Ein Baukasten für sicheres WLAN

Sichere Kommunikation in industriellen IEEE 802.11 WLAN Netzwerken

Gastbeitrag

Sicherheit im Sinne des englischen Begriffes „Security“ ist seit jeher ein bedeutendes Thema für den Einsatz von Funklösungen im industriellen Bereich. Dabei schwingt oftmals die Angst vor einem Abhören der Funkverbindungen mit. Jedoch beschränken sich moderne Sicherheitsverfahren keineswegs nur auf die Datenverschlüsselung. Themen wie eine zentrale Zugriffskontrolle, Intrusion Detection, Firewalling und der Schutz von Management-Nachrichten sind ebenso wichtige Bausteine eines umfassenden technischen Sicherheitskonzepts. Jedoch ist es oft schwer im Wirrwarr der verschiedenen Techniken noch den Überblick zu behalten.

Dieser Artikel nimmt eine Einordnung der verschiedenen Sicherheitsmechanismen für industrielle WLAN Lösungen vor und beschreibt deren Wirkung und Grenzen. Dabei werden Sicherheitslösungen mit unterschiedlichster Wirkung und Zielsetzung beschrieben und in ein übersichtliches Modell eingeordnet. Ebenso wird die Auswirkung der Mechanismen auf die Leistungsfähigkeit und Skalierbarkeit des Netzwerks und der industriellen Anwendungen beleuchtet.

Welche Art von Sicherheit benötigen industrielle Netzwerke?

Die drahtlose Kommunkation mit WLAN eröffnet eine Vielzahl an neuen Anwendungen und Vorteilen. Jedoch birgt sie auch neue Risiken im Bezug auf die Netzwerksicherheit. Im Home und Office Umfeld wird Sicherheit dabei oftmals mit Vertraulichkeit gleichgesetzt. Zwar ist Vertraulichkeit in industriellen Anwendungen ebenso von Bedeutung, jedoch nehmen die Themen Verfügbarkeit bzw. Zuverlässigkeit und Integrität bzw. Authentizität einen außergewöhnlich hohen Stellenwert ein, wenn es um den dauerhaften und sicheren Betrieb von Industrieanlagen geht. So zielen Angriffszenarien in Industrieanlagen weniger auf das Erbeuten von Daten und Passwörtern, sondern eher auf die Störung der zu steuernden oder zu überwachenden Prozesse. Der Ende 2014 vom BSI berichtete Fall der Zerstörung einer Stahlschmelze zeigt dies sehr eindrucksvoll (Bericht zur Lage der IT Sicherheit 2014, Kapitel 3.3.1). Hier wurden insbesondere der Prozess gestört, bis die Produktionsanlage schwerste Schäden davon trug.

Unter dem Gesichtspunkt der sich von anderen Anwendungen (Home, Office) unterscheidenden Anforderung ist es notwendig mögliche Angriffsszenarien und Sicherheitslösungen aus dem Blickwinkel einer industriellen Anwendung zu betrachten, um zu verstehen, welche Maßnahmen zum Schutz eines industriellen WLAN Netzwerks nötig sind.

Sicherheitsbetrachtung von außen nach innen

Dieser Artikel betrachtet den Weg eines Angreifers von außen her (z.B. Angreifer ohne WLAN Passwörter) nach innen (Angreifer befindet sich bereits im WLAN Netzwerk). Auf diesem Weg durch das Netzwerk werden die Herausforderungen und Lösungen für jede Situation beleuchtet.

Schutz der Kommunikation nach außen

Im Gegensatz zu drahtgebundenen Kommunikationslösungen lässt sich die drahtlose Funkübertragung von WLAN nicht oder nur schlecht physisch begrenzen. Deshalb kann ein WLAN die Firmengrenzen überschreiten und Angreifer benötigen keinen direkten physischen Zugang zu einem Industrienetz, um störend Einfluss auf dieses zu nehmen. Der Schutz der physischen Übertragung (ISO OSI Schichten 1+2) ist daher essentiell für einen sicheren und zuverlässigen Betrieb des Netzwerks und der damit verbundenen Anlagen.

