|
Client-Client-Attacke
Alle Teilnehmer eines funkbasierten Netzwerkes speichern die
sensiblen Zugangsdaten (z.B. WEP-Schlüssel), die zur Authentifizierung
und Kommunikation mit einem Access Point verwendet werden, lokal zwischen.
Da viele Hersteller die Zugangsdaten
auf den Festplatten der Teilnehmer komplett ohne oder
nur mit einer sehr schwachen Verschlüsselung
versehen, kann ein Angreifer durch das gezielte Ausnutzen
einer Schwachstelle des Betriebssystems eines Teilnehmers
in den Besitz der Zugangsdaten gelangen.
Des weiteren sind alle lokalen Daten
auf den Festplatten der einzelnen Teilnehmer des Funknetzes
prinzipiell bedroht, sofern diese nicht mit besonderen
Maßnahmen geschützt sind (z.B. Dateisystemverschlüsselung).
Der Einbruch in ein funkbasiertes Netzwerk erfolgt
entweder durch Ausnutzung einer bekannten Schwachstelle
der vorgestellten Sicherheitsmechanismen (z.B. schwache
Initialisierungsvektoren im WEP-Protokoll) oder durch
einen gezielten Angriff gemäß der fünf
identifizierten Angriffsvarianten.
Lösungsansätze:
Konfiguration und Administration der Funkkomponenten
Einfache Basisschutzmaßnahmen (z.B. Aktivierung von WEP)
an den Komponenten
des drahtlosen Netzwerkes (z.B. Access Points) sollten trotz bekannter Unzulänglichkeiten
aktiviert werden.
Die folgenden Basisschutzmaßnahmen sollten an den einzelnen Komponenten
des drahtlosen Netzwerkes vorgenommen werden:
1. Durch den Hersteller vorgegebene Passwörter
ändern und durch eigene, nicht in Wörterbüchern vorkommende,
alphanumerische Zeichenketten ersetzen. Diese sollten neben Groß- und
Kleinbuchstaben auch Zahlen und Sonderzeichen enthalten (z.B.„A@!x7~sJ3/“)
und über eine Mindestlänge von acht Zeichen verfügen.
2. Vorgegebenen Netzwerknamen (SSID) ändern. Der neue
Netzwerkname darf
keinerlei Rückschlüsse auf die Funktion (z.B. Internetgateway),
den Standort (z.B. Hauptstraße 7) oder den Betreiber (z.B. Firma XY)
eines Access Points zulassen.
3. Wenn möglich, sollte die Konfiguration des Access
Point mit einem zusätzlichen Passwort versehen werden. Dieses Passwort
sollte auf keinen Fall mit dem WEP-Kennwort übereinstimmen und sollte
Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. Auch
hier ist eine Länge von mindestens acht Zeichen ratsam.
4. Sofern der Zugang zu einem Access Point durch einen MAC
Adressen-Filter beschränkt werden kann, sollte diese Schutzmaßnahme
aktiviert werden.
5. Ebenso sollte auf jeden Fall die WEP-Verschlüsselung
eingeschaltet werden, auch wenn diese als unsicher einzustufen ist. WEP bietet
einen geringen Grundschutz und sollte nur mit einer 128 Bit langen Verschlüsselung
verwendet werden.
6. Die geheimen WEP-Schlüssel müssen periodisch
gewechselt werden. Je sensibler die per Funknetz übertragenen Daten sind,
desto öfter muss der WEP-Schlüssel gewechselt werden.
7. Aufstellort und Antennencharakteristik des Access Points
sind so wählen, dass möglichst nur das gewünschte Gebiet funktechnisch
versorgt wird. Dabei ist zu beachten, dass sich die Funkwellen sowohl horizontal
als auch vertikal ausbreiten. Des weiteren sollte die Sendeleistung des Access
Points reduziert werden, damit nach Möglichkeit nur das gewünschte
Gebiet funktechnisch versorgt wird.
8. Wenn der Access Point die automatische Vergabe von IP-Adressen
via DHCP (Dynamic Host Configuration Protocol) unterstützt, sollte diese
abgeschaltet werden. Die lokalen IP-Adressen sollten statisch vergeben und
ein möglichst kleiner IP-Adressbereich gewählt werden. Falls möglich,
sollten statische ARP-Speichertabellen sowie Intrusion Detection Systeme eingesetzt
werden, die Angriffe auf ein lokales Netzwerk erkennen und melden können.
Ein DHCP Server wird einem Eindringling andernfalls automatisch eine gültige
IP-Adresse zuweisen.
9. Manche Hersteller haben auf die aufgedeckten Schwachstellen
des WEP-Protokolls
reagiert und eigene, proprietäre Erweiterungen (z.B. WEPplus, Fast Packet
Keying) auf den Markt gebracht, die die Sicherheit der drahtlosen Datenübertragung
erhöhen sollen. Man sollte deshalb die einzelnen Endgeräte softwaremäßig
auf den neuesten Stand bringen. Da die neuen Sicherheitsverfahren jedoch nicht
standardisiert sind, können nur die Komponenten mit der gleichen Erweiterung
zusammen verwendet werden, andernfalls wird die Aktivierung der proprietären
Sicherheitsmechanismen unterbunden.
10. Bei Nichtbenutzung einer drahtlosen Komponente sollte
diese abgeschaltet werden. Dies gilt insbesondere für funkbasierte Endgeräte
in Firmennetzwerken, um in Zeiten, in denen die Funktionalität der Komponenten
nicht benötigt wird (z.B. am Wochenende) einem Angreifer keine Angriffsfläche
zu bieten.
|
|
|