(Klassische) Ansätze für sicheres WLAN
Die Sicherheit ihres WLANs ist eine große Herausforderung für Unternehmen. Dieser Artikel zeigt, wie sie ihr drahtloses Netzwerk, teils mit einfachen Maßnahmen, schützen können.
Die Wireless-Landschaft befindet sich beim Thema Sicherheit an einem Scheidepunkt. Technologien werden mit zunehmendem Alter typischerweise immer besser, oder sie veralten und werden abgelöst.
Während WLAN im Laufe seiner fünf Hauptgenerationen grundsätzlich immer schneller wurde, ließ die drahtlose Sicherheit als Antwort auf die vielfältigen Funktionen der Client-Geräte sowie der Unternehmensphilosophien zu wünschen übrig.
Die im Oktober 2017 veröffentlichte große Sicherheitslücke im WPA2-Protokoll steht für die jüngste Schwachstelle. Aber es ist keine Option, die drahtlose Verbindung nicht abzusichern. Also, wie macht man das Wireless LAN (WLAN) sicher?
Alte Grundsätze gelten immer noch
Trotz der Vielfalt von drahtlosen Client-Geräten und den verschwimmenden Grenzen zwischen privaten und beruflichen Geräten können wir uns auf klassische Grundlagen verlassen, um Wireless-Sicherheitsprobleme anzugehen und eine Diskussion über Richtlinien zu beginnen:
1. Sicherheit beginnt mit der Richtlinie. Ohne funktionsfähige Regeln, die ihre Sicherheitsstrategie bestimmen, können Firmen nicht einmal einen Plan für den Schutz ihres WLANs entwickeln.
2. Teil der Richtlinie ist es, bestimmte Geräte blockieren zu können. Nur sehr wenige Netzwerke müssen jedes verrückte Gadget unterbringen, das auf den Markt kommt, aber nein zu sagen kann unbequem sein.
Es gibt einen Mittelweg: Unternehmen sollten bestimmte Merkmale und Leistungsparameter aufstellen und diese durchsetzen. Die Geräte werden entweder diesen Spezifikationen gerecht oder Firmen haben eine legitime Begründung dafür, sie zum eigenen Schutz zu blockieren. Hier sind einige Beispiele:
- ein Minimum an unterstützten Datenraten (vom Unternehmen definiert);
- keine speziellen Multicast-Anforderungen;
- mindestens erforderliche Sicherheitsfunktionen für die drahtlose Verbindung und
- die Möglichkeit, Standard-Anmeldeinformationen oder unbenutzte Netzwerkdienste zu deaktivieren.
3. Den Wert der geschützten Daten einschätzen: Jeder, der ein Unternehmensnetzwerk betreibt, muss sich bewusst sein, dass seine Umgebungen im Laufe der Zeit zum Ziel verschiedener Angriffe wird. Aber Sicherheit ist ein heikles Thema. Sie kann zu Paranoia und Mehrausgaben führen. Wenn Firmen keine wertvollen oder sensiblen Daten speichern, ergibt es wenig Sinn, viel Geld für den Aufbau einer virtuellen Festung auszugeben. Es gibt Ansätze für jedes Budget, um WLAN sicher zu machen.
4. Firmen sollten den administrativen Zugriff minimieren und die Standardeinstellungen ändern. Unabhängig davon, ob ihr WLAN aus Tausenden von Access Points besteht oder nur aus einem Paar, sollten sie den administrativen Zugriff auf das System sorgfältig kontrollieren und die Zugangsdaten regelmäßig ändern. Es ist eine gute Idee, den administrativen Zugriff nur von vertrauenswürdigen Teilen des Netzwerks aus zu erlauben. Firmen sollten außerdem die Standardkennwörter ändern und unbenutzte Dienste auf allen Netzwerkgeräten deaktivieren.
Keiner dieser Schritte glänzt mit Originalität; wir sprechen hier nur von Wireless Security 101. Lassen Sie uns nun etwas tiefer in aktuelle Themen einsteigen.
Nicht alle Clients gehören zum selben WLAN
Unabhängig davon, ob die Geschäftsumgebung groß oder klein ist, sollten Gäste und Gadgets nicht dasselbe drahtlose oder verkabelte Netzwerksegment wie die geschäftskritischen Clients nutzen. Es gibt viele Möglichkeiten, auch in kleineren Geschäftsumgebungen Netzwerksegmente zu isolieren. Und es gibt sicherlich einige Geräte, die Firmen überhaupt nicht für ihr WLAN zulassen möchten, um drahtlose Sicherheitsprobleme zu vermeiden; ein Beispiel sind Terminals am Point-of-Sale, die sich nie bewegen. Als Wireless-Experte sage ich Ihnen, dass Patchkabel immer noch Teil von Sicherheitsplänen sein sollten.
