computerwoche.de

Mobile & Apps

Schritt für Schritt zum sicheren WLAN

27.12.2005
Von Jan Wagner und Holger Gerlach

Top Secret dank VPN

Eine Entschlüsselung der Dateninhalte ist zwar theoretisch immer noch mittels Passwort-Guessing-Angriffen möglich, aber hinsichtlich der dafür benötigten Zeit und des notwendigen Aufwands eher unrealistisch. Für besonders sicherheitskritische Umgebungen können nur VPN-Verbindungen ausreichenden Schutz bieten. Eine Verschlüsselung mit dem 3DES-Verfahren (Data Encryption Standard) hat sich dabei als am praktikabelsten erwiesen und stellt einen guten Mittelweg zwischen moderater Verschlüsselungsstärke und akzeptabler Übertragungsgeschwindigkeit dar. Über die genannten Mechanismen hinaus kann zusätzlich auch innerhalb der Applikationsebene verschlüsselt werden.

Unabhängig von den WLAN-spezifischen Sicherheitsmechanismen existieren auch in Funknetzen die üblichen Schwachstellen im Zusammenhang mit TCP/IP (v4). Ein WLAN-Access Point kann dabei mit einem Hub verglichen werden, der alle Datenpakete an alle Teilnehmer (beziehungsweise WLAN-Clients) in seiner Reichweite versendet.

Zehn Fragen, die Sie sich vor Projektbeginn stellen sollten

  1. Zu welchem Zweck soll das WLAN implementiert werden und welche technischen Anforderungen bezüglich Performance, Reichweite und Verfügbarkeit leiten sich hieraus ab?

  2. Gibt es Latenzen kritischer Applikationen, die über das WLAN mit Server-Systemen kommunizieren sollen?

  3. Bedingt der Einsatzzweck auch die Übertragung sensibler Daten?

  4. Rechtfertigt der Mehrwert an Funktionalität und Benutzerfreundlichkeit den Mehraufwand zur Absicherung der WLAN-Umgebung?

  5. Lässt sich das stets verbleibende Restrisiko im WLAN-Umfeld mit den Sicherheitszielen des Unternehmens vereinbaren?

  6. Welchen Umfang hat die WLAN-Umgebung (Access Points und Clients), und macht dies ein zentrales Management erforderlich?

  7. Welche Vorkehrungen wurden bereits zur Absicherung der mobilen IT-Systeme getroffen beziehungsweise werden noch benötigt?

  8. Existieren bereits VPN-Systeme im Unternehmen, die zur zusätzlichen Absicherung des WLAN einbezogen werden können?

  9. Soll das WLAN Zugang für Gäste oder externe Mitarbeiter bieten und wenn ja, mit welchen Zugriffsrechten ?

  10. Wer muss im Unternehmen über ein anstehendes WLAN-Projekt informiert werden (zum Beispiel IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Werkschutz)?

Netzsegmentierung

Daraus resultiert insbesondere eine Anfälligkeit für Spoofing-Angriffe. Analog zur Internet-Anbindung des Unternehmens muss die WLAN-Umgebung daher generell als ein nicht vertrauenswürdiges Netz angesehen werden. Auch innerhalb der momentan als sicher geltenden Standards der 802.11-Familie könnten künftig Schwachstellen aufgedeckt werden. Verglichen mit kabelgebundenen Strukturen erlaubt die WLAN-Technik Angreifern einen deutlich einfacheren Zugriff. Eine Netzsegmentierung mittels Paketfilter und der Aufbau eines eigenständigen virtuellen LAN (VLAN) ist somit für die Funknetzumgebung unabdingbar.