Bundesamt für Sicherheit in der Informationstechnik

G 2.121 Unzureichende Kontrolle von WLANs

Ein WLAN ist ein potentielles Ziel von Angriffen, sei es, um dieses unberechtigt nutzen zu können oder um dessen Verfügbarkeit zu stören ( DoS -Angriffe). Diese könnten eine Kompromittierung der mit dem WLAN verbundenen Infrastruktur nach sich ziehen. Wenn keine ausreichende Kontrolle des WLANs stattfindet, werden Angriffe meistens überhaupt nicht oder nicht zeitnah erkannt.

Falsch konfigurierte Intrusion Detection Systeme

Werden bei der Planung für ein Intrusion Detection System die Kommunikationsmuster zum WLAN nicht mit betrachtet, so führt dies entweder dazu, dass Angriffe vom Intrusion Detection System nicht erkannt werden können, oder dass zulässige Kommunikation zu einem Alarm führt.

Eine akute Gefährdung kann auch bei der Protokollierung von IDS-relevanten Ereignissen entstehen:

  • Wenn zu viele Informationen protokolliert bzw. zu lange gespeichert werden, besteht die Gefahr, dass die Datenbanken des Intrusion Detection Systems überlaufen.
  • Werden bei der Protokollierung zu wenige oder die falschen Daten aufgezeichnet, wird eventuell ein Angriff nicht erkannt und es kann keine sinnvolle post-mortem-Analyse durchgeführt werden.

Unerlaubte Mitnutzung des WLANs

Sofern keine ausreichend starken Authentisierungsmechanismen für den Zugang zu einem WLAN implementiert sind, könnte ein Angreifer über eine WLAN-Installation beispielsweise auf das Internet zugreifen. Dadurch könnte die zur Verfügung stehende Bandbreite reduziert und die Antwortzeit für autorisierte WLAN-Nutzer erhöht werden. Ebenso könnte der so erlangte Internet-Zugang dazu verwendet werden,

  • Angriffe auf andere Systeme im Internet durchzuführen,
  • Spam-Mails zu verbreiten,
  • strafrechtlich relevante Inhalte aus dem Internet herunterzuladen oder
  • Internet-Tauschbörsen zu benutzen.

Keine Auswertung der Log-Dateien

Wenn Angreifer versuchen, sich an einem WLAN anzumelden, müssen sie zunächst die Authentisierung überwinden. Falls sie hierbei Wörterbuch- oder Brute-Force-Methoden anwenden, kommt es zu Fehlermeldungen bei den Authentisierungskomponenten, die diese in ihren Log-Dateien verzeichnen. Werden diese Protokoll-Dateien nicht regelmäßig ausgewertet, so können solche Angriffe nicht erkannt und entsprechende Gegenmaßnahmen ergriffen werden. Werden darüber hinaus erfolgreiche Anmeldungen nicht auf ihre Gültigkeit überprüft, so könnten Angreifer unbemerkt das WLAN mit gültigen ausgespähten Zugangsinformationen benutzen, sogar während die Mitarbeiter abwesend sind.

Beispiel:

Der Mitarbeiter Herr Müller ist für drei Wochen in Urlaub. Während dieser Zeit wurden seine Zugangsinformationen für das WLAN von einem Angreifer erfolgreich entschlüsselt. Dieser kann sich nun mit diesen Informationen erfolgreich und unbemerkt mit dem WLAN der Institution verbinden und auf alle Bereiche zugreifen, zu denen der Mitarbeiter zugelassen ist. Hierdurch könnten sogar sensible Daten erspäht werden. Bei einer regelmäßigen Analyse der Protokoll-Dateien des Authentisierungsservers hätte den Administratoren auffallen können, dass Herr Müller gar nicht anwesend ist und sich somit auch nicht mit dem WLAN verbinden kann. Ebenso hätte eine Urlaubssperre des WLAN-Accounts von Herrn Müller diesen Angriff verhindern können.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK