Sicherheitslücke

Der KRACK-Angriff zielt auf eine Schwäche im WPA2-Schlüsselmanagement ab, die sichere Wi-Fi-Netzwerke schwach macht.

Am 16. Oktober 2017 wurde die Schwachstelle KRACK Attack von einem Sicherheitsforscher der KU Leuven, Mathy Vanhoef, entdeckt. Er ist Doktor der Informatik und hat zahlreiche Forschungsarbeiten und Vorträge zum Thema Sicherheit veröffentlicht. Lesen Sie hier: http://www.mathyvanhoef.com/p/publications.html. Schauen Sie sich die Details von KRACK Attack von Mathy Vanhoef unter http://krackattacks.com an.

Was ist der KRACK-Angriff?

Der KRACK Attack zielt auf eine Schwäche im WPA2-Schlüsselmanagement ab, indem er wichtige Reinstallationsangriffe durchführt. Ein Angreifer kann in Reichweite eines Opfers Informationen lesen, die als verschlüsselt und sicher gelten. Zu den Auswirkungen gehören sensible Informationen, die gestohlen werden können, wenn sie nicht in einer sicheren Verfahren übertragen werden. Außerdem besteht die Möglichkeit, Daten in Websites einzuspeisen/zu manipulieren, während der Angreifer einen Man-In-The-Middle-Angriff durchführt.
Der KRACK Attack betrifft nicht bestimmte Geräte, sondern zielt auf die 802.11i-Novelle ab, die den Einsatz und Betrieb von WPA2 und Key Management definiert. Jedes Gerät, das WPA2 verwendet, ist betroffen.

KRACK Attack zielt speziell auf den 4-Wege Handshake-Prozess ab, indem es kryptographische Nachrichten manipuliert und wiedergibt.

Wie funktioniert der KRACK-Angriff?

Ein Angreifer muss in der Nähe seines Opfers sein. Da Wi-Fi-Signale eine beträchtliche Entfernung zurücklegen, müsste der Angreifer in der Lage sein, ziemlich nah zu sein, um einen Man-In-The-Middle-Angriff (MiTM) durchzuführen. Ein Man-In-The-Middle-Angriff ist erforderlich, um den KRACK-Angriff durch den Angreifer erfolgreich durchzuführen. Ein MiTM-Angriff ist, wenn ein Angreifer den Datenverkehr des Opfers durch den Angreifer laufen lässt, bevor er sein endgültiges Ziel erreicht.

Der Angreifer wird einen echten Zugangspunkt fälschen und einen Client dazu bringen, sich dem gefährlichen Zugangspunkt anzuschließen, jedoch erlaubt die Wi-Fi-Authentifizierung den Abschluss. Um den KRACK-Angriff abzubrechen, gibt der Angreifer eine Nachricht innerhalb des 4-Wege-Handshake wieder. Der Fehler hier ist, dass die Geräte des Opfers die Abfrage einer dieser Nachrichten akzeptieren, wenn sie es nicht sollten. So kann der Angreifer einen zuvor verwendeten Schlüssel verwenden. Ein Schlüssel ist nur einmal zu verwenden und das sind die fehlerhaften KRACK Angriffsziele.

Gibt es eine Lösung?

Ja, es gibt eine Lösung! Zuerst einmal gibt es 10 verschiedene Schwachstellen. 9 der Schwachstellen richten sich an die Client-Seite. Das bedeutet, dass jedes Client-Gerät mit WPA2, also jedes moderne Gerät, aktualisiert werden muss. Ob iOS, Android, IoT-Geräte, Laptops, etc. Sie alle müssen vom Hersteller aktualisiert werden. Einige Anbieter haben bereits Updates veröffentlicht, um dieses Problem zu beheben.

1 Schwachstelle zielt auf die Wi-Fi-Infrastruktur ab, und die wichtigsten Anbieter haben bereits damit begonnen, Updates zu veröffentlichen, um dieses Sicherheitsproblem zu beheben.

Die technische Lösung für KRACK Attack besteht darin, die Wiederverwendung von Nonce-Werten zu verhindern. Geräte dürfen keine zuvor verwendeten Schlüssel akzeptieren. Ein Ausweichlösung auf der Infrastrukturseite, wie z.B. Controller-basierte Wireless LAN-Controller oder Cloud-Managed Controller, ist die Deaktivierung von 802.11r.

