WLAN - Absicherung der Clients

Internet Internet Sicherheit
#1

Wenn ich demnächst in grösserem Maße WLAN ins Firmennetz integrieren muss, sehe ich kein Problem für die Sicherheit des bestehenden Netzes. Die Clients bauen eine VPN-Verbindung zu einem Knoten unmittelbar hinter dem AccessPoint auf, dieser wiederum schickt deren Anfragen weiter an eine Shorewall, welche nur legitime Anfragen ausschliesslich auf entspr. gehärtete Server zulässt.

Angenommen aber, trotz aller Sicherungsmaßnahmen auf dem AccessPoint gelänge es einem illegitimen Client, sich an diesem AccessPoint anzumelden. Oder tun wir grad so, als hätte ich auf dem AccessPoint keine Sicherungsmaßnahmen ergriffen, um so den Sonderfall des zwar scheinbar legitimen, längst aber schon auf anderem Wege korrumpierten Clients mit einzubeziehen.

Diesem Client stehen nun erst mal alle anderen Clients in dieser Funkzelle völlig gleichberechtigt und entspr. offen gegenüber. Erschwerend kommt hinzu, dass es sich bei den Clients ausschliesslich um Windows-Kisten handelt, noch erschwerender, dass einige dieser Dinger unter Windows-CE laufen, einer Katastr… - einem Betriebssytem, von dem ich keine Möglichkeit wüsste, es zu härten (und das ich leider auch nicht tunneln lassen kann, was ich aber als relativ unproblematisch ansehe, hier greifen andere Sicherungsmechanismen).

Hat hier jemand eine Idee, wie ich diese Clients inhärent gegeneinander abschotten kann? Für normale Windows-Rechner, w2k oder xp, habe ich so eine vage Idee, sämtlichen Netzwerkverkehr nur über ein virtuelles Netzwerkinterface zuzulassen, welches ausschliesslich getunnelt mit dem VPN-Knoten kommuniziert, so dass unerwünschte Anfragen, z. B. auf die im vergangenen Jahr massiv angegriffenen ASN, MDAC oder die rpc-Schnittstelle, das Betriebssystem gar nicht erst erreichen. Sondern von diesem virtuellen Interface gleich verworfen werden.

Aber halt nur 'ne vage Idee, keine Ahnung, wie sich das realisieren liesse. Und was die Win-CE Geräte angeht, fällt mir grad garnix ein.

Danke für Anregungen
Schorsch

#2

Hi,

ne schwierige Situation, insbesondere eben wegen der Vorgabe „Windows CE“, die ja die Möglichkeiten schon arg einschränkt. Auf die Schnelle hab ich da auch nur http://www.blackhat.com/presentations/bh-usa-03/bh-u… gefunden, aber dieses PDF ist auch nicht so wirklich der Bringer…

Gruß,

Malte.

#3

Auf die Schnelle hab ich da auch nur
http://www.blackhat.com/presentations/bh-usa-03/bh-u…
gefunden, aber dieses PDF ist auch nicht so wirklich der
Bringer…

Oweh. Aussagen wie ‚Most OEMs seem to be skipping security within CE as of today‘ und darauf bezogen ‚How to harden depends significantly on what the OEM has provided‘ machen nicht wirklich Mut.

Glücklicherweise liegen auf den CE-Geräten keine wertvollen Daten, und auch ein entschlüsselter Datenstrom, der mit diesen Geräten erzeugt wird, hat ohne weiteren Zugriff auf die Datenbank für niemanden einen Wert. Hier sehe ich die grösste Gefahr im Vandalismus, darin, dass diese Geräte schlicht unbrauchbar gemacht werden. Ausserdem besteht natürlich die Gefahr, dass ein solches Gerät unbemerkt kompromittiert und anschliessend im lokalen Netz synchronisiert wird.

Die Tatsache an sich, dass diese Geräte auf eine Datenbank zugreifen, halte ich erstaunlicherweise für unproblematisch, da hier, wie schon erwähnt, andere Sicherungsmechanismen zum tragen kommen. Sicherungsmechanismen, die ich vielleicht sogar mit ähnlicher Radikalität gegenüber den Voll-PC mit w2k oder xp einsetzen kann, die aber nur das Netz zu schützen in der Lage sind, nicht hingegen die Daten, die lokal gespeichert oder auch nur angefordert werden. Und die Daten, die hier angefragt werden, haben eine ganz andere Qualität, die will ich nicht in den Händen Unbefugter wissen.

Na, ich werd’ meinen Spass mit dieser Aufgabe noch haben,
Schorsch

#4

Nachtrag
Hi nochmal,

vielleicht bringt es Dir auch was, wenn Du diese Frage auch auf [email protected] stellst (näheres dazu auf http://www.securityfocus.com/archive ). Dort erreichst Du zumindest ein größeres Publikum, was bei einem so speziellen Problem ja schon hilfreich sein könnte.

Gruß,

Malte.

PS: Eine Rückmeldung im Rahmen des Erlaubten und Möglichen fände ich klasse :smile:

#5

Hy,

w2k oder xp, habe ich so eine vage Idee, sämtlichen
Netzwerkverkehr nur über ein virtuelles Netzwerkinterface
zuzulassen, welches ausschliesslich getunnelt mit dem
VPN-Knoten kommuniziert, so dass unerwünschte Anfragen, z. B.
auf die im vergangenen Jahr massiv angegriffenen ASN, MDAC
oder die rpc-Schnittstelle, das Betriebssystem gar nicht erst
erreichen. Sondern von diesem virtuellen Interface gleich
verworfen werden.

So in etwa hätte ich es auch versucht. Ist glaub ich bei den Cisco Aironet recht gut mit dabei…

Aber halt nur 'ne vage Idee, keine Ahnung, wie sich das
realisieren liesse. Und was die Win-CE Geräte angeht, fällt
mir grad garnix ein.

ich geb auch mal nur so meine 2 Cents dazu ab…
Ich vermute mal, das das dann so ähnlich realisiert werden müsste wie bei z.B. t-com Hotspots. Da „sieht“ man wegen des tunnels auch nur den AP und nix links und rechts nebendran. Ich hab mir das auch noch nicht weiter angeschaut, aber ich denke, das das vom System her genauso aufgebaut sein müsste. Also VLans vom/zum AP mit keiner Verbindung zu den anderen…

Gruß
h.

#6

Hallo h.

Ich vermute mal, das das dann so ähnlich realisiert werden
müsste wie bei z.B. t-com Hotspots. Da „sieht“ man wegen des
tunnels auch nur den AP und nix links und rechts nebendran.
Ich hab mir das auch noch nicht weiter angeschaut, aber ich
denke, das das vom System her genauso aufgebaut sein müsste.
Also VLans vom/zum AP mit keiner Verbindung zu den anderen…

die Idee ist mir gestern abend auf dem Heimweg auch gekommen. Das scheint mir eine sehr elegante und einfache Lösung zu sein. Jetzt werde ich mich mal sehr intensiv in die Handbücher des Aironet hineinknieen müssen.

Gruss
Schorsch