Fotolia

Wireless Intrusion Prevention System: Einführung in WIPS für Unternehmen

Firmen können ihr WLAN mit WIPS schützen, einer Weiterentwicklung von WIDS. Die Angebote reichen von kostenlos bis sehr kostspielig.

Es ist schwer vorstellbar, aber es gab eine Zeit, in der Unternehmen den Traffic im LAN (Local Area Network) als sicher einstuften und diesem zum Großteil vertrauten. In Sachen Netzwerksicherheit war im Grunde genommen lediglich eine Antiviren-Software notwendig, die auf den Endgeräten installiert war.

Zusätzlich wurden Firewalls eingesetzt, die sich um den Schutz der Netzwerkgrenzen kümmerten. Es konnte damals jeder sehen, wer an den Ethernet-Ports im Netzwerk eingesteckt war.

Diese Zeiten sind allerdings vorbei. Auch die Netzwerkgrenze ist im eigentlichen Sinn Geschichte. Es hat sich alles ab dem Zeitpunkt geändert, seitdem sich Geräte von überall zum Internet verbinden können. Anwender haben angefangen, nach Belieben portable Geräte mitzubringen. Die Verwendung von Webanwendungen ist in die Höhe geschossen und LANs wurden durch drahtlose Alternativen ersetzt oder durch solche ergänzt. Somit konnte sich theoretisch plötzlich jeder mit dem Netzwerk verbinden, wenn er sich im Empfangsbereich des WLAN-Signals befand.

Die Einführung von Systemen für Wireless Detection and Prevention

In der Anfangszeit der drahtlosen Netzwerke wurde Security in erster Linie durch Verschlüsselung und Wireless Intrusion Detection System (WIDS) gewährleistet. Heutzutage ist es eine Kombination aus Beiden. Zum einen gibt es weiterhin Verschlüsselung für den drahtlosen Datenverkehr. Dabei sind die dafür erforderlichen Funktionen in der Regel in die Access Points (AP) und Appliances eingebaut. Dann hat sich WIDS weiterentwickelt und für den Schutz des WLANs ist heutzutage ein sogenanntes WIPS (Wireless Intrusion Prevention System) zuständig.

Wie der Name schon verrät, überwachen sowohl WIDS als auch WIPS das Frequenzspektrum des WLANs. Damit sind potenzielle Angriffe oder unautorisierte Zugriffe von Geräten gemeint. Allerdings versucht WIPS zusätzlich Angriffe von innen zu blockieren. Das ist vergleichbar mit einem herkömmlichen Intrusion Prevention System (IPS), das host- und netzwerkbasiert ist. Einige Unternehmen trauen dem WIPS die Fähigkeiten zum Blockieren nicht zu. Deswegen betreiben Sie das WIPS nur für die Intrusion Detection oder als WIDS. Monitoring und Alarm auslösen sind in diesem Fall die primären Aufgaben.

WIPSes verwenden in der Regel drei Komponenten:

  • Ein Sensor überwacht das Netzwerk.
  • Ein Management-System oder eine entsprechende Konsole für die Implementierung und die Verwaltung.
  • Ein zentraler Server.

Manchmal hostet der WIPS-Provider den Server, zuweilen befindet er sich auch am Standort des Unternehmens. Die Sensoren befinden sich grundsätzlich im lokalen Netzwerk.

Verschiedene WIPS-Typen

Für den WIPS-Einsatz gibt es drei verschiedene Ansätze:

  1. Am unteren Ende des Marktes finden Sie Typen, die als Time Slicing (Zeitverschiebungsverfahren) bekannt sind. In diesem Fall zerschneidet oder unterbricht der zuständige Access Point die zur Verfügung gestellte Netzwerkverbindung und will auf diese Weise Einbrüche erkennen. Der Vorteil dieser Herangehensweise ist der günstige Preis für diese WIPS-Modelle.
  2. Bei einer weiteren Methode ist die entsprechende WIPS-Funktionalität direkt in den Access Point eingebaut und er stellt dediziertes WIPS-Scanning zur Verfügung. Damit ist der Sensor gemeint, der in den Funkfrequenzen nach Angriffsmustern sucht.
  3. Dann gibt es noch den Ansatz mit WIPS-Overlay. In diesem Fall werden spezielle Sensoren überall in den Büroräumen eingesetzt. Hersteller dedizierter WIPS-Sensoren behaupten, dass sie gegenüber Access Points mit integriertem WIPS viel bessere Leistungsmerkmale bieten können.

Kaufoptionen für WIPS

Durch die Verbreitung drahtloser Netzwerke werden die hier genannten Verteidigungsmechanismen von Unternehmen sämtlicher Größen eingesetzt. Selbst kleine Netzwerke mit wenigen Endgeräten setzen darauf und sogar im Heimbereich wird die Technologie verwendet. In großen Unternehmen und Konzernen sowieso. Große Firmen verwenden WIPS, um sowohl ihren Hauptstandort als auch weit entfernte Außenstellen abzusichern.

Sie können WIPS-Komponenten separat zur Hardware für drahtlose Netzwerkinfrastrukturen erwerben. Die Technologie wird aber immer häufiger als Abonnement-Service oder Zusatz für eine drahtlose Netzwerk-Appliance oder eine UTM-Appliance (Unified Threat Management) angeboten. Damit müssen Sie für WIPS-Funktionalität häufig extra bezahlen, sollten Sie den Schutz nutzen wollen.