Hersteller, die Updates freigegeben haben (keine vollständige Liste):

Meraki
Cisco
Aruba
Microsoft

Sicherheit

Das Patch-Management von Geräten und IT-Infrastrukturen ist von entscheidender Bedeutung. Gelegentliche Patches halten Sie auf dem Laufenden über Sicherheitsupdates. Anbieter halten mit ihren Patches Versionshinweise bereit, die von der IT-Abteilung zeitnah überprüft und implementiert werden können.

Der Schlüssel zu einem erfolgreichen Sicherheitskonzept liegt in einem mehrschichtigen Ansatz. Eine Firewall ist nicht das Einzige, was Sie zum Schutz Ihres Netzwerks benötigen.

Sollte ich WPA2 aufgeben?

Nein. Es werden Updates auf Geräte und Infrastruktur-Hardware angewendet, um KRACK Attack zu behandeln.

Soll ich mein WPA2-Passwort ändern?

Die Änderung Ihres WPA2-Passworts löst das Problem nicht, da sich KRACK Attack auf das Key Management innerhalb von WPA2 konzentriert.

Halten Sie Ihre Geräte regelmäßig auf dem neuesten Stand, um über die neuesten Sicherheitspatches informiert zu sein. Dies hilft, Ihr Netzwerk vor Angreifern zu schützen, die versuchen, diese Angriffe zu nutzen, sobald sie veröffentlicht werden.

Fragen?

Remote-Netzwerke erhalten selten die Aufmerksamkeit, die sie benötigen. Die meisten Netzwerkadministratoren wissen nicht, was in diesen entfernten Netzwerken passiert. Ob sie effizient arbeiten, ob es Probleme gibt und ob der Sicherheitsstatus dort ist, wo er sein sollte. Es ist wichtig, diese Sichtbarkeit und Einsicht leicht zu erlangen, ohne zusätzliche Ressourcen für die Erfassung dieser Informationen aufwenden zu müssen. Hier spielt LiveWire (Savvius Insight) eine große Rolle.

Sichtbarkeit des Netzwerks

Wissen Sie, was in den Netzwerken Ihrer Remote-Standorte passiert? Die Trennung führt dazu, dass Schwachstellen offen bleiben. LiveWire bietet eine einfache Möglichkeit, Remote-Netzwerke zu überwachen und Einblicke in das Geschehen zu gewinnen. LiveWire sammelt Daten, während er das Netzwerk durchläuft, und schafft eine Basis für die Aktivität.

Dashboards werden automatisch für den Netzwerkadministrator erstellt. Dinge wie Datenflüsse, Netzwerkprotokolle und Expertentrends sind leicht verfügbar.

Mit der Möglichkeit, einen Timeframe auszuwählen, kann sich der Netzwerkadministrator einen allgemeinen Überblick darüber verschaffen, wie das Netzwerk funktioniert. Anhand von Daten wie durchschnittliche Auslastung, maximale Auslastung und durchschnittliche Reaktionszeit kann ein Netzwerkadministrator auf der Grundlage dieser Informationen eine Entscheidung treffen. Ein Beispiel wäre die Überwachung der Bandbreitenauslastung, je nachdem, wo LiveWire im Netzwerk installiert ist.

Remote-Netzwerke sind oft mit Bandbreitenbeschränkungen konfrontiert, was LiveWire zu einer guten Wahl für den Job macht. Die Auslastung ist bereits grafisch dargestellt und obwohl sie mit der Zeit korreliert ist, kann das Problem schnell ermittelt werden.

Fehlerbehebung

Während die Bandbreitennutzung oft eine häufige Troubleshooting-Aufgabe ist, wie sieht es mit anderen Problemen aus? Ein weiteres Problem, das von LiveWire verfolgt wird, sind VoIP-Anrufe. Anrufkennzahlen wie MOS-Scores werden verfolgt und über die Zeit dokumentiert. Die Gesprächsdauer ist auch für den Fall, dass der Verdacht auf hohe Nutzungskosten besteht, günstig.

