[DSL] Grundlegende WLAN Sicherheit Tipps

Dieses Thema im Forum "Netzwerk Tutorials" wurde erstellt von ftp.concept, 17. September 2006 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 17. September 2006
    Grundlegende WLAN Sicherheit Tipps

    Hallo miteinander,

    Das sit ein tutorial zwar von mir nicht verfasst aber ich hoffe ich kann euch damit weiterhelfen!!

    da ich mich in letzter Zeit viel mit dem Thema WLAN beschäftigt habe möchte ich hier einmal grundlegende Sicherheitsmethoden zusammenfassend vorstellend, wie der Titel schon sagt geht es erstmal um die Grundlagen, es gibt immer wege diese Aufzustocken.

    I Teil - Allgemeines

    1. Wahl der richtigen Geräte

    Dieser PUnkt wird erfahrungsgemäß oft vernachlässigt, man kauft das ein was gerade günstig erscheint oder die längste Feature Liste hat, dies ist jedoch oft ein Fehler. Neben den Funktionsaspekten der einzelnen Geräte spielt auch die Kompatibilität, selbst heute noch, eine große Rolle. So kann es oft vorkommen das z.B.: WLAN Karte des Herstellery Y nicht einhundert Prozentig mit dem Access Point X zusammenarbeitet. Meißt zeigt sich das darin das Verschlüsselungen nicht richtig funktionieren, oder die Verbindung einfach instabil ist. Wenn man sein WLAN von Grund auf Plant sollte man auf jeden Fall einen einheitlichen Hersteller auswählen, welcher das dann ist liegt in der ersten Linie in dem Anspruch und an die Verfügbarkeit die man an sein WLAN stellt und ist daher nicht pauschal zu beantworten.

    2. Antennen, Sendestärke Ausleuchtung

    Einer der effektivsten Möglichkeiten sein WLAN vor fremden zugriffen zu schützen ist es so klein wie möglich zu halten, wenn der Hacker im Auto sitzen kann und dort "arbeiten" kann hat ers selbstverständlich deutlich leichter als wenn er in das Gebäude hinein muss um das WLAN anzugreifen. Um die Ausleuchtung gezielt beeinflussen zu können gibt es 2 grundlegende Möglichkeiten. Durch die Wahl der richtigen Antenne und durch das reduzieren der Sendeleistung auf den kleinsten akzeptablen Wert. Beides, das wechseln der Antennen sowie das Einstellen der Sendeleistung ist nicht bei allen Geräten möglich, das wäre schonmal ein punkt bei dem man bei der Wahl des Gerätes bedenken sollte.
    Antennen kann man grob in zwei Typen Unterscheiden, Direktionalen Antennen (gerichtete Antennen) und Omnidirektionale Antennen (eben nicht gerichtete Antennen). Typischerweise kommen die Rubber Dug Antennen zum Einsatz, diese sind Omni Direktional. Je nach Aufbau des Gebäudes ist das mehr oder weniger sinnvoll. Wenn z.B. nur ein Großraumbüro ausgeleuchtet werden soll kann man das entweder mit einer Omnidirektionalen Antenne tun die sich in der Mitte des Raumes befinden oder mit einer gerichteten Antenne die sich an einer Wand befindet.
    Die Sendeleistung sollte so eingestellt werden das alle Clients noch guten Empfang haben in dem Bereich in dem sie kommunizieren sollen, die meißten Geräten arbeiten mit 100MW, der maximal erlaubten Sendeleistung, dies ist aber nur in den seltesten fällen nötig das Funkfeld kann so noch einige dutzend Meter aus dem Gebäude hinaus reichen und stellt somit einen bequemen Angriffspunkt für Hacker da.
    Kleine Anmerkung am Rande, erlaubt sind 100 MW, dies bezieht sich jedoch nicht auf den Ausgang vom Access Point sondern aus dem Ausgang der Antenne, die Rubber Dug antenne hat z.B.: 2,14 (?) dB, die Ausgangsleistung liegt daher streng gesehen serienmäßig bei vielen Geräten im verboten Bereich von über 100 MW.
    Das verkleinern des Ausleuchtugnsbereich ist im übrigen nicht nur aus Sicherheitsaspekten sinvoll, wenn viele Clients auf engen Raum arbeiten ist es sehr sinvoll den Ausleuchtungsbereich zu reduzieren und weitere AP's aufzustellen um die Anzahl der Rechner pro AP zu verkleinern.

