WatchGuard Blog

Kabellose Unsicherheit?

Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnmeldung mit der Farbe Orange herausgibt, entspricht das der zweithöchsten Bedrohungsstufe 3: „Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.“ Der Grund dafür sind die am 11. Mai bekannt gewordenen WLAN-Schwachstellen „FragAttacks“ (fragmentation and aggregation attacks).

An dieser Stelle gleich eine Entwarnung: Es besteht kein Grund zur Panik. Viele der Schwachstellen sind nur schwer auszunutzen, zudem muss der Angriff aus dem lokalen Netzwerk erfolgen. Der Entdecker der Sicherheitslücke, Mathy Vanhoef, hatte sich außerdem bereits frühzeitig mit den Herstellern in Verbindung gesetzt. Es existiert bereits eine Vielzahl von Patches. Mehr Informationen zu den „FragAttacks“ mit Beispielen von Angriffen sind auf seiner Website zu finden.

Nichtsdestotrotz nehmen wir die aktuelle Warnung zum Anlass, um das Thema WLAN-Sicherheit genauer unter die Lupe zu nehmen und den Fokus auf die sechs großen Gefahren legen. Hier stehen insbesondere die Access Points im Fokus – sowohl im Unternehmensumfeld wie auch im öffentlichen Bereich. Denn nicht nur das Hotel- und Gaststättengewerbe, sondern auch Ladengeschäfte und öffentliche Verkehrsmittel bieten mittlerweile vielerorts WLAN als Mittel zur Kundenbindung an. Die vorrangigen Qualitätsmerkmale dabei sind hohe Übertragungsgeschwindigkeiten und eine optimale Ausleuchtung. Der Aspekt der Sicherheit wird jedoch eher stiefmütterlich behandelt, obwohl die konkreten Risiken durchaus präsent sind.

Access Points sind nicht zuletzt ideale Einfallstore für den Zugriff auf die weitere Netzwerkinfrastruktur oder zum Abgriff von Nutzerdaten. Die alleinige Kombination aus WPA2/3-Verschlüsselung mit einer unsichtbar ausgestrahlten SSID bietet keinen ausreichenden Schutz. Beachtet werden müssen nicht nur aktive Angriffe von Cyberkriminellen, die Systeme unter anderem zum Datendiebstahl manipulieren, sondern ebenfalls das bewusste oder unbewusste Fehlverhalten der WLAN-Nutzer. Sechs Aspekte fallen im Zusammenhang mit verlässlichen und sicheren kabellosen Verbindungen besonders ins Gewicht: benachbarte Access Points, Rogue Access Points, Evil Twin Access Points mit gefälschten SSID sowie Rogue Clients, Ad-hoc-Netzwerke und falsch konfigurierte Access Points.

1. Benachbarte Access Points

In vielen Unternehmen ist es den Mitarbeitern untersagt, das Firmen-Internet für private Zwecke zu nutzen, etwa für soziale Medien wie Facebook oder Twitter. Über entsprechende Einstellungen in der Gateway-Firewall lässt sich der Verbindungsaufbau zu diesen und weiteren Seiten beispielsweise über URL-Content- und DNS-Filter zuverlässig blacklisten. Doch wer oder was hindert den Mitarbeiter daran, den Zugang über den Firmenlaptop in Verbindung mit einem eigenen Smartphone-Hotspot oder den Gast-Hotspot eines Unternehmens in Reichweite des WLAN aufzubauen? Die Gefahr in diesem Szenario besteht darin, dass jeglicher Datenverkehr parallel zur eigenen Infrastruktur stattfindet und daher nicht kontrolliert werden kann. Falls sich ein Rechner auf diesem Weg mit Malware infiziert, ist dies für den Administrator zudem nicht mehr nachvollziehbar, da in den Logfiles keinerlei Hinweise zu finden sind.

2. Rogue Access Points

Bei Rogue Access Points handelt es sich um Hardware, die an der IT-Abteilung vorbei ins Unternehmen eingeschleust und an einen internen LAN-Port oder Switch angesteckt wird. Das kann das Werk von Cyberkriminellen sein, die sich Zugang ins Unternehmen verschafft haben, aber häufiger geschieht dies über eigene Mitarbeiter, die auf diese Weise eine vielleicht schlechte WLAN-Performance an ihrem Arbeitsplatz verbessern wollen. Das stellt insbesondere ein Problem für Unternehmen dar, die ihr WLAN gemäß dem Payment Card Industry Data Security Standard (PCI DSS) eingerichtet haben. Ein Rogue Access Point stellt einen direkten Verstoß dagegen dar. Wie im Fall zuvor hat der IT-Administrator auch hier keine Ahnung davon, was da überhaupt eingerichtet wurde und wie das Gerät aus sicherheitstechnischer Sicht konfiguriert ist. Häufig handelt es sich hierbei jedoch um keine gezielte, böswillige Attacke, sondern ein unbewusstes Fehlverhalten von Mitarbeitern, die eine Problematik im Netzwerkbereich in Eigenregie lösen wollen und sich über die Konsequenzen nicht klar sind. Zu Rogue Access Points zählen unter anderem WLAN-fähige Drucker und Faxgeräte ohne ausreichende Verschlüsselung, die über den LAN-Port ans interne Netzwerk angeschlossen sind.

