sh99 - stock.adobe.com

BSI-konformes Netzwerk: Sichere WLAN-Infrastrukur

Der dritte Teil der Serie zum BSI-IT-Grundschutz für Netzwerke befasst sich mit WLAN nach IEEE 802.11. Schwerpunkte sind die Planung, der Betrieb und wirksame Sicherheitsmaßnahmen.

Für viele Unternehmen ist WLAN längst eine geschäftskritische Infrastruktur. Gleichzeitig steigen mit neuen Funkstandards, höheren Bandbreiten und einer wachsenden Zahl mobiler Endgeräte auch die Anforderungen an die Planung, den Betrieb und die Absicherung drahtloser Netze. Der aktuelle IT-Grundschutz des BSI trägt dieser Entwicklung Rechnung und definiert konkrete Maßnahmen für den sicheren Betrieb von WLANs – von der Funkplanung über die Authentisierung bis hin zu regelmäßigen Sicherheits- und Qualitätsprüfungen. Dieser dritte Teil der Artikelserie zeigt, welche Anforderungen Organisationen in der Praxis erfüllen müssen und wo die größten Herausforderungen liegen.

Das BSI bietet die Bausteine NET.2.1 zum WLAN-Betrieb mit Fokus auf Inbetriebnahme und Regelbetrieb für IT-Administratoren, Sicherheitsverantwortliche und Führungskräfte, sowie NET.2.2 zur sicheren WLAN-Nutzung, der sich an die Benutzer richtet.

Gefährdungen

WLAN-Lösungen sind aufgrund der elektromagnetischen Übertragung von Funkwellen diversen weiteren Gefährdungen ausgesetzt, die bei verkabelten Netzwerken nicht bestehen. So können beispielsweise Ausfälle oder Störungen durch andere elektromagnetische Quellen im gleichen Frequenzspektrum auftreten, etwa durch Bluetooth, Mikrowellenherde oder andere WLAN-Netze. Selbst wenn die Signalstärke (RSSI) noch in Ordnung ist, kann zu starkes Rauschen (SNR) das Funksignal unbrauchbar machen. Zudem können DoS-Attacken auf Kontroll- und Management-Frames laufen, beispielsweise De-Authentifizierungs-Attacken gegen WLAN-Infrastrukturen, wenn keine Sicherheitsvorkehrungen wie Protected Management Frames (PMF) aktiviert sind.

In der Praxis kommt es jedoch auch häufig zu einer unzureichenden oder fehlenden Planung des WLAN-Einsatzes. Denn ein Netzwerktechniker ist nicht automatisch auch Experte für Frequenzspektren, elektromagnetische Beeinflussungen und Funkfeldausleuchtungen. Werden die Abdeckungen für die jeweiligen Frequenzbereiche nicht korrekt geplant, können Nutzer die Vorteile des neuen 6-GHz-Frequenzbereichs beispielsweise nicht nutzen oder es kommt zu Verbindungsabbrüchen. Es werden jedoch relevante Parameter, wie die Anzahl der parallelen Nutzer je Funkzelle, nicht benannt. Ein Hörsaal einer Universität muss beispielsweise völlig anders ausgeleuchtet werden als eine klassische Büroumgebung. Auch die Auslegung auf die zu benutzenden Dienste wird nicht berücksichtigt, da beispielsweise Streaming Video ein völlig anderes Muster aufweist als Voice over WLAN und anders geplant werden muss. Zudem ist WLAN als Shared Medium und Funktechnologie nicht zwangsläufig auf die eigene Lokation begrenzt und kann in externe Bereiche abstrahlen. Dadurch wird es anfällig für unberechtigte Paketaufzeichnungen.

Zudem braucht es klare Regelungen zum WLAN-Einsatz. Ein einziger unautorisierte Access Point im Datennetz einer Organisation kann alle Sicherheitsrichtlinien untergraben. Aber auch in legitimen Infrastrukturen kann das Schutzniveau durch Fehlkonfigurationen oder veraltete Komponenten gesenkt werden. In Unternehmensumgebungen wird zur Authentisierung von Geräten und Benutzern in WLANs meist das Extensible Authentication Framework (EAP) genutzt. Dieses bietet neben sicheren Verfahren wie EAP-TLS jedoch auch schwache Verfahren wie MD5 an, welches anfällig für erratene Kennwörter ist. Die Auswahl eines schwachen Verfahrens stellt somit ebenfalls eine Gefährdung dar.