    3. Zugriffsschutz auf dem Access Point

    Auch dieser PUnkt ist schwer abhängig von der Wahl des Gerätes. Die meißten Access Points können über das Web Interface angesteuert werden, das ermöglicht einen "Angriff von Innen" auf den Access Point, also jeder der sich bereits im Netzwerk befindet kann versuchen das Passwort zu erraten oder es mit Hilfe von Brute Force Tools zu knacken um z.B.: bestimmte Resourcen freizuschalten oder sich Zugriff auf isolierte Bereiche zu verschaffen. Um dies zu verhindern sollte das Benutzerinterface nur für bestimmte Rechner freigeschaltet werden, (MAC oder IP Basis) oder auf das Web Interface komplett verzichtet werden und der Zugriff auf den Konsolen Port (sofern vorhanden) begrenzt werden.

    II Teil - Eigentliche Netzwerksicherheit

    1. Trennung der Netzsegmente

    Dies gilt für alle NEtzwerke egal ob WLAN oder Kabelgebundene Netzwerke, Bereiche die nichts miteinander zu tun haben sollten voneinander getrennt werden, die besten Mittel dafür sind VLAN's bzw. verschiedene SSID's bei den Access Points, mondere AP's können mehrere SSID's gleichzeitig betreiben.

    2. Zugriffsbegrenzung

    Zugriffsbegrenzung um Sinne von MAC Adresen Filterung ist eine Möglichkeit für minimalsschutz, die MAC Adressen auf den Karten sind theoretisch zwar weltweit einzigartig können aber gefälscht werden. Da es auch möglich ist Frames abzufangen und die MAC Adressen der Absender auszulesen stellt MAC Filterung alleine also keine Sicherheit da. Da der Konfigurationsaufwand nicht zu vernachlässigen ist, sollte man es sich gut überlegen ob es die Mühe Wert ist. Eine gute Möglichkeit ist es MAC Filterung mit Authentifizierung über einen RADIUS Server zu verbinden (dazu später noch ein paar Zeilen). Für das WLAN zu Hause ist MAC Filterung zu empfehlen, besonders in kleinen Wohnblöcken da im normalfall kein hoch begabter Hacker interesse an ihren Netzwerk hat und um spielende Kiddies abzuwehren sollte es reichen. Bei wenig Rechner ist der Konfigurationsaufwand ja auch nicht schwierig. (Bemerkung am Rande, die MAC ADresse kann man sich unter Windows mit dem Befehl ipconfig /all anzeigen lassen)

    3. Verschlüsselung

    Das große Thema im Bereich WLAN Sicherheit, es ist zu komplex um es hier ausführlich zu behandeln, fakt ist: Es sollte eine Verschlüsselung eingerichtet werden und sie sollten nicht WEP sein sondern WPA(2). Mit Hilfe von passiven Programmen die nichts anderes machen als den Netzwerkverkehr abzuhören ist es möglich WEP Schlüssel in wenigen Stunden bestimmen zu können. Dies ist bei WPA zwar theoretisch auch noch möglich jedoch deutlich schwieriger. Eine Möglichkeit die Sicherheit zu verstärken liegt darin eine Keyrotation einzurichten, dann werden die verwendeten Verschlüsselungsschlüssen (was ein Wort *g*) regelmäßig gewechselt was das Abhören schwieriger macht.
    Zur Wahl der Schlüssel sollten bestimmte Regeln eingehalten werden:

    - Benutzen sie keine Phrasen die mit ihnen, ihrer Familie, ihrer Arbeit oder so ähnlich zu tun hat
    - Benutzen sie am besten überhapt keine Phrase sondern Buchstaben und Zeichen Salat
    - Benutzen sie am besten auch keinen Zeichensalat sondern Hexadezimal Salat.

    Die Schlüssel werden im jeden Fall hexadezimal gespeichert, viele Hersteller bieten an den Schlüssel über eine Phrase erstellen zu lassen die sich leichter merken läßt als ein kryptischer Schlüssel. Dies hat aber zu einem den Nachteil das der erzeugte Schlüssel den Zeichenraum der Hexadezimalversion nicht ganz ausnutzen kann, der erzeugte Schlüssel ist also weniger sicher als der manuell eingegebene Schlüssel. Verwendet man verschiedene Hersteller und gibt man den Schlüsel sowohl am AP als auch am Client über eine Phrase ein kann es sein das, das der durch die Phrase erstellte Schlüssel nicht identisch ist. Logischerweise kommt dann überhaupt keine Verbindung zu stande.
    Ebenfalls wieder zu beachten ist das man natürlich nur den kleinsten gemeinsamen Nenner an Verschlüsselung fahren kann, wen ein Teil der Client nurs WEP unterstützen muss das Netzwerk auch nur WEP arbeiten. Eine Alternative wäre das Einrichten von zwei SSID's mit entsprechend angepaßten Sicherheitseinstellungen, wobei auch dann zu beachten wäre das das schlecht geschütze WEP Netz nur sehr eingeschränkte Zugriffsrechte hat.

