Sicherheit in Wireless-Datenerfassungssystemen

Wireless-Datenerfassungsgeräte von NI nutzen IEEE 802.11 zum kontinuierlichen Daten-Streaming über ein Wireless-Netzwerk. Da bei der Wireless-Technologie Daten quasi über die Luft übertragen werden, entstehen Sicherheitslücken, die bei kabelgebundenen Systemen nicht auftreten. Aufgrund dieser Sicherheitsbedenken zögerten in der Vergangenheit viele Unternehmen, Wireless-Anwendungen einzusetzen. Allerdings hat sich die Sicherheit bei Wireless-Netzwerken in den letzten zehn Jahren maßgeblich verbessert, so dass Wireless-Lösungen mittlerweile auch für Datenerfassungsanwendungen eingesetzt werden.

NI-Wireless-Datenerfassungsgeräte unterstützen den Sicherheitsstandard IEEE 802.11i, auch bekannt als WPA2 Enterprise. Dieses Dokument bietet eine Übersicht über in der Industrie eingesetzte IEEE-802.11i-Sicherheitsverfahren sowie über die notwendigen Schritte zum Schutz von Daten in Anwendungen mit NI-Wireless-Datenerfassungsgeräten.

Sicherheit bei IEEE 802.11

Um Sicherheitsstandards für Wireless-Anwendungen besser verstehen zu können, sollte man sich zuallererst die Entwicklungsgeschichte von Wireless-Netzwerken sowie die damit verbundenen Erfahrungen vor Augen führen. Seit der Einführung des Standards IEEE 802.11 im Jahre 1997 hat die Arbeitsgruppe das Sicherheitsprotokoll bis zur heutigen universell akzeptierten Implementierung IEEE 802.11i stetig weiter entwickelt.

Entwicklung von Wireless-Sicherheitsstandards

Die Sicherheitsbedenken bei Wireless-Netzwerken haben ihren Ursprung in den frühen Implementierungen dieses Netzwerktyps. Der ursprüngliche Standard IEEE 802.11 führte WEP (Wired Equivalent Privacy) zum Schutz gegen unberechtigten Zugriff auf Wireless-Netzwerke ein. Jedem Client-Computer wird hierbei ein Passwort für einen Acces Point im Netzwerk zugewiesen. Dieses Passwort wird vor dem Zugriff auf das Netzwerk abgefragt und dient gleichzeitig der Verschlüsselung aller Nachrichten zwischen dem Acces Point und dem Client.

Abbildung 1: Wireless-Sicherheitsstandards legen fest, wie Daten in einem Wireless-Netzwerk verschlüsselt werden.

Die meisten Heim- oder kleineren Büronetzwerke nutzen WEP, da es einfach zu installieren ist. Allerdings kann es anfällig gegenüber Angriffen sein, besonders wenn es unsachgemäß verwendet wird. WEP nutzt zur Datenverschlüsselung den Algorithmus RC4 und einen 40-bit-Schlüssel für die Ver- und Entschlüsselung von Nachrichten.

Anfälligkeiten von WEP

Angreifer haben bei diesem Protokoll Schwächen entdeckt und Methoden entwickelt, um in unzureichend geschützte WEP-Netzwerke einzudringen:

Wörterbuchangriff: Viele Anwender belassen bei ihren WAPs (Wireless Access Points) und Netzwerkschnittstellenkarten die Werkseinstellungen. Andere wählen einen „schwachen“ WEP-Schlüssel, der in einem Wörterbuch zu finden ist. Potenzielle Angreifer sind somit in der Lage, die Sicherheitseinstellungen zu „erraten“. Manche setzen hierzu einen Brute-Force-Angriff ein, während andere anspruchsvollere Algorithmen nutzen. Wörterbuchangriffe können durch ein starkes Passwort leicht verhindert werden.

Man-in-the-Middle-Angriff: Die meisten WAPs senden ihre SSIDs (Service Set Identifiers) so, dass Clients sie leicht finden und sich mit dem Netzwerk verbinden können. Ein gefälschter WAP, der die gleiche SSID sendet, kann den Client dazu veranlassen, seine Sicherheitsinformationen zu senden, so dass der Angreifer dadurch Zugang zum echten Netzwerk erhält. Dies kann durch das Abschalten der SSID-Sendefunktion des Routers vermieden werden.

