 |
|
|
|
|
|
|
Sicherheit in der mobilen KommunikationEin Konzept für den sicheren Betrieb eines WLANLokale Funknetze erfreuen sich in Firmen immer größerer Beliebtheit, ermöglichen sie doch den Betrieb von Laptops und Handheld-Computern ohne lästige Verkabelung. Neben Firmennetzen bieten zunehmend auch öffentliche Gebäude (z.B. Flughäfen, Cafés) einen Zugang ins Internet über WLANs an. Das Institut für Telematik hat in einem Projekt untersucht, welche Sicherheitsaspekte im Zusammenhang mit der Vertraulichkeit der übertragenen Daten und dem Schutz vor unerwünschten Eindringlingen zu beachten sind. Außerdem wurde ein Konzept für den Betrieb von WLANs entwickelt. Der WLAN-Standard (IEEE 802.11b) definiert mit dem WEP-Protokoll (Wired Equivalent Privacy) eine Möglichkeit der verschlüsselten Kommunikation zwischen Funkkarten und Basisstationen. Die zur Zeit üblichen Verfahren (WEP 40 und WEP 128) leiden jedoch unter einem generellen Problem: Der Aufbau des Schlüssels, der zur Verschlüsselung der übertragenen Daten herangezogen wird, weist strukturelle Schwächen auf. So kann durch statistische Analysen des beobachteten, übertragenen Datenstroms dessen Schlüssel ermittelt werden. Hierfür sind im Internet Tools frei erhältlich, die eine Entschlüsselung automatisiert vornehmen. Niemand muss sich daher heutzutage in die Spezifikationen und Publikationen hineinlesen, um diese Schwäche auszunutzen; ein einfacher Doppelklick auf die Hacker-Anwendung und etwas Geduld reichen aus. Als Konsequenz müssen weiter reichende Technologien eingesetzt werden, um ein WLAN sicher zu betreiben.
Das Konzept des Instituts für Telematik zur Einführung eines WLAN sieht eine Trennung von Internet, Intranet und WLAN durch eine Firewall vor. Um den Datenverkehr zwischen der Funkkarte und Basisstation abzusichern, wird ein VPN-Tunnel (Virtual Private Network) zwischen dem WLAN-Gerät und der Firewall aufgebaut. VPNs werden verwendet, um in öffentlichen und nicht vertrauenswürdigen Netzen einen sicheren "Tunnel" zwischen zwei Kommunikationspartnern aufzubauen. Die Verschlüsselungstechniken, auf denen VPNs aufbauen, z.B. IPsec, garantieren, dass kein anderer Teilnehmer des öffentlichen Netzes den Datenstrom zwischen den beiden Kommunikationspartnern mitlesen kann. Der Zugang zu den Basisstationen ist im Allgemeinen nicht gesichert. Eine fremde Person kann daher zunächst versuchen, eine Verbindung zwischen ihrem Rechner und der Basisstation herzustellen, um dann von dort aus in das Netz einzudringen. Auf den Basisstationen können Listen gepflegt werden, die den Zugang regeln. Dieses Feature ist vielerorts jedoch ausgeschaltet und selbst im aktivierten Zustand nicht wirklich ein Hindernis, weil ein gültiger Listeneintrag durch Mithören des Datenstroms von autorisierten Teilnehmern ermittelt werden kann. Schwieriger für einen Angreifer wird es, wenn der Zugang zur Basisstation die Authentifikation an einem sog. Radius-Server erfordert. Hierzu müssen die Basisstationen das EAP (Extensible Authentication Protocol) oder LEAP (Lightweight Extensible Authentication Protocol) verstehen. Durch die Verwendung dieses Verfahrens ist es prinzipiell auch möglich, die Sicherheit des WEP-Protokolls zu erhöhen, da der WEP-Schlüssel bei jeder Anmeldung neu ausgehandelt wird. Damit wird das Risiko minimiert, eine so große Menge an Daten zu übertragen, dass die Ermittlung des Schlüssels möglich ist. Voraussetzung ist allerdings, dass die Verbindung nicht permanent besteht. In der Praxis ist der Radius-Server sinnvollerweise im Intranet aufgestellt ist. Die Authentifikation erfolgt also vor der Etablierung des VPN-Tunnels zwischen PC und Firewall. Dies bedeutet, dass die Firewall die Kommunikation zwischen den Basisstationen und dem Radius-Server zunächst zulassen muss, später aber nur diejenige Kommunikation erlauben darf, die zuvor über VPN übertragen wurde. Hier ist die Reihenfolge der eingesetzten Technologien, die nicht notwendigerweise vom gleichen Hersteller stammen, entscheidend. Zusätzlich möchte man den Anwender auch davor bewahren, zu viele Passworte anzugeben. Die Authentifizierung am Radius-Server sollte deshalb gleichzeitig mit der Anmeldung am Windows-Netzwerk im Intranet sowie mit dem Aufbau des VPN-Tunnels erfolgen. Ein weiteres Problem sich ergibt daraus, dass der Anwender sich möglicherweise in Bewegung befindet und aus dem Empfangsbereich einer Basisstation in den Empfangsbereich einer anderen Basisstation gelangt. Daher muss garantiert werden, dass der VPN-Tunnel über die neue Basisstation zur Firewall nicht abreißt und die Kommunikation aufrecht erhalten bleibt. Dieses Verfahren ist unter dem Begriff Roaming auch bei Handys bekannt. Die Praxis hat gezeigt, dass eine Umsetzung des beschriebenen Konzeptes möglich ist. Allerdings ist die konkrete Realisierung stark betriebssystemabhängig. Dies trifft vor allem auf die Benutzer-Authentifikation zu. Ebenso sind die Tools zum Management in verschiedenen Betriebssystem-Implementationen nicht notwendigerweise gleich. Trotzdem hilft die Erkenntnis über die Zusammenhänge der beteiligten Komponenten bei der Umsetzung ungemein. PublikationenVorträge |
