Drahtlose Kommunikation
Die Security-Bausteine für industrielles WLAN
Die drahtlose Kommunikation mit WLAN ermöglicht eine Vielzahl an neuen Anwendungen, birgt aber auch neue Security-Risiken. Bausteine für ein umfassendes technisches Sicherheitskonzept gibt es viele. Doch nicht immer ist es leicht, im Wirrwarr der verschiedenen Techniken den Überblick zu behalten.
Sicherheit im Sinne des englischen Begriffes 'Security' ist seit jeher ein bedeutendes Thema für den Einsatz von Funklösungen im industriellen Bereich. Dabei schwingt oftmals die Angst vor einem Abhören der Funkverbindungen mit. Jedoch beschränken sich moderne Sicherheitsverfahren keineswegs nur auf die Datenverschlüsselung. Themen wie eine zentrale Zugriffskontrolle, Intrusion Detection, Firewalling und der Schutz von Management-Nachrichten sind ebenso wichtige Bausteine eines umfassenden technischen Sicherheitskonzepts.
Im Home- und Office-Umfeld wird Sicherheit oftmals mit Vertraulichkeit gleichgesetzt. Zwar ist Vertraulichkeit in industriellen Anwendungen ebenso von Bedeutung, jedoch nehmen die Themen Verfügbarkeit und Zuverlässigkeit sowie Integrität beziehungsweise Authentizität einen außergewöhnlich hohen Stellenwert ein, wenn es um den dauerhaften und sicheren Betrieb von Industrieanlagen geht. So zielen Angriffsszenarien in Industrieanlagen weniger auf das Erbeuten von Daten und Passwörtern, sondern eher auf die Störung der zu steuernden oder zu überwachenden Prozesse. Der Ende 2014 vom BSI berichtete Fall der Zerstörung einer Stahlschmelze zeigt dies sehr eindrucksvoll (Bericht zur Lage der IT-Sicherheit 2014, Kapitel 3.3.1). Hier wurde insbesondere der Prozess gestört, bis die Produktionsanlage schwerste Schäden davon trug.
Schutz der Kommunikation nach außen
Im Gegensatz zu drahtgebundenen Kommunikationslösungen lässt sich die drahtlose Funkübertragung von WLAN nicht oder nur schlecht physisch begrenzen. Ohne geeignete Sicherheitsmaßnahmen könnten die Signale eines WLAN von einem Angreifer empfangen und vertrauliche Informationen und Daten aus dem Netzwerk mitgeschnitten werden. Ebenso könnten Angreifer falsche Informationen oder Steuerungsnachrichten in ein Netzwerk einspielen und damit dessen Betrieb stören. Der Schutz der physischen Übertragung (ISO/OSI-Schichten 1+2) ist daher essenziell für einen sicheren und zuverlässigen Betrieb des Netzwerks und der damit verbundenen Anlagen. Alle aktuellen WLAN-Produkte verfügen daher inzwischen über standardisierte Sicherheitsmechanismen zur Herstellung von Vertraulichkeit und Integritätskontrolle nach IEEE 802.11i.
Der IEEE-Standard 802.11i spezifiziert Verfahren zur Schlüsselaushandlung, Datenverschlüsselung und Datenverifikation für die Übertragung von Nutzdaten in einem WLAN. Die zugrundeliegende Architektur sieht die individuelle Verschlüsselung jeder einzelnen drahtlosen Datenübertragung vor. Dazu werden zuvor geeigneten Schlüssel zwischen den Kommunikationspartnern ausgehandelt (der Session-Key). Ein eingebauter Integritätsschutz stellt zudem sicher, dass die übertragenen Daten nicht nur geheim sondern auch unverändert sind. So werden die Sicherheitsziele 'Vertraulichkeit' und 'Integrität' erreicht.
Offene Netzwerke bieten keinen Schutz. Mit WPA gesicherte Netzwerke verhindern ein Abhören und die Manipulation der Daten. Netzwerke, die über Management Frame Protection verfügen, schützen die für die Verfügbarkeit wichtigen Management-Nachrichten.
