Wireless Internet Security

WLAN Produkte nach dem IEEE-Standard 802.11 b können in zwei Modi betrieben werden: im Infrastruktur-Modus kommuniziert jeder Teilnehmer mit einem sog. Accesspoint (AP), der auf dem Linklevel (ISO-OSI, Schicht 2) eine Brücke zwischen funk- und drahtgebundenem Netz bildet. Im Ad-hoc Modus kommunizieren alle Teilnehmer direkt untereinander (Punkt-zu-Punkt-Verbindungen).

Der Nutzen, aber eben auch die Gefahr von Funkübertragungen liegt darin, dass sich Funkwellen nicht an physikalische Grenzen wie z.B. die Wände eines Gebäudes halten: Zunächst einmal kann jeder, der nahe genug ist, Kommunikation mithören oder sich sogar selbst mit dem Netz verbinden.

Viele WLAN-Installationen nutzen einen Netzwerknamen (SSID) und MAC-Adressen von WLAN-Karten als Zugriffsschutz. Diese Merkmale bieten jedoch kaum Sicherheit: SSIDs werden im Klartext übertragen und sind somit abhörbar. MAC-Adressen können mit relativ wenig Aufwand manipuliert werden und sind nicht fälschungssicher. Um WLANs abzusichern, definiert IEEE 802.11 ein kryptographisches Verfahren: WEP("Wired Equivalent Privacy"). WEP ist in die WLAN-Komponenten (AP und WLAN-Karten) integriert und soll eine dem verkabelten Netz ähnliche Sicherheit zur Verfügungstellen.

WEP basiert darauf, dass alle Komponenten gemeinsame geheime Schlüssel besitzen, mit denen sie sich gegenseitig authentifizieren und die Kommunikation auf OSI-Schicht 2 verschlüsseln. Diese auf den ersten Blick sinnvolle Vorgehensweise birgt jedoch einige Probleme:

Der statische "Shared-key-Ansatz" von WEP skaliert nicht auf eine große Anzahl von Nutzern: Da alle WLAN-Karten und jeder AP die gleichen (bis zu 4) kryptographischen Schlüssel besitzen, stellt der Besitz einer Karte mit einem passenden Schlüssel einen "Freibrief" für den Netzzugang dar. Da keine Verfahren zum Schlüsselmanagement vorgesehen sind, ist der Austausch der Schlüssel aufwändig und erfordert physischen Zugriff auf die Karten. Ein periodischer Schlüsselwechsel oder das Austauschen nach der Kompromittierung des Schlüssels (Verlust oder Diebstahl einer Karte) ist dadurch in der Praxis schon ab ein paar Dutzend Karten schwierig, bei mehreren hundert oder gar tausend Karten so gut wie unmöglich.

Zur Verschlüsselung verwendet WEP einen Strom von Pseudozufallszahlen, der mit den zu übertragenen Daten mittels XOR verknüpft wird. Die Zufallszahlen werden durch den Algorithmus RC4 aus einem geheimen Schlüssel k berechnet. Solche Verfahren sind anfällig für sog. "Known-plaintext-Attacken": Aus einem Klartext P wird der verschlüsselte Text C = P Å RC4(k) berechnet. Für feste k gilt jedoch C1 Å C 2 = P 1 Å P 2 , d.h., man kann mit einem bekannten Paar (P 1 , C 1 ) auch P 2 = (C 1 Å C 2 ) Å P 1 berechnen und somit sämtliche Kommunikation entschlüsseln ohne k zu kennen.

Um diesen Effekt zu verhindern, sieht WEP zusätzlich einen Initialisierungsvektor (IV) vor, der sich bei jedem Datenpaket ändern muss: C = P Å RC4 (IV, k). Damit die Gegenseite das Paket wieder entschlüsseln kann, wird der IV dem übertragenen Datenpaket als Klartext hinzugefügt. Der IV ist aber nur 24 Bit groß; somit ist spätestens nach ein paar Tagen durchschnittlicher Netzlast dieser Zahlenraum erschöpft. Hat man sich in dieser Zeit eine Tabelle aller IVs angelegt, so ist man in der Lage, jedes weitere Paket mit machbarem Aufwand anzugreifen (z.B. mit tabellenbasierten Attacken). Hinzu kommen Implementierungsschwächen; die Produkte mancher Hersteller erzeugen IVs nicht zufällig, sondern zählen nach jeder Initialisierung von Null aufwärts.

