Bundesamt für Sicherheit in der Informationstechnik

M 5.141 Regelmäßige Sicherheitschecks in WLANs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Es sollte regelmäßig, mindestens monatlich, ein WLAN-Sicherheitscheck durchgeführt werden.

WLANs sollten regelmäßig mit WLAN-Analysatoren und Netz-Sniffern überprüft werden, ob es eventuell Sicherheitslücken wie schwache Passwörtern, mangelhafte Verschlüsselung oder einen aktiven SSID-Broadcast gibt. Aber auch nach unbefugt installierten WLANs sollte gesucht werden.

Netz-Analyse-Programme

Zur Überwachung und Analyse von Dienstequalität und Sicherheit sind in WLANs ebenso wie auch in anderen Netzen spezifische Werkzeuge hilfreich. Für einen sicheren Betrieb von WLANs ist die Überprüfung, in wie weit die vorgegebenen Sicherheitsrichtlinien eingehalten werden und wie es um die Verfügbarkeit des WLANs bestellt ist, besonders wichtig. Zu letzterem gehören auch Messungen der Performance und Fehleranalysen. Nützlich sind aber auch Tools, die einen Überblick über alle aktiven WLAN-Teilnehmer, sowie über bisher erkannte Netzteilnehmer geben.

Netz-Analyse- oder Sniffer-Programme lesen Datenströme mit und untersuchen die übermittelten Datenpakete nach verschiedenen, einstellbaren Kriterien. Sie können beispielsweise nach bestimmten Mustern in den Datenpaketen suchen oder Routing-Information auswerten.

Netz-Analyse-Tools sollten regelmäßig eingesetzt werden, um

  • nach unautorisierten WLANs innerhalb der Institutionsgrenzen zu suchen,
  • regelmäßig zu überprüfen, ob alle notwendigen Sicherheitsmechanismen aktiviert wurden,
  • um Funklöcher aufzuspüren und die Signalqualität von Funknetzen auszuwerten.

Überwachung der WLAN-Infrastruktur

Zur Überwachung der WLAN-Infrastruktur kann im einfachsten Fall eine Standortaufnahme über einen mit Spezial-Software ausgestatten WLAN-Client als Stichprobe durchgeführt werden, mit dem das Versorgungsgebiet abgelaufen wird. Hierdurch kann der Betrieb von unerlaubt aufgestellten Access Points ermittelt werden.

Eine bessere Kontrolle ist aber bei Einsatz eines WLAN-Management-Systems gegeben, mit dessen Hilfe regelmäßig folgende Aktion durchgeführt werden sollten:

  • Erkennung von Fremdgeräten, insbesondere fremder Access Points
  • Durchführung von Wireless Site Surveys, also Untersuchungen, um Informationen zu Abdeckung, Datenraten, Bandbreite, QoS usw. über ein WLAN zu erhalten
  • Protokollierung von Anmeldezeiten
  • Überwachung der Konfiguration von WLAN-Netzelementen

Einsatz eines Wireless Intrusion Detection Systems

Bei der Planung eines Access Point-basierten Wireless Intrusion Detection Systems (IDS) sollte zunächst festgelegt werden, ob eine eigene Messinfrastruktur aufgebaut wird oder die im Produktivnetz verwendeten Access Points und WLAN-Clients in bestimmten Intervallen in einen Messmodus geschaltet werden. Wird hierbei keine vollständige Erfassung des zu überwachenden Bereichs realisiert, können Angriffe im WLAN auf Funkebene nicht erkannt werden. Darüber hinaus ist zu berücksichtigen, dass ein Access Point bzw. WLAN-Client im Messbetrieb keine Daten übertragen kann und damit eine Reduktion der Performance und gegebenenfalls der Verfügbarkeit der WLAN-Datenübertragung in Kauf genommen wird. Ebenso bleibt bei der Nutzung der zum Produktivnetz gehörenden Access Points im Scan-Modus immer ein Zeitfenster bestehen, in dem keine Überwachung auf der Luftschnittstelle möglich ist.

In jedem Fall muss beim Einsatz eines Intrusion Detection Systems oder gar eines Intrusion Prevention System (IPS) das normale Kommunikationsverhalten im WLAN ermittelt bzw. auf Basis von Messungen definiert werden (siehe auch M 5.71 Intrusion Detection und Intrusion Response Systeme ).

Alarm- und Fehlerbehandlung

Die WLAN-Administration sollte über eine Alarm- und Fehlerbehandlung verfügen. Hierbei sind folgende Aufgaben durch die Administratoren wahrzunehmen:

  • Auswertung und Bewertung von Alarmen, z. B. bei einer Häufung von fehlgeschlagenen Authentisierungsversuchen an einem Access Point
  • Auswertung von Statistiken zur Fehlersuche
  • Auslösung von Maßnahmen bei einem vermuteten Sicherheitsvorfall
  • Anpassung von Schwellwerten zur Alarmauslösung an eine geänderte WLAN-Nutzung

Penetrationstest

Im Zuge eines Sicherheitschecks kann ein WLAN auch mit Hilfe von Penetrationstests auf Schwachstellen untersucht werden. Dabei sind alle getroffenen Sicherheitsmaßnahmen genau zu prüfen, ob diese den Angriffen gewachsen sind, gegen die sie wirken sollen. Ein Penetrationstest sollte mindestens halbjährlich, spätestens jedoch jährlich, erfolgen.

Dokumentation

Bei der Durchführung des Sicherheitschecks sollten die Administratoren alle Schritte so dokumentieren, dass sie (beispielsweise bei einem Verdacht auf ein kompromittiertes System) nachvollzogen werden können. Die Ergebnisse des Sicherheitschecks müssen dokumentiert werden, Abweichungen vom Soll zustand muss nachgegangen werden.

Prüffragen:

  • Finden regelmäßige Überprüfungen hinsichtlich der WLAN -Verfügbarkeit statt?

  • Wird mit den durchzuführenden Überprüfungen die Einhaltung der vorgegebenen Sicherheitsrichtlinien kontrolliert?

  • Existiert für die Administratoren eine Regelung zur Behandlung von Fehler- und Alarmmeldungen?

  • Werden die Ergebnisse von Sicherheitsuntersuchungen nachvollziehbar dokumentiert, mit dem Soll-Zustand abgeglichen und wird Abweichungen nachgegangen?

Stand: 13. EL Stand 2013