© BeldenDie Herstellervereinigung Wi-Fi Alliance hat die im IEEE-Standard 802.11i spezifizierte Architektur nach deren Verabschiedung in das eigene Verfahren WPA2 (WiFi Protected Access 2) integriert. Dieses sieht die zwei Modi Personal und Enterprise vor, deren hauptsächlicher Unterschied im Mechanismus zur Authentifizierung liegt. Bei WPA Personal wird pro Netzwerk ein gemeinsam von allen WLAN-Geräten verwendetes Passwort (Pre-Shared Key) verwendet. Für sehr kleine Netzwerke mag dies noch praktikabel sein, jedoch stellt das Passwort-Management ein großes Hindernis für industrielle Netzwerke mit mehreren Access-Points und Clients dar. Gewöhnliche Vorgänge wie zum Beispiel der Austausch eines alten Schlüssels oder der Ausschluss eines verlorenen oder gestohlenen WLAN-Gerätes aus einem Netzwerk erfordert in der Regel eine manuelle und aufwendige Neukonfiguration aller Access-Points und Clients.
Der WPA-Enterprise-Modus erlaubt es einem Administrator, jedem Gerät einen anderen Schlüssel zuzuweisen und diese Schlüssel zentral in einer gemeinsamen Authentifizierungsdatenbank (zum Beispiel ein Radius Server) zu verwalten. Über den Authentifizierungsstandard IEEE 802.1x kann der Access-Point jedes WLAN-Gerät beim Verbindungsaufbau authentisieren und es ist möglich, einen einmaligen und für jedes Gerät unterschiedlichen Schlüssel aus diesem Authentisierungsprozess abzuleiten. Passwörter können somit zentral verwaltet und getauscht werden und einzelne verlorene oder gestohlene Geräte lassen sich einfach aus dem Netzwerk ausschließen.
Hochwertigere WLAN-Access-Points erlauben es darüber hinaus, einzelnen Geräten unterschiedliche Virtuelle LANs (VLANs) mit Hilfe von WPA Enterprise zuzuweisen, so dass klar zwischen verschiedenen Rollen der Geräte getrennt werden kann. So können etwa ein WLAN-Sensor und eine WLAN-Überwachungskamera in verschiedene VLANs verwiesen werden, so dass der Sensor nur mit dem Kontrollserver kommunizieren kann und die Kamera nur mit dem Überwachungsterminal. Diese Segmentierung erschwert es Angreifern, weniger sichere Geräte zu manipulieren und von dort aus weiter ins Netzwerk vorzudringen. Auf die Leistungsfähigkeit des Netzwerks hat dies keinen negativen Einfluss.
Die Faktoren Robustheit und Zuverlässigkeit
Zwar schützt IEEE 802.11i und WPA2 vor Angreifern, die es auf den Datenverkehr abgesehen haben, jedoch spielt in industriellen Netzwerken auch die Robustheit und Verfügbarkeit des Netzwerks eine überaus wichtige Rolle. Allerdings bietet IEEE 802.11i beziehungsweise WPA2 hier nur bedingt Schutz. Insbesondere die Selbstverwaltungsfunktionen des Netzwerks, welche über sogenannte 'Management Frames' gesteuert werden, sind gegenüber Fälschung und Abhören weitgehend verwundbar. Diese Management Frames sind Pakete, die genauso wie Datenpakete über Funk übertragen werden, jedoch keine Nutzdaten beinhalten, sondern ausschließlich zur Sicherstellung der Paketvermittlung im Netzwerk dienen. So melden sich Geräte beispielsweise durch die Verwendung von Management Frames am Netzwerk an und ab, stoßen neue Schlüsselaustausche an und melden, wenn sie sich von Access-Point zu Access-Point bewegen.
Genau für diese Management Frames sieht der Standard IEEE 802.11i keine Verschlüsselung beziehungsweise Authentizitätsprüfung vor. Deshalb können Informationen über das Netzwerk aus abgehörten Management Frames gewonnen werden und gleichzeitig Management Frames unter falscher Identität gesendet werden. Dadurch entstehen potenzielle Angriffsszenarien, um die Datenkommunikation entscheidend zu stören, wenn etwa ein Angreifer ein gefälschtes Paket zur Abmeldung eines WLAN-Clients sendet und der Access-Point daraufhin die Kommunikation abbricht.
