NASA sagt NEIN zu WEP

Die Abteilung Advanced Supercomputing der NASA hat eine neue, eigene Sicherheitslösung für Funk-LANs vorgestellt. Die NASA-Experten waren 2002 zu dem Schluss gekommen, dass alle in den WLAN-Standard IEEE 802.11 integrierten Sicherheits-Features nutzlos seien und ersetzten sie durch ein System, das auf handelsüblichen Komponenten basiert: Dem Betriebssystem OpenBSD, einem Apache-Web-Server, einem DHCP-Server und einer IPF-Firewall-Software. "Alle 802.11-Sicherheitsfunktionen wurden entfernt, da sie nur Ressourcen verbrauchen, ohne wirklich Sicherheit zu bieten", erklärte NASA-Sicherheitsexperte Dave Tweten. Seine Gruppe ging von der Voraussetzung aus, dass ein WLAN keine verlässliche Authentifizierung und keine Sicherheit vor Abhören biete. So könne weder der Sendebereich auf ein definiertes Gebiet begrenzt werden, noch erlauben Adressen für die Funk-LAN-Karten eine sichere Identifikation der Benutzer.

Schließlich ist die WEP-Verschlüsselung ungenügend, da der Schlüssel geknackt oder durch simples Abhören in Erfahrung gebracht werden kann. Stattdessen setzen die NASA-Wissenschafter auf striktes Filtern. Damit können nur die nötigsten Protokolle wie NTP, DNS, DHCP, und ICMP überhaupt das System erreichen. Das Funk-LAN wird vom restlichen Netzwerk durch ein eigenes Wireless-Gateway getrennt. Benutzer, die keine Authentifizierung benötigen, erhalten begrenzten Zugang zu Services wie E-Mail und VPN oder dem Internet.

Anstatt den Zugang zum Funk-LAN mit einer Authentifizierung zu sichern, wird für jeden Service eine eigene Anmeldung eingeführt. Diese Services führen auch die Verschlüsselung des Funkverkehrs durch.

Die NASA-Wissenschafter implementierten die benötigte Software zur Verbindung der einzelnen Komponenten nach eigenen Angaben in nur 40 Arbeitsstunden. Einzelheiten haben sie in einem White Paper veröffentlicht.