3. Evil Twin Access Points

Im Falle eines Evil Twin Access Points wird seitens eines Cyberkriminellen der Versuch gestartet, Unternehmensgeräte wie Laptops oder Smart Devices dazu zu bringen, sich mit einem gefälschten Access Point zu verbinden. Das setzt allerdings voraus, dass der Angreifer sich wirklich in Reichweite des Unternehmens-WLAN befindet. Das Gerät des Angreifers sendet dazu die gleiche SSID- und MAC-Adresse aus, die sich übrigens selbst bei einer „unsichtbaren“ Ausstrahlung problemlos mit frei im Internet verfügbaren Tools finden und auslesen lassen. Mit weiteren Werkzeugen können in der Folge Mitarbeiter dazu verleitet werden, eine Verbindung mit dem falschen Access Point aufzubauen. Sobald das passiert, hat der Angreifer Kontrolle über den gesamten Datenverkehr. Im Sinne einer Man-in-the-Middle-(MitM)-Attacke kann er sämtliche Eingaben manipulieren, mitschneiden, verändern und umlenken oder einfach nur Informationen sammeln – im schlimmsten Fall erhält er auf diese Weise Zugriff auf Usernamen und Passwörter für Social-Media-Plattformen oder sogar Unternehmensanwendungen.

4. Rogue Clients

Rogue Clients sind ganz allgemein Rechner mit unautorisiertem WLAN-Adapter oder entsprechende Smart Devices, die sich in Reichweite des Unternehmens-WLAN befinden und sich mit diesem verbinden wollen. In minderschweren Fällen wird dabei nur die Firmen-Internetverbindung mitgenutzt, was beim Aufruf illegaler Inhalte allerdings auf den WLAN-Betreiber zurückfallen kann. Tiefergehende Attacken könnten darüber hinaus geschützte Bereiche des Netzwerks zum Ziel haben. IT-Administratoren sollten jederzeit Kenntnis darüber haben, welche Geräte sich überhaupt mit dem Unternehmens-WLAN verbinden dürfen und diejenigen erkennen, denen dies trotz richtiger Anmeldedaten nicht erlaubt ist – wie etwa mitgebrachten privaten Smart Devices von Mitarbeitern.

5. Ad-hoc-Netzwerke

WLAN-Umgebungen sind in der Regel für den Einsatz im Infrastruktur-Modus konfiguriert. Das bedeutet, dass die Kommunikation aller angemeldeten Geräte über einen definierten Zugriffspunkt erfolgt. Alternativ oder als Option dazu kann jedoch auch der Ad-hoc-Modus aktiviert werden. Das versetzt die Geräte im WLAN in die Lage, untereinander zu kommunizieren. Dadurch lassen sich beispielsweise Druckaufträge direkt an einen WLAN-Drucker senden. Das Problem dabei: Oftmals sind diese Verbindungen entweder überhaupt nicht oder nur mit einer schwachen und schnell knackbaren Verschlüsselung wie WEP/WPA gesichert. Darüber hinaus werden auf diesem Übertragungsweg vorhandene Network Security Policies umgangen. Außerdem läuft jeglicher Datenverkehr in einer Ad-hoc-Verbindung ohne Kenntnis des IT-Administrators ab. Bei Clients im Ad-hoc-Modus besteht zudem die Gefahr, dass bestehende Ordnerfreigaben auf einem Laptop den Zugriff auf eigentlich nicht beabsichtigte Bereiche zulassen oder lokale Adressbücher etc. ausgelesen werden können.

6. Falsch konfigurierte Access Points

Zu den Basics in diesem Bereich gehört, dass alle Access Points über die aktuelle Firmware, identische SSID und Einstellungen bzw. Policies sowie mindestens WPA2-Enterprise-Verschlüsselung verfügen müssen. Der Zugang zur Benutzeroberfläche sollte mit einem starken Passwort geschützt und nur von einer zentralen Stelle aus möglich sein. Es empfiehlt sich, unnötige Ports für Telnet, HTTP und FTP usw. zu schließen. Ein entsprechender „Health Check“ in Form von Verbindungstests zu Clients und Unternehmensapplikationen hinsichtlich Geschwindigkeit und Qualität sollte regelmäßig erfolgen.