Orinoco Sicherheit
Gerade das Thema Sicherheit hat in den letzten Wochen für mehr Aufmerksamkeit im FunkLAN Bereich gesorgt. So haben die Schwächen der WEP - Verschlüsselung die Sicherheit von FunkLAN's wesentlich beeinflußt. So einfach muß man es einem möglichen Angreifer aber nicht machen, bei Orinoco stehen Ihnen eine ganze Reihe von Möglichkeiten zur Verfügung, einen unbefugten Zugriff auf Ihr Netzwerk zu verhindern.
Orinoco und Ihre Gesundheit
Der verwendete Frequenzband ist 2400MHz-2500MHz. Die verwendete Abstrahlenergie ist < 100mW.
Zum Vergleich ein Handy macht bis zu 2W also das 20fache (das sich der Benutzer dann auch noch an den Kopf hält).
Da Orinoco auf der Grundlage von Sicherheitsstandards und -empfehlungen arbeitet, sind Orinoco Funknetze für den Nutzer ungefährlich.
Diese Standards und Empfehlungen basieren auf dem aktuellen Stand der Wissenschaft und entsprechen der Bilanz wissenschaftlicher Gremien, die kontinuierlich die umfangreichen Veröffentlichungen zu diesem Thema beobachten und auswerten.
Orinoco Systemkomponenten sind zusätzlich nach der europäischen Norm für medizinische Geräte EN60601/1/2 zugelassen und können daher bedenkenlos in Krankenhäusern., Kliniken oder Arztpraxen etc. eingesetzt werden.
Orinoco - Datensicherheit
Abhörtechnisch
Im Wireless LAN werden die Daten drahtlos über Funk übertragen, also für jedermann, der sich innerhalb der Funkzelle befindet, ersichtlich. Damit das Abhören der Daten verhindert wird, gibt es eine ganze Reihe von Sicherheitsmerkmalen:
Passives Lauschen
Das von Orinico-Karten erzeugte Funksignal ist nicht auf einen Kanal beschränkt sondern wird über mehrere benachbarte Kanäle aufgefächert (sogenannte Spreizbandtechnologie). Abhören der Sendung mit konventinonellen Radioscannern ist deshalb ziemlich schwierig (die Daten gehen sozusagen "im Rauschen unter").
Ad-hoc demomode
Im ad-hoc Demomode gibt es keine Zugangsbeschränkungen. Schutz bietet hier nur die Aktivierung von WEP (Wired Equivalent Privacy), einem Daten-Verschlüsselungsalgorithmus.
WLAN ohne Netzwerknamen
Wird kein WLAN-Netzwerkname vergeben (oder der reservierte Name "ANY"), gibt es keine Zugangsbeschränkungen. Schutz bietet hier nur die Aktivierung von WEP (Wired Equivalent Privacy).
WLAN mit vergebenen Netzwerknamen
Wird von dem Administrator der Wavelanbrücke ein Netzwerkname vergeben, können nur Clients auf das Netz zugreifen, die auch diesen Netznamen einegetragen haben. Andere Karten können nur Informationen von Netzen sehen, die sie selber eingetragen haben. Es ist aber möglich, einen vergebenen Netzwerknamen zu erfahren wenn man ihn nicht weiß. Ein Client ohne Netzwerkname (oder "ANY") wird automatisch in das nächste verfügbare WLAN Netz mit Namen eingebucht. Der WLAN-Netzname wird ihm dann angezeigt. Wie zuvor gilt hier: "Schutz bietet hier nur die Aktivierung von WEP."
WLAN mit vergebenen Netzwerkname und abgeschlossenem Netz
Wie zuvor können nur Clients mit dem eindeutigen Netzwerknamen das Netz benutzen aber Clients ohne Netzwerkname (oder "ANY") kommen nicht ohne diesen Namen auf das Netz. Sollten Sie diesen Netzwerknamen erfahren, der sozusagen als "Shared Secret" fungiert, können Sie auf das Netz zugreifen (das geht aber nur mit erfolgreichen passiven Lauschen). Dieser Modus ist nicht im IEEE 802.11 Standart enthalten und daher eine properitäre Erweiterung die nur bei ORINOCO Produkten zu finden ist.
MAC-Adressensperrung
Eine weitere Möglichkeit ist die Beschränkung auf zugelassenen MAC-Adressen, die auf der Brücke eingetragen werden. Dieser Mechanismus fungiert dann als Art Zugangsbeschränkung, da dann nur Clients mit eingetragener MAC Adresse freigegeben werden, um Daten über die Brücke austauschen zu dürfen. ORINOCO MAC-Adressen beginnen meist mit 0x00601D.
WEP
Diese Abkürzung steht für "Wired Equivalent Privacy" und steht für die Verschlüsselung der Daten auf dem Funkwege. Der zugrundeliegende Algorithmus ist RC4. Er wird in zwei verschiedenen Schlüssellängen von den ORINOCO Funkkarten verwendet. Die sogenannten Silverkarten (heute die Standardkarten) verwenden 64Bit, die Goldkarten 128Bit Schlüssellänge. Die alten Bronzekarten (also ohne 11Mbit) haben keine WEP-Verschlüsselung. Da von beiden Karten für jedes Paket jeweils 24Bit öffentlich für den Initialisierungs-Vektor übertragen werden, besteht die von einem Angreifer zu überwindende Hürde aus 40 bzw. 104Bit.
