03.09.2001

SOFTWARE

Bildquelle: FuZo

NASA will Funk-LANs sicherer machen

Die "Advanced Supercomputing"-Abteilung der NASA hat eine Sicherheitslösung für Funk-LANs vorgestellt.

Die NASA-Experten kamen zum Schluss, dass alle in den 802.11b-Standard integrierten Sicherheits-Features nutzlos seien, und ersetzten diese durch ihre eigene Lösung.

Das System basiert auf handelsüblichen Komponenten und dem OpenBSD-Betriebssystem, einem Apache-Web-Server, einem DHCP-Server und einer IPF-Firewall-Software.

Bisherige Sicherheitsfunktionen entfernt
"Alle 802.11b-Sicherheitsfunktionen wurden entfernt, da sie nur Ressourcen verbrauchen, ohne wirklich Sicherheit zu bieten", erklärte NASA-Sicherheitsexperte Dave Tweten. Seine Gruppe ging von der Voraussetzung aus, dass ein Wireless-Network keine verlässliche Authentifizierung und keine Sicherheit vor Abhören biete.

Pressemeldung zur System-Ankündigung

Simples Abhören

So könne mit den bisherigen Sicherheitsfunktionen weder der Sendebereich auf ein definiertes Gebiet begrenzt werden noch erlaubten Adressen für die Funk-LAN-Karten eine sichere Identifikation der Benutzer.

Schließlich sei die "Wired Equivalent Privacy"-Verschlüsselung ungenügend, da der Schlüssel geknackt oder durch simples Abhören in Erfahrung gebracht werden könne.

Geregelter Protokollverkehr
Stattdessen setzen die NASA-Wissenschaftler auf striktes Filtern. Damit können nur Protokolle wie NTP, DNS, DHCP und ICMP das System erreichen. Das Funk-LAN wird vom restlichen Netzwerk durch einen eigenen Wireless-Gateway getrennt.

NASA Advanced Supercomputing [NAS]

Begrenzter Zugang

Benutzer, die keine Authentifizierung benötigen, erhalten begrenzten Zugang zu Services wie E-Mail und VPN oder dem WWW.

Anstatt den Zugang zum Funk-LAN mit einer Authentifizierung zu sichern, wird für jedes Service eine eigene Anmeldung eingeführt.

Diese Services führen auch die Verschlüsselung des Funkverkehrs durch.

Einzelheiten im Arbeitspapier
Die NASA-Wissenschaftler erstellten die benötigte Software zur Verbindung der einzelnen Komponenten nach eigenen Angaben in nur 40 Arbeitsstunden. Einzelheiten zur Implementierung der benötigten Software haben die Experten in einem Arbeitspapier veröffentlicht.

Wireless Firewall Gateway White Paper