Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Sicherheit von Wireless LAN – eine vielfältige Herausforderung

Wireless LAN Netzwerke sind heute omnipräsent. Sie sind sowohl in KMU’s als auch in grossen Unternehmen, in privaten Haushalten und an öffentlichen Orten nicht mehr wegzudenken. Gemäss dem Cisco Whitepaper Global Mobile Data Traffic Forecast [1] wird bis 2020 rund 50% des IP Datenverkehrs über Wireless LAN Zugangstechnologien erfolgen, wie nachfolgende Grafik illustriert: Bildquelle: IP Traffic by Access Technology, Cisco, Februar 2017. Da ein physischer Zugriffsschutz bei WLAN quasi nicht zu bewerkstelligen ist, dürfen Unternehmen wie auch Private das Thema Sicherheit von WLAN nicht vernachlässigen. Dabei kommen Sicherheitsmassnahmen im Bereich des Access Points, der Funkverbindung, des Clients und der Kopplung zum Local Area Network zum Zug. Folgende Sicherheitsmassnahmen werden sinnvollerweise in Bezug auf den Access realisiert:

• WLAN ausschalten, wenn es nicht genutzt wird
• Ändern des Standardpasswortes des Access Points
• Regelmässiges update der Firmware, um bekannte Schwachstellen zu schliessen (siehe auch softwareupdate)
• Anpassen der Antennencharakteristik, Sendeleistung und des Aufstellorts, um nur das erforderliche Gebiet mit WLAN zu versorgen
• Nicht verwendete Dienste auf dem Access Point deaktivieren

Weitere Möglichkeiten, wie das Verwenden der Zugriffskontrollliste (MAC basierter Zugangsschutz), das Unterdrücken der SSID/ESSID sowie die Deaktivierung des DHCP-Servers erhöhen die Sicherheit nur in begrenztem Ausmass, da sie relativ einfach umgangen werden können. Eine wichtige Schutzmassnahme ist die Verwendung von sicheren Verschlüsselungsverfahren. Die beiden gängigen Verfahren mit einer weiten Verbreitung im privaten Bereich und bei kleineren Unternehmen sind Wired Equivalent Privacy (WEP) und Wi-Fi Protected Access (WPA). WEP gilt als nicht mehr sicher und kann innert kürzester Zeit geknackt werden, weshalb es nicht mehr verwendet werden sollte. Auch WPA Verbindungen können mit entsprechenden Tools geknackt werden, eine wichtige Sicherheitsmassnahme gegen solche Brute-Force Attacken ist die Verwendung von WPA2 mit der maximalen Schlüssellänge und einer sicheren Zeichenkette. In mittleren und grösseren Unternehmen ist häufiger der Standard IEEE 802.X anzutreffen, der Methoden für die Authentifizierung und Authorisierung zur Verfügung stellt. Dies kommt zum Beispiel bei eduroam, einer Dienstleistung zum Internetzugang von Mitarbeitenden und Studierenden der teilnehmenden Bildungsinstitutionen zum Einsatz. Die Benutzer können dabei ihren eigenen Benutzernamen und ihr eigenes Passwort verwenden. Das Deutsche Forschungsnetz hat darauf hingewiesen, dass auch bei diesem Verfahren Sicherheitslücken bestehen, da bei gewissen Android-Geräten die Authentizität des eduroam Servers nicht überprüft wird und die Zugangsdaten über einen gefälschten Access-Point abgegriffen werden können [2]. Auch die verwendeten Clients können folglich ein Sicherheitsrisiko darstellen. Zu bedenken ist dabei auch, dass viele mobile Clients wie Android und Apple Geräte die WLAN Passwörter synchronisieren und sie dabei auch im Klartext auf dem Server ablegen [3]. Bring Your Own Device ist weit verbreitet und so gelangt auch ein vermeintlich sicherer WPA2 Schlüssel schnell im Klartext in die Cloud. Unter Verwendung von Windows 7 wird der WLAN Schlüssel ebenfalls im Klartext auf dem Rechner abgelegt. Dies führt dazu, dass Sicherheitsmassnahmen im Clientbereich nicht ausser Acht gelassen werden dürfen. In Unternehmensnetzwerken empfiehlt es sich das LAN Netzwerk mit einer Firewall / IDS gegen das WLAN abzusichern. Ein häufiges Einsatzszenario ist auch das Verwenden von öffentlichen WLAN Netzwerken, um auf geschäftliche Ressourcen zuzugreifen. Hier haben sich VPN Netzwerke etabliert, die die Verbindung absichern können. Das Thema der Haftbarkeit sollte beim Betreiben von öffentlichen Netzwerken gut abgeklärt und abgewogen werden, da es einige Risiken birgt.  

Sicherheit von Wireless LAN Literaturquellen:

Andreas Wisler, Mobile Security, Mai 2017  

Sicherheit von Wireless LAN Links

[1] http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/mobile-white-paper-c11-520862.html [2] https://www.dfn-cert.de/aktuell/Google-Android-Eduroam-Zugangsdaten.html [3] https://www.heise.de/security/meldung/Android-und-die-Passwoerter-Offene-Tueren-fuer-Spionage-1917386.html http://web.fhnw.ch/plattformen/blogs/iwi/2017/05/07/cas-information-security-risk-management-softwareupdate/ https://de.wikipedia.org/wiki/Eduroam    

---

Blogpost wurde erstellt von Matthias Fries (Centre for Development and Environment) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.