IEEE 802.11i Vertraulichkeit und Integrität gegenüber Außenstehenden

Ohne geeignete Sicherheitsmaßnahmen könnten die Signale eines WLANs von einem Angreifer empfangen werden und damit vertrauliche Informationen und Daten aus dem Netzwerk mitgeschnitten werden. Ebenso könnten Angreifer falsche Informationen oder Steuerungsnachrichten in ein Netzwerk einspielen und damit dessen Betrieb stören. Die Notwendigkeit nach einem Schutz gegen diese Angriffe ist so elementar, dass inzwischen alle aktuellen WLAN Produkte über standardisierte Sicherheitsmechanismen zur Herstellung von Vertraulichkeit und Integritätskontrolle nach IEEE 802.11i verfügen.
F

Offene Netzwerke bieten keinerlei Schutz.  Grafik: Belden
Offene Netzwerke bieten keinerlei Schutz.
Grafik 1: Belden

Grafik 1: Offene Netzwerke bieten keinerlei Schutz. Mit WPA gesicherte Netzwerke verhindern ein Abhören und die Manipulation der Daten. Netzwerke, welche zusätzlich über Management Frame Protection verfügen, schützen ebenfalls die für die Verfügbarkeit wichtigen Management Nachrichten.

Der IEEE Standard 802.11i spezifiziert Verfahren zur Schlüsselaushandlung, Datenverschlüsselung und Datenverifikation für die Übertragung von Nutzdaten in einem WLAN. Seine Unterstützung ist in den neueren WLAN Übertragungsstandards (ab IEEE 802.11n) zwingend nötig, sodass alle aktuellen Produkte über diesen grundlegenden Schutz verfügen sollten. Die dem Standard zugrundeliegende Architektur sieht die individuelle Verschlüsselung jeder einzelnen drahtlosen Datenübertragung vor. Dazu werden zuvor geeigneten Schlüssel zwischen den Kommunikationspartnern ausgehandelt (der Session-Key).

Ein eingebauter Integritätsschutz stellt zudem sicher, dass die übertragenen Daten nicht nur geheim sondern auch unverändert sind. So werden die Sicherheitsziele „Vertraulichkeit“ und „Integrität“ erreicht.

Die Herstellervereinigung Wi-Fi Alliance hat die im IEEE Standard 802.11i spezifizierte Architektur nach deren Verabschiedung in das eigene Verfahren WPA2 (WiFi Protoected Access 2) integriert, wobei WPA2 auf dem IEEE Standard 802.11i basiert. WPA2 sieht die zwei Modi Personal und Enterprise vor, deren hauptsächlicher Unterschied im Mechanismus zur Authentifizierung liegt. Bei WPA Personal wird pro Netzwerk ein gemeinsam von allen WLAN Geräten verwendetes Passwort (Pre-Shared Key) verwendet. Für sehr kleine Netzwerke mag dies noch praktikabel sein, jedoch stellt das Passwort-Management ein großes Hindernis für industrielle Netzwerke mit mehreren Access Points und Clients dar. Gewöhnliche Vorgänge wie z.B. der Austausch eines alten Schlüssels oder der Ausschluss eines verlorenen oder gestohlenen WLAN Gerätes aus einem Netzwerk erfordert in der Regel eine manuelle und aufwändige Neukonfiguration aller Access Points und Clients.
F

Der WPA Enterprise Modus erlaubt es einem Administrator jedem Gerät einen unterschiedlichen Schlüssel zuzuweisen und diese Schlüssel zentral in einer zentralen Authentifizierungsdatenbank (z.B. ein RADIUS Server) zu verwalten. Über den Authentifizierungsstandard IEEE Standard 802.1x kann der Access Point jedes WLAN Gerät beim Verbindungsaufbau authentisieren und es ist möglich einen einmaligen und für jedes Gerät unterschiedlichen Schlüssel aus diesem Authentisierungsprozess abzuleiten. Passwörter können somit zentral verwaltet und getauscht werden und einzelne verlorene oder gestohlene Geräte können einfach aus dem Netzwerk ausgeschlossen werden.

