Sicherheit im WLAN 802.11
Der 802.11 Standard ist eine offene Norm für kabellose Netzwerke.
Die Einhaltung dieser Norm garantiert die Kompatibilität verschiedenster Hersteller. Der Nachteil ist, dass die Einführung neuer Techniken durch mehrere führende Hersteller vorgeschlagen und durch die Normierungsbehörden abgesegnet sein müssen.
In der letzten Zeit häufen sich Medienberichte über Sicherheitslücken im 802.11 Bereich.
Von OPAL eingerichtete Funknetzwerke beachten folgende Einstellungen:
SSID (Service Set Identifier):
Dies ist ein 32-stelliger Wert, der als Passwort dient und mit jedem Paket zum Accesspoint mitgeschickt wird. Weil diese ID unverschlüsselt mit jedem Paket mitgeschickt wird, kann er von Eindringlingen leicht abgefangen werden. Die SSID bietet deshalb nur eine sehr geringe Sicherheit.
128 Bit WEP (Wired Equivalent Privacy):
Hier werden die transportierten Daten mit einem 13-stelligen Schlüssel verschlüsselt.
Diese Option bietet sehr viel Sicherheit. Bis heute ist uns nur bekannt, dass dieser Schlüssel von Fachleuten mit einer entsprechenden Datenmenge geknackt werden kann.
Hierbei ist aber zu beachten, dass der Eindringling während langer Zeit und ununterbrochen den Datenverkehr zwischen einem AP und einem Terminal belauschen muss.
Hier ein kleines Rechenbeispiel um dies zu verdeutlichen.
Um eine 128bit Key Verbindung zu entschlüsseln werden momentan ca. 200 IVs (Initialisierungsvektor der ist nötig um das Paket zu entschlüsseln) pro Key-Byte benötigt.
Ausgehend von 200 Paketen je Key-Byte, multipliziert mit 13(Bytes bei 128bit Key) , multipliziert mit 5041 ergibt eine Zahl von 13.106.600 Datenpakete (Daten + IVs). D.h., um einen 128 Bit WEP Key zu entschlüsseln benötigt man 13.106.600 Datenpakete , die gesendet werden müssen um genügend interessante IVs zu erfassen. Unter der Voraussetzung, dass ein Verbindung kontinuierlich 350 Datenpakete in der Sekunde überträgt. (was sehr viel ist und in der Praxis nie so hoch ausfällt, wenn keine Daten am Handheld eingelesen werden, wird nur alle 2 Sekunden ein Datenpaket übertragen). So beträgt die Entschlüsselungszeit für einen 128 Bit Key 37.477 Sekunden oder 10,4 Stunden. Dieses Beispiel stimmt nur bei hohem Durchsatz, der bei PC – AP – PC Verbindungen erreicht wird aber nicht bei Übertragung von einem Handheld Gerät zum Acces Point da ist die Zahl der Datenpakete um ca. 60-99% (je nach Applikation ) geringer und somit steigt der Zeitaufwand zum Entschlüsseln um ein mehrfaches.
MAC Adressen (Media Access Control)
In den Access Points werden die MAC Adressen der Terminals gesetzt die zugreifen dürfen. MAC Adressen können jedoch relativ einfach abgefangen und dann vom Eindringling kopiert werden.
Optionaler Radius Server:
Der Radius Server oder die LEAP Technologie wechseln die WEP Encryption in kurzen Abständen. Diese Technologie kann z.B. auf Intermec Geräten mit min. 4MB RAM eingesetzt werden.
Unter Berücksichtigung der geringen Reichweite unserer Netze, der Mobilität der Anwender und dem geringen, transportierten Datenvolumen erachten wir die obig aufgeführten Sicherheitsvorkehrungen zur Zeit als ausreichend. Auch im Vergleich zu Sicherheitslücken bei „normalen“ Netzwerken.
Die von uns vertriebenen Produkte sind dermassen ausgelegt, dass sie mit zur Zeit diskutierten zusätzlichen Sicherheitsmechanismen nachgerüstet werden können.
Anbei eine interessante Übersicht zu diesem Thema von der Firma Intermec Technologies. Datensicherheit im WLAN
Sollten Sie an Sicherheit im WLAN interessiert sein, dann fragen Sie uns. Wir haben aktuell geschulte Spezialisten mit den richtigen Werkzeugen um Ihr WLAN auch im komplizierten und heiklen Umfeld sicher und schnell zu machen !