Replay-Angriff: Bei einem Replay-Angriff belauscht der Angreifer Wireless-Kommunikationspakete und zeichnet die übertragenen Daten auf. Anschließend spielt er Nachrichten mit falschen oder fehlerhaften Daten ab, um den WAP dazu zu veranlassen, weitere ARP-Pakete (Address Resolution Protocol) zu übertragen. Hat er genügend dieser Pakete empfangen (50000 bis 100000), kann der Angreifer den WEP-Schlüssel entziffern.

NI-Wireless-Datenerfassungsgeräte unterstützen WEP-Sicherheit, allerdings erfordern viele Wireless-Datenerfassungsanwendungen stärkere Sicherheitsprotokolle.

Sicherheitsmaßnahmen bei Wireless-Datenerfassungsnetzwerken

NI-Wireless-Datenerfassungsgeräte unterstützen verschiedene Sicherheitsprotokolle, u. a. WEP, Wi-Fi Protected Access (WPA) und IEEE 802.11i (bekannt als WPA2 Enterprise). WPA bietet besseren Schutz als WEP, da es Replay-Angriffe verhindert. WPA2 und WPA2 Enterprise bieten Wireless-Netzwerken die höchste Sicherheitsstufe aufgrund eines besseren Datenschutzes (Verschlüsselung) und strengerer Zugangskontrolle (Authentifizierung).

Verschlüsselung

Zum effektiven Schutz drahtlos übertragener Daten muss ein Wireless-Netzwerk über einen starken Verschlüsselungsalgorithmus (Cipher) und zuverlässigen Schlüssel verfügen. In heutigen Wireless-Netzwerken werden hauptsächlich zwei Verschlüsselungsstandards eingesetzt: TKIP and AES.

Die Arbeitsgruppe für den Standard IEEE 802.11i führte TKIP (Temporal Key Integrity Protocol) für WPA als Überbrückung für bestehende WEP-Netzwerke ein. Acces Points und Clients können mit einem einfachen Firm- oder Software-Update von WEP auf WPA/TKIP wechseln. Ein Vorteil von TKIP gegenüber WEP liegt darin, dass es einen 128-bit- anstelle eines 40-bit-Schlüssels verwendet, wobei der Algorithmus (RC4) derselbe bleibt. Der wesentlichere Unterschied besteht jedoch darin, dass TKIP für jedes Nachrichtenpaket einen anderen Schlüssel verwendet, daher das T für „temporal“ (zeitlich) in TKIP. Dieser Schlüssel wird dynamisch erstellt, indem ein bekannter PTK (Pairwise Transient Key) mit der MAC-Adresse des Clients und einer Seriennummer für jedes Paket kombiniert wird. Der PTK wird generiert, wenn sich ein Client mit einem Schlüssel (ein Passwort, das allen Nutzern des Netzwerks bekannt ist) und einer zufällig generierten Zahl am Access Point anmeldet. Die Seriennummer wird jedes Mal verändert, wenn ein neues Paket gesendet wird. Replay-Angriffe werden damit unmöglich, da ein Schlüssel jeweils nur ein einziges Mal verwendet wird. Zudem erkennt der Access Point, wenn ein Angreifer versucht, alte Pakete abzuspielen.

Um eine noch höhere Sicherheit zu gewährleisten, entschied sich die IEEE-802-11i-Arbeitsgruppe für den Advanced Encryption Standard (AES) als bevorzugten Verschlüsselungsalgorithmus für Wireless-Netzwerke. Anders als bei TKIP ist für die meisten älteren WEP-Installationen ein Hardware-Upgrade notwendig, um AES nutzen zu können, da der Verschlüsselungsalgorithmus die Prozessorauslastung erhöht. AES nutzt einen 128-bit-Algorithmus, der wesentlich schwerer zu knacken ist, als der RC4-Algorithums von TKIP und WEP. Das amerikanische National Institute of Standards and Technology (NIST) entschied sich für AES als Verschlüsselungsstandard für alle US-Regierungsbehörden. (Die Veröffentlichung FIPS publication 197 beschreibt diese Anforderungen detailliert.) Alle Wireless-Datenerfassungsanwendungen für Regierung oder Militär nutzen AES zur Datenübertragung.