Hochwertigere WLAN Access Points erlauben es darüber hinaus einzelnen Geräten unterschiedliche Virtuelle LANs (VLANs) mit Hilfe von WPA Enterprise zuzuweisen, sodass klar zwischen verschiedenen Rollen der Geräte getrennt werden kann. So können z.B. ein WLAN Sensor und eine WLAN Überwachungskamera in verschiedene VLANs verwiesen werden, sodass der Sensor nur mit dem Kontrollserver kommunizieren kann und die Kamera nur mit dem Überwachungsterminal. Diese Segmentierung erschwert es Angreifern weniger sichere Geräte zu manipulieren und von dort aus weiter ins Netzwerk vorzudringen. Auf die Leistungsfähigkeit des Netzwerks hat dies keinen negativen Einfluss.

IEEE 802.11w Robustheit und Zuverlässigkeit für Management Funktionen

Zwar schützt IEEE 802.11i und WPA2 vor Angreifern, die es auf den Datenverkehr abgesehen haben, jedoch spielt in industriellen Netzwerken auch die Robustheit und Verfügbarkeit des Netzwerkes eine überragende Rolle. Leider bietet IEEE 802.11i bzw. WPA2 hier nur bedingt Schutz. Insbesondere die Selbstverwaltungsfunktionen des Netzwerks, welche über sogenannte „Management Frames“ gesteuert werden, sind gegenüber Fälschung und Abhören weitgehend verwundbar. Diese Management Frames sind Pakete die genauso wie Datenpakete über Funk übertragen werden, jedoch keine Nutzdaten beinhalten, sondern ausschließlich zur Sicherstellung der Paketvermittlung im Netzwerk dienen. So melden sich Geräte z.B. durch die Verwendung von Management Frames am Netzwerk an und ab, stoßen neue Schlüsselaustausche an und melden, wenn sie sich von Access Point zu Access Point bewegen. Leider sieht der Standard IEEE 802.11i genau für diese Management Frames keine Verschlüsselung bzw. Authentizitätsprüfung vor. Deshalb können Informationen über das Netzwerk aus abgehörten Management-Frames gewonnen werden und gleichzeitig Management Frames unter falscher Identität gesendet werden. Dadurch entstehen potentielle Angriffsszenarien die Datenkommunikation entscheidend zu stören, wenn z.B. ein Angreifer ein gefälschtes Paket zur Abmeldung eines WLAN Clients sendet und der Access Point daraufhin die Kommunikation abbricht.

Die Qualität einer Verbindung kann durch gefälschte Management Frames soweit gestört werden, dass der von der Anwendung benötigte Durchsatz an Daten möglicherweise nicht mehr verfügbar ist (Denial-of-Service).

Dies kann zu Funktionsstörungen in industriellen Anlagen führen. Im Extremfall ist keine Kommunikation und damit auch keine Kontrolle über den laufenden Produktionsprozess mehr möglich.

Die Technik „Protected Management Frames“ bzw. 802.11w ist eine Funktion die es erlaubt solche Management Frames vor Fälschung zu schützen. Dabei werden die Mechanismen zur Authentisierung und Verschlüsselung auf die Management Frames erweitert und dadurch die „Vertraulichkeit“ und „Authentizität“ der Management Frames erzielt. Dadurch ist es nicht mehr möglich die sensiblen Management Funktionen zur Störung eines Netzwerkes auszunutzen. Leider unterstützen bisher nur sehr wenige Hersteller diese Funktion – es lohnt sich daher bei der Auswahl von industriellen WLAN Lösungen auf die Fähigkeiten der Produkte zu achten.

Erkennen von Angriffen und Anomalien

Die Vorgänge und die Kommunikation in einem Netzwerk sind in der Regel für die Benutzer intransparent. Während diese Intransparenz zwar die Verwendung des Netzwerks vereinfacht (der Benutzer muss sich nicht mit den einzelnen Vorgängen im Netzwerk auseinandersetzen) erschwert es jedoch Angriffe und außergewöhnliches Verhalten von Teilnehmern zu erkennen. Dies gilt besonders für industrielle Netzwerke, die häufig Maschine-zu-Maschine Kommunikation ermöglichen und oftmals lange autonom operieren. Dies erlaubt es Angreifern unentdeckt zu bleiben und erschwert die Reaktion auf Angriffe. Aus diesem Grund ist es wichtig, dass eine WLAN Lösung geeignete Mittel zur Anomalie-Erkennung bereitstellt.