Weiter wurde bekannt, dass RC4 mit bestimmten IVs den geheimen Schlüssel fast unverändert als Output liefert. Angriffs-Tools, die WEP-Schlüssel durch reines "Zuhören" kompromittieren (passive Attacke), sind inzwischen frei verfügbar. Der Rechenaufwand ist dabei so klein, dass ein Angreifer unter Umständen in weniger als 15 Minuten vollen Zugriff auf ein WLAN erhalten kann.

Die Sicherheitsfunktionen des IEEE-802.11b-Standards genügen also oft nicht den Anforderungen für professionelle Nutzung. Einige Hersteller bieten inzwischen Produkte mit Schlüsselmanagementfunktionen und dynamischer externer Authentifizierung an (z.B. über Radius; dies bedeutet aber, Interoperabilität zu opfern und sich an einen Hersteller zu binden. In Folgeversionen des IEEE-Standards (802.11x) soll hier nachgebessert werden; wie sicher diese Technologie dann sein wird, kann derzeit nicht seriös beurteilt werden.

GPRS ist aus Anwendersicht das WAN-Pendant zu WLANs; auch hier wird drahtloses Internet zur Verfügung gestellt, die zugrunde liegende Technologie ist allerdings eine andere: GPRS baut auf dem GSM-Standard auf und integriert dort die Vermittlung von IP-Paketen. Wunder an Geschwindigkeit sollte man jedoch nicht erwarten: Derzeit sind Übertragungsraten von 20-30 kBit/s realistisch, ebenso Paketlaufzeiten von 1-2 Sekunden ("ping").

Abbildung 1 zeigt links die grobe Architektur von GPRS: Der GGSN (Gateway GPRS Support Node) stellt die Verbindung zum öffentlichen Internet her, der SGSN (Service GPRS Support Node) vermittelt IP über GSM-Protokolle an das Endgerät. GPRS ist also kein "Dial-in-Verfahren" ins Internet bzw. Intranet, wie es z.B. bei der Einwahl mit Laptops in Firmennetze etabliert ist. Ein GPRS-Client befindet sich im öffentlichen Internet und greift von dort aus z.B. auf Application-Server zu. Befinden sich diese Server in einem Firmennetz hinter einer Firewall, muss ein tragfähiges Sicherheitskonzept gefunden werden.

Betrachten wir zunächst die GPRS-interne Sicherheit, die auf folgenden Komponenten der GSM-Sicherheit aufbaut:

GSM bietet eine vergleichsweise starke Authentifizierung über Smart Cards (SIMs), die es dem Netzbetreiber beispielsweise erlaubt, die IP-Adresse eines GPRS-Clients auf den Teilnehmer abzubilden. Zu bedenken ist dabei jedoch, dass im ungeschützten öffentlichen Internet Angriffe wie IP-Spoofing oder Connection-Highjacking möglich sind.

Relevant sind hier die Luftschnittstelle (GSM-Netz/Endgerät), die GSM-interne Sicherheit sowie evtl. das öffentliche Internet zwischen GGSN und Firmennetz:

Der Algorithmus zur Verschlüsselung der Luftschnittstelle bei GPRS ist nicht veröffentlicht; es dürfte sich jedoch um eine schwache Verschlüsselung mit einem etwa 40 Bit großen Schlüssel handeln, darauf deutet zumindest das Requirements-Dokument hin:

"An algorithm with minimal restrictions on exports when licensed and managed is desired because of the global use of GSM."

Ein neuer, aber ebenfalls geheimer Algorithmus wurde nach der Lockerung der Krypto-Exportbestimmungen spezifiziert, ist aber noch nicht in Produkten umgesetzt. Selbst diese zukünftige, wohl stärkere Verschlüsselung kann jedoch durch das GSM-Netz abgeschaltet werden; der Nutzer hat also keine Kontrolle über die verwendete Sicherheit.

Schutz der übertragenen Information innerhalb des GSM-Netzes ist Sache des Netzbetreibers. Hier können also keine generellen Aussagen getroffen werden. Sobald der Datenverkehr ins öffentliche Internet wechselt, ist er so angreifbar, wie das Internet auf dieser Strecke eben ist.

