H5. Best Pratise
5.3
21-03-2002
13:51
Pagina 139
Netwerken zonder draadjes Draadloze netwerken zijn op dit moment erg populair. Het lijkt een gat in de markt: communiceren via de ether. Geen gezeur meer met het trekken van draadjes. Zodra men binnen het bereik van de zender is, kan men aan de slag. De praktijk is evenwel anders. De beveiliging van deze nieuwe vorm van mobiliteit blijkt namelijk niet geheel waterdicht te zijn. Hans van de Looij laat u in dit artikel zien hoe dit komt en wat u eraan zou kunnen doen. Auteur:
Hans J.C.G van de Looy is een van de oprichters en Senior Security Consultant van Madison Gurkha B.V. Hij helpt organisaties bij het opzetten en up-to-date houden, maar vooral bij het testen, van hun beveiliging. Hij is een bekende spreker op (internationale) conferenties, gastdocent op universiteiten en hogescholen en publiceert regelmatig in vakbladen over beveiliging en het doorbreken daarvan. Zijn interesse omvat, maar is zeker niet gelimiteerd tot, beveiliging in de meest brede zin van het woord (inclusief tijdverdrijf zoals ‘Lockpicking’), muziek, lezen en zeilen. Hans kan middels e-mail worden bereikt via
[email protected].
Inleiding
Sinds een paar jaar bestaat de mogelijkheid om computers draadloos met elkaar te laten communiceren middels een zogenaamde Wireless Fidelityoplossing, kortweg Wi-Fi. Deze techniek wordt ook wel aangeduid met WaveLAN en IEEE 802.11b. In de rest van het artikel zal ik de aanduiding WaveLAN gebruiken. Waarom dan een stuk over deze netwerktechnologie in een jaarboek dat handelt over informatiebeveiliging? Welnu, zoals bij veel informatietechnologie zijn er positieve en negatieve aspecten aan te wijzen. Veelal bevinden de negatieve aspecten zich in de sfeer van beveiliging, simpelweg omdat tijdens de ontwikkeling van de nieuwe technologie niet aan beveiliging is gedacht en die dus ontbreekt. Zo ook bij de ontwikkeling van WaveLAN. Dit artikel biedt handvatten voor een veilige inzet van de WaveLAN-technologie. Opzet
WaveLAN maakt gebruik van radiotechnologie. Hierbij wordt in analogie met bijvoorbeeld mobiele telefonie gebruikgemaakt van cellen. Elke cel heeft een zender/ontvanger, gekoppeld aan bijvoorbeeld een bedrijfsnetwerk. Elk apparaat (denk hierbij aan pc’s, notebooks et cetera) dat draadloos moet kunnen communiceren wordt eveneens uitgerust met een zender/ontvanger. Zie hier de oplossing voor draadloze communicatie. De feitelijk technologie is evenwel complexer, doch het gaat om het totaalbeeld.
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
139
H5. Best Pratise
21-03-2002
13:51
Pagina 140
BEST PRACTICE
Access Point INTERNET
Switch
PCI Adapter
PCMCIA Adapter
Printer Server PCMCIA Adapter
Figuur 1
PC
WaveLAN-technologie.
De verzameling technologie, ook wel aangeduid met infrastructuurtopologie, wordt hiervoor uitgebreid met een of meerdere zogenaamde basestations of Access Points (AP) die uiteindelijk als koppelpunt (ook wel bridges genoemd) fungeren tussen het ethernet en het WaveLAN. Gebruikers dienen het werkstation te voorzien van een IEEE 802.11b netwerkkaart (ook wel Network Interface Controller of NIC genoemd) en bijbehorende drivers. Na deze installatie kan men draadloos communiceren met een maximale snelheid van 11 Mb per seconde. Deze oplossing is natuurlijk ideaal voor gebruikers van de wijdverbreide personal digital assitants (PDA’s) en laptop-computers. Als men draadloos aan de slag wil, hoeft de medewerker alleen zijn of haar systeem aan te zetten. De techniek doet de rest automatisch. Zelfs de werkplek is door het gebruik van roaming (zie figuur 2) volledig vrij te kiezen. Dit komt omdat de technologie achter WaveLAN zo is uitgedokterd dat elke NIC uiteindelijk een keuze zal maken voor de cel met het sterkste signaal en de minste belasting. De spreekwoordelijke wirwar van draden die normaal naar het systeem of het dockingstation lopen is namelijk (bijna) overbodig geworden.