    4. Authentifizierung

    Schweres Wort, bringt jedoch viel Sicherheit. Ähnlich wie bei der Domänenanmeldung wird ein Benutzername und ein Passwort benötigt um zugriff auf das Netzwerk zu erhalten, gespeichert werden die Login Informationen auf einem so genannten RADIUS Server. Dies kann ein eigener Rechner sein, oft befinden sich in den Profigeräten jedoch auch schon abgespeckte RADIUS Server. Die Verbindung zwischen dem Radius Server und dem Acces Point wird durch ein Passwort geschützt. Dies schützt vor "Man in the Middle" angriffen, bei diesem Angriffsverfahren wird ein Fremder AP (Rogue AP) von dem Hacker aufgebaut der ähnlich wie der original AP konfiguriert ist (selbe SSID, Kanal, Verschlüsselung etc.) der Haker erhofft sich das die Client anstelle von dem beabsichtigen AP mit seinem AP verbinden, er fängt die Informationen die gesendet wurden ab und kann die Daten auswerten.
    RADIUS bietet den Vorteil das Netzwerkschlüssel auch dynamisch erzeugt und ausgetauscht werden können, um die Verschlüsselung weiter zu erhöhen. Auch können MAC Begrenzungen gespeichert werden um sicherzustellen das sich ein Benutzer X auch nur von seinem Rechner aus und nicth von seiner Privat Maschine anmelden kann.
    Das Thema ist auch sehr komplex und vor allem auch sehr Hersteller spezifisch, gute Lösungen gibts von CISCO und Artem, auch Microsoft bietet einen Radius Server an. Viele Radius Server sammeln noch mehr Informationen um z.B. fremde AP's aufzuspühren, bieten Kartendarstellungen an, senden Warnmeldungen usw. usw.

    Kleines Fazit

    Viele Fehler und Probleme können mit einer guten Planung vermieden werden, die richtige Wahl der Geräte ist entscheidend, eine einheitliche Lösung von einem Hersteller ist zu bevorzugen. Das einfachste Mittel ist es den Ausleuchtungsbereich auf ein minimum zu verkleinern. Alle weiteren Maßnahmen, Filterungen, Verschlüsselungen, Authentifizierung bauen auf diesen Grundlagen auf.

    Ergänzungen

    Hier noch ein paar Ergänzungen aus den Kommentare gebündelt die allesamt auch sehr hilfreich sind:
    SSID Broadcast abschalten: Das Auffinden des Netztes wird so schwieriger, jedoch ist es auch recht einfach möglich SSID herauszufinden wenn der Broadcast abgeschaltet ist, es gibt inzwischen genug Tools die das bewerkstelligen. Dennoch ist das eine Sicherheitsverbesserung die sich mit einem Mausklick / Konsolenbefehl realisieren läßt und es dem angreifer wieder etwas schwerer macht.
    DHCP Einstellungen: Wenn möglich auf DHCP Verteilung verzichten und IP Adressen manuell vergeben, dies kann unter umständen problematisch sein wenn z.B.: ein Benutzer regelmäßig zwischen zwei Standorten wechseln und selber keine Berechtigungen haben soll die IP Adresse zu ändern. (Es gibt genug WLAN Clients die unterschiedliche Profile unterstützen so das man dieses Problem umgehen kann) Es ist auch möglich IP Adressen an eine MAC Adresse zu binden, so das der Benutzer immer wieder die selbe IP Adresse von dem DHCP Server bekommen, dies wäre die beste Möglichkeit.
    Die IP Adresse sollte nicht aus einem Standartnetz stammen, wie z.B. 192.168.1.X und so wenig benutzbare Host Adressen besitzen wie möglich.

    Ich hoffe ich konnte euch etwas erzählen was ihr noch nicht wußtet und wenn nicht vielen Dank fürs lesen bis hier hin.

    Grüße
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.