Sicher unterm Schirm

25. September 2007, 8:40 Uhr | Werner Veith

Wireless-Intrusion-Detection und -Prevention – Solche Systeme bilden einen drahtlosen Schutzschild um Funknetze. Sie liefern zusätzlich Site-Planning-, Location-Tracking oder Access-Control. Doch jedes Unternehmen muss für sich selbst klären, ob die Ausgaben dafür wirtschaftlich sind.

Vor zwei Jahren ratifizierte IEEE den Sicherheitsstandard 802.11i. Für diesen entwickelte die Wifi-Alliance mit WPA2 (Wifi-Protected-Access) eine passende Zertifizierung für Interoperabilität. Damit gibt es einen allgemein anerkannten Schutz für Wireless-LANs. Doch WPA2 ist nur die halbe Miete. Es sichert das WLAN auf der Infrastrukturseite über Authentifizierung und Verschlüsselung. Doch auf der anderen Seite ist das Monitoring, das auf der drahtlosen Ebene nach fremden Geräten sucht und diese je nach Gefährdung ausschalten will. 11i beschäftigt sich mit 802.1x oder Integritätsprüfungen von Paketen über CBC-MAC (Cipher-Block-Chaining-Message-Authentication-Code). Für Verschlüsselung gibt es AES-CCMP (AES-Counter-Mode-CBC-MAC-Protocol). Auf der Monitoring-Seite geht es darum, drahtlose Angriffe zu identifizieren sowie fremde WLAN-Access-Point oder -Clients zu lokalisieren und zu blockieren. Hinzu kommen benachbarte Aufgaben wie Performance-Überwachung, Remote-Troubleshooting oder Auditing außerhalb des drahtgebundenen Netzes.

Mehrere Wege führen zum Ziel
Um die Monitoring-Aufgabe zu lösen, gibt es einmal spezialisierte Hersteller, die sich auf Wireless-Intrusion-Detection-Prevention-Systeme (»WIDPS«) konzentrieren. Daneben existieren die WLAN-Infrastruktur-Anbieter, die ihre eigene Lösung um WIDPS-Funktionen erweiterten oder sich dafür Partner gesucht haben. Schließlich sind da noch die Hersteller von Wireless-Infrastruktur-Management- und Paket-Analyse-Produkten.

Den meisten WIDPS-Herstellern ist bewusst, dass es sich hier um einen kleinen Markt handelt. Ein Grund dafür ist, dass ihre Lösungen nicht billig sind. Sie kommen zum Einsatz bei Unternehmen, die nachweisen müssen, dass sie bestimmte Regularien einhalten. Auch sicherheitsbewusste Firmen setzen solche Monitoring-Lösungen ein. Die meisten begnügen sich jedoch mit einfacheren Ansätzen, die lediglich fremde Access-Points und Clients identifizieren und lokalisieren.

Mehr als nur Detection und Prevention
Hinzu kommt, dass Wireless-Infrastruktur-Lösungen sich weiter entwickeln und grundlegende WIDPS-Funktionen integrieren. Damit entfällt für manche die Notwendigkeit, ein Extrasystem anzuschaffen. Außerdem haben hier Hersteller ihre Systeme modularisiert und bieten WIDPS als Add-on an. Als Antwort darauf entwickeln die WIDPS-Hersteller zusätzliche Anwendungen, die auf ihren Lösungen aufbauen. Dazu gehören Berichtsfunktionen, welche die Einhaltung von gesetzlichen Vorschriften zu dokumentieren. Weiter geht es mit der Planung von WLAN-Netzen, Aufnahme der aktuellen Situation (Site-Surveys) und Überprüfung von WLAN-Installationen. Daneben findet Location-Tracking Eingang, damit sich etwa die Position von Einheiten mit WLAN-Transpondern verfolgen lässt. Schließlich hält die ortsabhängige Zugangskontrolle Einzug.

Alle WIDPS-Produkte, die Network Computing bewertete, besitzen Location-Tracking-Funktionen. Sie sind aber nicht so spezialisiert für den täglichen Einsatz, um Menschen oder Gegenstände zu verfolgen. So etwas beherrscht beispielsweise Ciscos Location-Appliance. Wifi Watchdog, das nicht an dem aktuellen Test teilnehmen wollte, positionierte ihr Produkt mit entsprechenden Lokalsierungsanwendungen. Es ist zu erwarten, dass andere Hersteller dem folgen. Ihnen kommt entgegen, dass sie ihre installierten Sensoren dafür heranziehen können.