Figuur 2 140
Schematische weergave van het begrip roaming.
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
H5. Best Pratise
21-03-2002
13:51
Pagina 141
NETWERK ZONDER DRAADJES
Toepassingen
Door de flexibele inzet van deze technologie laat het aantal toepassingen zich raden. Zo kan een manager tijdens een meeting snel en eenvoudig de laatste omzetcijfers van een netwerkserver ophalen en hiermee de vergadering positief afronden. Een ander voorbeeld betreft een opzichter van een bouwput. Deze meneer kan middels een van een WaveLAN-interface voorziene PDA snel en efficiënt nagaan of er afwijkingen zijn van de bouwplanning. Het netwerk op de bouwsite moet dan wel voorzien zijn van een basestation dat op zijn beurt is gekoppeld aan de bedrijfsinfrastructuur. Dat hiervoor bijvoorbeeld internet als intermediair wordt toegepast doet niet ter zake. Tot slot is de inzet van WaveLAN in een magazijn een illustratief voorbeeld. Het personeel in een opslagmagazijn kan met een relatief kosteneffectieve oplossing toegang krijgen tot centrale informatiesystemen om bijvoorbeeld nieuwe bestellingen in te voeren. Op deze wijze kan de voorraad volgens het JIT-principe up-to-date worden gehouden. Voorgeschiedenis
De werkgroep dit al deze zegens mogelijk heeft gemaakt heet IEEE 802.11 WG. Op internet is een speciale website met informatie beschikbaar die te bereiken is via http://grouper.ieee.org/groups/802/11. Deze werkgroep houdt zich bezig met de specificatie van ‘Wireless LAN’-technologie. De huidige generatie WaveLAN is overigens slechts het begin als men de nieuwste ontwikkelingen mag geloven. Volgende generaties zullen een aanzienlijk hogere bandbreedte ondersteunen, waardoor bijvoorbeeld ook streaming multimedia geen problemen meer zullen opleveren. In de WaveLAN-specificaties is aandacht gegeven aan een drietal zaken die de veiligheid van het betreffende netwerk zouden moeten verhogen. Deze zijn achtereenvolgens: 1 De toepassing van Service Set Identifier (SSID) voor netwerkidentificatie en autorisatie De SSID is een korte string die kan fungeren als netwerkidentificatie. Indien deze string tevens gebruikt wordt als autorisatie zal elke client deze string moeten meesturen naar het basestation, omdat anders geen communicatie met het netwerk mogelijk is. 2 Client-identificatie en autorisatie op Media Access Control (MAC)-adresniveau Elke netwerkkaart is voorzien van een uniek MAC-adres. Binnen een netwerksegment zullen frames gebruikmaken van dit adres om paketten bij het juiste systeem af te leveren. Deze MAC-adressen kunnen in een basestation worden opgenomen, waarmee wordt aangegeven dat alleen de NICs die voorzien zijn van de opgenomen adressen toegang mogen krijgen tot het netwerk via het betreffende basestation.
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
141
H5. Best Pratise
21-03-2002
13:51
Pagina 142
BEST PRACTICE
3
Gebruik van Wired Equivalent Privacy (WEP) met vaste sleutels WEP is de encryptiestandaard die binnen IEEE 802.11 is gedefinieerd om de veiligheid van een draadloos netwerk ongeveer gelijk te maken aan dat van een netwerk van systemen die onderling verbonden zijn via kabels.
