Advanced WLAN Security -
Spielkonsolen sicher ins Netzwerk integrieren

Nicht erst seit Final Fantasy III ist die schwache WEP Verschlüsselung des Nintendo DS ein Alptraum für viele Heimnetz-Administratoren.

Problemstellung: Die unterschiedlichen technischen Möglichkeiten von WLAN-Security bei Spielekonsolen (z.B. Wii™, Nintendo DS oder Sony PSP™) sind bei der Integration ins Heimnetz oft ein Sicherheitsrisiko. Während z.B. die Wii™ Konsole über WPA-Verschlüsselung verfügt, so bietet der Nintendo DS leider nur das schwache WEP Verfahren. Um auch diese Konsolen mit dem heimischen WLAN-Router zu verbinden, wird oft der kleinste gemeinsame Nenner gesucht und der heimische WLAN-Router auf die (relativ leicht zu brechende) WEP Verschlüsselung umkonfiguriert. Wenn sich dann noch eigene Mail- oder Fileserver im gleichen Heimnetz befinden, so ist das Risiko erheblich, denn ein Angreifer kann auch auf diese Ressourcen zugreifen, sobald er das schwache WEP-Verfahren geknackt hat.

Andererseits ist es auch keine Lösung, solche "unsicheren" WLAN Clients für alle Zeiten aus dem heimischen Netzwerk zu verbannen, denn mittlerweile gibt es hervorragende Lösungen für die friedliche Koexistenz der unterschiedlichen WLAN Clients.

Lest einfach weiter, dann erfahrt Ihr wie's funktionieren kann!

Unsere Vision: Sämtliche WLAN Clients (Laptops und Spielkonsolen) greifen gemeinsam auf unser Heimnetz zu. Hierbei benutzen die WLAN Clients unterschiedliche Verschlüsselungsverfahren und können in Gruppen mit unterschiedlichen Zugriffsrechten eingeteilt werden.

Schritt für Schritt erklärt -
ein WLAN Gastzugang für Spielkonsolen

Anforderungen: Unsere Lösung muss den gleichzeitigen Zugriff von WLAN Clients mit verschiedenen Verschlüsselungsverfahren unterstützen. Der Zugriff auf Netzwerkressourcen muss konfigurierbar sein. Dies betrifft unsere Server und Drucker im Heimnetz genauso wie den Internetzugang per DSL Modem.
Bei den Zugriffsrechten reicht uns die Unterscheidung von zwei unterschiedlichen Gruppen:

1) Spielkonsolen dürfen über WLAN nur den Internetzugang benutzen (mit WEP Verschlüsselung).

2) Laptops dürfen über WLAN alle internen Server, Drucker und den Internetzugang benutzen (mit WPA Verschlüsselung).

Willkommen in
der Business-Class:
Die gleichen Anforderungen existieren auch in Firmennetzwerken, wo Gäste einen eingeschränkten Zugriff per WLAN haben müssen und gleichzeitig das Netzwerk gegen unbefugten Zugriff geschützt sein muss. Auf der Suche nach einer eleganten Lösung macht es daher Sinn, sich professionelle WLAN Komponenten einmal näher anzuschauen. Besonders interessant für uns sind hierbei Access Points, welche normalerweise in Firmennetzwerken eingesetzt werden.

Bis vor kurzem waren solche Systeme für Privatanwender völlig unerschwinglich und kosteten mehrere tausend Euro. Mittlerweile bieten jedoch zahlreiche Hersteller die notwendigen Features in Ihren "Business" WLAN Access Points und -routern an, so dass sich die Preise in vernünftigen Regionen bewegen.

Multi-SSID: Für unsere unterschiedlichen WLAN Clients benötigen wir in jedem Fall einen Access Point mit Multi-SSID Unterstützung.
Viele "Business" Access Points verfügen heute über Multi-SSID Features. Hierbei kann ein einzelner Access Point gleich mehrere WLAN SSIDs anbieten und verwalten. Für einen WLAN Client sieht es so aus, als ob mehrere physikalische Wireless-Netzwerke existieren. Den verschiedenen SSIDs können sogar unterschiedliche Security Settings mit unterschiedlichen Verschlüsselungsalgorithmen zugeordnet werden. Die leistungsfähigsten "Business" Access Points verwalten bis zu 16 SSIDs gleichzeitig, d.h. 16 WLAN Netze an einem einzigen Access Point.

