Hoher Management-Aufwand
Wie alle anderen IT-Systeme des Unternehmens bedarf die WLAN-Umgebung einer kontinuierlichen Pflege und Aktualisierung. Fehlende Updates der Komponenten, mangelndes Rechte-Management oder die versäumte Schlüsselaktualisierung machen auch ein zunächst sicher konzipiertes Funknetz angreifbar. Will man eine hohe Signalqualität und Netzabdeckung innerhalb des gesamten Firmengeländes erreichen, kann die Anzahl der eingesetzten Access Points rasch in die Dutzende gehen.
Der zu erwartende Management-Aufwand, zum Beispiel bei der Aktualisierung von MAC-Adress-Filtern oder statischen WEP-Schlüsseln, wird dann erheblich. Hinzu kommt, dass die Verwaltung und Pflege dieser Komponenten oft nur mittels einzelner Web-Frontends möglich ist.
Die Verwendung des 802.1x-Authentifizierungs- und Autorisierungsstandards ist ein Schritt in Richtung zentrales Management. Hierbei werden unter anderem Parameter wie Login-Informationen, MAC-Adresse und EAP-Typ zentral auf einem Radius-Server hinterlegt und bei Bedarf von den Access Points abgefragt. Somit können zentral, einfach und schnell neue Benutzer hinzugefügt oder bestehende Accounts editiert und aktualisiert werden.
Gefahrenquelle Access Point
Auf dieser Basis wurden in den vergangenen Jahren verschiedene Lösungen für das zentrale Management entwickelt. Bezüglich der Funktionsprinzipien unterscheiden sich die Angebote nur unwesentlich. Zur Steuerung des Funknetzes kommen WLAN-Switches zum Einsatz. Diese werden direkt mit den Access Points verbunden oder kommunizieren über die bestehende LAN-Struktur mit diesen. Dabei ist zu beachten, dass der volle Funktionsumfang dieser Systeme nur mit Access Points des gleichen Anbieters zur Verfügung steht. Wie die Erfahrung zeigt, lassen sich Produkte von Drittherstellern kaum vernünftig integrieren.
Vorsicht bei Produktwahl
Proprietäre Access Points sind funktional jedoch auf ein absolutes Minimum reduziert und werden daher auch als "Lightweight-Systeme" bezeichnet. Die eigentlichen Funktionen liefert der WLAN-Switch, ohne den der Betrieb der Access Points nicht mehr möglich ist. Eine bestechende Stärke der genannten Lösung liegt in der Roaming- und Signalsteuerungs-Funktionalität. Die Signalstärke der installierten Access Points wird hierbei dynamisch und je nach Bedarf beziehungsweise Anzahl der Benutzer reguliert. Gute Signalqualität und Netzabdeckung lassen sich dadurch deutlich einfacher erzielen. Trotz hoher Anschaffungskosten und der resultierenden Herstellerabhängigkeit kann bei größeren WLAN-Umgebungen künftig auf ein zentrales Management nicht mehr verzichtet werden.
Bei Angriffen auf die WLAN-Umgebung sind plötzliche und häufige Verbindungsabbrüche einzelner Clients, geringere Datenübertragungsraten oder plötzlich neu erreichbare Access Points (mit unbekannter MAC-Adresse oder SSID) charakteristisch. Ohne ein Wireless Intrusion Detection System (Wireless IDS) sind potenzielle Einbruchsversuche in das Funknetz jedoch nur schwer zu erkennen. Entscheidet sich das Unternehmen, die Sicherheitsmaßnahmen durch ein solches System zu ergänzen, ist unbedingt dafür zu sorgen, dass die entsprechenden Logfiles möglichst verzögerungsfrei ausgewertet werden.