Benötigen viele Büroräume in einem Unternehmen Schutz durch WIPS, können die Kosten für die Zusätze in schwindelnde Höhen schießen. Deshalb ist es sehr wichtig, dass Sie sich vor dem Kauf von drahtloser Hardware im Klaren sind, welche Funktionen und Services das Unternehmen dringend benötigt.

Einige Preismodelle der Anbieter bitten den Kunden für jedes noch so kleine Extra separat zur Kasse. Andere bündeln wiederum viele der Funktionen im Preis, inklusive WIPS. Diesen Umstand sollten Sie vor einem Kauf in die Rechnung aufnehmen. Die Kosten für den Einsatz von WIPS können sich von kostenlos bis mehrere Hundert Euro pro Standort belaufen. Es kommt hier sehr auf das Preismodell des Anbieters an.

Security-Bedrohungen für drahtlose Netzwerke

Unternehmen müssen sich auf eine ganze Reihe an Bedrohungen einstellen, die ein WLAN betreffen können. Es gibt Angriffe auf die Access Points selbst. Weiterhin sind DoS-Angriffe (Denial-of-Service) von innerhalb eines Bürogebäudes denkbar. Natürlich machen der Firma auch noch böswillige Hacker oder Lauschangriffe zu schaffen. Letztere versuchen den Traffic abzufangen, der durch ein Netzwerk fließt.

Wer glaubt, dass WLAN-Sicherheit nicht ernst zu nehmen ist, muss sich nur den Verlauf der Datensicherheitsverletzungen in der jüngeren Vergangenheit ansehen. Schnell wird klar, dass ein Wireless LAN oftmals den Weg für viele Einbrüche geebnet hat. Von dort breitet sich das Problem im Anschluss schnell aus. Die Ursache des Problems ist oft ein schlecht gesichertes Funknetzwerk in einer Filiale.

Ein WIPS kümmert sich aber nicht nur um bösartige Angriffe. Es gibt auch unbeabsichtigte Vorfälle, die vor allen Dingen in belebten Büroumgebungen gehäuft vorkommen. Probleme treten dann auf, wenn sich Mitarbeiter versehentlich an einem Netzwerk in der Umgebung anmelden und nicht an dem der eigenen Firma. Das ist ein schwerwiegendes Sicherheitsproblem. Mit solchen unbeabsichtigten Vorfällen sind die Daten in dem unbekannten und nicht vertrauenswürdigen Netzwerk Risiken ausgesetzt, die Mitarbeiter auf ihren Systemen haben.

Erschwerend hinzu kommt, dass böswilligen Hackern sehr viele Optionen offenstehen, drahtlose Anwender direkt anzugreifen. Sie können sogenannte Rogue Access Points aufsetzen, die legitim aussehen. Damit wollen die Angreifer Nutzer auf eine falsche Fährte locken und sie dazu bringen, sich mit den gefälschten APs zu verbinden. Dann gibt es MAC-Spoofing (Media Access Control). Sollte ein Angreifer an die MAC-Adresse kommen, der Zugriff auf ein Netzwerk erlaubt ist, dann kann er dieses Wissen möglicherweise für unerlaubte Zugriffe benutzen. Es gibt noch viele weitere Angriffe, aber der Punkt ist: Sind drahtlose Netzwerke nicht strikt konfiguriert, dann sind sie ein potenzielles Risiko für jede Firma. Die Größe spielt dabei keine Rolle.

Natürlich lässt sich sagen, dass der Zugriff auf ein drahtloses Netzwerk nur so weit möglich ist, wie das Signal reicht. Geografisch gesehen ist das eine eher geringe Distanz. Für Lauschangriffe innerhalb eines Gebäudes reicht es aber allemal. Sie müssen nur in einem Gang stehen oder sich in einem angrenzenden Bürogebäude befinden. Auch die Straße oder der Parkplatz befinden oft sich in Reichweite.

In den allermeisten Fällen wollen die Angreifer lediglich kostenlosen Zugang zum Internet haben und ihre E-Mails abrufen oder andere harmlose Aktivitäten durchführen. Aber selbst solche Schmarotzer sind ein Sicherheitsrisiko. Warum? Weil ihre Systeme mit Malware infiziert sein können, die wiederum das Netzwerk angreifen. In schlimmeren Fällen könnten die Trittbrettfahrer den freien Zugriff auf das Internet nutzen, um illegale Aktivitäten durchzuführen. Diese lassen sich aber nicht auf die Anwender zurückverfolgen, da sie mit dem Besitzer des Netzwerks assoziiert sind.

All die hier genannten Risiken und dazugehörigen Sicherheitsbedrohungen unterstreichen die Notwendigkeit, das drahtlose Netzwerk absichern zu müssen. Im nächsten Artikel dieser Reihe über drahtlose Security beschäftigen wir uns damit, warum Unternehmen aller Größen und Arten die Security der WLANs verbessern sollten. Darüber hinaus stellen wir diverse Szenarien für die Implementierung eines WIPSes vor.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sieben Kriterien für den Kauf eines WIPS.

Sechs Einsatzszenarien für Wireless Intrusion Prevention Systems.

Vier Strategien zum Schutz des Perimeternetzwerks.

WLAN-Sicherheit: Eine Liste mit Angriffstechniken auf 802.11 und 802.1X.

Erfahren Sie mehr über Netzwerksicherheit