Schneller, höher, weiter – bei vielen WLAN-Installationen stehen vor allem Komfortgedanken hinsichtlich möglichst hoher Übertragungsgeschwindigkeiten und optimaler Ausleuchtung im Vordergrund. Beim Thema Sicherheit vertraut man darauf, dass bereits die Kombination aus WPA2-Verschlüsselung mit einer unsichtbar ausgestrahlten SSID (Service Set Identifier) ausreichenden Schutz bietet. Viele Unternehmen unterschätzen, dass im WLAN die Gefahr weniger von Kriminellen, sondern eher von den eigenen Mitarbeitern ausgeht.

Die Akzeptanz von WLAN nimmt nicht nur im Unternehmensumfeld stetig zu. Allgegenwärtig sind die unzähligen Hotspots im Hotel- und Gaststättengewerbe, auf Messen und Veranstaltungen sowie in öffentlichen Verkehrsmitteln und zunehmend in Geschäften. Vielen Betreibern ist allerdings nicht bewusst, dass die Access Points ideale Einfallstore sind, um Zugriff auf die weitere Netzwerkinfrastruktur zu erhalten oder Nutzerdaten abzugreifen. IT-Administratoren müssen ihre Funknetze vor den folgenden sechs WLAN-Bedrohungen schützen: benachbarte, unerwünschte (Rogue) und „Evil Twin“ Access Points, Rogue Clients, Ad-hoc-Netzwerke sowie Fehlkonfigurationen. Dabei gilt es, zwei Bereiche zu unterscheiden: Gegenüber aktiven Angriffen von Kriminellen, die Systeme für den Zugang ins interne Netzwerk oder zum Datendiebstahl manipulieren, wiegt das bewusste oder unbewusste Fehlverhalten von Mitarbeitern in diesem Bereich ungleich schwerer. Denn beide unterminieren das Vertrauen aller Nutzer einer WLAN-Umgebung. Schutz bietet hier der Aufbau einer vertrauenswürdigen Funkumgebung (Trusted Wire­less Environment), die schnell, einfach zu verwalten und vor allem sicher ist. Idealerweise erkennt ein WIPS (Wireless Intrusion Prevention System) alle Vorkommnisse im Funknetz, unterbindet Bedrohungen proaktiv, protokolliert sie und bereitet sie zu Analysezwecken verständlich auf.

Sechs Bedrohungen gefährden das WLAN

Benachbarte Access Points: In vielen Unternehmen ist es den Mitarbeitern untersagt, den Internetzugang für private Zwecke zu nutzen, etwa für Facebook oder Twitter. Über Blacklist-Einstellungen in der Gateway-Firewall lässt sich der Verbindungsaufbau zu diesen und weiteren Seiten beispielsweise per URL-, Content- und DNS-Filter zuverlässig sperren. Doch wer oder was hindert den Mitarbeiter daran, den Zugang über den Firmenlaptop in Verbindung mit einem eigenen Smart­phone-Hotspot oder per Gäste-WLAN aufzubauen? Die Gefahr in diesem Szenario besteht darin, dass Datenverkehr parallel zur eigenen Infrastruktur und daher unkontrolliert stattfindet. Falls Malware einen Rechner auf diesem Weg infiziert, ist das für den Administrator nicht nachvollziehbar, da in den Logdateien keine Hinweise zu finden sind.

Rogue Access Points: Hier handelt es sich um Hardware, die jemand an der IT-Abteilung vorbei ins Unternehmen einschleust und an einen internen LAN-Port oder Switch ansteckt. Das kann das Werk von Kriminellen sein, die sich Zutritt zum Unternehmen verschafft haben, aber häufiger erfolgt das durch eigene Mitarbeiter, die damit vielleicht schlechte WLAN-Performance an ihrem Arbeitsplatz verbessern wollen. Das stellt insbesondere ein Problem für Unternehmen dar, die ein WLAN gemäß PCI-DSS (Payment Card Industry Data Security Standard) betreiben: Ein Rogue Access Point stellt einen direkten Verstoß dagegen dar. Wie im Fall zuvor hat der IT-Administrator auch hier keine Ahnung davon, was da überhaupt eingerichtet wurde und wie die Geräte­sicherheit konfiguriert ist. Häufig handelt es sich hier jedoch um keine gezielte, böswillige Attacke, sondern ein Fehlverhalten von Mitarbeitern, die ein Netzwerkproblem in Eigenregie lösen wollen und sich über die Konsequenzen nicht im Klaren sind. Zu Rogue Access Points zählen auch WLAN-fähige Drucker und Faxgeräte ohne ausreichende Verschlüsselung, die per LAN-Port ans interne Netzwerk angeschlossen sind.

