(Bild: Fotolia; fotohansel)
WLAN-Netzwerke erlauben vielfältige Sicherheitsfunktionen, von denen jede einen spezifischen Zweck erfüllt. Vereint man diese Funktionen auf einem Gerät, ergibt dieses ein effektives Sicherheitswerkzeug, das mehrschichtigen Schutz bietet.
Sicherheit im Sinne des englischen Begriffes „Security“ ist ein bedeutendes Thema für Funklösungen im industriellen Bereich. Bei der Diskussion schwingt oft die Angst vor dem Abhören der Funkverbindungen mit. Moderne Sicherheitsverfahren beschränken sich aber keineswegs auf die Datenverschlüsselung. Themen wie eine zentrale Zugriffskontrolle, Intrusion Detection, Firewalling und Schutz von Management-Nachrichten sind ebenso wichtige Bausteine eines umfassenden technischen Sicherheitskonzeptes.
Im Gegensatz zu drahtgebundener Kommunikation lässt sich die Funkübertragung via WLAN (Wireless Local Area Network) kaum physikalisch begrenzen. Deshalb kann ein WLAN die Unternehmensgrenzen überschreiten, und Angreifer benötigen keinen direkten physikalischen Zugang. Der Schutz der physikalischen Übertragung (ISO/OSI-Schichten 1+2) ist daher essentiell für den sicheren und zuverlässigen Betrieb des industriellen Netzwerks und der Anlagen. Deshalb verfügen aktuelle WLAN-Produkte über standardisierte Mechanismen, um Vertraulichkeit und Integritätskontrolle nach IEEE 802.11i herzustellen.
Dieser Standard spezifiziert Verfahren zur Schlüsselaushandlung, Datenverschlüsselung und -verifikation für die Übertragung von Nutzdaten im WLAN. Seine Unterstützung ist in Übertragungsstandards ab IEEE 802.11n obligatorisch, sodass alle aktuellen Produkte über diesen grundlegenden Schutz verfügen sollten. Die dem Standard zugrundeliegende Architektur sieht die individuelle Verschlüsselung jeder einzelnen drahtlosen Datenübertragung vor. Dazu werden zuvor geeignete Schlüssel (Session-Keys) zwischen den Kommunikationspartnern ausgehandelt. Ein eingebauter Integritätsschutz stellt sicher, dass die Daten nicht nur geheim, sondern auch unverändert bleiben. So werden Vertraulichkeit und Integrität sichergestellt.
Die Herstellervereinigung Wi-Fi-Alliance hat die im IEEE-Standard 802.11i spezifizierte Architektur in das eigene Verfahren WPA2 (WiFi Protected Access 2) integriert. WPA2 sieht die zwei Modi Personal und Enterprise vor, deren hauptsächlicher Unterschied im Mechanismus zur Authentifizierung liegt. Hochwertigere WLAN-Access-Points erlauben es, mit WPA-Enterprise einzelnen Geräten unterschiedliche virtuelle LANs (VLANs) zuzuweisen, sodass die Rollen der verschiedenen Geräte klar getrennt werden.
Robust und zuverlässig
Zwar schützen IEEE 802.11i und WPA2 vor Angreifern, die es auf den Datenverkehr abgesehen haben, jedoch spielt in der Industrie auch die Robustheit und Verfügbarkeit des Netzwerkes eine Rolle. Hier bietet IEEE 802.11i und WPA2 nur bedingt Schutz. Insbesondere die Selbstverwaltungsfunktionen des Netzwerks, die über sogenannte Management-Frames gesteuert werden, sind gegenüber Fälschung und Abhören verwundbar. Diese Management-Frames sind Pakete, die per Funk übertragen werden.
Sie beinhalten keine Nutzdaten, sondern dienen dazu, die Paketvermittlung im Netzwerk sicherzustellen. Geräte verwenden sie zum Beispiel, um sich am Netzwerk an- und abzumelden, wenn sie sich von Access Point zu Access Point bewegen.
Jedoch sieht der Standard IEEE 802.11i für Management-Frames keine Verschlüsselung oder Authentizitätsprüfung vor. Deshalb können Angreifer Frames abhören und unter falscher Identität senden. Das kann die Qualität einer Verbindung erheblich stören.
Im Extremfall ist keine Kommunikation mehr möglich. Die Protected-Management-Frames-Technik beziehungsweise 802.11w erlaubt es, diese Frames vor Fälschung zu schützen und so Vertraulichkeit und Authentizität herzustellen.
Angriffe und Anomalien erkennen
Die Vorgänge in einem Netzwerk sind für die Nutzer meist intransparent. Dies vereinfacht die Verwendung des Netzwerks, erschwert es jedoch, Angriffe und außergewöhnliches Verhalten von Teilnehmern zu identifizieren. Deshalb sollte eine WLAN-Lösung geeignete Mittel zur Anomalie-Erkennung bereitstellen. Mittels eines Wireless-Intrusion-Detection-Systems (WIDS) im Access Point lässt sich feststellen, ob ein Angreifer nach offenen Netzwerken scannt, Management-Frames fälscht oder versucht, das Netzwerk über gefälschte Nachrichten zu manipulieren.
Ein weiteres Angriffsszenario ist der Rogue-Access-Point: Ein Angreifer stellt einen eigenen Access Point nahe des Netzwerks auf und geht auf WLAN-Client-Fang. Der Rogue-Access-Point verwendet den gleichen Netzwerknamen (SSID) wie das industrielle Netzwerk, jedoch häufig ohne Passwortschutz, sodass sich Clients versehentlich mit dem gefälschten Netzwerk verbinden.