Die Qualität einer Verbindung kann durch gefälschte Management Frames soweit gestört werden, dass der von der Anwendung benötigte Durchsatz an Daten möglicherweise nicht mehr verfügbar ist (Denial of Service). Dies kann zu Funktionsstörungen in industriellen Anlagen führen. Im Extremfall ist keine Kommunikation und damit auch keine Kontrolle über den laufenden Produktionsprozess mehr möglich.
Die Technik 'Protected Management Frames' beziehungsweise 802.11w ist eine Funktion, die es erlaubt, solche Management Frames vor Fälschung zu schützen. Dabei werden die Mechanismen zur Authentisierung und Verschlüsselung auf die Management Frames erweitert und dadurch die 'Vertraulichkeit' und 'Authentizität' der Frames erzielt. So ist es nicht mehr möglich, die sensiblen Management-Funktionen zur Störung eines Netzwerks auszunutzen. Bisher unterstützen allerdings nur sehr wenige Hersteller diese Funktion – es lohnt sich daher, bei der Auswahl von industriellen WLAN-Lösungen auf die entsprechende Fähigkeiten der Produkte zu achten.
Erkennen von Angriffen und Anomalien
Die Vorgänge und die Kommunikation in einem Netzwerk sind in der Regel für die Benutzer intransparent. Dies vereinfacht zwar die Verwendung des Netzwerks (der Benutzer muss sich nicht mit den einzelnen Vorgängen im Netzwerk auseinandersetzen), es erschwert jedoch auch, Angriffe und außergewöhnliches Verhalten von Teilnehmern zu erkennen. Problematisch kann das besonders bei industriellen Netzwerken sein, die häufig die Maschine-zu-Maschine-Kommunikation ermöglichen und lange autonom operieren. Aus diesem Grund ist es wichtig, dass eine WLAN-Lösung geeignete Mittel zur Anomalie-Erkennung bereitstellt.
Ein Wireless Intrusion Detection System (WIDS) im Access-Point erlaubt es zu erkennen, ob ein Angreifer nach offenen Netzwerken scannt, Management Frames fälscht oder versucht, das Netzwerk über gefälschte Nachrichten aus dem Tritt zu bringen. Das System registriert dabei verdächtige Verhaltensweisen anhand von Heuristiken und informiert den Benutzer per E-Mail, Syslog-Nachricht oder über Netzwerk-Management-Protokolle wie SNMP (Traps). Bei der Wahl der WLAN- und WIDS-Lösung muss jedoch gelten, dass sie auch ökonomisch sinnvoll ist. Separate WIDS-Lösungen sind meist nur für große Unternehmenscampus-WLAN-Netzwerke mit vielen Clients rentabel. Insbesondere bei kleineren bis mittleren WLAN-Netzwerken, wie sie oftmals im industriellen Umfeld zu finden sind, ist daher darauf zu achten, welche Möglichkeiten ein WLAN-Gerät bereits bietet.
Ein weiteres Angriffsszenario ist der sogenannte Rogue-Access-Point. Hierbei stellt ein Angreifer einen eigenen Access-Point in der Nähe des WLAN-Netzwerks auf, um auf 'Client-Fang' zu gehen. Der Rogue-Access-Point verwendet dabei dieselbe SSID (das heißt den Netzwerk-Namen) wie das industrielle Netzwerk, jedoch häufig ohne Passwortschutz, so dass sich alle Clients einfach versehentlich mit dem gefälschten Netzwerk verbinden können. Aufgrund der Namensgleichheit ist es für Mitarbeiter und Servicepersonal schwer zu erkennen, ob sie ihr Mobilgerät oder ein WLAN-Gerät in der Anlage mit dem richtigen Netzwerk verbunden haben. Wird ein Gerät versehentlich mit dem Rogue-Access-Point verbunden, kann es zwar nicht mit dem Unternehmensnetzwerk kommunizieren; je nach Konfiguration kann es jedoch sensible Daten oder interne Informationen zur Struktur des industriellen Netzwerks preisgeben. Als mögliches Angriffsszenario wäre das Abfischen von Zugangsdaten einzelner Mitarbeiter denkbar. Falls der WLAN-Client nur mit dem Internet kommuniziert, sind sogar klassische Man-in-the-Middle-Angriffe möglich, die oftmals unbemerkt bleiben. Eine WLAN-Lösung sollte daher eine Rogue-Access-Point-Erkennung bieten.