Die Art des Codecs, der während der Anrufe verwendet wird, wird ebenfalls im Laufe der Zeit und wie oft er verwendet wird, dargestellt. Es kann ein Problem mit der Anrufqualität auftreten, das eine Fehlersuche erfordert, und die Bestimmung der Art des verwendeten Codecs kann hilfreich sein.

Sicherheit steht bei jedem Unternehmen an erster Stelle. LiveWire kann verwendet werden, um anormale Netzwerkaktivitäten zu verfolgen. Ein Netzwerkadministrator sollte wissen, welche Art von Datenverkehr im Netzwerk vorliegt. Wenn die Anwendung in Übereinstimmung mit Ihrem ISP installiert ist, können die Applikationskategorien in einer Tabelle verfolgt werden.

Der Name der Anwendung und deren Kategorie wird mit einem Produktivitätswert und Risiko verfolgt. Wenn die Mehrheit der Netzwerkbandbreite genutzt wird, ist dies keine Geschäftsanwendung, dann wurde festgestellt, dass es ein Produktivitätsproblem im Remote Office gibt.

Oder vielleicht gibt es einen infizierten Host, der Malware überträgt, oder einen Host, der kompromittiert wurde, um bösartige Aktivitäten zu hosten. LiveWire kann helfen, diese Art von Traffic zu analysieren und in einer übersichtlichen Tabelle darzustellen.

Es ist wichtig, die Art der Protokolle in entfernten Büros im Auge zu behalten, um sicherzustellen, dass die Sicherheit nicht beeinträchtigt wird. Das gebräuchlichste Protokoll ist HTTPS. Jedes andere Protokoll, das im Geschäftsumfeld nicht verwendet wird, sollte eine rote Flagge hissen.

Wenn eine große Anzahl unbekannter Protokolle außerhalb der Geschäftszeiten verwendet wird, muss weiter untersucht werden. Es gibt ein Standardgrafik und -tabelle, die helfen, diese Visualisierung hervorzuheben, ohne in große, unleserliche Capture-Dateien einlesen zu müssen.

Plattform

LiveWire ist eine Anwendung mit kleinem Formfaktor, die für entfernte Netzwerke entwickelt wurde. Auf dem Gerät ist der ELK-Stack installiert. Es nutzt die Vorteile von Open-Source-Projekten, Kibana, Elasticsearch und Logstash.

Das Gerät ist einfach zu installieren und lässt sich in wenigen Minuten einrichten. Die Systemadministration ist bei dieser Anwendung gering, da sie zum gleichzeitigen Einlesen von Daten aus mehreren Quellen verwendet wird.

Die integrierten Dashboards liefern Ihnen dynamische Visualisierungsdaten mit Diagrammen und Grafiken.

Es handelt sich um eine leistungsstarke Anwendung mit flexiblen Visualisierungstools, mit denen Sie benutzerdefinierte Visualisierungen und Tabellen erstellen können, in denen die vorhandenen Daten gesammelt werden.

Fazit

Für kleine IT-Teams, die mehrere Remote-Netzwerke verwalten, ist der LiveWire eine perfekte Lösung mit minimalem Aufwand. Es bietet einem Netzwerkadministrator Einblick in ein Netzwerk, das er bisher nicht hatte. Der ELK-Stack wird für die langfristige Netzwerktransparenz verwendet, um so viel Einblick wie möglich in die gesammelten Ereignisse zu erhalten.

Da Wi-Fi für die Produktivität der Endbenutzer oder für die Verbesserung des Nutzererlebnisses für Ihre Kunden wichtiger ist, stellen wir Ihnen 3 schnelle Wi-Fi-Tipps für Ihr Unternehmen vor.

• Kanal-Konfiguration
• Konfiguration der Sendeleistung
• AP Platzierung

Kanal-Konfiguration

Kleine Unternehmen haben aufgrund von Fehlkonfigurationen eine große Anzahl von Wi-Fi-Problemen. Da Wi-Fi einfach zu implementieren ist, ist es schwierig zu erkennen, welche Probleme auftreten können. Die Symptome sind durch Benutzerbeschwerden sichtbar.

Wenn in Ihrem Unternehmen mehrere APs (APs) eingesetzt werden, ist es wichtig, zu überprüfen, auf welchen Kanälen sie arbeiten, indem Sie die Frequenzen von 2,4 GHz und 5 GHz des Wi-Fi-Netzwerkmanagementsystems überprüfen. Ein häufiges Problem, auf das Unternehmen stoßen, ist, dass zu viele APs auf demselben Kanal arbeiten, was die Kapazität des Wi-Fi-Netzwerks einschränkt.