Es ist unerfreulich, dass die Hersteller von Client-Geräten nach so vielen Jahren der Entwicklung im Wireless-Bereich immer noch Produkte für den Enterprise-Markt entwickeln, die sich nur für Privatanwender eignen. Trotz all meiner Beschwerden in Blogs und bei Präsentationen auf Konferenzen zu diesem Thema hat sich nichts wirklich geändert. Wie kann man sich also mit den Zwängen von Pre-Shared-Netzwerken abfinden und darin verantwortungsbewusst arbeiten?
Wenn ein Anbieter Optionen für den persönlichen Pre-Shared Key (PSK) anbietet, sollten Firmen diese unbedingt in Betracht ziehen. Wenn nicht, dann sollten sie niemals WEP verwenden und stattdessen ausschließlich AES-Verschlüsselung mit WPA2 Pre-Shared-Konfigurationen nutzen. Falls möglich, sollten Firmen diesen Schlüssel mindestens einmal jährlich ändern, auch wenn dies bedeutet, dass sie einen neuen Service-Set-Identifikator (SSID) erstellen müssen.
Anforderungen genau definieren: Sicherheit ist kostspielig
Es wird immer schwieriger, einfache RADIUS-Server zu finden, die nicht Teil von lizenzintensiven Kontrollsystemen für den Zugriff auf das Netzwerk sind. Gewöhnlich klingt die Verkaufsargumentation der Anbieter phänomenal – bis Firmen die Kosten erfahren, die mit der Komplexität einhergehen, und bis sie feststellen, welcher Aufwand mit der Reparatur der Systeme verbunden ist.
Wie können sich Unternehmen hier verteidigen? Sie müssen ihr Budget und ihre einzelnen Anforderungen kennen und den Lieferanten nur an das binden, was sie benötigen. Natürlich ist es möglich, dass einzelne Kunden von allen Modulen profitieren. Allerdings ist zu bedenken, dass der Kaufpreis und die Kosten für den laufenden Betrieb (Opex) mit jeder Funktion und jeder benötigten Lizenz steigen.
Und es ist in Ordnung, wenn Firmen ihre Sicherheitslösung von Anbieter Y beziehen, selbst wenn ihr WLAN auf der Hardware von Anbieter X basiert. Unternehmen haben viele Optionen; sie sollten diese ausschöpfen.
BYOD und IoT absichern
Die Fragen zur Sicherheit im Rahmen von BYOD (Bring Your Own Device) und dem Internet of Things (IoT) bringen uns zurück zu den Richtlinien und dem, was Unternehmen im Netzwerk zulassen. Grundsätzlich gilt: Firmen sollten die Risiken genau prüfen, bevor sie einem Gerät den Zugriff auf ihr Netzwerk erlauben; und eine Person oder ein Team muss verantwortlich sein und alle Maßnahmen einleiten, wenn mit BYOD oder dem IoT Probleme auftreten. Daher geht es darum, das Produktionsnetzwerk ausgiebig zu testen und erst dann freizugeben, wenn geklärt ist, wie BYOD und das IoT in das gesamte Netzwerk integriert werden können.
Wenn das betreffende Gerät keinen Zugang zum Internet benötigt, sollten Firmen es auf jeden Fall in ein isoliertes virtuelles LAN einbinden. Ist der Zugriff auf das Internet erforderlich, müssen Firmen das Gerät entsprechend absichern und im Rahmen eines Patch-Zeitplans regelmäßig nach Firmware-Updates suchen.
Bei privaten Smartphones oder Tablets, die Mitarbeiter am Arbeitsplatz verwenden, entscheidet die individuelle Geschäftssituation darüber, wie viel Kontrolle das Unternehmen über sie ausübt. Sie müssen die Risiken der BYOD-Geräte genau kennen und prüfen, bevor sie diese in ihren Geschäftsbetrieb integrieren. Darüber hinaus bietet sich der Einsatz einer MDM-Lösung (Mobile Device Management) an, um die Folgen zu mindern, falls Geräte verloren gehen oder gestohlen werden.
Es ist kompliziert...
Es gibt keine einheitliche Strategie für die WLAN-Sicherheit. WLAN-Umgebungen haben sicherlich einige grundsätzliche Gemeinsamkeiten, unterscheiden sich aber durchaus. Künftig werden die Sicherheitsstrategien für jede Situation wohl viel granularer und vielfältiger.
Kein Unternehmen will den Reputationsschaden oder die potenziellen finanziellen Auswirkungen, die mit einem Datenleck oder einem Sicherheitsvorfall einhergehen. WLAN-Sicherheit beginnt mit der Definition und dem Umsetzen von Anforderungen, während Firmen ihre Verteidigung aufbauen. Anschließend sollten Unternehmen die Anforderungen und Maßnahmen regelmäßig überprüfen und bei Bedarf anpassen.
Fazit: Das WLAN abzusichern ist zwar nicht immer einfach, aber es muss sein.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!