Industrie sleutelt hard aan beveiliging draadloze netwerken

Aanbieders van hard- en software gebruiken de 802.11-standaard om draadloze Ethernetkaarten te ontwikkelen. De WEP-algoritme is ontworpen om draadloze netwerken hetzelfde niveau van veiligheid te bieden als mogelijk is bij een fysiek kabelnetwerk. De onderzoekers ontdekten dat het een fluitje van een cent is de standaard 40-bit-versleuteling in WEP te kraken door een pc-Lan-kaart op een laptop te gebruiken in combinatie met zogenoemde sniffer-software. David Cohen is voorzitter van WECA (Wireless Ethernet Compatibility Alliance), de vereniging die Wi-Fi (Wireless Fidelity) promoot, de ‘merknaam’ voor de WLan-standaard 802.11b. Hij zegt geen paniekzaaier te zijn. Desalniettemin geeft Cohen aan dat de producten die momenteel verkrijgbaar zijn voor de aanpak van WEP-problemen, of sommige daarvan, aanbieder- specifiek zijn en bovendien niet interoperabel. Cohen dringt er bij WLan-gebruikers op aan zich ervan te vergewissen dat ze in de eerste plaats WEP aanzetten (default staat het uit). “Als ze dat nalaten, maken ze het voor een inbreker het meest eenvoudig een aanval op de veiligheid te doen.” Hij wijst erop dat WEP oorspronkelijk alleen bedoeld was als basisbescherming voor een beperkt deel van het netwerk en niet als end-to-end bescherming. Wi-Fi-technologie is prima te integreren met de meeste hogere vormen van netwerkbeveiliging, zoals VPN’s, op Radius gebaseerde authenticatie en IPsec. Hij adviseert deze te gebruiken in aanvulling op WEP. Veel fabrikanten pasten dit jaar IEEE 802.1x toe, nadat Microsoft bekendmaakte dat Windows XP de standaard zou ondersteunen. Zo kon ook bij WLan’s met een gebruikersnaam of een wachtwoord worden ingelogd. De meeste fabrikanten voegde ondersteuning toe voor Radius- en/of Kerberos-authenticatie in hun productversies van 802.11b. “Daarnaast hebben de meeste gezorgd voor versleuteling per gebruiker per sessie, wat het risico wegneemt van het gebruik van een gedeelde sleutel”, aldus Paulo. “Dat verschillende fabrikanten dezelfde standaard anders interpreteren en ervoor zorgen dat hun producten allemaal op hun eigen manier werken, verergert het probleem”, zegt Spiegeleire van ISS. Paulo van Cahners is het daarmee eens en voegt daaraan toe dat dit voor een bedrijfsomgeving ‘niet toereikend’ is. De IEEE 9082.11TGi is een werkgroep die momenteel extensies ontwikkelt voor WEP om de kwetsbare plekken te ondervangen die tot nu toe ontdekt zijn. De verwachting is dat deze aanvulling op de standaard begin 2002 goedgekeurd wordt. De producten moeten, afhankelijk van de noodzaak voor aanpassing van de firmware of hardware, in de tweede helft van 2002 klaarliggen. Toevoegingen “De kwetsbaarheden die de jongens van Berkeley aan het licht brachten, bestaan echt en ze zijn ernstig”, zegt Gemma Paulo, analist bij onderzoeksbedrijf Chaners Instat, dat onlangs een veiligheids-update voor Wi-Fi uitbracht. Deze update, geschreven door Scott Fluhrer van Cisco Systems en door Itsik Mantin en Adi Shamir van het Weizmann Instituut in Israël, is gepresenteerd tijdens de achtste Annual Workshop Selected Areas of Cryptography, dat in augustus in Toronto plaatsvond. Paulo geeft aan dat er ernstige problemen zijn met onder meer het sleutelbeheer, waarbij één gedeelde sleutel een risicofactor is voor alle gebruikers (wanneer bijvoorbeeld een sleutel kwijtraakt, moeten alle gebruikers de sleutel veranderen). De manier waarop