Tabelle 1: Erforderliche Zeit für die umfassende Schlüsselüberprüfung bzw. Brute-Force-Angriff (FIPS 197)

In Tabelle 1 ist zu sehen, dass selbst unter Einsatz paralleler Verarbeitungssysteme 10¹⁸ Jahre notwendig wären, um eine 128-bit-AES-Verschlüsselung zu knacken.

Authentifizierung

Authentifizierung ist der zweite wichtige Aspekt für die Sicherheit von Wireless-Netzwerken. Bei der Netzwerkauthentifizierung handelt es sich im Grunde um die Client-Zugangskontrolle. Bevor ein Client mit einem WAP kommunizieren kann, muss er sich im Netzwerk identifizieren. Es gibt zwei grundlegende Arten der Authentifizierung: serverbasiert und auf Basis der PSK-Methode (Pre-Shared Key).

Die meisten Unternehmensnetzwerke verfügen über mindestens einen Authentifizierungs-Server, der in vielen Fällen mit RADIUS (Remote Authentication Dial-In User Service) arbeitet. Die WPA2-Enterprise-Netzwerksicherheit nutzt den Port-basierten Authentifizierungsstandard IEEE 802.1X und besteht aus folgenden Komponenten:

Supplikant: Client-Gerät, das auf das Netzwerk zugreifen will

Authentifikator: WAP, der steuert, auf was der Supplikant Zugriff hat

Authentifizierungsserver stellt dem Authentifikator den Authentifizierungsdienst (meist RADIUS) zur Verfügung

Abbildung 2: Der IEEE-802.1X-Authentifizierungsprozess beinhaltet einen Datenaustausch zwischen Supplikant, Authentifikator und Authentifizierungsserver.

Fordert ein Supplikant Zugang zum Netzwerk an, bietet der Authentifikator Zugriff auf unkontrollierte Ports für die Authentifizierung. Der Authentifikator leitet die Zugangsanfrage an den Authentifizierungsserver weiter, der dem Supplikant den Zugang entweder erlaubt oder verwehrt. Der Authentifikator leitet die Antwort des Servers dann an den Supplikanten weiter und gewährt entweder Zugriff auf kontrollierte Ports oder blockiert den Supplikanten.

Ein erfolgreicher Authentifizierungsprozess resultiert in einem PMK (Pairwise Master Key), welcher der Verschlüsselung des drahtlosen Datenverkehrs dient. Die Details dieses Austauschs hängen davon ab, welche EAP-Methode (Extensible Authentication Protocol) das Netzwerk unterstützt. Die folgenden EAP-Methoden sind die gängigsten (alle werden von NI-Wireless-Datenerfassungsgeräten unterstützt):

LEAP (Lightweight EAP): ältere, proprietäre EAP-Methode, entwickelt von Cisco Systems. Microsoft-Windows-Betriebssysteme bieten keine native Unterstützung für LEAP, jedoch unterstützen die meisten Wireless-Netzwerkschnittstellen diese Methode.

EAP-TLS (EAP-Transport Layer Security): offener Standard, den die meisten Hersteller von Wireless-Produkten unterstützen. EAP-TLS erfordert Server- und Client-Zertifikate, was die Installation komplizierter gestaltet.

EAP-TTLS (EAP-Tunneled Transport Layer Security): Protokoll, das die Zertifizierung seitens des Clients im Gegensatz zur EAP-TLS-Methode unnötig macht, so dass ein Netzwerk besser skalierbar ist.

PEAP (Protected EAP): offener Standard, entwickelt von Cisco Systems, Microsoft und RSA Security. Diese EAP-Methode wird besonders häufig eingesetzt, da sie nur eine Zertifizierung seitens des Servers erfordert. Die gängigste Variante dieser Methode ist PEAPv0/MS-CHAPv2.

Alle oben aufgeführten EAP-Methoden unterstützen die gegenseitige Authentifizierung. Dadurch werden Man-in-the-Middle-Angriffe verhindert, da sich sowohl Client als auch Server authentifizieren müssen. Ein gefälschter WAP wäre nicht in der Lage, die Sicherheitszertifikate des Servers zu fälschen.