Beveiligingslekken
Beveiliging is dus zeer wel mogelijk, zou je denken. Het probleem is nu dat de technologie zo goed is opgezet dat het na installatie direct bruikbaar is. Er wordt niet of nauwelijks stilgestaan bij beveiligingsaspecten. Mensen wensen tijdens installaties niet gebruik te maken van manuals. Het werkt toch! Dit gegeven, in combinatie met het feit dat de huidige technologie op een zodanige manier wordt aangeleverd dat het in de meeste gevallen werkelijk ‘plug-and-play’ is, zorgt ervoor dat deze technologie niet verder wordt geconfigureerd dan strikt noodzakelijk is. De standaardconfiguratie is meestal geen veilige configuratie. Om ‘plug-and-play’ mogelijk te maken worden er zaken mogelijk gemaakt die men juist in een veilig systeem niet zou willen toestaan. Kortom, de installatie-inzet van technologie is dan ook iets heel anders dan het veilig inzetten van diezelfde technologie. Het laatste vergt aanzienlijk meer inspanning en kennis dan de eerste optie. Ziedaar de oorzaak van vele beveiligingslekken in de ICT-omgevingen na toepassing van WaveLAN. Dit komt overigens voor bij zowel kleine als grote organisaties. Ontslag op staande voet
Ondanks dit betoog is de praktijk niets anders dan dat men WaveLANnetwerken standaard oplevert, en deze dus minimaal geconfigureerd zijn. Slordig op zijn minst en een aanzienlijk gevaar voor de continuïteit van de ICT-infrastructuur waar het onderdeel van uitmaakt. WaveLAN valt te vergelijken met het ongeautoriseerde gebruik van modems binnen een organisatie. Dat was een van de grote problemen die pakweg een jaar of zeven geleden speelde. Deze modems waren namelijk meestal gekoppeld aan een standaard geïnstalleerde pc. Hierdoor is het relatief eenvoudig voor onbevoegden om in te bellen op het netwerk. In deze situatie werd de operationele firewall-configuratie door deze intruders volledig omzeild. Een van de reacties hierop is geweest dat verschillende (vooral Amerikaanse) bedrijven ontslag op staande voet als repercussie oplegde bij medewerkers bij wie een ongeautoriseerd modem werd aangetroffen. Bij het toepassen van een onvoldoende geconfigureerde WaveLAN-configuratie binnen een organisatie ontstaat een vergelijkbare situatie en kunnen deze problemen zich ook voordoen. Iedereen kan gebruikmaken van het WaveLAN en krijgt daardoor direct toegang tot het interne bedrijfsnetwerk. De voordeur (lees firewall) staat stevig op slot, maar de achterdeur (lees WaveLAN) staat wagenwijd open, is hierin de spreekwoordelijke metafoor.
142
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
H5. Best Pratise
21-03-2002
13:51
Pagina 143
NETWERK ZONDER DRAADJES
Als men als organisatie overweegt een WaveLAN-configuratie in gebruik te nemen, dan moet men minimaal de volgende stappen doorlopen: 1
Configureren van de SSID De SSID moet zodanig worden geconfigureerd dat deze niet meer de default-waarde heeft. Dit, in combinatie met het definiëren van een gesloten netwerk, maakt het wat moeilijker om toegang te verkrijgen tot het WaveLAN. Default SSID’s zijn bijvoorbeeld: tsunami, AirWave, WaveLAN Network, WLAN, linksys, default, TEKLOGIX, AirPort Nework en ANY.
2
Administreren van WaveLAN MAC-adressen Van alle WaveLAN-kaarten die toegang mogen krijgen tot het WaveLAN de MAC-adressen opnemen in de daarvoor aanwezige Access Control List (ACL) van het access point. IEEE 802.11b-kaarten waarvan het MAC-adres niet is opgenomen in de ACL zullen geen toegang krijgen tot het netwerk. Bij sommige interfaces kan het MAC-adres gewijzigd worden, maar het blijft een stap in de goede richting.