Datenübertragung über GPRS ist also per se kaum abgesichert. Hinzu kommt, dass sich ein über GPRS verbundener Rechner (Laptop, PDA) direkt im Internet befindet und somit leicht angreifbar ist. Zusätzliche Sicherheitslösungen dürften also oft erforderlich sein, sowohl zum Schutz der Kommunikation (z.B. durch ein Ende-zu-Ende-VPN, "Virtual Private Network") als auch zum Schutz des Clients vor Angriffen aus dem Internet (z.B. durch eine lokale Firewall).

Für Firmen bieten Netzbetreiber zusätzliche Sicherheits-Features (VPNs, Firewalls am GGSN, Port-Sperren); welchen Schutz diese bieten, sollte im Einzelnen geprüft werden. Ein Aspekt dabei sind auch sog. "Lawful-interception"-Interfaces, die das Mithören von Kommunikation durch Staatsorgane ermöglichen. Insbesondere bei GPRS-Nutzung im Ausland (roaming) kann dies problematisch sein, denn es gibt Indizien, dass dies in manchen Ländern nicht nur zur Verbrechensbekämpfung, sondern auch zur Erlangung wirtschaftlich relevanter Informationen genutzt wird.

WLAN-Technologie und GPRS bieten viele interessante und neue Möglichkeiten, um Anwendungen über drahtlose Netze zu nutzen. Insbesondere für die professionelle Nutzung im Enterprise-Umfeld stellt jedoch Sicherheit eine Herausforderung dar: Praktikable und hersteller- bzw. providerunabhängige Sicherheitslösungen sind momentan nur auf höheren Netzwerkschichten zu finden. VPN-Lösungen, SSL/TLS-Verschlüsselung oder Sicherung auf Anwendungsebene stellen sinnvolle Maßnahmen dar.

Ein VPN auf IP-Ebene bietet wohl die derzeit universellste Alternative. In der Praxis ist das aber oft nicht einfach umzusetzen: "Bordmittel" wie Microsofts PPTP haben sich in der Vergangenheit als verwundbar erwiesen. Für die oft präferierte Variante IPSEC sind Clients zwar für die meisten gängigen Betriebssysteme erhältlich, aber noch kaum für mobile Geräte wie PDAs. Auch kann die Konfiguration von VPNs Überraschungen bergen: Bei GPRS stellen Roundtrip-Zeiten evtl. Hürden dar, und Network Address Translation (NAT) kann Features wie Authentication Header bei IPSEC ausschließen. Bei WLANs stellen die i. d. R. dezentral über das Firmengelände verteilten Accesspoints ein Problem dar, denn dies erfordert ebenso verteilte VPN-Server, eine separate Verkabelung oder entsprechende Konfiguration bei Routern.

Insbesondere wird aber das Security-Management vor neue Herausforderungen gestellt, was skalierbaren, sicheren Betrieb angeht. WLAN und GPRS in Firmennetze einzubinden ist keine leichte Aufgabe, nicht zuletzt weil auch Security Policies diese neuen Technologien oft noch nicht adäquat berücksichtigen.

1. Borisov, N., Goldberg, I., Wagner, D.: Intercepting Mobile Communications: The Insecurity of 802.11, Mobicom 2001. 
   http://www.isaac.cs.berkeley.edu/isaac/wep-draft.pdf
2. Fluhrer, S., Mantin, I., Shamir, A.: Weaknesses in Key Scheduling of RC4. Eighth Annual Workshop on Selected Areas in Cryptography, August 2001. 
   http://www.eyetap.org/~rguerra/toronto2001/rc4_ksaproc.pdf
3. AirSnort, a wireless LAN (WLAN) tool which recovers encryption keys.
   http://airsnort.sourceforge.net/
4. ETSI Security Algorithms Group of Experts (SAGE): Report on the specification, evaluation and usage of the GSM GPRS Encryption Algorithm (GEA). ETSI TR 101 375 V1.1.1 (1998–09)
5. IETF Network Working Group: Remote Authentication Dial in User Service (RADIUS). RFC 2138, April 1997
6. European Parliament: Report on the existence of a global system for the interception of private and commercial communications (ECHELON interception system). A5–0264/ 2001, July 2001

Hinweis: Die URLs entsprechen dem Stand bei der Veröffentlichung des Artikels und werden nicht aktualisiert.

Joachim Posegga, Simon Vetter
SAP Corporate Research,
Mobile Security,
Vinzenz-Priessnitz-Str 1,
76131 Karlsruhe
joachim.posegga@sap.com
simon.vetter@sap.com

© 2001 Informatik Spektrum, Springer-Verlag Berlin Heidelberg