Nicht alle Netzwerke verfügen über einen Authentifizierungsserver, was die obigen Methoden unmöglich macht. Kleine Büro- oder Heimnetzwerke können stattdessen PSK (Pre-Shared Key) zwischen dem Client (Wireless-Datenerfassungsgerät) und dem WAP verwenden. Dabei handelt es sich im Grunde um ein Passwort, das der Anwender eingibt, um die Authentifizierung im Netzwerk einzuleiten.

Implementierung eines sicheren Netzwerks mit NI-Wireless-Datenerfassungsgeräten

NI-Wireless-Datenerfassungsgeräte unterstützen den IEEE-802.11i-Sicherheitsstandard einschließlich AES-Verschlüsselung und IEEE-802.1X-Authentifizierung. Da dies der höchste kommerziell verfügbare Sicherheitsstandard für Wireless-Netzwerke ist, sind sensible Daten vor unerwünschten Zugriffen geschützt.

Abbildung 3: NI-Wireless-Datenerfassungsgeräte übertragen Daten kontinuierlich über ein sicheres IEEE-802.11-Netzwerk.

Bei der Anbindung an ein Firmennetzwerk sollte die IT-Abteilung konsultiert werden, um festzulegen, welche Sicherheitsprotokolle und EAP-Methoden der jeweilige Server akzeptiert. Da Wireless-Produkte von NI die gängigsten EAP-Methoden (LEAP, PEAP, EAP-TLS und EAP-TTLS) unterstützen, haben Anwender die freie Auswahl, was am besten zu ihrer spezifischen Anwendung und zur Netzwerk-Infrastruktur passt.

Die Sicherheitseinstellungen für Wireless-Datenerfassungsgeräte können problemlos angepasst werden. Wählen Sie im Measurement & Automation Explorer (MAX) unter „NI-DAQmx-Geräte“ das entsprechende Wireless-Gerät aus und klicken Sie am unteren Bildschirmrand auf die Schaltfläche „Netzwerk“. Wählen Sie anschließend die Registerkarte „Wireless“ aus, um die Sicherheitseinstellungen für das Netzwerk aus einer Reihe von Drop-down-Menüs zu konfigurieren.

Ist für die EAP-Methode ein Zertifikat vom Client nötig, muss dieses vorhanden sein, bevor das Datenerfassungsgerät konfiguriert wird. Wird ein Netzwerk ohne Authentifizierungsserver eingerichtet, sollte ein starkes PSK-Passwort (sowohl bei WPA- als auch WPA2-Netzwerken) ausgewählt werden.

[+] Bild vergrößern

Abbildung 4: Mit dem Measurement & Automation Explorer (MAX) können die Verschlüsselungs- und Authentifizierungseinstellungen konfiguriert werden.

MAX verwendet einen verschlüsselten TLS-basierten (Transport Layer Security) Prozess nur mit Schreibzugriff, um alle Konfigurations- und Installationsdaten an ein Wireless- oder Ethernet-Datenerfassungsgerät zu schicken, einschließlich Benutzernamen, Passwörter und Client-Zertifikate, so dass das Netzwerk noch besser geschützt ist.

Detailliertere Informationen entnehmen Sie bitte der Hilfe-Datei des MAX.

Fazit

NI-Wireless-Datenerfassungsgeräte nutzen den höchsten kommerziell verfügbaren Sicherheitsstandard für Wireless-Netzwerke IEEE 802.11i (auch bekannt als WPA2 Enterprise), einschließlich Netzwerkauthentifizierung und Datenverschlüsselung. Die Authentifizierung stellt sicher, dass nur berechtigte Geräte Zugriff auf das Netzwerk haben und die Verschlüsselung verhindert, dass Datenpakete abgefangen werden. IEEE-802.11-basierte Sicherheitsstandards werden seit mehr als zehn Jahren im IT-Bereich eingesetzt und sind weltweit verbreitet. Aufgrund des gängigen Sicherheitsprotokolls können Wireless-Datenerfassungsgeräte einfach in bestehende IT-Netzwerke integriert werden.

Weitere Ressourcen

Webcast: Vereinfachen Sie Fernüberwachungsanwendungen mit NI LabVIEW und Wireless-Datenerfassung »

Interaktive Tour zur NI-Wireless-Datenerfassung (6 Min.) »

Preise und Spezifikationen für NI-Wireless-Datenerfassungsgeräte »

Weitere Informationen zur Wireless-Datenerfassung »