Vipin Jain, der Erfinder des Authentifizierungs-Protokolls 802.1x , versteht die Sorgen der IT-Manager beim Thema Wireless Networking. Doch er hofft auf eine Verbesserung der Situation in dne nächsten 12 Monaten.
Die Unsicherheit in Bezug auf drahtlose Netzwerk-Technologie ist immer noch so groß, dass viele Unternehmen nach wie vor zögern, WLAN-Systeme in ihren Büros zu installieren.
Diese Auffassung ist zwar nur schwer zu ändern, doch hat es inzwischen schon eine Reihe von Fortschritten gegeben. Ein neuer Standard befindet sich in Entwicklung, der Bedenken bezüglich der Sicherheit beschwichtigen und auch die Verwirrung in puncto Datensicherheit verringern dürfte.
Vipin Jain ist der Erfinder des Authentifizierungs-Protokolls 802.1x und Vice President bei Extreme Networks. Er sprach kürzlich mit CNET News.com über aktuelle Entwicklungen in Sachen Sicherheit für drahtlose Netzwerke.
Stichwort drahtlose Netzwerke: Was sorgt bei den IT-Managern der Unternehmen noch immer für schlaflose Nächte?
Zwei Dinge: Erstens gibt es so viele Standards und Sicherheitslösungen, dass die Entscheidung schwer fällt, was man benutzen soll und was nicht. Zweitens: Wie wehre ich Eindringlinge und Angriffe auf mein Netzwerk ab? Ein Funknetz ist ein gemeinsam genutztes Medium und nicht durch die physischen Dimensionen des Gebäudes begrenzt, was bedeutet, dass man in ein solches Netzwerk sehr leicht eindringen kann.
Was ist die Meinung von Sicherheitsexperten hierzu?
In Bezug auf die Sicherheit gilt es bei Wi-Fi drei Bereiche im Blick zu behalten: Authentifizierung, Verschlüsselung und Intrusion Detection. Es sind so viele Standards im Umlauf, von WEP (Wired Equivalent Privacy), der inzwischen schon geknackt ist, bis hin zum WPA (Wi-Fi Protected Access), der von der Wi-Fi Alliance definiert wurde. Jetzt will man eine herstellerübergreifende Sicherheitslösung entwickeln, welche die Schwächen von WEP ausmerzt.
802.1x ist ein Authentifizierungs-Framework, das die Authentifizierung von Benutzern und Geräten am Rande des Netzwerks ermöglicht. Da das Medium per se unsicher ist, muss man die ausgetauschten Informationen verschlüsseln. Hier kommen WEP- oder RC4-Verschlüsselung ins Spiel. WPA ermöglicht 802.1x die Unterstützung von Verschlüsselung zusammen mit der Authentifizierung.
Die Auswirkungen von 802.1x werden erst spürbar sein, wenn es sowohl von Clients wie von Access-Points unterstützt wird. Wie lange wird dies Ihrer Meinung nach dauern?
802.1x wurde bereits in Betriebssysteme wie Linux integriert. Auch für Laptops mit Windows steht es über ein Service Pack zur Verfügung. Was jedoch die allgemeine Verbreitung bei einer großen Zahl von Handhelds und Clients betrifft, kann man mit einer massiven Integration und Verbreitung von 802.1x als Teil von Clients innerhalb der nächsten 12 Monate rechnen.
Wie schätzen Sie die Auswirkungen ein?
Man muss bei Sicherheitsanwendungen zwischen Privatnutzern und Unternehmensanwendern unterscheiden. Privatnutzer sind nicht im selben Maße um die Sicherheit besorgt wie ein IT-Manager. 802.1x wird auf jeden Fall in allen Unternehmensumgebungen zum Einsatz kommen, sowohl allgemein auf Ebene der grundlegenden IT-Infrastruktur wie auch in bestimmten Bereichen.
Für Privatanwender wird wahrscheinlich einfache Verschlüsselung ausreichen, denn hier geht es nicht um den Schutz eines 5-Millionen-Dollar-Unternehmens oder um geistiges Eigentum im Wert von 5 Milliarden Dollar. Es gibt allerdings auch Fälle, in denen ein Privatanwender das WLAN gleichzeitig auch beruflich nutzt. Falls jemand sich über diesen Weg ins Unternehmensnetz einschleicht, kann das problematisch sein.
Anscheinend gibt es zahlreiche einfache Optionen, welche die Benutzer nur aktivieren müssten, um einige der Probleme zu vermeiden.
