www.konstruktion-industrie.com
PROSOFT TECHNOLOGY EMEA

Trustable Wireless Lösung auf Basis des 802.11-Standards

Während die Zahl der Anwender von Industrial Wireless rasant wächst, sind einige Automatisierungs-Ingenieure noch skeptisch hinsichtlich des Sicherheitsaspektes. Dieses sehr wichtige Thema bedarf einer genaueren Betrachtung. Der folgende Artikel liefert Antworten und wird hoffentlich dazu beitragen, diejenigen zu überzeugen, die wegen des Sicherheitsaspekts Wireless-Lösungen bisher noch skeptisch gegenüber standen.

Trustable Wireless Lösung auf Basis des 802.11-Standards
Zur Erhöhung der Sicherheit kann zum einen FHSS (Frequency Hopping Spread Spectrum) verwendet werden. Die Funkgeräte verfügen hier über ein proprietäres Wireless-Protokoll, das es keinem Funkmodul außerhalb des Funknetzwerkes ermöglicht, störend einzudringen. Die meisten Anwender wollen jedoch Standardlösungen einsetzen, basierend auf der IEEE 802.11--Norm (allgemein als Wi-Fi-Lösung bekannt.).

Sicherheit!
Eine sichere Wireless-Kommunikation wird bei Funkmodulen, basierend auf den IEEE-Standards, primär durch die Einhaltung der IEEE-802.11i-Standards erreicht. Darüber hinaus unterstützen die RadioLinx-Lösungen von ProSoft Technology einige andere Mechanismen zur Verbesserung der Sicherheit.

IEEE 802.11i
Im Jahr 2004 veröffentlichte das IEEE (Institute of Electrical and Electronics Engineers) den Standard IEEE 802.11i , eine Erweiterung der 802.11-Norm, um Sicherheitsbedenken hinsichtlich der 802.11-Kommunikation zu beseitigen. Dieser Sicherheitsstandard für Funknetzwerke wird häufig als WPA2 bezeichnet, ein Begriff, der durch die Wi-Fi-Allianz ins Leben gerufen wurde. Eine der grundlegenden Verbesserungen des erweiterten 802.11i-Standards wurde durch die Nutzung des Advanced Encryption Standards (AES) Blockchiffre zur Verschlüsselung erreicht. Durch die Verwendung von AES werden viele Schwachstellen der Verschlüsselungstechniken des 802.11-Standards eliminiert, einschließlich der, die den Scheduling-Algorithmus betreffen. Um eine noch höhere Sicherheit zu erreichen, wurden bei der 802.11i-Norm weitere signifikante Verbesserungen eingearbeitet in den Bereichen Authentifizierung, Replay-Angriffen und Daten-Fälschung.

AES Encryption (Advanced Encryption Standard)
Der AES-Verschlüsselungsalgorithmus mit einer Schlüssellänge von 128 Bit wurde von der US-Regierung im Jahr 2003 akzeptiert, zur Verwendung bei als geheim eingestuften Dokumenten. Darüber hinaus wurde AES von der NSA für Informationen mit höchster Geheimhaltungsstufe zugelassen. Der 128 Advanced Encryption Standard ist das höchste Verschlüsselungslevel, das die US-Regierung für den Export erlaubt. Die RadioLinx-Funkmodule stellen diesen Standard für sämtlichen Datenverkehr zur Verfügung.
Das symmetrische Kryptosystem AES lässt sich rasch in vorhandene Hardware implementieren, ohne die Kommunikationsgeschwindigkeit zu reduzieren. Bei RadioLinx wird der gesamten Datendurchsatz aufrecht erhalten, während die Kodierung oder Dekodierung auf allen Datenpaketen durchgeführt wird.
Eine signifikante Verbesserung gegenüber den früheren Sicherheits-Implementierungen beim 802.11-Standard ergibt sich dadurch, dass es nicht möglich ist, die Verschlüsselung der Funkmodule durch aufmerksames Beobachten der verschlüsselten Kommunikation zu extrapolieren.

Authentifizierung
Probleme, die sich durch die Kommunikation mit Geräten ergeben könnten, die keinen Zugriff auf das Netzwerk haben dürfen, werden ebenfalls verhindert. Der 802.11-Sicherheitsstandard war dafür anfällig, Client-Geräten die Kommunikation mit Funkzugangspunkten zu ermöglichen, die Network Access Points nachahmten. Würde ein Client mit einem dieser Angreifer (Rogue Access Point) kommunizieren, könnte der Rogue Access Point Informationen vom Client-Gerät abziehen, was eine große Sicherheitslücke darstellen würde.

Beim 802.22i-Standard wurde die Authentifizierung stark verbessert. Vor jeder Kommunikation ist die Netzwerkberechtigung sowohl der Access Points als auch der Clients erforderlich. „Four-Way-Handshake.“ Ist der Fachbegriff, der diesen Prozess beim 802.11i-Standard beschreibt. Bei diesem Prozess tauschen Access Point und Client Datenpakete aus, die identisch verschlüsselt sind. Beide Geräte müssen über identische vorher vereinbarte Verschlüsselungen verfügen, um die Authentifizierung erfolgreich abschließen zu können.
Sobald die Authentifizierung abgeschlossen ist, wird eine temporäre Änderung der Verschlüsselung vereinbart, die periodisch von beiden Einheiten aktualisiert wird, als Garant für zusätzliche Sicherheit.