Schutz vor Angriffen von innen
Es ist selten ausreichend, nur die äußeren Grenzen des Netzwerks gegen Angreifer zu Schützen. Häufig finden Angriffe aus dem Inneren eines Netzwerks statt. Sollte ein Angreifer die WLAN-Verschlüsselung umgangen haben oder sich Zugriff auf ein System im Netzwerk verschafft haben (etwa durch einen Virus), ist kein effektiver Schutz mehr gegeben. Wird ein Client in ein WLAN eingebunden, ist es prinzipiell möglich, mit allen weiteren Geräten im selben (Sub-)Netzwerk direkt zu kommunizieren. Ein Angreifer kann so den Angriff auf beliebige mit dem Ethernet-Netzwerk verbundene Geräte ausweiten. Diesem Problem lässt sich begegnen, indem man die Weiterleitung von Nachrichten zwischen WLAN-Clients am Access-Point unterbindet. Diese einfache und häufig unterstützte Funktion sorgt dafür, dass verbundene Clients voreinander geschützt (isoliert) werden.
Die Sicherheitsfunktionen Client Isolation und Layer-2-Firewall sind Möglichkeiten, eine Kommunikation zwischen einem potenziellen Angreifer und einer Anwendung zu unterbinden. Die Client Isolation ist aber in industriellen Netzen sehr inflexibel.
© BeldenIn industriellen Netzwerken ist dies im Vergleich zu Office-Anwendungen oftmals nicht möglich, da hier die verbundenen WLAN-Clients meist direkt untereinander Informationen austauschen müssen, um Anlagen zu steuern und zu überwachen. So spricht eventuell ein über WLAN verbundenes Bedienfeld mit einem über WLAN angebundenen Sensor. Daher ist es für den komplexen industriellen Anwendungsfall erforderlich, spezielle Filterfunktionen zur Verfügung zu stellen, um diese Kommunikationsbeziehungen abzubilden beziehungsweise um unerwünschte Kommunikation zwischen WLAN-Clients gezielt zu unterbinden.
Dieser Mechanismus ist über eine konfigurierbare Firewall auf Ethernet-Ebene (Layer-2-Firewall) realisierbar. Dabei wird im Gegensatz zur Verwendung von VLANs keine Grüppchenbildung vorgenommen, sondern es besteht die Möglichkeit einer feineren und flexibleren Kontrolle auf Protokollbasis. Da Industrieanwendungen oftmals innerhalb eines Ethernet ohne Routing operieren, ist es wichtig, dass der Access-Point explizit eine Layer-2-Firewall unterstützt. Allerdings verfügen viele Produkte nur über Firewalls für gerouteten Verkehr, welcher über Netzwerk-Grenzen weitergeleitet wird. Diese Layer-3-Firewalls lassen direkt geswitchten/gebridgten Verkehr stets passieren und bieten so keinen Schutz für die Kommunikation zwischen Clients.
Zusätzlich kann ein Intrusion-Detection-System für Ethernet-Verkehr helfen, Clients zu identifizieren, die sich fehlerhaft oder auffällig verhalten. So können selbst Angriffe aus dem Inneren des Netzwerks erkannt und aufgezeichnet werden. Eine spezielle Maßnahme zur Erkennung von Angriffen oder Anomalien in einen WLAN-Netzwerk ist die Erkennung von 'Rogue-Clients'. In diesem Fall assoziiert und authentifiziert sich ein unbekannter Client erfolgreich im Netz. Es taucht also plötzlich ein neues und unerwünschtes Gerät auf. Eine Erkennung dieser Rogue-Clients und eine entsprechende Notifikation an die Administratoren stellt eine weitere Maßnahme dar, um Veränderungen im WLAN-Netz zu erkennen und geeignete Reaktionen einzuleiten.
