Benutzererkennung im WLAN
Grenzen der doppelten Authentifizierung
Bei klassischen LANs erhöht die Zugangskontrolle zum Firmengebäude den Sicherheits-Level. Beim WLAN greift dieses Modell nicht, sodass die netzeigenen Authentifizierungsmechanismen verstärkt werden müssen. Nicht jedes System hält dabei alles, was es verspricht.
WLAN-Betreiber verlangen ein Höchstmaß an Sicherheit von ihrer drahtlosen Infrastruktur, um ihr Corporate Network so gut wie möglich vor unautorisierten Zugriffen zu schützen. Da sich elektromagnetische Wellen nicht durch Gebäudemauern aufhalten lassen, kann der Sende- und Empfangsbereich des WLANs allerdings über das Unternehmensgelände hinausreichen. Dadurch ist es unautorisierten Personen leicht möglich, auch außerhalb des Unternehmensgeländes auf das WLAN zuzugreifen. Um die Schutzziele Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit zu gewährleisten, müssen deshalb besondere technische Vorkehrungen getroffen werden. Die Authentifizierung im WLAN spielt dabei eine zentrale Rolle.
Für Wireless LANs gibt es eine Vielzahl von möglichen Authentifizierungsmechanismen. Als erstes wäre die Authentifizierung mittels Pre-Shared-Keys (PSK) zu nennen, die allerdings nur für kleine WLAN-Umgebungen praktikabel ist. Der PSK ist ein geheimer gemeinsamer Schlüssel, der für alle WLAN-Clients identisch ist. Die Clients authentifizieren sich am WLAN, indem sie kryptographisch den Nachweis erbringen, dass sie im Besitz des richtigen Schlüssels sind. Da der Schlüssel für alle Clients identisch ist, wird das WLAN komplett kompromittiert, sobald ein Client den Schlüssel zum Beispiel verliert. Dies hätte zur Folge, dass bei allen Clients ein Schlüsselaustausch vorgenommen werden müsste, was bei einer großen Anzahl von Clients einen hohen administrativen Aufwand verursachen würde. Deshalb besteht die Möglichkeit, in einem mit WPA oder WPA2 geschützten WLAN auf den IEEE-802.1X-Standard zurückzugreifen.
Dieser Standard verwendet das Extensible Authentication Protocol (EAP) für die Authentifizierung. Das EAP ist ein sehr generisch gehaltenes Protokoll, das mit so genannten höheren Authentifizierungsprotokollen kombiniert werden kann. Dadurch ergibt sich eine Vielzahl von möglichen Authentifizierungsmethoden im WLAN. Protected-EAP (PEAP) etwa ist ein weit verbreitetes Authentifizierungsprotokoll im WLAN und bietet eine Authentifizierung mittels Benutzernamen und Passwort.
Eine stärkere Authentifizierung ergibt sich aus der Kombination von EAP mit TLS (EAP-TLS). Bei EAP-TLS kommt die auf Zertifikate basierende Authentifizierung des TLS-Protokolls zum Einsatz. Dabei erbringt man durch asymmetrische Verschlüsselungsverfahren den Nachweis, dass man im Besitz des passenden privaten Schlüssels zu seinem gültigen Zertifikat ist, das den öffentlichen Schlüssel enthält. Um eine noch höhere Sicherheit zu erlangen, ist es möglich, sein Zertifikat und den passenden privaten Schlüssel auf einer Smartcard zu speichern. Die Smartcard sichert den Zugriff auf den privaten Schlüssel mit einer PIN ab. Somit muss der Benutzer sowohl im Besitz der Smartcard als auch im Besitz der passenden PIN sein, um sich am WLAN anmelden zu können (Two-Factor Authentication). Der Verlust der Smartcard stellt kein hohes Risiko dar, weil sie ohne den passenden PIN wertlos ist. Die Verwendung von EAP-TLS in Verbindung mit Smartcards ist die zurzeit stärkste Authentifizierung im WLAN.
Probleme in Windows-Netzwerken
Zwar existieren mittlerweile sehr sichere WLAN-Standards, doch stellt die transparente Einbindung in die übrige Infrastruktur noch eine echte Hürde dar. Ziel ist es, für den Benutzer den Zugang zum Corporate Network über das WLAN so sicher und transparent wie möglich zu halten.
Entscheidet man sich für eine starke Authentifizierung im WLAN mittels EAP-TLS in Verbindung mit Smartcards, betreibt aber gleichzeitig eine Windows-Domäne im Corporate Network, bekommen die Windows-XP-WLAN-Clients Probleme bei der Domänenanmeldung, wenn sie die Netzwerkverbindung mittels WLAN aufbauen. Grund dafür ist, dass bei einer Windows-Domänenanmeldung schon eine Netzwerkverbindung zum Domänen-Controller bestehen muss, bevor der Benutzer sich an seinem Windows-Rechner angemeldet hat, damit die Anmeldedaten vom Domänen-Controller überprüft werden können. Windows unterstützt die personenbezogene Authentifizierung im WLAN aber erst nach der erfolgreichen Anmeldung des Benutzers am Windows-System.