Eine seit Jahren bekannte Gefährdung stellen vorgetäuschte gültige Access Points, sogenannte Rogue APs, dar. Wenn diese über die gleiche SSID und eine stärkere Sendeleistung, als das produktive Netzwerk zum potenziellen Opfer verfügen, verbinden sich die Geräte sich mit dem unautorisierten AP. In Folge kann der Angreifer Daten mitlesen oder auch manipulieren.

Über die Verschlüsselung der WLAN-Schnittstelle am Access Point wird häufig gesprochen, und in der Regel ist diese auch verschlüsselt. Der verkabelte LAN-Zugang ist jedoch meist ungeschützt, so dass zwischen AP und Switch Daten mitgelesen oder manipuliert werden könnten.

Bei der Montage von APs im Außenbereich können Vandalismus und Witterung zusätzlich zu Schäden führen. Im Falle eines Diebstahls ist zu beachten, dass Pre-Shared Keys oder RADIUS Shared Secrets in die Hände Dritter gelangen könnten.

Gefährdung WLAN-Nutzung

Im Bereich der WLAN-Nutzung sind altbekannte Gefährdungen zu beobachten. Zunächst ist da die unzureichende Kenntnis der Benutzer darüber, dass Funkmedien zunächst von allen im Empfangsbereich mitgehört werden können. Bei Verbindungen zu nicht autorisierten oder unverschlüsselten Netzen können unautorisierte Dritte die unverschlüsselten Daten mitlesen. Gleiches gilt bei der Vortäuschung eines validen Access Points. Das BSI erwähnt zudem, dass anhand der MAC-Adresse eines Clients sogar Bewegungsprofile erstellt werden können.

Basisanforderungen

Auch bei den Basisanforderungen stellt das BSI zunächst keine weitreichenden Anforderungen, von denen viele bereits bekannt sind. So beginnt es damit, den Nutzungsbereich und die Nutzungsszenarien inklusive einer Klärung der Betriebszuständigkeit festzulegen. Davon abgeleitet sollen geeignete Montage-/Aufstellungspunkte für die Access Points definiert werden, die einen passenden Abdeckungsbereich gewährleisten und über Zugriffs- und Diebstahlschutz verfügen. Bei größeren Umgebungen ist also ein Site Survey notwendig, um die optimalen Aufstellungspunkte zu ermitteln. Befinden sich diese im Außenbereich, muss ein Schutz gegen Witterungseinflüsse und elektrische Entladungen bestehen. Dabei muss auch berücksichtigt werden, dass der Empfangsbereich möglichst nicht über den Nutzungsbereich hinausgeht.

Pre-Deployment Site Survey mit Ekahau.
Abbildung 1: Pre-Deployment Site Survey der Signalstärke im 5-GHz-Band auf Basis einer Heatmap in der Software Ekahau. Grün ist positiv, gelb mittelmäßig.

Anschließend erfolgt die Auswahl des geeigneten WLAN-Standards. Dieser ergibt sich aus den Bandbreitenbedarfen sowie den im lizenzfreien ISM-Band ausstrahlenden Bestandsgeräten und muss mit sicheren Authentifizierungs- und Verschlüsselungsverfahren kompatibel sein. Insbesondere bei der Verschlüsselung sind nur Geräte mit aktuellen Sicherheitsmaßnahmen zulässig. Insgesamt darf jedoch kein Verschlüsselungsverfahren unter WPA2 zum Einsatz kommen. Wenn Pre-Shared-Keys verwendet werden, sollten diese mindestens 20 Zeichen lang sein.