WEP de onderliggende encryptie gebruikt, RC4-40, vergroot de kans dat een sleutel op korte termijn hergebruikt wordt, wat het een stuk gemakkelijker maakt voor hackers. Een aantal leveranciers van draadloze netwerken heeft op basis van WEP toevoegingen ontwikkeld, waarmee betere garanties gegeven kunnen worden. Zo kent Cisco een oplossing (Lightweight EAP genaamd) die het mogelijk maakt om veilig middels een gebruikersnaam en een wachtwoord in te loggen. Kern van deze oplossing is dat de coderingssleutel voor iedere nieuwe netwerksessie opnieuw moet worden aangevraagd bij een zogenaamde AAA-server (Authentication, Authorisation and Accounting). “Daarin verschilt een draadloos netwerk overigens niet van het gebruik van een Virtual Private Network”, stelt Cisco’s manager System Engineers Bart Gijsbers. “De wijze van bevragen van een gebruiker is vastgelegd in het 802.1x-protocol. Een aanvraag voor toegang wordt doorgezet naar de AAA-server, die de identiteit controleert en bij goedkeuring een sleutel distribueert die alleen werkzaam is voor die ene sessie.” “Ook kent WEP gaten in de authenticatie, wat het kwetsbaar maakt voor een ‘man-in- the-middle-attack’ (waarbij het aangevallen systeem het systeem van de inbreker ten onrechte als onderdeel van het eigen netwerk herkent, red.) en ‘denial-of-service-attacks’ (waarbij de inbreker de server overspoelt met verbindingsaanvragen, zodat de server buiten werking raakt, red.). Daarnaast maken een gedeelde sleutel en een zwakke authenticatie het mogelijk een illegaal basisstation of accesspoint, ook wel het access-point-op-de-parkeerplaats genoemd, in het netwerk te plaatsen om pakketjes informatie van eindgebruikers te onderscheppen en ze naar de hacker door te sturen. Het probleem van zo’n illegaal accesspoint is te verhelpen door de hardware van het draadloze netwerk betere beheersmogelijkheden mee te geven”, geeft ze aan. “Dat de gemeenschap van hackers RC4-40 als een zwakke versleuteling beschouwt, maakt het probleem nog erger”, zegt Paulo, van Chaners Instat. OSI-model Hoewel beveiliging van draadloze netwerken technisch niet zo moeilijk is, realiseert Cisco’s Gijsbers zich ook dat het gevaar van onachtzaamheid juist door de eenvoud van de techniek steeds om de hoek ligt. “Een draadloos netwerk is vrijwel nooit een vervanging van een vast netwerk, maar vaak slechts een ‘add-on’ om flexibele capaciteit toe te voegen”, meent hij. Dat betekent dat hiervoor relatief eenvoudig gebruik gemaakt kan worden van de bestaande beveiliging. “Gevaarlijk wordt de situatie wel voor kleine bedrijfjes die hun spullen bij een megastore kopen, zo’n draadloos netwerk snel in de lucht krijgen en vervolgens helemaal vergeten dat daarmee de deur wagenwijd open staat.” Zijn collega Angelo Lamme van 3Com is het met hem eens. “Om de een of andere manier zijn mensen geneigd die beveiliging te vergeten”, weet hij. Dat is niet zo vreemd als men bedenkt dat een klein vast netwerk normaal gesproken een gesloten circuit vormt, waarvoor beveiliging veel minder noodzakelijk is. Een draadloos netwerk biedt in principe dezelfde mogelijkheden, maar is vanwege het letterlijk uitstralende aspect nooit een gesloten circuit. Ook Lamme is niet erg gecharmeerd van de WEP-beveiliging. “Wij adviseren altijd beveiliging op het niveau van laag-3 van het OSI-model”, vertelt hij. “Dat is vergelijkbaar met de beveiliging van een Virtual Private Network.” Bij 3Com is deze beveiliging een vast