3
Toepassen WEP Het gebruiken van WEP in combinatie met een moeilijk te raden sleutel. WEP kan gebruikt worden om het WaveLAN-verkeer met een 40-bits of 128-bits sleutel te coderen. Hierdoor wordt het moeilijker om daadwerkelijk gegevens af te luisteren en toegang te krijgen tot het netwerk, aangezien daarvoor de ingestelde sleutel achterhaald dient te worden.
Als men deze stappen heeft doorgevoerd, is men er nog niet. Want eigenlijk zijn deze zaken slechts lapmiddelen. Intruders met enige kennis van zaken kunnen al deze beveiligingsmaatregelen omzeilen. In het tweede gedeelte van dit artikel zal ik deze aanvallen en een aantal additionele beveiligingsmaatregelen bespreken die het veilige gebruik van een WaveLAN-netwerk mogelijk maken. Lessen in afluisteren
Met 120 kilometer per uur rijdend op de A12 vanaf Utrecht richting Gouda. De notebook staat aan. Zelfs met deze snelheid worden er nog een aantal SSID’s van netwerken in de log opgenomen. Natuurlijk gaat dit veel te snel om ondertussen ook nog na te gaan of er werkelijk eenvoudig gebruik of misbruik van deze informatie gemaakt kan worden. Ondanks dit is de positie van de systemen die de signalen uitzenden in elk geval door middel van een GPS-ontvanger vastgelegd. De totale infrastructuur die hiervoor gebruikt werd bestond uit een niet nader te noemen automobiel, een Garmin GPS-ontvanger, een Toshiba Libretto voorzien van het FreeBSDS 4.4-STABLE-besturingssysteem en een Orinoco Wi-Fi Gold NIC voorzien van een externe pigtail-antenne die voor ongeveer 5dB verINFORMATIEBEVEILIGING JAARBOEK 2002/2003
143
H5. Best Pratise
21-03-2002
13:51
Pagina 144
BEST PRACTICE
sterking van het signaal zorgt (zie onderstaande foto). Het gebruikte tooltje heet dstumbler. Naast de SSID van het ontdekte wireless netwerk worden hiermee tevens het MAC-adres van het ontvangen access point, de sterkte van het signaal, het gebruikte kanaal en (zoals gezegd) de GPSpositie vastgelegd in een logfile. Deze informatie kan uiteindelijk worden gebruikt om het netwerk op een kaart te plaatsen. Op een later tijdstip kan men terugkeren naar deze positie om het ontvangen signaal aan een nader onderzoek te onderwerpen.
Figuur 3
De bij de proef gebruikte hardware.