Einige Hersteller dieser beeindruckenden Geräte sind z.B. Funkwerk mit den artem-Produkten, ZyXel mit der NWA-Serie und natürlich der Netzwerkgigant Cisco Systems mit der Aironet™-Serie. Die Preisspanne für solche Access Points bewegt sich je nach Ausstattung von 150,- bis 500,- Euro.
Zugegeben, dies ist viel Geld, aber der Funktionsumfang dieser Geräte ist gewaltig und nicht mit herkömmlichen "Consumer" Access Points vergleichbar. Diese Produkte findet man normalerweise auch nicht beim EDV-Discount um die Ecke, denn hier kommt es auf die richtige Fachberatung an. Unser kleiner Artikel hier kann keine Beratung ersetzen; bei Interesse empfehlen wir daher dringend den Besuch in einem Fachgeschäft mit IT-Systemlösungs-Know-How!

IP-Routing/
Filtering:
Die Multi-SSID Fähigkeit reicht im Allgemeinen jedoch nicht aus, denn schliesslich wir wollen ja auch den Zugriff auf unser Netzwerkressourcen konfigurieren. Hier hat jeder Hersteller seine eigene Begriffsbezeichnungen entwickelt: Einige Hersteller nennen es IP-Routing/Filtering, Client Isolation, Access Control List (ACL) oder Layer-2 Isolation.
Egal, wie man das Feature nennt - die Datenpakete, die per WLAN am Access Point ankommen, müssen über konfigurierbare Routing-Tabellen bearbeitet werden können. Hierbei ist wichtig, dass den verschiedenen SSIDs auch unterschiedliche Filter/Routings zugeordnet werden können.

Wichtig! Multi-SSID und IP-Routing/Filtering sollte der neue Access Point ohne teure zusätzliche Hard- oder Software unterstützen! Einige Gegenbeispiele: Viele Access Points verfügen über Virtual-LAN (VLAN) Features. Dies wäre in unserem Szenario jedoch nutzlos, denn ohne teure VLAN-Switches und VLAN-Router kann man dieses Feature nicht sinnvoll einsetzen! Ebenfalls wenig sinnvoll sind Access Points, die nur mit einem externen Access-Control Server arbeiten; den administrativen Aufwand eines weiteren 24x7 Rechners sparen wir uns gerne!

Beispielkonfiguration:
ZyXel NWA-3100 Access Point

Wir zeigen Euch hier am Beispiel des NWA-3100 802.11a/g "Business" Access Points der Firma ZyXel, wie man Multi-SSID und Layer-2 Isolation richtig konfiguriert. So erreichen wir optimalen Schutz für unser lokales Netzwerk und gleichzeitig einen begrenzten Zugang für Gäste und Nutzer von WLAN-Spielekonsolen, wie z.B. den Nintendo DS.
In eigener Sache: Wir wollen hier keine Schleichwerbung betreiben - im Prinzip kann man auch mit den "Business" Access Points vieler anderer Hersteller ein derartiges Szenario in ähnlicher Weise implementieren. Man sollte jedoch die Features die man benötigt vorher genau kennen, damit es kein Fehlkauf wird! Trotz aller Ratschläge: Lasst Euch aber in jedem Falle von einem Netzwerk-Profi beraten, bevor Ihr viel Geld für einen neuen Access Point ausgebt!

ZyXel NWA-3100; Business-Class im Kleinformat.

Die gesamte Konfiguration kann man beim ZyXel NWA-3100 sehr angenehm mit dem Web-Browser vornehmen; Geräte anderer Hersteller lassen sich u.U. nur über ein Command-Line-Interface (CLI) konfigurieren.