Ein Wireless Intrusion Detection System (WIDS) im Access Point erlaubt es zu erkennen, ob ein Angreifer nach offenen Netzwerken scannt, Management Frames fälscht oder versucht das Netzwerk über gefälschte Nachrichten aus dem Tritt zu bringen. Das System registriert dabei verdächtige Verhaltensweisen anhand von Heuristiken und informiert den Benutzer per Email, Syslog Nachricht oder über Netzwerkmanagement Protokolle wie SNMP (Traps). Bei der Wahl der WLAN und WIDS Lösung muss jedoch betrachtet werden, dass sie auch ökonomisch sinnvoll sein muss. Separate WIDS Lösungen sind meist nur für große Unternehmenscampus-WLAN Netzwerke mit vielen Clients rentabel. Insbesondere bei kleineren bis mittleren WLAN Netzwerken, wie sie oftmals im industriellen Umfeld zu finden sind, muss darauf geachtet werden, welche Möglichkeiten ein WLAN Gerät bereits bietet.

Ein weiteres Angriffsszenario ist der sogenannte Rogue Access Point. Hierbei stellt ein Angreifer einen eigenen Access Point in der Nähe des WLAN Netzwerks auf, um auf WLAN-Client-Fang zu gehen. Der Rogue Access Point verwendet dabei dieselbe SSID (d.h. den Netzwerknamen) wie das industrielle Netzwerk, jedoch häufig ohne Passwortschutz, sodass sich alle Clients einfach versehentlich mit dem gefälschten Netzwerk verbinden können. Es ist aufgrund der Namensgleichheit für Mitarbeiter und Service Personal schwer zu erkennen, ob sie ihr Mobilgerät bzw. ein WLAN Gerät in der Anlage mit dem richtigen Netzwerk verbunden haben. Wird ein WLAN Gerät versehentlich mit dem Rogue Access Point verbunden, kann es zwar nicht mit dem Unternehmensnetzwerk kommunizieren, jedoch kann es je nach Konfiguration sensible Daten oder interne Informationen zur Struktur des industriellen Netzewerks preisgeben. Als mögliches Angriffszenario wäre das Abfischen von Zugangsdaten einzelner Mitarbeiter denkbar. Falls der WLAN Client nur mit dem Internet kommuniziert, sind sogar klassische Man-in-the-Middle Angriffe möglich, die oftmals unbemerkt bleiben. Eine WLAN Lösung sollte daher eine Rogue Access Point Erkennung bieten. Mit dieser Erkennung können die legitimen Access Points im Netzwerk erkennen, falls ein unbekanntes Gerät die SSID des Netzwerkes verwendet, um so Clients anzulocken und zu täuschen.

Layer 2 – Ethernet: Kommunikation zwischen Geräten eines WLANs

Es ist selten ausreichend nur die äußeren Grenzen des Netzwerkes gegen Angreifer zu Schützen. Häufig finden auch Angriffe aus dem Inneren eines Netzwerkes statt. Sollte ein Angreifer die WLAN Verschlüsselung umgangen haben oder sich Zugriff auf ein System im Netzwerk verschafft haben (z.B. durch einen Virus) bietet eine effektive WLAN Verschlüsselung keinen Schutz mehr. Wird ein Client in ein WLAN eingebunden, ist es prinzipiell möglich mit allen weiteren Geräten im selben (Sub-)Netzwerk direkt zu kommunizieren. Ein Angreifer kann so den Angriff auf beliebige mit dem Ethernet Netzwerk verbundene Geräte ausweiten. Diesem Problem kann begegnet werden indem man die Weiterleitung von Nachrichten zwischen WLAN Clients am Access Point unterbindet. Diese einfache und häufig unterstützte Funktion sorgt dafür, dass verbundene Clients voreinander geschützt (isoliert) werden. In industriellen Netzwerken ist dies im Vergleich zu Office Anwendungen oftmals nicht möglich, da hier die verbundenen WLAN Clients meist direkt untereinander Informationen austauschen müssen, um Anlagen zu steuern und zu überwachen. So spricht eventuell ein über WLAN verbundenes Bedienfeld mit einem über WLAN angebundenen Sensor. Daher ist es für den komplexen industriellen Anwendungsfall nötig, spezielle Filterfunktionen zur Verfügung zu stellen, um diese Kommunikationsbeziehungen abzubilden bzw. um ungewünschte Kommunikation zwischen WLAN Clients gezielt zu unterbinden. Dieser Mechanismus kann über eine konfigurierbare Firewall auf Ethernet Ebene (Layer-2 Firewall) realisiert werden. Dabei wird im Gegensatz zur Verwendung von VLANs keine Grüppchenbildung vorgenommen, sondern es besteht die Möglichkeit einer feineren und flexibleren Kontrolle auf Protokollbasis. Da Industrieanwendungen oftmals innerhalb eines Ethernets ohne Routing operieren, ist es wichtig, dass der Access Point explizit eine Layer-2 Firewall unterstützt. Jedoch verfügen viele Produkte nur über Firewalls für gerouteten Verkehr, welcher über Netzwerkgrenzen weitergeleitet wird. Diese Layer-3 Firewalls lassen direkt geswitchten/gebridgten Verkehr stets passieren und bieten so keinen Schutz für die Kommunikation zwischen Clients.
F