Zoals uit het voorgaande mag blijken, gaat de grootste investering zitten in het vervoermiddel dat wordt gebruikt en de kennis die noodzakelijk is om de infrastructuur naar behoren te gebruiken. Qua ICT-omgeving is een investering van een paar duizend euro voldoende. Door in plaats van de Orinoco een op de Prism2 chipset gebaseerde Wi-Fi NIC te gebruiken kan zelfs op een nog lager niveau (de IEEE 802.11b-frames, dit zijn in feite de harde bits en bytes die de verzonden informatie bevatten) informatie aan het signaal worden onttrokken. Het nadeel van deze laatste kaartjes is alleen dat daaraan niet eenvoudig een externe antenne is te koppelen. Werking
Hoe gaat het een en ander in zijn werk? In een niet-gesloten netwerkconfiguratie (de standaardinstelling) stuurt het Access Point (AP) een zogenaamd beacon-signaal uit met daarin opgenomen het SSID. Met de hierboven beschreven configuratie wordt de Wi-Fi NIC zodanig ingesteld dat deze alleen scant naar dit beacon-signaal op de daarvoor beschikbare kanalen. De hiermee verzamelde informatie wordt doorgegeven aan de applicatie die voor logging zorgdraagt. Een standaardinstelling van een basestation is, zoals het bovenstaande duidelijk probeert weer te geven, te ver144
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
H5. Best Pratise
21-03-2002
13:51
Pagina 145
NETWERK ZONDER DRAADJES
gelijken met een vuurtoren die aangeeft dat op dat punt een netwerk waarschijnlijk openstaat voor gebruik. Alleen de combinatie van een niet-standaard SSID en de definitie van een gesloten netwerk zorgt ervoor dat het netwerk niet zo eenvoudig gedetecteerd kan worden als hierboven staat beschreven. In het geval dat een intruder verwacht dat er een wireless netwerk beschikbaar is, kan het voorkomen dat niets wordt opgevangen (bijvoorbeeld door een programma zoals dstumbler). Men moet dan allereerst een scan uitvoeren waarin alle bekende standaard SSID’s en andere waarschijnlijke SSID’s (denk hierbij bijvoorbeeld aan de naam van de firma of bedrijfsonderdeel) worden nagelopen. Indien het netwerk voorzien is van een van deze SSID’s, dan kan alsnog contact gemaakt worden met het betreffende bedrijfsnetwerk. Vervolgens kan men additioneel onderzoek verrichten. Mocht deze stap ook falen, dan kan de intruder altijd nog proberen om middels de al eerder genoemde Prism2 NIC IEEE 802.11b-frames op te vangen van normaal netwerkverkeer. Deze bevatten namelijk in een van de velden het SSID waarmee met het basestation wordt gecommuniceerd. Op het moment dat het normale netwerk verkeer afgeluisterd kan worden (dit wordt ook wel aangeduid met sniffen), kan additionele informatie worden verkregen over de apparaten die gebruikmaken van het wireless bedrijfsnetwerk. Indien het uiteindelijke doel is om werkelijk gebruik te maken van het netwerk zijn hierbij vooral de MAC-adressen van deze apparatuur van belang. In veel gevallen echter kan door alleen het bestaande dataverkeer af te luisteren reeds interessante informatie door de intruder worden verzameld. Zoals in het eerste gedeelte van dit artikel al is aangegeven kan een access point zodanig worden ingesteld dat alleen apparatuur die gebruikmaakt van bepaalde MAC-adressen – zoals opgenomen in de ACL – toegang krijgt tot het netwerk. Door nu een MAC-adres over te nemen (door het toe te wijzen aan de eigen NIC) kan men alsnog communiceren met het draadloze netwerk. Versleuteling
De hoogste vorm van beveiliging die in de IEEE 802.11b-specificaties is opgenomen is WEP-versleuteling of encryptie. Hierdoor wordt het gehele datagedeelte van de netwerkpakketten met behulp van het RC4-algoritme (dit is een versleutelalgoritme) en een gedeeld geheim (ook wel aangeduid met shared secret ofwel symmetrical key) worden versleuteld. In de ogen van de ontwikkelaars van deze methodiek is het doel een vergelijkbare bescherming te bieden als niet-versleuteld dataverkeer over een normaal (dus niet geswitched) ethernet. De originele WEP-specificatie maakt gebruik van 40-bits sleutels. Tegenwoordig kunnen verschillende leveranciers 128-bits