onderdeel van een aantal van de draadloze netwerkproducten. Lamme geeft ook de tip om een draadloos netwerk niet zomaar te koppelen aan een vast netwerk, wat wel vaak gebeurt. “Zet er altijd een firewall tussen”, raadt hij aan. Overigens heeft hij nog een tip voor de wat kleinere organisaties die een draadloos netwerk willen gebruiken. “Een relatief eenvoudige manier van beveiligen is gebruikmaken van een Access Control List in de Access Points”, legt hij uit. “In die lijst worden de Mac-adressen van geautoriseerde gebruikers opgenomen. Alleen deze notebooks kunnen dan toegang op het netwerk verkrijgen.” VPN Richard Barber, adviseur groeptechnologie bij Articon Integralis, een Europese veiligheidsspecialist op het gebied van IT en e-commerce, zegt dat hoewel de industrie grote inspanningen verricht voor de ontwikkeling van standaarden, het probleem is dat producenten alleen producten voortbrengen die slechts ‘goed genoeg’ zijn op het gebied van veiligheid. Dat is een centenkwestie. Ze vertikken het om er de tijd en het geld in te steken, noodzakelijk voor de ontwikkeling van een oplossing volgens de formele ontwerpmethodologie, waarbij gedurende het hele proces van productontwikkeling gecontroleerd wordt en nóg eens gecontroleerd. Dat om er zeker van te zijn dat het voldoet aan de standaarden. “De enige manier waarop dit moment de veiligheid van een WLan is aan te scherpen, is door het gebruik van een Virtual Private Network (VPN), het aanbrengen van firewalls en de toepassing van strenge eindgebruikerauthenticatie”, voegt hij toe. Paulo van Cahner meent echter dat het aanleggen van VPN’s slechts een deel van de oplossing vormt. De fabrikanten nemen de zaak echter serieus op. “Afgaand op de activiteiten die aanbieders zoals onder meer Cisco, 3Com, Agere, Enterasys, Ericsson en Nokia hebben ontplooid om de zwakke WEP-standaard te versterken, gelooft Cahners dat fabrikanten de ernst van de veiligheidssituatie inzien”, aldus Paulo. “Ook de fabrikanten raden aan een VPN bovenop het WLan aan te leggen, evenals firewalls op de juiste plaatsen te bouwen, zodat het WLan op effectieve wijze gescheiden is van het kabelnetwerk”, zegt Paulo. Een geheel ander beveiligingsaspect van draadloze netwerken is de kans op storingen door interferentie met andere elektronische apparatuur. Veel beschreven is reeds het effect van een magnetron, dat ongeveer dezelfde stralingsfrequentie heeft als een draadloos netwerk. Volgens Lamme is dat probleem ook relatief makkelijk te ondervangen. “Wij leveren bij onze draadloze netwerkapparatuur een eenvoudig softwareprogrammaatje, de Site Survey Utility. Installeer dat op een notebook met een draadloos netwerkkaartje en loop daarmee rond. Zo is eenvoudig de optimale dekking en de ideale plaats voor een accesspoint te bepalen.” Al met al hoeft het beveiligen van een draadloos netwerk dus allerminst problematisch te zijn, bevestigt ook Kees Smulders van distributeur Acal in Eindhoven. “Het kraken van de WEP-encryptie is een hype geweest”, zegt hij. “Maar in de praktijk is dat nog niet zo eenvoudig. We merken in ieder geval niet dat het bedrijven van het toepassen van draadloze netwerken afhoudt. Daarbij zal beveiliging altijd een kwestie van het afwegen van risico’s en kosten zijn.” “En van een beetje bewustzijn”, voegt Gijsbers toe. Want inderdaad, wie domweg blij is een draadloos contact in de lucht te hebben, heeft zonder tegenmaatregelen wel zijn deur wagenwijd open staan.