Schritt 1:
Multi-SSID
Zuerst muss der Multi-SSID Modus aktiviert werden. In der Wireless Konfiguration wählen wir daher den MBSSID Modus (Multi Basic Service Set Identifier Modus; wen's interessiert). Hierbei arbeitet das Gerät weiterhin als Access Point, erlaubt aber optional bis zu 8 verschiedene SSIDs die gleichzeitig aktiv sein können. WLAN Clients haben dann die Auswahl, über welche SSID sie mit dem NWA-3100 kommunizieren wollen.
Wir werden in unserem Beispiel nur zwei SSIDs (für Spielkonsolen und Heimnetz-Nutzer) benötigen.

Schritt 2:
Security
Als nächstes legen wir die Sicherheitsprofile für unsere beiden Benutzergruppen an. Unser Gerät kann bis zu 16 Profile in einer Bibliothek speichern, die man später den SSIDs zuordnen kann. Für unsere Spielkonsolen legen wir ein Profil mit WEP Verschlüsselung (mit 128-bit Schlüssel) an. So ist sichergestellt, dass auch ein Nintendo DS zugreifen kann. Den Schlüssel (Hexcode) schreiben wir auf, damit wir ihn später in unsere Spielkonsolen eingeben können.
Als nächstes legen wir ein weiteres Sicherheitsprofil für unsere Heimnetzbenutzer an, welches im WPA2-PSK-MIX Modus definiert wird. In diesem Modus erkennt der Access Point automatisch, ob der WLAN Client WPA-PSK (TKIP) oder WPA2-PSK (AES) benutzt und akzeptiert beide Verschlüsselungsmethoden. Das Kennwort zur Generierung des Schlüssels schreiben wir uns ebenfalls auf, damit wir es später in unsere Laptop-Rechner eingeben können.

Schritt 3:
MAC-Filtering
Nichts neues bietet dieses Sicherheitsfeature, welches in den meisten "normalen" Access Points vorhanden ist. Eine Tabelle dient zur Filterung von MAC-Adressen der WLAN Clients. Hier werden alle WLAN Clients eingetragen, denen wir erlauben wollen, sich mit unserem Access Point zu verbinden. In der neuesten Firmware des ZyXel Access Points stehen mehrere MAC-Filtertabelle zur Verfügung, aus denen man pro SSID eine auswählen kann. Wir suchen alle (Wireless-) MAC-Adressen unserer Laptops und Spielekonsolen zusammen und tragen diese dort ein. Sehr angenehm ist die Tatsache, dass zu jeder MAC-Adresse ein Kommentarfeld existiert. Wer dies intelligent benutzt, etwa wie Bobby Bär's Nintendo DS, der findet auch noch nach Monaten seine Geräte wieder! Einen wirksamen Schutz bietet dieses Feature allerdings nicht, da die MAC-Adresse eines WLAN Clients manipuliert werden kann.

Schritt 4:
Layer-2 Isolation
Aufgepasst, denn jetzt wird's wichtig! Das entscheidende "Business" Feature für unser Szenario nennt der Hersteller ZyXel "Layer-2 Isolation". Dabei ist übrigens das Layer-2 des OSI-Referenzmodells gemeint. Es handelt sich um eine Tabelle mit den MAC-Adressen aller (Heimnetz-) Netzwerkressourcen, auf die ein WLAN Client später einmal zugreifen darf. Ist die "Layer-2 Isolation" Liste einmal aktiviert, so wird der Access Point nur Datenpakete erlauben, die mit den aufgelisteten Ressourcen kommunizieren. Versucht ein WLAN Client eine ungelistete Ressource anzusprechen, so löscht der Access Point diese fehlgeleiteten Datenpakete sofort. In der neuesten Firmware des NWA-3100 sind mehrere dieser Listen verfügbar. Jeder SSID kann man dann eine Liste zuordnen. Für uns reicht eine einzige Liste, denn wir benötigen die "Layer-2 Isolation" ausschliesslich für unsere Spielkonsolen-SSID mit der "unsicheren" WEP Verschlüsselung. Wichtig: Die einzige MAC-Adresse die wir hier eintragen, ist die LAN-MAC Adresse unseres DSL-Modems, nix anderes! Nur so ist gewährleistet, dass man über diese SSID später ausschliesslich den Internetzugang benutzen kann und jeder Zugriff auf unsere Server gesperrt wird!