Ortsabhängige Zugansgkontrolle gibt es seit längerem von Newbury. Mittlerweile hat Foundry nachgezogen. Dabei ist diese Art der Autorisierung die Wahl, fremde Geräte abzuhalten, sich mit dem internen WLAN zu verbinden. Auch lässt sich so der Zugang zu gefährdeten Netzwerkressourcen von öffentlichen Bereichen aus verhindern. Allerdings schränkten die notwendige Anzahl der Sensoren und die komplizierte Implementierung den Einsatz auf sehr empfindliche Sicherheitsbereiche ein.

Von WIDPS-Herstellern gibt es noch zwei Bonbons: Einzelversionen etwa für den Laptop-Einsatz oder der Schutz von Clients. Bei Letzterem läuft auf dem Client eine Software, die zentral kontrollierte Policies durchsetzt. Dazu gehört etwa, an welchen Access-Points sich ein Client anmelden darf. Weiter schränkt die Software den Einsatz von Ad-hoc-Netzen ein, oder verhindert ein Bridging. Die Fähigkeiten der einzelnen Lösungen sind sehr unterschiedlich, und es gibt nur selten Integration in Enterprise-Desktop-Management-Systeme.

Gruppenarbeit ist angesagt
Die meisten Wireless-Infrastruktur-Hersteller lassen es auf den ersten Blick so erscheinen, dass ihr WIDPS komplett von ihnen komme. Tatsächlich arbeiten sie alle mehr oder weniger mit anderen zusammen. Airdefense hat Kontakte mit Symbol und Trapeze. Dagegen haben Aruba und Xirrus Beziehungen mit Airmagnet, Xirrus auch mit Network Chemistry. Colubris, Extreme Networks und Siemens wiederum sind mit Airtight zusammengekommen. Bluesocket dagegen ist im Boot mit Highwall und Network Chemistry.

Auch Cisco arbeitete mit zahlreichen WIDPS-Herstellern zusammen. Die Situation änderte sich allerdings mit dem Kauf von Airespace. Bisher war fast jeder Hersteller darauf bedacht, mit der WLSE (Wireless-LAN-Solution-Engine) Daten auszutauschen. WLSE ist Ciscos Management-Appliance. So fragten die Systeme beispielsweise ab, welche Access-Points und Clients autorisiert waren, um deren Status im WIDPS richtig zu setzen. Umgekehrt erhielt die WLSE Daten über fremde Access-Points. In einem Spezialmodus konnten Cisco-Access-Points einen konstanten Datenstrom an das WIDPS für eine Analyse schicken. Airespace brachte nun ein eigenes IDSPS mit, das über die Möglichkeiten der WLSE hinausging. Als einziger Hersteller blieb Airtight im »Cisco Technology Developer Program«. Mit der Version 4 des »Unified Wireless Networks« baut Cisco die WIDPS-Funktionen aus. Hinzu kommen die Suche und Blockade von fremden Access-Points. Außerdem erkennt das System nicht assoziierte Client-Geräte und Ad-hoc-Netzwerke. Zudem gibt es anpassbare Signaturen gegen die typischen Wireless-Angriffe. Daneben verschlüsselt »Management Frame Protection« die entsprechenden Pakete.

Den Schwerpunkt richtig setzen
Bei der Auswahl eines WIDPS sollten sich Unternehmen nicht in der Fragen verlieren, wie viele drahtlose Angriffe ein System genau identifizieren kann. Der Schwerpunkt sollte wie auch in dem nachfolgenden Test auf der Verwaltung von Alarmen und Warnungen liegen. Daneben geht es um die Konfiguration von Policies, die Blockade von fremden Access-Points oder die Lokalisierungsfunktionen. Diese Aspekte der WIDPS sind relativ ausgereift. Die Frage nach Identifizierung anhand von Signaturen ist eher Zahlenspiel. Nach Erfahrung der Network Computing ist die Erkennung nur so gut wie die Angriffstools, die die Hersteller dafür einsetzen. Die Industrie sollte hier eher dem Beispiel von Snort folgen, die Arbeit mit Signaturen transparent zu machen und sich auf Alarmmanagement, -darstellung und -antwort konzentrieren.

Open-Source-Attacken lassen sich leicht von allen Beteiligten identifizieren. Die Frage zu beantworten, ob intern entwickelte Angriffssignaturen eines Herstellers den Weg in das System eines anderen finden, gleicht einem Münzwurf. Nun erkennt ein System wohl erfolgreich die selbst entwickelten Angriffstools eines Anbieters. Dies bedeutet aber noch lang nicht, dass es bei fremden System ebenfalls so ist. Dies geschieht nicht, weil andere keinen Alarm oder eine Regel dafür geschrieben hätten, sondern weil diese nicht allgemein genug definiert sind.

wve@networkcomputing.de


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+