Abhören Management Frames,
Managementfunktionen werden über Management Frames, die leicht zu manipulieren sind, gesteuert. Sie organisieren den internen Betrieb eines Netzwerks. (Bild: © sonjanovak - Fotolia.com)

Die Managementfunktionen eines Netzwerks werden über so genannte Management Frames, die sich leicht manipulieren und abhören lassen, gesteuert. Diese Netzwerkpakete werden wie Datenpakete via Funk übertragen, enthalten aber keine Benutzerdaten, sondern organisieren den internen Betrieb eines Netzwerks.

Geräte können sich mit Hilfe von Management Frames im Netzwerk an- und abmelden, einen erneuten Schlüsselaustausch initiieren und ein Roaming (Wechsel) von einem Access Point zum nächsten anzeigen. Durch oftmals fehlende Schutzmechanismen können über abgehörte Management Frames Informationen über das Netzwerk erlangt und manipulierte Management Frames unter einer falschen Identität versendet werden. Dies erleichtert es Angreifern, den Netzwerkbetrieb durch Abschalten eines Geräts einfach und nachhaltig zu stören.

Um solche Attacken zu verhindern, schützen Access Points und Clients, welche Protected Management Frames (PMF) unterstützen, diese sensiblen Pakete vor Manipulationen und machen es durch die Verwendung der WPA-2-Authentifizierungs- und Verschlüsselungsfunktionen unmöglich, die sensiblen Management Frames für Angriffe auf ein Netzwerk zu missbrauchen.

Abwehr aus dem Innern des Netzwerks

Auch die effektivste WLAN-Verschlüsselung kann keinen Schutz bieten, wenn ein Angreifer ein "Insider" ist. Durch eine gezielte Beschränkung der Kommunikation auf das, was für den Betrieb einer industriellen Anwendung erforderlich ist, können zusätzliche Barrieren errichtet werden, die verhindern, dass sich die Auswirkungen interner Angriffe verbreiten. Diese Art der Beschränkung ist ein weiterer Defense-in-Depth-Mechanismus, der den Schutz eines Netzwerks deutlich erhöht. Zu bewährten Strategien für die Beschränkung der Kommunikation innerhalb eines Netzwerks gehören:

  • Die Verhinderung jeglicher Kommunikation zwischen allen angeschlossenen WLAN-Clients durch deren Isolierung voneinander. Während dieses Vorgehen bei Unternehmensanwendungen gut funktioniert, ist es in industriellen Netzwerken häufig nicht möglich, da deren Clients zum Betrieb und zur Überwachung der Anlagen Informationen unmittelbar austauschen müssen.
  • Einrichtung einer konfigurierbaren Layer-2-Firewall auf der Ethernet-Ebene. Eine solche Firewall kann den Datenverkehr zwischen WLAN-Clients gezielt filtern und den erlaubten Datenverkehr auf bestimmte Kommunikationsteilnehmer oder Protokolle beschränken. Somit ermöglicht dieser Ansatz eine effektivere und flexiblere Kontrolle auf einer Teilnehmer/Protokoll-Basis.
  • Installation eines Intrusion Detection Systems (IDS) für den Ethernet-Datenverkehr. Ein solches System kann Clients identifizieren, die sich fehlerhaft, verdächtig oder ungewöhnlich verhalten, wodurch ein Angriff aus dem Inneren eines Netzwerks erkannt und dokumentiert werden kann.
  • Durchführung einer zustandsbezogenen Deep Packet Inspection (DPI). Mit einer Firewall, die eine solche Prüfung beherrscht, kann die Kommunikation auf bestimmte Teilnehmer sowie Protokolle und sogar deren Verhaltensweisen beschränkt werden. Logische Verbindungen zwischen Geräten, die zu einer industriellen Anwendung gehören, lassen sich damit sogar inhaltlich prüfen. 