Jetzt noch schnell die beiden SSIDs ("Heimnetz" und "Game") definiert. "Heimnetz" verknüpfen wir mit dem WPA-MIX-Sicherheitsprofil und "Game" verknüpfen wir mit dem WEP-Sicherheitsprofil. Die MAC-Filtertabelle aktivieren wir für beide SSIDs. Die Layer-2 Isolation wird wie oben beschrieben nur für unsere Spielkonsolen-SSID aktiviert. Zum Glück kann man bei unserem Access Point sprechende Profilnamen vergeben, denn ansonsten kommt man ganz schnell mit den vielen unterschiedlichen Profilen durcheinander.

Damit der neue Access Point nicht selbst das Opfer eines Angriffs wird, deaktivieren wir ebenfalls die Möglichkeit zur Administration über die WLAN Schnittstelle. Jetzt ist der eingebaute Webkonfigurator nur noch per angeschlossenem LAN-Kabel erreichbar. Ein Angreifer kann daher nicht mehr das Passwort des Access Points durch eine Dictionary Attack erraten.
Zurück zum Wireless-Tab der Webkonfiguration:
Noch schnell ein paar globale Parameter definiert (Betriebsart: 802.11 b+g mixed) und die automatische Kanalwahl per Scan aktivieren und dann kann's losgehen - wir aktivieren unsere beiden SSIDs; "Game" und "Heimnetz". Die beiden von ZyXel vorkonfigurierten default-SSIDs für VoIP und Guest-Access sollten deaktiviert bleiben. Bitte nicht vergessen, dass sich alle Nutzer unserer beiden SSIDs natürlich nur die maximal vorhandene Bandbreite (54Mbit/s) auf einem einzelnen Kanal teilen.

ZyXel NWA-3100 Statusübersicht; Geschafft! Am unteren Rand des Statusfensters werden unsere beiden aktiven SSIDs mit ihren unterschiedlichen Verschlüsselungsverfahren aufgelistet.

Schritt 5:
Zeitvergleich
Für alle Nutzer des WPA (AES) Verschlüsselungsverfahren ist es besonders wichtig, dass die internen Zeitgeber von Access Point(s) und Clients zumindest ungefähr synchron laufen. Dies liegt daran, dass die vom Access Point vergebenen AES-Schlüssel (Credentials) nach einiger Zeit verfallen und neu ausgehandelt werden müssen. Dieser Zeitraum ist meist auf eine Stunde konfiguriert. Ein beliebter Fehler ist die Verwendung von Client PCs, deren Zeitzone nicht dem Access Point entspricht: Selbst wenn Kennwort und SSID stimmen, wird der Access Point den Client abweisen, denn das WPA (AES) Verfahren toleriert keine Zeitdifferenzen im Bereich von Stunden. Aber auch bei Wireless-Spielkonsolen kann dieses Problem auftreten. Daher überprüft unbedingt die Zeitzone Eurer PSP™ (PlayStation Portable™) wenn diese über WPA (AES) angebunden werden soll!
Der NWA-3100 erlaubt im Systemmenu die Angabe eines externen Servers zur Zeitsynchronisation; dort tragen wir die Domain-Adresse eines Zeitservers ein. Mit der neuesten Firmware wurde auch ein Bug behoben, so dass diese externe Zeitsynchronisation jetzt recht zuverlässig arbeitet. Infos zu externen Zeitservern mit dem NTP-Protokoll gibt es bei der Physikalisch-Technischen Bundesanstalt (PTB). In der gleichen Eingabemaske sollte man ebenfalls die Parameter für die deutsche Sommerzeit setzen, d.h. jeweils der letzte Sonntag im März und Oktober.

Schritt 6:
Testszenarien
Zur Abschluss noch ein paar Tests, ob auch alles richtig konfiguriert wurde: Die Nutzer der "Game"-SSID sollten nur ins Internet kommen und keinen Zugriff auf Fileserver oder Netzwerkdrucker haben. Dies überprüfen wir mit einem Laptop und dem WEP-Schlüssel - der Fileserver bleibt per Ping unerreichbar! Wenn ein Angreifer im schlimmsten Fall unseren WEP Schlüssel knackt, so kann er höchstens unseren Internet-Zugang benutzen, was bei den heutigen Flatrates nicht wirklich spannend ist. Auf unsere Server hat der Angreifer jedoch keinen Zugriff. Den WEP Schlüssel für die "Game"-SSID kann man daher auch Freunden und Gästen zur Verfügung stellen, die zu Besuch sind und ihre WLAN-Spielkonsole (Sony PSP™, Nintendo DS) mitgebracht haben oder einfach nur surfen möchten.