Sicherheitsfunktionen Client Isolation und Layer 2 Firewall Grafik 2
Sicherheitsfunktionen Client Isolation und Layer 2 Firewall
Grafik 2

Grafik 2: Die Möglichkeiten eine Kommunikation zwischen einem potenziellen Angreifer und einer Anwendung zu unterbinden sind die Sicherheitsfunktionen Client Isolation und Layer 2 Firewall, wobei die Client Isolation in industriellen Netzen sehr inflexibel ist.

Zusätzlich kann ein Intrusion Detection System für Ethernet-Verkehr helfen, Clients zu identifizieren, die sich fehlerhaft oder auffällig verhalten. So können auch Angriffe aus dem Inneren des Netzwerks erkannt und aufgezeichnet werden. Eine spezielle Maßnahme zur Erkennung von Angriffen oder Anomalien in einen WLAN Netzwerk ist die Erkennung von „Rogue Clients“.

In diesem Fall assoziiert und authentifiziert sich ein unbekannter Client erfolgreich im Netz. Es taucht also plötzlich ein neues und unerwünschtes Gerät auf. Eine Erkennung dieser Rogue Clients und einer entsprechenden Notifikation an die Administratoren bietet eine weitere Maßnahme um Veränderungen im WLAN Netz zu erkennen und geeignete Reaktionen einzuleiten.

Layer 3 und 4 – IDS und Firewall an Netzwerkgrenzen

Industrielle Anlagen können räumlich über größere Distanzen verteilt sein, wodurch komplexe Topologien des Netzwerkes erforderlich sein können. In diesen Szenarien müssen einzelne Bereiche des Netzwerks gegenseitig abgeschottet werden, sodass ein Angreifer der Zugang zu einem Bereich erlangt, nicht automatisch Schaden im kompletten Netzwerk anrichten kann.

Der Access Point nimmt diesbezüglich oftmals eine zentrale Position ein. Er dient häufig sowohl als zentraler Vermittler zwischen den Clients als auch als Zugangspunkt zu anderen gerouteten Netzwerken oder gar dem Internet. Viele Access Points unterstützen daher auch Funktionen, um als Router operieren zu können. Diese zusätzliche Funktion verringert zum einen die Zahl der benötigten Geräte (es wird kein dedizierter Router benötigt), stellt jedoch auch neue Herausforderungen für einen industriellen Access Point dar: Als Bindeglied zwischen Netzwerken müssen Layer 3 Firewall Funktionen vorhanden sein, um die Clients in einem Netzwerk vor dem Einfluss der verbundenen Netzwerke zu schützen.

Die Kommunikationsbeziehung zwischen den Netzwerken können in den Firewall Filter Regeln abgebildet werden, damit nur die zwischen den Netzwerken gewünschte Kommunikation möglich ist. Dabei besteht die Möglichkeit der flexiblen Zustandskontrolle des Kommunikationsstatus auf Protokollbasis. Auftretende Anomalitäten im Zustand einer Kommunikationsbeziehung sind meist Indikatoren für einen Angriffsversuch. Deshalb kann ein mit der Layer 3 Firewall gekoppeltes Intrusion Detection System helfen mögliche Angriffsversuche zu erkennen, die sich fehlverhaltenden Clients zu identifizieren und die Betreiber des Netzwerks über diese Erkenntnisse zu informieren.