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
145
H5. Best Pratise
21-03-2002
13:51
Pagina 146
BEST PRACTICE
sleutels ondersteunen. Maar zelfs als deze laatste sleutellengte gebruikt wordt, is WEP niet veilig. Verschillende onderzoeken en projecten hebben duidelijk aangetoond dat de huidige implementatie van het WEP-protocol niet voldoende veiligheid kan bieden. Met behulp van programma’s zoals airsnort en het gebruik van een op de Prism2 gebaseerde Wi-Fi NIC kan WEP relatief eenvoudig gebroken worden. Men moet dan wel voldoende data vanaf het netwerk kunnen lezen. Bij een netwerk met voldoende dataverkeer is dit binnen 24 uur te realiseren. Gelaagde beveiliging en IPSec
Men kan WaveLAN op een veilige manier in de bestaande ICT-infrastructuur opnemen. Indien de systemen die gekoppeld zijn aan het WaveLAN toegang moeten kunnen krijgen tot systemen op het interne bedrijfsnetwerk, dan is de enige veilige oplossing het gebruik van sterke cryptografie over het WaveLAN. Op deze wijze kan men authenticatie, autorisatie en dus integriteit mogelijk maken. Omdat dataverkeer van WaveLAN-systemen niet vanzelfsprekend vertrouwd mogen worden, verdient het aanbeveling om de verschillende access points op te nemen in een DMZ. Hierdoor kan niet-geautoriseerd dataverkeer geblokkeerd worden door de firewall. De beste oplossing voor het gebruik van sterke cryptografie over het LAN is op dit moment IPSec. Men kan tevens andere cryptografische tunnels toepassen zoals bijvoorbeeld stunnel, die op SSL is gebaseerd, of SSH. Het nadeel van een draadloos netwerk is namelijk dat het inherent toegankelijker is dan bijvoorbeeld een LAN. Hierdoor zal aandacht gegeven moeten worden aan zowel de locatie van de verschillende basestations alsook de bescherming van de gegevens die over het WaveLAN worden getransporteerd. Door een goede positionering en juiste instelling van de verschillende access points binnen het gebouw kan er in principe voor gezorgd worden dat men alleen toegang tot het WaveLAN krijgt binnen datzelfde gebouw. De radiogolven mogen in dat geval dus niet buiten de gecontroleerde omgeving komen. In de praktijk hoeft er meestal weinig te gebeuren aan de locatie of instelling van deze access points om de initiële planning volledig in de war te gooien. Edoch, het blijft een vrij complex specialisme. Bij het toepassen van WaveLAN kan men beter voor een gelaagde beveiliging kiezen. Hierbij kan de toepassing van een IPSec-infrastructuur ervoor zorgen dat de getransporteerde informatie beschermd blijft en dus voor onbevoegden onleesbaar is. Dit geldt ook als onverhoeds het WaveLAN door bijvoorbeeld een lek toch kan worden afgeluisterd. Een dergelijk lek kan ontstaan als de straling van het WaveLAN verder komt dan initieel verwacht. 146
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
H5. Best Pratise
21-03-2002
13:51
Pagina 147
NETWERK ZONDER DRAADJES
Tot slot een illustratief voorbeeld. Experimenten hebben duidelijk gemaakt dat WaveLAN-netwerken eenvoudigweg kunnen worden opgevangen met behulp van relatief gevoelige (24dB) schotelantennes. En dit over een afstand van meer dan 50 kilometer. In dat geval kan de toegangscontrole via de firewall-configuratie nog zo sterk zijn, het is volstrekt nutteloos. De intruder is met het blote oog niet eens waarneembaar. Toch heeft hij of zij toegang tot het interne bedrijfsnetwerk met al haar kritische informatie. Door vooraf goed te bestuderen hoe een draadloos netwerk gebruikt gaat worden en voldoende aandacht te geven aan de implementatie ervan kunnen dus vele problemen worden voorkomen. Ondersteuning door professionals die al jaren ervaring hebben met deze nieuwe technologie kan zeker kosteneffectief werken, vooral omdat deze meestal ook al voldoende ervaring hebben met het opzetten van virtuele netwerken en cryptografische tunnels. Op zichzelf ook technologie die relatief nieuw is en de nodige problemen kan opleveren als er onvoldoende kennis aanwezig is. Maar dat is een artikel apart en zal ik hier dan ook niet verder uitwerken.
INFORMATIEBEVEILIGING JAARBOEK 2002/2003
147