Im nächsten Schritt geht es um die sichere Konfiguration. Dabei sollte zunächst darauf geachtet werden, dass in der Architektur keine multiplen Sicherheitszonen über WLAN gekoppelt werden. Bei den Access Points ist auf eine sichere Konfiguration zu achten. Das bedeutet, dass die Konfiguration sowohl bei der Übertragung zum AP als auch auf dem Gerät verschlüsselt sein muss. Standardkennwörter und SSIDs sind anzupassen. Bei der Einbindung in das verkabelte LAN muss festgelegt werden, ob eine physische Trennung oder eine VLAN-Trennung der unterschiedlichen WLAN-Netze erfolgen soll. Zudem sollten strukturierte Verhaltensregeln für WLAN-Sicherheitsvorfälle definiert werden, beispielsweise für den Fall, dass ein Access Point oder ein Client entwendet wurde. In solchen Fällen sollten korrespondierende Zertifikate beispielsweise gesperrt werden, um einen missbräuchlichen Gebrauch proaktiv zu unterbinden.

Die Basisabsicherung für Anwender basiert zunächst auf Nutzungsrichtlinien, Sensibilisierungsmaßnahmen und Schulungen. So muss beispielsweise klar sein, ob und unter welchen Bedingungen die Nutzung von Hotspots zulässig ist. Anwender mit administrativen Berechtigungen dürfen keine externen Netze nutzen und zwischen ihnen und dem Access Point muss eine Verschlüsselung nach dem aktuellen Stand der Technik zum Einsatz kommen. Das ist insbesondere bei der Verarbeitung sensitiver Daten relevant. Dies ist meist nur mit Overlay-VPN-Tunneln wie IPsec, Wireguard oder OpenVPN möglich. Dies ist beim Zugriff auf Daten des jeweiligen Unternehmens oder der Behörde ohnehin zwingend erforderlich.

Standardanforderungen

Die Standardanforderungen für WLAN enthalten bereits einige Überraschungen. So muss beispielsweise am Übergang zwischen WLAN und LAN ein Paketfilter geschaltet werden. Hier ist jedoch zunächst keine Stateful Inspection benannt, weshalb zunächst auch ein statusloser Paketfilter (sogenannte Access-Liste) ausreichend ist. In Umgebungen, die den Datenverkehr nicht zentral an einem Controller terminieren, kann dies in größeren WLAN-Installationen einen nicht unerheblichen Aufwand nach sich ziehen.

Zudem muss bei diesem Schutzbedarf die IT-Sicherheitsrichtlinie um Konkretisierungen für WLAN ergänzt werden und es müssen Verantwortliche für den Betrieb benannt werden.

Für die meisten Systemverantwortlichen dürfte die Auswahl geeigneter WLAN-Komponenten anhand von Anforderungslisten und Kompatibilitäten sowie die Einbeziehung von Datenschutzaspekten in Ergänzung zu Sicherheitsthemen selbstverständlich sein. Zudem sollte eine geeignete zentrale WLAN-Managementlösung zum Einsatz kommen. Die erforderlichen Leistungsmerkmale ergeben sich aus der WLAN-Strategie. Dies ist aber inzwischen in den meisten Organisationen bereits auf niedrigeren Levels gegeben.

Die regelmäßigen Sicherheitschecks erzeugen jedoch wiederkehrende Aufwände. Im einfachsten Fall sind dies Rogue-AP-Prüfungen, die die meisten WLAN-Controller inklusive Alarmierungen bereits standardmäßig mitbringen. Lediglich sehr günstige Hersteller fallen an dieser Stelle weg. In der Praxis zählen dazu jedoch auch Prüfungen auf Sicherheitslücken. Das BSI präzisiert dies jedoch nicht. In der Umsetzung führt dies zu kurzzyklischen Prüfungen auf bekannte Sicherheitslücken beim Hersteller sowie zu regelmäßigen Penetrationstests der WLAN-Umgebung, um die Anforderungen zu erfüllen. Ein weiteres Thema sind regelmäßige Performance- und Abdeckungsmessungen, also Post-Deployment-Site-Surveys. Zwar führen viele WLAN-Betreiber vor Inbetriebnahme ein Pre-Deployment-Site-Survey durch, prüfen die Annahmen nach der Implementierung jedoch nicht und schon gar nicht regelmäßig. Durch die Regelmäßigkeit ergibt sich in der Regel die Notwendigkeit für eigenes Messequipment und entsprechendes Personal.