Speziell in einem industriellen Netz können Anwendungen hohe Anforderungen an die Zuverlässigkeit und Verzögerungszeit beim Austausch von Information stellen. Traffic Engineering bietet Methoden den Datenverkehr basierend auf verschiedensten Protokollen in verschiedene Klassen zu kategorisieren und diesen Klassen die geforderte Güte zur Verfügung zu stellen. In modernen Geräten bietet die Layer 3 Firewall zudem Funktionen zur Realisierung eines Traffic Engineering Konzepts. Durch Priorisierung und spezielle Verfahren bei der Behandlung einzelner Datenpakete kann mittels einer Layer 3 die erforderliche Güte für prozesskritische Anwendungen verbessert werden.

Verfügbarkeit

Die beschriebenen Funktionen und Methoden sind in allen Hirschmann OpenBAT Access Points ab Software Version HiLCOS 9.0 verfügbar. Hirschmann bietet damit ein umfängliches Portfolio an Sicherheitsfunktionen einschließlich IEEE 802.11i, RADUS Authenticator und Server, IEEE 802.11w, Wireless Intrusion Detection System, Layer-2 und Layer-3 Firewall sowie Rogue Client und Access Point Detection an. Diese Funktionen sind bereits in der Basisversion der Software verfügbar und können ohne Drittanbieterprodukte für kleine, mittlere und große Netzwerke eingesetzt werden.
F

Der Baukasten der WLAN-Security-Elemente Grafik 3: Belden
Der Baukasten der WLAN-Security-Elemente
Grafik 3: Belden

Bild 3: Der Baukasten der WLAN-Security-Elemente. Die Endpunkt Elemente sind nur auszugsweise und exemplarisch dargestellt.

Zusammenfassung

Wie dieser Artikel aufgezeigt, hat ist die Zahl an Sicherheitsfunktionen in WLAN Netzwerken sehr vielfältig. Jedoch erfüllt jede der beschriebenen Funktionen einen spezifischen Zweck. Daher ergibt sich bei aller Unübersichtlichkeit des Themas eher ein Baukasten als ein Sammelsurium aus Sicherheits-Features. Vereint man diese Funktionen in einem Gerät ergibt sich ein flexibles und mächtiges Sicherheitswerkzeug. Die Unabhängigkeit der Funktionen erreicht darüber hinaus einen mehrschichtigen Schutz, um Sicherheitskonzepte wie das momentan häufig diskutierte „Defense in Depth“ effektiv umzusetzen.

Autoren

  • Dr. rer. nat. Dipl.-Inform. Tobias Heer, Head of Embedded Development – Functions bei der Hirschmann Automation and Control GmbH, Neckartenzlingen
  • Dr.-Ing. Bernhard Wiegel, Lead Engineer Wireless bei der Hirschmann Automation and Control GmbH, Neckartenzlingen

Hirschmann™ ist eine Marke des internationalen Unternehmens Belden. Belden entwickelt, produziert und vertreibt Lösungen für die Datenübertragung.

Über Belden
Belden Inc., ein weltweit führender Anbieter von hochwertigen Signalübertragungslösungen, bietet ein umfassendes Produktportfolio, das auf die Anforderungen unternehmenskritischer Netzwerkinfrastrukturen in den Branchen Industrie- und Gebäudeautomation sowie Broadcast zugeschnitten ist. Mit innovativen Lösungen für die zuverlässige und sichere Übertragung stetig wachsender Datenmengen für Audio- und Videoinformationen, die für moderne Anwendungen benötigt werden, übernimmt Belden eine Schlüsselrolle bei der globalen Veränderung hin zu einer vernetzten Welt. Das Unternehmen mit Hauptsitz in St. Louis, USA, wurde 1902 gegründet und betreibt Fertigungsstätten in Nord- und Südamerika, Europa und Asien.
F
F
F
F
F

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

eins × eins =