geräten
Im Wireless-LAN-Universum gibt es ein Haufen verschiedener Geräte und Aktivitäten. Neben den eigenen Access-Points sind da die von benachbarten Funknetzen und unerwünschte Einheiten. Letztere können etwa von Fremden stammen und keine physische Verbindung zum eigenen LAN haben; oder ein Mitarbeiter hat nicht offiziell einen Access-Point installiert. Außerdem ist da noch das Problem der Ad-hoc-Netzwerke. Hängt ein Laptop direkt am LAN, kann trotzdem dessen Funkkarte aktiviert sein. Ein Angreifer baut nun mit dem Firmen-PC eine Ad-hoc-Verbindung auf und geht über dessen LAN-Interface in das Unternehmensnetz. Daher ist es zunächst die wichtigste Aufgabe eines Wips alle WLAN-Geräte zu erkennen und etwa in »Eigenes Netz«, »Benachbartes, bekanntes Netz« oder »Fremdes Gerät« zu klassifizieren. Anschließend muss das Wips den Administrator etwa per E-Mail oder ein übergeordnetes Management-System per SNMP informieren.

Weiß der Administrator von unbekannten Funkgeräten, muss er diese auch finden. Wips bringen dafür entsprechende Lokalisierungsfunktionen mit. Im einfachsten Fall bekommt der Verwalter nur eine Meldung, welche Sensoren mit welcher Feldstärke den Fremden sehen. Ein bisschen genauer wird es, wenn das System eine Triangulierung verwendet und den Störenfried auf einer Gebäudekarte anzeigt. Unterschiedliche Baumaterialien können beispielsweise die Messung verfälschen. Das System berücksichtigt dies eventuell. Es gibt aber auch Lokalisierungsfunktionen, die nach einer Art Training genauere Ergebnisse liefern.

Angriffsmuster erkennen
Wireless-Attacken können sehr unterschiedlich sein. Bei Denial-of-Service-Vorgängen überschüttet beispielsweise ein Fremder einen Access-Point mit Association-/Authentication-Requests. Dadurch kann sich kein anderes Gerät mehr anmelden. MAC-Spoofing, also das Vortäuschen einer fremden MAC-Adresse, wird beispielsweise für Man-in-the-Middle-Angriffe verwendet. Beim Session-Hijacking übernimmt der Angreifer die bestehende Verbindung (Session) eines WLAN-Clients. Spezielle Tools wie »Asleap« nützen bestimmte Lücken aus. Asleap baut auf eine Schwäche des Cisco-Protokolls »LEAP«, um mittels Dictionary-Attacke Passwörter zu ermitteln. Cisco hat hier mit »EAP-FAST« einen Leap-Nachfolger im Programm. Manche aktive Erkundungstools wie Netstumbler verraten sich durch ihr charakteristisches Verhalten. Aufgabe der WISP ist es nun, diese diversen Angriffe zu erkennen und zu melden.

Abwehr eines Angriffs
Einen Eindringling aufhalten kann ein Wips auf der drahtgebundenen und der Wireless-Seite. Letzteres bedeutet, dass das Wips das fremde Gerät am Arbeiten hindert. Dies kann etwa durch das wiederholte Senden von Disassociate- oder Deauthenticate-Frames geschehen. Die Blockade endet, sobald das Wips keine Frames mehr sendet. Ein Broadcast von solchen Frames hält beispielsweise Clients davon ab, sich an einem fremden Access-Point anzumelden. Ein wenig radikaler ist das Senden von Rauschsignalen auf einem Kanal. Er blockiert jegliche Übertragung und betrifft alle Geräte in der Nähe, nicht nur einen Angreifer. Mit solchen Blockadetechniken sollte der Administrator also vorsichtig umgehen.

Hat ein Angreifer einen physischen Zugang zum LAN bekommen, hilft die Blockade des passenden Ports eines Switches oder das Umleiten des Angreifers in ein Qurantäne-VLAN. Hierzu muss das Wips ermitteln, an welchem Port eines Switches der unerwünschte Access-Point hängt. Je nachdem kann das System dann den Port automatisch blockieren, oder der Administrator muss dies manuell erledigen.

Interessant sind auch forensische Funktionen eines Wips. Sie helfen beispielsweise einen Wireless-Angriff zu dokumentieren und passende Reports zu erstellen.

wve@networkcomputing.de