Independent Competence Platform
for Integrated Security in Switzerland.

01.07.2013
by: Exclusive Networks Group

Auf der Jagd nach "bösen" WLAN-Systemen

"Veteranen" der IT- und Netzwerkbranche werden sich noch an die Tage erinnern, als Wireless LANs (WLANs) noch als Exoten im Firmennetzwerk galten. Der Platzhirsch war das Netzwerkkabel. Doch heute sieht die Lage anders aus. Zum einen deshalb, weil in Unternehmen immer mehr mobile Geräte zu Einsatz kommen. Sie klinken sich meist über Funk ins Firmen-LAN ein. Zum anderen steht in Kürze mit IEEE 802.11ac ein Standard zur Verfügung, der in der ersten Version eine respektable Datenrate von bis zu 1,3 GBit/s unterstützt. Im zweiten Schritt sollen Produkte auf den Markt kommen, die Übertragungsgeschwindigkeiten von bis zu 3,47 GBit/s bieten. Auch wenn in der Praxis davon Clients "nur" mehrere 100 MBit/s zur Verfügung stehen, reicht das für die meisten Anwendungen vollauf.

Doch ein Schwachpunkt von WLANs bleibt im Vergleich zu kabelgestützten LANs bestehen: Ein Wireless LAN ist per se weniger sicher als ein kabelgestütztes Netz. Der Grund ist, dass ein Funknetz leichter zugänglich und damit anfälliger für Angriffe von Hackern ist als ein "Drahtnetz". Wichtig ist daher für Enterprise-WLANs und die dort genutzten Access Points (APs), dass sie Eindringlinge automatisch erkennen und aus dem Netz aussperren. Teldat bintec, ein Partner von Exklusive Networks, stellt mit dem neuen Feature Release 9.1.5 seiner WLAN-Controller und Access Points (APs) Funktionen bereit, die "Rouge Clients" und "Rouge Access Points" identifizieren.

"Böse" Clients …
Rogue Clients sind "fremde" WLAN-Endgeräte, die sich widerrechtlich in ein Firmen-WLAN einbuchen wollen oder die als Störsender aktiv sind, indem sie fehlerhafte Daten-Frames senden. Cyber-Kriminelle nutzen solche Clients, um über ein WLAN Zugang zum Firmennetz zu erhalten. Zwar schützen mittlerweile die meisten Unternehmen ihre Funknetze mithilfe von Verschlüsselungstechniken wie WPA beziehungsweise WPA2 (WiFi Protected Access). Es sind jedoch immer noch Systeme im Einsatz, die das leicht knackbare WEP (Wired Equivalent Privcacy) verwenden – ein gefundenes Fressen für Profi-Hacker.

Allerdings können auch eigene Mitarbeiter Rogue Clients ins Netz einschleusen, etwa dann, wenn sie auf eigene Faust private Smartphones oder Tablet-Rechner mit WLAN-Adapter im Unternehmen nutzen und ins dortige Netz einbinden. Teldata-bintec-WLAN-Systeme erkennen solche illegalen Clients und ignorieren deren Anmeldeversuche. Zudem lassen sich auf Basis der MAC-Adressen (Media Access Control) der Clients Black und White Lists erstellen. In die schwarzen Listen werden die Adressen der Rouge Clients eingetragen. Verbindungsversuche dieser Systeme blocken die Teldat-bintec-Systeme anschließend automatisch ab.

Umgekehrt lassen sich auch die von Mitarbeitern eingeschmuggelten WLAN-Clients blockieren. Dann kommt eine White List zum Zuge, in der nur die vom IT-Administrator autorisierten Client-Systeme aufgelistet sind. Der Netzzugriff von Systemen, die dort nicht aufgeführt sind, wird automatisch unterbunden.

... und ebenso illegale Access Points
Rouge APs sind WLAN-Zugangssysteme (Access Points), die ohne Wissen der IT-Abteilung installiert werden. Das passiert gar nicht so selten. So richten manchmal einzelne Abteilungen ihr eigenes Funknetz ein. Zu den Rouge APs zählen aber auch fremde Access Points, die sich in Reichweite des eigenen Funknetzes befinden, also beispielsweise APs einer benachbarten Firma. Wenn diese Systeme die gleiche Kennung (SSID) und denselben Funkkanal wie die eigenen APs verwenden, kann es zu Störungen kommen: Der fremde AP versucht beispielsweise, sich ins eigene WLAN einzuklinken, oder die WLAN-Clients der eigenen Mitarbeiter wollen sich bei dem fremden Access Point anmelden.

Teldat bintec hat daher in seine WLAN-Komponenten nun ein zyklisches "Hintergrund-Scannen" integriert. Damit es für die Systeme möglich, benachbarte oder Rouge APs zu erkennen. Dieser Scan-Vorgang läuft im Hintergrund ab, sodass der normale WLAN-Betrieb nicht gestört wird.
Das Feature Release 9.1.5 bietet zudem weitere Funktionen, die sich in der Praxis als nützlich erweisen:

Vorsorge gegen Überlastung des Funknetzes:
Wollen sich zu viele Clients bei einem speziellen Access Point einbuchen, blockiert der diesen Versuch. Der Client hat dann die Möglichkeit, es bei einem benachbarten AP zu versuchen.
Verschieben von Verbindungen ins 5-GHz-Band: Die meisten WLAN-Clients APs unterstützen mittlerweile den Frequenzbereich 2,4 GHz, der stark ausgelastet ist, und das weniger frequentierte 5-GHz-Band. Die Teldat-bintec-Systeme verlagern Verbindungsanfragen, die über 2,4 GHz eingehen, automatisch in Richtung 5 GHz, wenn der Client diese Frequenz unterstützt.
Faire Bandbreitenverteilung:  Eine weitere Funktion stellt sicher, dass langsame Clients, die beispielsweise nur mit 54 MBit/s oder gar noch mit 11 MBit/s arbeiten, schnelle WLAN-Adapter auf Basis von IEEE-802.11n- oder 802.11ac nicht ausbremsen.

Fazit: Teldat bintec hat durch das neue Feature Release seine WLAN-Zugangspunkte um Funktionen erweitert, welche die Sicherheit deutlich erhöhen und das Management von Funknetzen erleichtern. Diese Faktoren sind nicht nur für Anwender wichtig, sondern lassen sich – natürlich – auch von Resellern als schlagkräftige Verkaufsargumente nutzen.


Security-Finder Schweiz: Newsletter