Message Integrity Check (MIC)
Dieser in 802.11i beschriebene Mechanismus verhindert eine unbefugte Entschlüsselung von Nachrichten. Der Code zum verschlüsseln oder entschlüsseln von Nachrichten ist somit geschützt. Weiterhin wird die Generierung fiktiver Daten unbefugter Benutzer verhindert, die negative Auswirkungen auf das System haben könnten.

Die Norm 802.11i verfügt außerdem über einen verbesserten Message Integrity Check, speziell um Replay-Angriffe und gefälschte Daten ausschließen zu können. Replay Angriffe senden eine bereits übertragene Nachricht erneut, mit der Absicht, dem Empfänger die Daten über Ethernet zu übermitteln. Angriffe mit gefälschten Daten bewirken geringfügige Änderungen am verschlüsselten Datenstrom, um fehlerhafte Datenpakete im Ethernet zu generieren. Die vorherige 802.11-Sicherheitsnorm war in beiden Punkten fehleranfällig.

Der 802.11i-Mechanismus verwendet sowohl einen 48-Bit Initialisierungsvektor als auch die MAC-ID von Sender und Empfänger in einem Hashing-Mechanismus, zur Erzeugung einer Datenintegritätsprüfung, um jede Nachricht zu bestätigen. Er vermeidet Replay-Attacken, indem er identische Datenpakete sperrt, die in kurz hintereinander folgenden Abständen empfangen wurden. Sobald ein Datenpaket erfolgreich empfangen, entschlüsselt und an die Ethernet-Verbindung weitergeleitet wurde, werden darauffolgende, identische Datenpakete verworfen. Dies ist auch eine erfolgreiche Vorgehensweise bei gefälschten Daten. Tauchen ein und dieselben Datenpakete mit gleichem Ursprung auf, die augenscheinlich gefälscht sein könnten, wird sich der Client selbst absondern, um eine neue Verschlüsselung zu kreieren.

Sekundäre Sicherheits-Mechanismen
Zusätzlich zu diesen in 802.11i festgelegten Sicherheitsstandards liefern die RadioLinx-Lösungen weitere Mechanismen, um die Sicherheit zu erhöhen.
MAC Filterung. Bei RadioLinx können über MAC-IDs Zugangsberechtigungen für die Funkmodule vergeben werden. Ist dieser Filter implementiert, ist ein Datenverkehr nur mit Geräten möglich, die über diese MAC-IDs verfügen. Geräte mit anderen MAC-IDs werden ignoriert.
Versteckte SSID. RadioLinx ermöglicht es, dem Benutzer das SSID aus seinem 802.11-Funkbereich zu entfernen. Dies macht es für nicht autorisierte Benutzer schwieriger, den Namen des Netzwerkes herauszufinden und mit ihm in Verbindung zu treten.
Block General Probe. RadioLinx unterstützt eine Einstellung, die dem Funkmodul mitteilt, wann es nicht auf eine 802.11 Probeanfrage antworten sollte, die nicht an eine spezifische SSID gerichtet ist.
Setzt sich ein Client mit einem Access Point in Verbindung, wird zuerst eine Probeanfrage gesendet, um festzustellen, ob weitere Access Points im Umfeld sind. Eine solche allgemeine Probeanfrage löst Reaktionen bei allen SSIDs aus. Um dies zu verhindern, muss der Client, der mit dem Funkmodul in Verbindung treten möchte, das SSID schon frühzeitig erkennen, um genau diesem SSID eine Probeabfrage schicken zu können.

Überzeugt von der Sicherheit!
Und wie steht es mit der Zuverlässigkeit? Wie kann ich sicher sein, dass mein Netz zuverlässig und sicher genug ist, meine Daten zu übermitteln? Nun, das könnte das Thema eines anderen Artikels sein mit speziellem Schwerpunkt auf 802.11n-Lösungen (siehe die neue RadioLinx Industrial 802.11n-Lösungen von ProSoft Technology). Dieser neue IEEE-Standard erlaubt es, dass mehrere Netzwerke nebeneinander koexistieren können (22 nicht überlappende Kanäle) und aufgrund der Art und Weise, wie sie Multipath bewältigen, bieten sie eine robuste Konnektivität und ermöglichen High-Speed-Daten-Transfers (bis zu 300 Mbit / s). Ohne zu tief in die Theorie einzusteigen, lässt sich auf alle Fälle sagen, dass die industrielle 802.11n-Technologie sehr gut geeignet ist für vielfältige Anwendungen in der Automatisierungstechnik. Hochgeschwindigkeits-Fertigungsanlagen wie Flaschenabfüllmaschinen oder Kräne haben an Zuverlässigkeit und Produktivität gewonnen dank RadioLinx Industrial Wireless.

  Fordern Sie weitere Informationen an…

LinkedIn
Pinterest

Nehmen Sie an unseren 155000 IMP Followern teil