WEPplus
Leider kann man eingeführte Industriestandarts nicht mal eben ändern. Mit der >= V7.4x Treiberversion der von Agere verfügbaren ORiNOCO-Treiber führt man einen Trick ein der dieses Loch vorrübergehend stopft. Alle schwachen,kompromitierenden Initialisierungs Vectoren werden unterdrückt und übersprungen und nicht ausgesendet. Somit findet der Angreifer keine Angriffsfläche mehr. Damit das geschieht müssen sie sowohl die AccessPoints als auch alle Client-Karten/treiber auf diese (oder eine höhere Version) updaten. Das Verfahren entspricht aber dem IEEE 802.11 Standart d.h. ihnen entstehen KEINE Nachteile zu WLAN-Netzwerkkomponenten die dieses Verfahren nicht beherschen, Sie können natürlich auch mit Komponenten "reden" die nicht WEPplus beherrschen nur kann es halt seinen das diese Komponenten Sie "verraten".
Diesen Treiber sollten Sie auf jeden Fall einsetzen, was bleibt ist die Gefahr, daß eines Tages auch hierfür Angriffsmethoden gefunden werden..
IEEE 802.1x mit EAP-TLS
Eines der Hauptprobleme mit WEP(plus)-Schlüsseln ist:
- Mehrere Teilnehmer teilen sich einen Gruppenschlüssel. Wird nur einem z.B. das Notebuch geklaut oder der Schlüssel durch eine Attacke kompromitiert muss der Schlüssel neu vergeben und verteilt werden.
- Die Schlüssellebensdauer ist unbeschränkt damit ist es nur eine Frage der Zeit bis er "leckt".
- Es gibt keinen Mechanismius um neue Schlüssel automatisch zu verteilen. Schlüssel müssen Teilnehmern manuell mitgeteilt werden und von diesen eingetragen werden.
Ein Standard der IEEE 802.1x soll es ermöglichen zwischen dem Client und dem AccessPoint individuelle (WEP-)Schlüssel zu setzen die auch eine kurze Lebensdauer von z.B. zwei Stunden haben.
Funktionsweise:
Möchte sich ein Client an einen Accesspoint einloggen, wird von diesem zuerst eine Authentifizierung mittels EAP (Extensible Authentication Protocol) angefordert. Hat sich der Client identifiziert, werden seine Daten an einen Radius Server weitergeleitet. Erst nach erfolgreicher Authentifizierung durch den Radius Server stehen dem Client die Netzwerkdienste zur Verfügung. Des weiteren wird mittels TLS (transport-layer-security) das Problem des shared Keys gelöst. TLS sorgt dafür, daß jedesmal, wenn sich ein Benutzer an das Netzwerk anmeldet, ein neuer Schlüßel generiert wird.
Das Problem bei dieser Lösung: Die Orinoco Accesspoint unterstützen zwar 802.1x, auf der anderen Seite gibt es aber nur ein Betriebssystem (windows XP) das standardmäßig eine 802.1x Unterstützung bietet. Möchten Sie dennoch nicht darauf verzichten, so können Sie kostenpflichtige Clientlizenzen erwerben, die 802.1x für alle gängigen Hardwareplattformen anbieten.
RC4 + Einmalschlüssel
Eine weitere Möglichkeit ist das dynamische Aushandeln von individuellen Sitzungsschlüsseln für jede Sitzung jedes Clients. Diese (proprietäre) Möglichkeit bietet derzeit nur der ORiONOCO AS-2000 mit einer zusätzlichen Clientsoftware. Mittels eines asymmetrischen Schlüsselverfahrens (768 Bit Diffie-Hellman) und eines individuellen Secret (normalerweise das Clientpasswort, wird benötigt, um ein Challenge auszuhandeln, damit "Man-in-the-Middle-Attacken" unterbunden werden können) wird für jede Verbindung, die ein Client mit der Basisstation öffnet, wird ein individueller WEP-Schlüssel ausgehandelt. Da der Schlüssel nur in einer 1:1 Beziehung zwischen Basisstation und Client (und auch nur für die Dauer einer Sitzung) existiert, entfällt die Benutzung eines öffentlichen Initialisierungs-Vektors. Es stehen also die vollen 128Bit für den Schlüssel zur Verfügung. Da dieses alles in Software durch den Treiber auf der jeweiligen Platform gerechnet wird ist es sogar egal ob der Nutzer eine Gold oder Silbercard hat. Es wird immer mit 128 Bit verschüsselt. Dabei ist zu beachten das hier zwar RC4 zur verschlüsselung benutzt wird aber nicht der RC4 basierende WEP-PRNG mit Initaliesierungsvectoren, der SChwchpunkt bei WEP.
Dieses Verfahren ist gedacht für öffentlich zugängliche Räume, in denen z.B. ein Wireless Internetzugang zur Verfügung gestellt werden soll.
WEP2 (die Norm wird warscheinlich IEEE 802.11i heißen)
Immernoch ein Draft. Das FMS-Papier hat erstmal dazu geführt die Idee von RC4 mit größeren Schlüssellängen zu verwerfen. Lassen wir uns überraschen wie der Standart aussehen wird. (Erscheint 2002)
VPN
Wollen Sie auf jeden Fall auf Nummer sicher gehen, so empfiehlt sich der Einsatz eines VPNs.Dadurch wird, genauso wie im Internet ein sicherer Tunnel zwischen dem Client und einem Server aufgebaut. Der gesamte drahtlose Netzwerkverkehr ist somit mittels IPSEC geschützt. Auch für VPN stehen heute einfache Lösungen zur Verfügung, die sich schnell und kostengünstig umsetzen lassen.
Alle Fragen zum Thema FunkLAN und Sicherheit beantworten wir Ihnen gerne und erarbeiten ein entsprechendes Sicherheitskonzept für Sie.