Wir beobachten häufig, dass unsere Unternehmenskunden im Rahmen von Sicherheitsrichtlinien Firewalls auf Client-Geräten installieren. Man muss also unbedingt eine Firewall auf seinem Laptop installiert haben, falls man Funknetze nutzen will – da führt kein Weg dran vorbei. Schließlich kann man einen Laptop leicht irgendwo vergessen, und je nachdem, in wessen Hände er gerät, kann dadurch ein Netzwerk kompromittiert werden.
Aber schützt das vor dem Hacken von Hot Spots?
Ja, es verhindert, dass irgendjemand in Ihren Laptop eindringt, weil Sie keine Ports offen haben, auf die jemand zugreifen kann. Man macht die Maschen so eng, dass nur ein Laptop hindurchkommt und auf die gewünschten Informationen zugreifen kann.
Was haben die Anwender bislang für die Sicherheit getan?
In der Vergangenheit – und das passiert mit allen Technologien bei ihrem ersten Auftreten – haben sich die Anwender für die Sicherheit auf die proprietäre Natur der Technologie als solche verlassen.
Funknetze sind in einigen Branchen schon seit langem im Einsatz, beispielsweise im Einzelhandel und in der Lagerverwaltung bereits seit fast zehn Jahren. Da hat sich niemand um die Sicherheit Gedanken gemacht. Aber inzwischen ist alles standardisiert und die Zahl der Anwender hat rapide zugenommen, also machen sich die Leute schon eher Sorgen um die Sicherheit.
Dabei kommt es vor allem auf die Vorstellungen in den Köpfen an – einiges entspricht zwar der Realität, aber vieles ist nur eine Sache der Wahrnehmung. Da das Verständnis für die Technologie zugenommen hat, ist es auch leichter, sie zu missbrauchen.
Also hat Wi-Fi mit zunehmender Verbreitung sein eigenes Sicherheitsproblem geschaffen? Genau, aber dies ist ein Zeichen von Reife, denn solange man eine Technologie nicht wirklich offen legt, kann man sie auch nicht wirklich verbessern. Unix – und auch Linux – wird als eine grundsolide Plattform angesehen, die längst nicht so viele Sicherheitslücken aufweist wie Windows. Warum? Das liegt an der Zahl der Leute, die Unix verstehen und daran jahrelang gearbeitet haben, um solche Lücken zu schließen und das System robuster zu machen. Windows ist eine proprietäre Plattform, die Microsoft nicht offen gelegt hat. Was auch immer da an Mängeln besteht, müssen sie selber ausbügeln. Es gibt keine große Entwicklergemeinde, die beim Beheben von Problemen hilft.
Denken Sie, dass dies dieselben Probleme sind, die man in Zukunft lösen müssen wird, wenn Bluetooth einmal wirklich verbreitet sein sollte?
Auf jeden Fall. Man wird sich um Probleme mit Authentifizierung, Verschlüsselung und Intrusion Detection kümmern müssen, unabhängig der verwendeten Funktechnologie. Man sollte sich nicht darauf verlassen, dass ein Netzwerk sicher ist, nur weil die Technologie noch unbedeutend ist.
Die 802.11i-Spezifikation ist noch nicht verabschiedet. Wie ist der Stand der Dinge beim IEEE?
Es steht schon fest, wie man bei 802.11i . für Authentifizierung und AES (Advanced Encryption Standard) .1x verwendet, das bei der Verschlüsselung der Ersatz für WEP sein wird, aber es gibt eine Menge weiterer Themen, über die man in den Standardisierungsorganisationen noch immer streitet. Deshalb dauert es so lange, ehe ein Standard verabschiedet wird.
WPA Version 2 wird eine Umsetzung von .11i mit AES-Verschlüsselung sein. Ich rechne mit der Zertifizierung durch die Wi-Fi Alliance in der ersten Hälfte des nächsten Jahres.
Eine Umfrage von ZDNet ergab, dass IT-Manager sich nicht viele Gedanken um die Sicherheit machen – mit Ausnahme der Funknetztechnologie. Wie beurteilen Sie dies?
Da muss man den Herstellern die Schuld geben, denn wir haben das Thema Sicherheit immer wieder in den Mittelpunkt gestellt. Jeder Hersteller versuchte sich dabei von der Konkurrenz abzusetzen. Dabei sind so viele unterschiedliche Akronyme und so viel Jargon und Technologien herausgekommen, dass der Kunde völlig verwirrt ist. Daher halten die Käufer sich zurück.