Firewall an Netzwerk-Grenzen
Industrielle Anlagen können räumlich über größere Distanzen verteilt sein, wodurch komplexe Topologien des Netzwerks erforderlich sein können. In diesen Szenarien sind einzelne Bereiche des Netzwerks gegenseitig abzuschotten, so dass ein Angreifer, der Zugang zu einem Bereich erlangt, nicht automatisch Schaden im kompletten Netzwerk anrichten kann.
Der Baukasten der WLAN-Security-Elemente. Die Endpunkt-Elemente sind nur auszugsweise und exemplarisch dargestellt.
© BeldenDer Access-Point nimmt diesbezüglich eine zentrale Position ein, da er häufig sowohl als zentraler Vermittler zwischen den Clients dient als auch als Zugangspunkt zu anderen gerouteten Netzwerken oder gar dem Internet. Viele Access-Points unterstützen daher außerdem Funktionen, um als Router operieren zu können. Diese zusätzliche Funktion verringert zum einen die Zahl der benötigten Geräte (es wird kein dedizierter Router benötigt), stellt jedoch darüber hinaus neue Herausforderungen für einen industriellen Access-Point dar: Als Bindeglied zwischen Netzwerken müssen Layer-3-Firewall-Funktionen vorhanden sein, um die Clients in einem Netzwerk vor dem Einfluss der verbundenen Netzwerke zu schützen.
Die Kommunikationsbeziehung zwischen den Netzwerken lassen sich in den Firewall-Filter-Regeln abbilden, damit nur die zwischen den Netzwerken gewünschte Kommunikation möglich ist. Dabei besteht die Möglichkeit der flexiblen Zustandskontrolle des Kommunikationsstatus auf Protokollbasis. Auftretende Anomalitäten im Zustand einer Kommunikationsbeziehung sind meist Indikatoren für einen Angriffsversuch. Deshalb kann ein mit der Layer-3-Firewall gekoppeltes Intrusion-Detection-System helfen, mögliche Angriffsversuche zu erkennen, die sich fehlverhaltenden Clients zu identifizieren und die Betreiber des Netzwerks über diese Erkenntnisse zu informieren.
Speziell in einem industriellen Netz können Anwendungen hohe Anforderungen an die Zuverlässigkeit und Verzögerungszeit beim Austausch von Information stellen. 'Traffic Engineering' bietet Methoden, den Datenverkehr basierend auf verschiedensten Protokollen in verschiedene Klassen zu kategorisieren und diesen Klassen die geforderte Güte zur Verfügung zu stellen. In modernen Geräten bietet die Layer-3-Firewall zudem Funktionen zur Realisierung eines Traffic-Engineering-Konzepts. Durch Priorisierung und spezielle Verfahren bei der Behandlung einzelner Datenpakete kann hierbei die erforderliche Güte für prozesskritische Anwendungen verbessert werden.
Abschließend lässt sich festhalten: Die Sicherheitsfunktionen in WLAN-Netzwerken sind recht vielfältig. Jedoch erfüllt jede der beschriebenen Funktionen einen spezifischen Zweck. Daher ergibt sich bei aller Unübersichtlichkeit des Themas eher ein Baukasten als ein Sammelsurium aus Sicherheits-Features. Vereint man diese Funktionen in einem Gerät, ergibt sich ein flexibles und mächtiges Sicherheitswerkzeug. Die Unabhängigkeit der Funktionen erreicht darüber hinaus einen mehrschichtigen Schutz, um Sicherheitskonzepte wie das momentan häufig diskutierte 'Defense in Depth' effektiv umzusetzen.
Autoren:
Dr. Tobias Heer ist Head of Embedded Development-Functions bei Hirschmann Automation and Control.
Dr.-Ing. Bernhard Wiegel ist Lead Engineer Wireless bei der Hirschmann Automation and Control.