Minimieren Sie die Anzahl der Kanalüberlappungen, indem Sie APs auf verschiedenen, nicht überlappenden Kanälen arbeiten lassen. In 2,4 GHz gibt es drei nicht überlappende Kanäle – 1, 6 und 11. Der 5-GHz-Bereich verfügt über 24 nicht überlappende Kanäle.

Der 5-GHz-Bereich bietet mehr Kapazität und weniger Stau im Vergleich zur 2,4-GHz-Frequenz. Die Migration von Benutzern auf 5 GHz führt zu einem besseren Benutzererlebnis.

Führen Sie eine Standortbegehung in Ihrem Gebiet durch, um festzustellen, welche Kanäle verwendet werden, wie die Kanalauslastung aussieht und ob es Störungen gibt. Das Ergebnis hilft bei der Erstellung eines Kanalplans um die am häufigsten genutzten Kanäle.

Die Kanalbreiten sollten aufgrund der Anzahl der nicht überlappenden Kanäle und der verfügbaren Kapazität auf 20 MHz im 2,4-GHz-Bereich konfiguriert werden. Für 5 GHz empfehlen wir 20 MHz oder 40 MHz. Wenn genügend Kanäle zur Verfügung stehen und die Frequenz ohne Störungen und andere benachbarte Netzwerke sauber aussieht, können 40 MHz Kanalbreiten verwendet werden.

Eine zunehmende Kanalbreite kann den Durchsatz erhöhen, aber der Nachteil ist ein erhöhter Rauschabstand, der den Signal-Rausch-Abstand (SNR) verringert.

Schließlich ist es wichtig, die Fähigkeiten der Geräte zu verstehen, die das Wi-Fi-Netzwerk nutzen. Einige sind nicht in der Lage, größere Kanalbreiten zu verwenden, andere arbeiten nur mit 2,4 GHz, andere unterstützen nicht alle 5 GHz-Kanäle, und Gerätetreiber werden nicht gleich entwickelt.

Wie bei jedem kritischen Netzwerkdienst empfehlen wir Ihnen, sich mit einem vollständigen Design oder einer Beratung über Ihre nächste Wi-Fi-Implementierung zu befassen.

Konfiguration der Sendeleistung

Ein großes Problem bei Wi-Fi für kleine Unternehmen sind die Standardeinstellungen des APs. Typischerweise sehen wir die Sendeleistung der AP-Funkgeräte auf maximale Leistung eingestellt. Höhere Sendeleistung ist nicht immer besser. Dies führt oft dazu, dass Endgeräte nicht in der Lage sind, das beste AP in der Nähe auszuwählen.

Endgeräte haben unterschiedliche Schwellenwerte, wenn es um die Auswahl des besten Signals geht, und liegen typischerweise über -70 dBm. Ein AP-Funk, der sein Signal mit maximaler Leistung sendet, kann eine Situation erzeugen, die als „sticky clients“ bezeichnet wird. Ein Szenario, in dem ein Benutzer sein mobiles Gerät an einen anderen Ort im Büro bringt, das Gerät aber seine Konnektivität zu dem AP beibehält, an dem es zuerst verbunden wurde. Der Benutzer nimmt dann an einem wichtigen Web-Meeting teil und die Qualität dieses Meetings wird aufgrund der schlechten Signalqualität stark beeinträchtigt. Dabei gibt es einen näher gelegenen AP mit einem qualitativ besseren Signal.

Eine höhere Sendeleistung auf den AP-Funkgeräten verursacht auch ein Problem mit Endgeräten, die nicht in der Lage sind, das Signal an den AP zurückzusenden. Endgeräte haben geringeren Sendeleistung als APs, daher übertragen sie keine Daten mit der gleichen Leistung. Das Endgerät kann den AP ganz gut „hören“, aber der AP kann das Signal des Geräts nicht „hören“ (demodulieren).

Senken Sie die Sendeleistung auf ein vernünftiges Maß, ohne ein Funkloch zu erzeugen. Es sollte eine Deckungsüberschneidung von 10-20% zwischen den APs geben, um das Roaming zwischen den APs zu erleichtern.