Dann können sie zwar nicht mit dem Unternehmensnetzwerk kommunizieren, geben aber je nach Konfiguration sensible Daten oder interne Informationen zur Netzwerkstruktur preis. Falls ein Client nur mit dem Internet kommuniziert, sind sogar klassische Man-in-the-Middle-Angriffe möglich. Eine WLAN-Lösung sollte daher eine Rogue-Access-Point-Erkennung bieten. Dann bemerken legitime Access Points, wenn ein unbekanntes Gerät ihre SSID verwendet.
Kommunikation zwischen den Geräten eines WLAN filtern
Der Baukasten der WLAN-Security-Elemente: Die Endpunkt Elemente sind nur auszugsweise
und exemplarisch dargestellt.
Es reicht selten aus, nur die äußeren Grenzen des Netzwerkes zu schützen. Häufig kommen Angriffe aus dem Inneren. Sollte ein Angreifer die WLAN-Verschlüsselung umgangen oder sich Zugriff auf ein System im Netzwerk verschafft haben, zum Beispiel durch einen Virus, bietet selbst eine effektive Verschlüsselung keinen Schutz mehr.
Wird ein Client in ein WLAN eingebunden, ist es prinzipiell möglich, mit allen weiteren Geräten im selben (Sub-) Netzwerk direkt zu kommunizieren. Ein Angriff kann so auf beliebige mit dem Ethernet-Netzwerk verbundene Geräte ausgeweitet werden. Das lässt sich verhindern, indem man die Weiterleitung von Nachrichten zwischen Clients am Access Point unterbindet. In industriellen Netzwerken ist dies oftmals nicht möglich, da die Clients meist direkt untereinander Informationen austauschen müssen, um Anlagen zu steuern und zu überwachen.
Diese Netzwerke brauchen daher spezielle Filterfunktionen, um diese Kommunikationsbeziehungen abzubilden beziehungsweise um ungewünschte Kommunikation zwischen Clients gezielt zu unterbinden. Dieser Mechanismus lässt sich über eine konfigurierbare Firewall auf Ethernet-Ebene (Layer-2) realisieren. Da Industrieanwendungen oftmals innerhalb eines Ethernet-Netzwerks ohne Routing operieren, ist es wichtig, dass der Access Point explizit eine Layer-2-Firewall unterstützt.
Zusätzlich kann ein Intrusion-Detection-System für Ethernet-Verkehr helfen, Clients zu identifizieren, die sich fehlerhaft oder auffällig verhalten. Eine spezielle Maßnahme zur Erkennung von Angriffen oder Anomalien in ein WLAN ist die Identifizierung von Rogue Clients. Zusammen mit einer entsprechenden Nachricht an die Administratoren ist dies eine Maßnahme, um Änderungen zu erkennen.
IDS und Firewall an Netzwerkgrenzen einrichten
Die Möglichkeiten, eine Kommunikation zwischen einem potenziellen Angreifer und einer Anwendung zu unterbinden, sind die Sicherheitsfunktionen Client Isolation und Layer 2 Firewall, wobei die Client Isolation in industriellen Netzen wenig flexibel ist.
Industrielle Anlagen können räumlich über größere Distanzen verteilt sein, was zu komplexen Netzwerk-Topologien führt. In diesen Szenarien müssen einzelne Bereiche des Netzwerks gegeneinander abgeschottet werden, sodass ein Angreifer, der Zugang zu einem Bereich erlangt, nicht Schaden im kompletten Netzwerk anrichten kann. Der Access Point nimmt dabei oft eine zentrale Position ein: Er dient häufig als zentraler Vermittler zwischen den Clients sowie als Zugangspunkt zu anderen gerouteten Netzwerken oder gar dem Internet. Viele Access Points unterstützen zusätzlich Funktionen, um als Router zu operieren.
Dies verringert die Zahl der Geräte, denn es wird kein spezieller Router benötigt, stellt jedoch neue Herausforderungen für einen Access Point dar. Denn als Bindeglied zwischen Netzwerken braucht er Layer-3-Firewall-Funktionen, um die Clients vor dem Einfluss der verbundenen Netzwerke zu schützen. Auch kann ein Intrusion-Detection-System, das mit der Layer-3-Firewall gekoppelt ist, helfen, Angriffsversuche zu erkennen, die davon betroffenen Clients zu identifizieren und die Betreiber des Netzwerks zu informieren.
In industriellen Netzen sind die Anforderungen an Zuverlässigkeit und Verzögerungszeit beim Informations-Austausch hoch. Traffic Engineering bietet Methoden, um den Datenverkehr zu kategorisieren und die jeweils geforderte Güte zu liefern. In modernen Geräten unterstützt eine Layer-3-Firewall diesen Vorgang.
Daraus folgt: Die Anzahl der Sicherheitsfunktionen in WLAN-Netzwerken ist vielfältig, jede erfüllt einen spezifischen Zweck. Daher ergibt sich ein Baukasten aus Funktionen. Vereint man diese in einem Gerät, ergibt sich ein effektives Werkzeug. Die Unabhängigkeit der Funktionen bewirkt einen mehrschichtigen Schutz, um Sicherheitskonzepte wie Defense-in-Depth umzusetzen. do
Autoren: Tobias Heer und Bernhard Wiegel, Hirschmann Automation and Control