Tweet

0

Draadloze bedrijfsnetwerken makkelijk te kraken

Tool breekt door de beveiliging

Beveiligingen van draadloze thuisnetwerken zijn doorgaans zo lek als een zeef, maar dat wist u al. Zakelijke draadloze netwerken worden meestal strenger bewaakt, maar ook deze maatregelen blijken nu onvoldoende.

Minder goed nieuws dus voor de beheerders van zakelijke draadloze netwerken: de kans bestaat dat er wat schort aan hun beveiliging. Gebruikers op een bedrijfs-pc kunnen makkelijk misleid worden en een draadloze verbinding aangaan met een extern netwerk dat de naam van het bedrijf misbruikt.

Zelfs de strengste aanmeldingsprotocols die gebruikmaken van het Extensible Authentication Protocol (EAP), zoals PEAP, EAP-FAST of EAP-TTLS, baten niet. Ook de gebruikte encryptiestandaarden, bijvoorbeeld de Advanced Encryption Standard (AES), hebben geen verweer. Het lek zit elders.

Certificaten omzeild
De kern van het probleem met draadloze netwerken is dat er geen verband bestaat tussen het digitaal verificatiecertificaat en de naam (SSID) van een draadloos netwerk. In het bijzonder het subject-veld (de common name of de designated name) in het digitaal certificaat van de server kan naar keuze worden ingevuld. De meeste bedrijven hebben daar gewoonlijk een deel van hun bedrijfsnaam ingevuld staan. Maar deze naam is niet altijd zichtbaar.

Even verduidelijken: beveiligingsmaatregelen voor surfen op beveiligde sites op het internet hebben dat probleem niet. De HTTPS-toepassing in een webbrowser legt automatisch een verband tussen een URL en de subject-veld in het beveiligingscertificaat dat bij de website hoort. Wanneer iemand bijvoorbeeld wil internetbankieren en daarvoor naar www.mijnbank.be surft, en in het subject-veld in het certificaat van de website staat ook wwww.mijnbank.be, dan krijgt de surfer een molslot-icoontje te zien dat aangeeft dat de verbinding veilig is.

Zo eenvoudig is het dus niet met draadloze netwerken. Wanneer je een beveiligd draadloos netwerk aantreft met de naam MijnBedrijf kan het subject-veld in het certificaat van datzelfde netwerk helemaal iets anders bevatten. Het grote probleem is dat de naam in dat CN-veld bij de draadloze configuratie op Windows XP SP2 en Vista-computers niet wordt weergegeven. Iemand die een certificaat opvraagt van een server opgericht door kwaadwilligen, krijgt alleen het VeriSign slot te zien en niet de CN-naam van het netwerk. Gebruikers kunnen zo dus gemakkelijk geneigd zijn om met dat netwerk te verbinden

Hoe bedrijfs-pc's beveiligen?
Ondertussen is er software verkrijgbaar die deze zwakke plek uitbuit. Gelukkig is deze door goedwillige ontwikkelaars geschreven, die netwerkbeheerders op het probleem willen wijzen.

Op Windows XP SP2- en Vista-machines bestaat de mogelijkheid om het lek te dichten. De bedoeling is om het onmogelijk te maken voor externe netwerken om zich aan de gebruiker aan te bieden, zodat deze laatste daarna geen verbinding kan aangaan. Een handleiding hoe u dat moet doen vindt u hier. Meer info over veilige bedrijfsnetwerken staat hier.

Met een bijdrage van George Ou, ZDNet.com.

bron: ZDNet