Die Nutzer der "Heimnetz"-SSID sollten Zugriff auf sämtliche Ressourcen haben und keinerlei Einschänkung erfahren. Hier sorgt die stärkere WPA-Verschlüsselung für einen deutlich stärkeren Schutz unserer Netzwerkressourcen.

Na, war doch ganz einfach, oder?

Wem das alles nicht reicht, der kann auch noch die "Rogue AP Detection" benutzen oder sogar mehrere Virtual LANs (VLANs) einrichten. Spätestens hier wird jedoch zusätzliche Hardware nötig.

Fazit

Sicherheit und Adminstration auf Unternehmensniveau haben leider ihren Preis. Eine Profilösung ist jedoch besonders dann empfehlenswert, wenn viele Nutzer in der eigenen Familie auf Heimnetz und Internetzugang zugreifen wollen. Anstatt mehrere Router und "Consumer" Access Points für eine halbherzige Lösung anzuschaffen, lohnt oft eine kurze Analyse: Meist kann ein einzelnes Profigerät die unterschiedlichen Anforderungen aller Benutzer hervorragend abdecken. Dies kann am Ende des Tages sogar Geld sparen.

Für Fragen zum Thema steht Bobby der Bär gerne auch mal unter «ofni.regit-repap@ybbob» zur Verfügung.

Permalink 12.05.2007



Comments

No comments yet.

Add Comment

* Required information
(never displayed)
 
1000
Captcha
Refresh
 
Enter code:
 
I have read and understand the privacy policy. *
 
I have read and agree to the terms and conditions. *
 
 
Powered by Commentics


 

JAMMA Cabinet Projekte:

Custom Arcade Coffee Table (JAMMA compatible) Arcade Table "Treasure Chest"
Einzelanfertigung ab 2.400,- €
Custom Arcade Coffee Table (JAMMA compatible) Arcade Table "Red Dragon"
Einzelstück ab 2.000,- €
Custom Arcade Coffee Table (JAMMA compatible) Arcade Table "Kyoto"
Nicht verkäuflich!
Midway-style Arcade Cocktail Table with Neo Geo MV-4F Hardware Arcade Table "Neo Geo Cocktail"
Nicht verkäuflich!
 

Unsere Arcade Custom PCBs:

JAMMA Interface PCB (MAK, Supergun) für Selbstbauprojekte JAMMA Supergun/MAK PCB
79,- € (inkl. MwSt.)
RGB nach NTSC Video Encoder PCB für Selbstbauprojekte RGB nach NTSC
Video Encoder PCB
79,- € (inkl. MwSt.)
Adapter PCB für Selbstbau Controlpanels mit Lötpunkten Controlpanel Adapter
21,- € (inkl. MwSt.)
Adapter PCB für Selbstbau Controlpanels mit Schraubklemmen Controlpanel Adapter mit Schraubklemmen
25,- € (inkl. MwSt.)
Controlpanel Adapter mit Steckschuhen für Mikroschalter Controlpanel Adapter mit Steckschuhen
49,- € (inkl. MwSt.)
DSub 15 Flachbandkabel Verlängerung DSub 15 Flachbandkabel Verlängerung
15,- € (inkl. MwSt.)
 

Bobby Bär's Flohmarkt:

Capcom I/O Converter, JVS nach JAMMA Capcom I/O Converter
JVS nach JAMMA
(gebraucht) 170,- €
Holzseitenteil-Rohlinge für das Yamaha 01V96 Digitalmischpult Holzseitenteil-Rohlinge
für Euer
Yamaha 01V96
Digitalmischpult
(neu) 149,- €
  
 

powered by: www.replica-watch.cn

 
 
ArcadiaBay