Identifizierung von Abweichungen

Angriffe erkennen,
Bei automatisch ausgeführten Prozessen ist es schwer einen Angriff früh zu erkennen. Deshalb muss die Funklösung selbst Veränderungen erkennen und melden. (Bild: Hirschmann)

In einer Funkanwendung ist die Kommunikation nicht intuitiv beobachtbar oder begreifbar, da viele Prozesse automatisch durchgeführt werden und vollständig unsichtbar sind. Bei diesen Prozessen ist es schwierig, Angriffe oder ein verdächtiges Verhalten von Benutzern zu erkennen und die geeigneten Gegenmaßnahmen zu ergreifen. Deshalb ist es entscheidend, dass eine Funklösung Kommunikationsabweichungen rasch identifiziert, das heißt: bevor der Angreifer in der Lage ist, den Betrieb einer industriellen Anlage zu stören.

  • Ein Wireless Intrusion Detection System (WIDS) in einem Access Point kann vielfältige verdächtige Verhaltensweisen erkennen und melden, beispielsweise ob ein Angreifer nach offenen Netzwerken sucht, Management Frames manipuliert oder versucht, die Netzwerkkommunikation durch gefälschte Authentifizierungsmeldungen zu beeinträchtigen. Das WIDS kann dies dokumentieren und den Benutzer darüber informieren, etwa durch eine E-Mail.
  • Ein normales IDS (ohne WLAN-Bezug) kann verdächtige Aktivitäten innerhalb eines Netzwerks identifizieren. Selbst einfache IDS-Funktionen können für industrielle Netzwerke sehr effektiv sein, da deren Strukturen und der im Netzwerk vorkommende Datenverkehr meist sehr vorhersehbar sind. Dadurch kann das IDS verdächtige Verhaltensweisen leicht erkennen.

Umgebungseinflüsse

Zwei andere Situationen, die für Funknetze gefährlich sind, betreffen nicht das geschützte Unternehmensnetzwerk selbst, sondern andere nicht zugelassene oder gefälschte Netzwerke in der direkten Umgebung. Deshalb ist es entscheidend, die Funkumgebung genau zu kennen. Nur so kann den folgenden Bedrohungen erfolgreich begegnet werden:

  • Sogenannte Rogue Access Points stellen einen nicht genehmigten und potentiell unsicheren Zugang in ein Produktionsnetzwerk bereit. Wenn beispielsweise Mitarbeiter private Wireless-Geräte an ihrem Arbeitsplatz nutzen möchten, könnten sie eigene Access Point mit dem Funknetz verbinden und so einen unkontrollierten und potentiell unsicheren Zugang für Angreifer schaffen.
  • Beim Wireless- oder WiPhishing werden Access Points in der Nähe eines WLAN-Netzes installiert, die in der Umgebung des industriellen Funknetzwerks nahezu identische Funkdienste bereitstellen, um WLAN-Clients in ein gefälschtes Netz zu locken. Diese Access Points nutzen denselben Netzwerknamen bzw. Service Set Identifier (SSID) wie das industrielle Netzwerk, jedoch häufig ohne Passwortschutz, so dass die Geräte möglicherweise sensible Daten preisgeben.

Beide Angriffsszenarien lassen sich auf das gleiche Problem zurückführen: unzureichende Kenntnisse über die Funkumgebung. Ohne eine aktive Überwachung bleibt die Umgebung eines Funknetzes so lange weitgehend unsichtbar, bis Probleme auftreten. Um davor geschützt zu sein, müssen sich die Betreiber einen vollständigen Überblick über die ihr Netzwerk umgebenden Netzwerke verschaffen.

Es gibt viele Optionen, um ein WLAN-Netz sowohl vor externen als auch internen Bedrohungen zu schützen. Jeder Sicherheitsmechanismus, der in diesem Beitrag beschrieben wurde, dient einem anderen Zweck und sollte zusammen mit weiteren Mechanismen eingesetzt werden, um einen ganzheitlichen Baukasten für ICS-Sicherheit zu erhalten. Wenn alle Funktionen in einem einzelnen Gerät kombiniert werden, entsteht ein flexibles und effektives Sicherheitswerkzeug, mit dem sich mehrere Verteidigungsschichten gegen alle möglichen Bedrohungsquellen errichten lassen.

Hirschmann-Router,
Der Hirschmann-Router erkennt Bedrohungen und sorgt für Datensicherheit im Unternehmen. (Bild: Hirschmann)

Sie möchten gerne weiterlesen?