Post-Deployment Site Survey mit Hamina.
Abbildung 2: Ergebnisse eines Post-Deployment Site Surveys in der Software Hamina.

Zudem sollen regelmäßige Audits zur Überprüfung der korrekten Konfiguration und Umsetzung der Sicherheitsmaßnahmen an WLAN-Komponenten erfolgen. Bei öffentlich montierten Komponenten kommen Prüfungen auf Öffnungs- oder Manipulationsversuche hinzu.

Für die Benutzer sind im organisatorischen Bereich zudem Verhaltensregeln für WLAN-Sicherheitsvorfälle zu erstellen. Dies beinhaltet beispielsweise die Deaktivierung der WLAN-Schnittstelle nach Sicherung der Arbeitsergebnisse sowie einen entsprechenden Meldeweg für die Mitteilung des Vorfalls.

Erhöhter Schutzbedarf

Bei erhöhtem Schutzbedarf müssen die Benutzer zwingend ein VPN verwenden, um eine zweite Schicht der Absicherung zu erreichen. Aus infrastruktureller Sicht ist der Übergang zwischen WLAN und LAN stärker abzusichern. Das BSI präzisiert dies jedoch nicht näher. In der Praxis bedeutet dies vermutlich, dass neben dem reinen Paketfilter, wie er im Standard gefordert ist, auch eine Deep Packet Inspection auf Layer 7 inklusive IDS/IPS am Netzübergang eingesetzt werden muss.

Zudem muss die Kommunikation zwischen Access Points verschlüsselt erfolgen, was sowohl für verkabelte als auch für funkbasierte Kommunikation gilt. Da in den meisten Organisationen kontrollbasierte Lösungen mit Control and Provisioning of Wireless Access Points (CAPWAP) oder Verwaltung über HTTPS zum Einsatz kommen und keine direkte Kommunikation zwischen den Access Points erfolgt, sollte eine Verschlüsselung der Kontroll- und Managementkommunikation mit dem Controller über CAPWAP-Verschlüsselung erfolgen. Bei HTTPS ist die Verschlüsselung implizit gegeben.

Ein entscheidendes Thema bei der Produktauswahl ist jedoch die Anforderung an ein Wireless Intrusion Detection/Wireless Intrusion Prevention System (WIDS/WIPS), da einige Hersteller dies nicht in ihrem Portfolio haben. Ein solches System muss verdächtige Muster erkennen (WIDS) und unterbinden können (WIPS). Dabei ist jedoch darauf zu achten, dass WIPS ein rechtliches Minenfeld darstellen kann, da es sich bei der unterbundenen Kommunikation auch um legitime Kommunikation von Dritten handeln kann.

Fazit

WLAN-Umgebungen sind inzwischen in den meisten Organisationen vorhanden. Bereits im Basisbereich kommen Anforderungen wie ein Pre-Deployment-Site-Survey zum Tragen, die nicht alle Organisationen erfüllen. Bei den Standardanforderungen sind es insbesondere die wiederkehrenden Sicherheits- und Qualitätsprüfungen, die einen hohen Betriebsaufwand erzeugen. Die erhöhten Anforderungen führen dazu, dass einige Hersteller bei der Produktauswahl ausscheiden, da ihre Lösungen kein WIDS/WIPS bieten.

Die Artikelserie BSI-konformes Netzwerk

Diese Artikelserie soll einen praxisnahen Einblick in das Vorgehen bei der Implementierung von IT-Grundschutz geben und konkrete Hilfestellungen sowie Szenarien zu den Objekten darstellen. Der erste Teil der Serie behandelt die IT-Grundschutzsystematiken wie die Strukturanalyse, die Schutzbedarfsfeststellung und die Anforderungskategorisierung inklusive Hinweisen zur Einordnung verschiedener Maßnahmen. Der zweite Teil der Serie zeigt, wie Unternehmen Netzwerkarchitektur und Netzmanagement sicher gestalten können – von der Segmentierung bis zum Monitoring.In den weiteren Artikeln behandeln wir jeweils konkrete Themenbereiche wie Firewalls und Switches.

Erfahren Sie mehr über WLAN und Mobilfunk