Ein Überblick über die im WLAN genutzten Protokolle und Services bildet die Grundlage für die Suche nach Auffälligkeiten. Bild: WatchGuard

Böse Zwillinge als Gefahrenquelle

Evil Twin Access Point: Im Fall eines „bösen Zwillings“ startet ein Angreifer den Versuch, Unternehmensgeräte wie Laptops oder Smart Devices mittels gefälschter SSID dazu zu bringen, sich mit seinem Access Point zu verbinden. Dies setzt voraus, dass der Angreifer sich in Reichweite des Unternehmens-WLAN befindet. Das Gerät des Angreifers sendet dazu die SSID- und MAC-Adresse des unternehmenseigenen Access Points aus – die sich übrigens selbst bei einer „unsichtbaren“ Ausstrahlung problemlos mit frei im Internet verfügbaren Tools finden und auslesen lassen. Mit weiteren Werkzeugen kann der Angreifer in der Folge Mitarbeiter dazu verleiten, eine Verbindung mit dem falschen Access Point aufzubauen. Sobald das passiert, hat der Angreifer Kontrolle über den gesamten Datenverkehr. Per MITM-Angriff (Man in the Middle) kann er nun sämtliche Eingaben manipulieren, mitschneiden, verändern und umlenken oder einfach nur Informationen sammeln. Im schlimmsten Fall erhält er auf diese Weise Zugriff auf Nutzernamen und Passwörter, zum Beispiel für Social-Media-Plattformen – oder sogar für Unternehmensanwendungen.

Rogue Clients: Dies sind ganz allgemein Rechner mit WLAN-Adapter oder entsprechende Smart Devices, die sich in Reichweite des Unternehmens-WLAN befinden und sich mit diesem verbinden wollen. In minderschweren Fällen nutzen sie schlicht die Firmen-Internetverbindung mit, was beim Aufruf illegaler Inhalte allerdings auf den WLAN-Betreiber zurückfallen kann. Tiefergehende Angriffe können auf geschützte Netzwerkbereiche abzielen. Administratoren sollten jederzeit Kenntnis darüber haben, welche Geräte sich überhaupt mit dem Unternehmens-WLAN verbinden dürfen, und diejenigen erkennen, denen dies trotz richtiger Anmeldedaten nicht erlaubt ist – wie etwa den privaten Smart Devices von Mitarbeitern.

Ad-hoc-Netzwerke: WLANs sind in der Regel für den Einsatz im Infrastrukturmodus konfiguriert. Die Kommunikation aller angemeldeten Geräte erfolgt so über einen definierten Zugriffspunkt. Alternativ lässt sich jedoch auch der Ad-hoc-Modus aktivieren. Er versetzt die Geräte im WLAN in die Lage, untereinander zu kommunizieren. Damit können Anwender beispielsweise Druckaufträge direkt an einen WLAN-Drucker senden. Das Problem: Oft sind diese Verbindungen entweder überhaupt nicht oder nur mit einer schwachen, schnell gehackten Verschlüsselung wie WEP/WPA gesichert. Zugleich umgeht dieser Übertragungsweg vorhandene Netzwerk-Sicherheitsrichtlinien.

Außerdem läuft jeglicher Datenverkehr in einer Ad-hoc-Verbindung ohne Kenntnis des IT-Administrators ab. Bei Clients im Ad-hoc-Modus besteht zudem die Gefahr, dass bestehende Ordnerfreigaben auf einem Laptop den Zugriff auf eigentlich nicht beabsichtigte Bereiche zulassen oder lokale Adressbücher etc. ausgelesbar sind.

Falsch konfigurierte Access Points: Zu den Grundlagen in diesem Bereich gehört, dass alle Access Points über die aktuelle Firmware verfügen müssen, zudem über die identische SSID, die gleichen Einstellungen oder Policies sowie mindestens WPA2-Enterprise-Verschlüsselung. Der Zugang zur Benutzeroberfläche sollte mit einem starken Passwort geschützt und nur von zentraler Stelle aus möglich sein. Es empfiehlt sich, unnötige Ports für Telnet, HTTP, FTP etc. zu schließen. Eine Überprüfung in Form von Verbindungstests zu Clients und Unternehmensapplikationen hinsichtlich Geschwindigkeit und Qualität sollte regelmäßig erfolgen.

Transparenz sorgt für Sicherheit

Durch den Aufbau eines „Trusted Wireless Environments“ mit WIPS schützen sich Unternehmen nicht nur vor Kriminellen und unvorsichtigen Mitarbeitern. In Verbindung mit Speziallösungen kann die IT-Organisation damit zudem das Verhalten aller unternehmenseigenen und fremden Geräte in WLAN-Reichweite kontrollieren und steuern. Die sechs großen WLAN-Bedrohungen verlieren durch mehr Transparenz ihren Schrecken. Auch übliche Netzwerkprobleme – etwa Clients mit einer schlechten Verbindung, sich immer wieder an- und abmeldende Systeme oder die Eingabe falscher Pre-Shared-Keys – lassen sich automatisiert verarbeiten und in Form eines Dashboards darstellen. Im Ernstfall kann das IT-Team individuelle Anfragen von Anwendern bis zu eine Woche rückwirkend abrufen und per Drilldown bis zum Endgerät bearbeiten.

Jonas Spieckermann ist Senior Sales Engineer bei WatchGuard Technologies, www.watchguard.com.