Momentan ist der von der Wifi-Alliance verabschiedete Wifi Protected Access (WPA) mit dem verbesserten Temporal Key Integrity Protocol (TKIP) in Sachen serienmäßiger WLAN-Schutzmechanismen state of the art. Für den Einsatz in Unternehmensnetzen wartet WPA zudem mit einer interessanten Option auf: Die Benutzeridentifizierung kann über einen zentralen Radius-Server erfolgen, wie im IEEE-Standard 802.1x beschrieben.
IT-Verantwortliche sollten jedoch zwei Punkte bedenken, bevor sie im großen Stil in WPA-fähiges Equipment investieren. Die verbesserte Sicherheit stellt sich nur dann ein, wenn im Funknetz alle Geräte WPA-tauglich sind und nicht einzelne ältere Devices noch WEP verwenden. Ferner ist WPA nur eine Übergangslösung auf dem Weg zu dem für 2004 angekündigten Sicherheitsstandard 802.11i. Diesen zertifiziert die Wifi-Allianz voraussichtlich als WPA 2. Da er auf einem leistungsfähigeren Verschlüsselungsverfahren aufsetzt, müssen die Access Points über mehr Rechenkraft verfügen. Um also in einem halben Jahr nicht wieder in neue Hardware zu investieren, ist laut Thomas Boelle, Senior-Consultant bei 3Com, beim Access-Point-Kauf darauf zu achten, dass die Geräte genügend Leistungsreserven besitzen.
Der Haken bei Ipsec
Einen Ausweg aus diesem Upgrade-Problem eröffnen Security-Konzepte auf den höheren OSI-Schichten, da sie nicht von der Hardware der Access Points abhängig sind. Entsprechende Ansätze sind etwa VPNs und VLANs, die auf Ebene der Network- oder Session-Layer ansetzen. Auf den ersten Blick scheinen IP-gestützte VPNs (IPsec) auf Netzebene 3 das Ei des Kolumbus zu sein. Es handelt sich um eine bewährte, standardisierte Technik, die Betriebssysteme wie etwa Windows XP bereits von Haus aus unterstützen. Die Sache hat jedoch einen Schönheitsfehler: IPsec wurde ursprünglich für Punkt-zu-Punkt-Verbindungen konzipiert und bietet keine Schutzmaßnahmen für den Fall von Verbindungsabbrüchen. Der Anwender muss sich hier also zeitraubend neu einloggen. Ferner ist dieses Verfah-ren rechenintensiv, so dass Thin Clients oder Lowend-Mobile-Devices überfordert sind.
Für diesen Gerätetyp sind VPNs auf Ebene des Session Layer besser geeignet. Zudem warten sie gegenüber den Applikationen mit einem besseren Schutz vor Verbindungsabbrüchen auf. Aufgrund der Option, zwischen verschiedenen Übertragungsverfahren zu roamen, ist diese Variante beispielsweise im Speditionsbereich interessant, wenn etwa auf dem Ladehof ein WLAN zum Einsatz kommt und unterwegs die Kommunikation über das Mobilfunknetz erfolgt. Vorteile, die sich der Anwender dadurch erkauft, dass weniger bekannte Sicherheitsstandards verwendet werden. Die IT-Abteilung muss das eventuell fehlende Know-how dann in Form von teurer Beratungsleistung zukaufen.
Steht dagegen bei einem WLAN-Projekt die Trennung unterschiedlicher Benutzergruppen - etwa der Controlling-Abteilung vom Marketing - im Vordergrund, sind VLANs eine interessante Alternative. Wird dieser Ansatz in Verbindung mit zentralen WLAN-Switches realisiert, ist der Einsatz "dummer" Access Points" ohne eigene Intelligenz möglich. Das rechnet sich jedoch erst ab einer Installationsgröße von mehr als 30 Access Points, wie selbst Symbol Technologies als ein Verfechter dieser Idee einräumt.