Bei einem kabelgebundenen LAN, in dem keine direkte Authentifizierung vorgenommen wird, verursacht dies keine Schwierigkeiten. Sobald man sich ans Netzwerk allerdings über WLAN anbinden will, das eine Authentifizierung verlangt, stößt man bei einer personenbezogenen Authentifizierung auf das Problem, dass diese bei einem Windows PC erst nach erfolgreicher Windows-Anmeldung initiiert wird. Damit besteht vor und während der Windows-Anmeldung keine Netzwerkverbindung zum Domänen-Controller, da man sich noch nicht mit seinem Windows-System am WLAN authentifizieren konnte. Dementsprechend fehlen dem Benutzer dann zum Beispiel seine Netzwerklaufwerke und damit findet er nicht seine gewohnte Arbeitsumgebung vor.
Im Wireless-LAN-Sicherheitskonzept von Microsoft wird unter anderem für die Authentifizierung am WLAN die Verwendung von Benutzerzertifikaten in Verbindung mit Maschinenzertifikaten empfohlen [1], [2]. Dabei stellt der WLAN-Client vor der Windows-Benutzeranmeldung mittels des Maschinenzertifikats eine Verbindung zum WLAN her. Sowohl das Maschinenzertifikat als auch der zugehörige private Schlüssel sind lokal auf dem Client gespeichert. Dadurch besteht schon vor der Windows-Benutzeranmeldung eine Verbindung zum Domänencontroller über das WLAN.
Die WLAN-Verbindung, die mittels Maschinenzertifikat aufgebaut wurde, ist bei Windows für einen voreingestellten Zeitraum von 30 Sekunden nach Initiierung der Windows-Benutzeranmeldung gültig. Wenn innerhalb dieser 30 Sekunden keine Re-Authentifizierung mittels Benutzer-Zertifikat erfolgt, wird die WLAN-Verbindung von Windows getrennt. Bei Verwendung von Benutzerzertifikaten, die auf Smartcards gespeichert sind, fordert Windows den Benutzer auf, seine Smartcard einzulegen und seine PIN einzugeben. Erst jetzt erfolgt eine Anmeldung mittels Benutzerzertifikat am Wireless LAN. Innerhalb der 30 Sekunden wurde dem Benutzer aber schon Zugriff auf das WLAN gewährt, obwohl er sich noch nicht mit seinem Benutzerzertifikat am WLAN anmelden musste.
Falls der WLAN-Client, meist in Form eines Notebooks, entwendet wird, ist es dem Dieb möglich, für eine kurze Zeit auf das WLAN zuzugreifen, ohne im Besitz des Benutzerzertifikats zu sein, da das Maschinenzertifikat samt zugehörigen privaten Schlüssel auf dem Client gespeichert ist. Dazu muss er nur den Administrator-Account auf dem Notebook knacken, etwa durch Manipulation der SAM-Datei.
Durch einen Registry-Eintrag ist es sogar möglich, die Zwangstrennung nach 30 Sekunden zu deaktivieren und dadurch permanenten Zugriff auf das WLAN mittels Maschinenzertifikat zu erlangen. Ein Angreifer wäre so in der Lage, sich unbegrenzten Zugriff auf das WLAN zu verschaffen. Dieses könnte man zwar durch eine Verschlüsselung der Festplatte vermeiden - jedoch ändert dies nichts an der Tatsache, dass die Re-Authentifizierung am WLAN mittels Benutzerzertifikat keinen wirklichen Mehrwert an Sicherheit bietet, da dem Benutzer der volle Zugriff auf das WLAN per Maschinenzertifikat schon vorher gewährt wurde.
Fazit
Das Institut für Internetsicherheit (Ifis) kann als Forschungseinrichtung und Dienstleister im IT-Sicherheitsumfeld die Anmeldung am WLAN mittels Maschinen-Zertifikaten mit nachträglicher Re-Authentifizierung per Benutzerzertifikat nicht empfehlen, da sie keine höhere Sicherheit als eine reine Maschinenauthentifizierung bietet. Ifis empfiehlt für eine sichere Wireless-LAN-Infrastruktur im Enterprise-Bereich eine reine Benutzerauthentifizierung mittels Smartcards, auch wenn dies Probleme bei der Domänenanmeldung mit sich führt.
Info: Institut für Internet-Sicherheit, Fachhochschule Gelsenkirchen Web: www.internet-sicherheit.de
Lesen Sie mehr zum Thema