Diese Art der Feinabstimmung erfordert eine sorgfältige Planung und eine Validierungsprüfung, um sicherzustellen, dass die Anforderungen erfüllt sind.

AP Platzierung

Viele Wi-Fi-Probleme können durch eine bessere AP-Platzierung schnell behoben werden. Omnidirektionale APs verbreiten das Signal in einer 360-Grad-Anordnung. Es kommt weniger Signalausbreitung von der Rückseite eines APs, wenn man sich die Hardware-Polarisationskarten ansieht.

• 

Es ist wichtig, die APs richtig zu montieren. Am besten montieren Sie sie aus dem Deckenraster oder, wenn nötig, an der Wand.

Halten Sie APs von Metall fern, das in der Zwischendecke mit den HLK-Kanälen und anderen Materialien versteckt ist, die die Eigenschaften des Signals verändern können.

Ein gründlicher Designprozess kann vorhersagen, wo APs eingesetzt werden sollen, indem Wandmaterialien und andere Hindernisse berücksichtigt werden.

Fazit

Wi-Fi ist ein unternehmenskritischer Service in der heutigen Geschäftswelt. Der Zugriff auf Ressourcen muss nahtlos und schnell erfolgen. Diese schnellen Tipps können Ihnen helfen, Ihr Wi-Fi-Netzwerk kurzfristig zu verbessern. Für einen tiefen Einblick in die verlorene Leistungsfähigkeit kann BITCAM IT Ihr zuverlässiger Partner sein.

Wann haben Sie Ihre drahtlosen Zugangspunkte das letzte Mal aktualisiert? Möglicherweise haben Sie einen Anruf von Ihrem Vertriebsmitarbeiter erhalten, der Sie über alle Vorteile von Wi-Fi 6 und die Probleme, die es lösen wird, informiert.

Wi-Fi 6 ist sehr neu. Die größten Vorteile werden sich bei Wi-Fi 6-fähigen Geräten zeigen. Haben Sie Wi-Fi 6-Geräte in Ihrem Netzwerk? Zum Zeitpunkt der Veröffentlichung (August 2019) gibt es nur das Samsung S10 und eine Intel AX200-Karte. Ist es unklug, heute auf Wi-Fi 6 umzusteigen? Ich glaube schon. Deshalb….

Wi-Fi 6, oder wie es 802.11ax definiert ist, ist noch kein Standard. Sie ist noch im vorläufigen Entwurf. Alle Geräte und Zugangspunkte, die derzeit verkauft werden, gelten als vor 802.11ax. Es kann einige Wi-Fi 6-Funktionen geben, die auf diesen Geräten nicht unterstützt werden.

Die angesprochenen Geschwindigkeitssteigerungen, die erwähnt wurden, sind theoretisch. Es geht um die höchste Geschwindigkeit, die Sie in einer Unternehmens-Umgebung aus einer Reihe von Gründen möglicherweise nicht erreichen werden. Wir haben dies noch nicht in realen Umgebungen getestet gesehen, um einen realistischen Einblick zu erhalten.

Ganz zu schweigen davon, dass es bei Wi-Fi 6 nicht um Geschwindigkeit geht. Es geht um die Effizienz der verwendeten Funkfrequenzen. Wenn diese Effizienzgewinne realisiert werden, kann es zu einer Erhöhung der Geschwindigkeit kommen, insbesondere in Umgebungen mit hoher Übertragungsdichte. Aber das muss noch bestätigt werden.

Ohne greifbare Ergebnisse aus der realen Umgebung kann es unvernünftig sein, ein Upgrade nur auf der Grundlage der Marketing-Zahlen durchzuführen, die wir von den Anbietern erhalten.

Meine Empfehlung ist es, einige Access Points mit Wi-Fi 6 zu erwerben und zu testen. Erfahren Sie, wie es mit Ihren Geräten funktioniert, und wenn Sie über Wi-Fi 6-Clients verfügen, testen Sie diese Wi-Fi 6-Funktionen. Testen Sie so gut wie möglich, bevor Sie den unternehmensweiten Einsatz starten.

Die eigentliche Frage ist, wie viel Risiko können Sie eingehen, wenn Sie heute Wi-Fi 6 einsetzen?