Wireless Intrusion Prevention
WLAN-Sicherheit in Zeiten von BYOD
Mit der zunehmenden Verbreitung von BYOD (Bring Your Own Device) in der Arbeitswelt gehen auch höhere Ansprüche an die Sicherheit von Unternehmensnetzwerken einher. Besonders betroffen vom Einsatz der vielfältigen mobilen Endgeräte wie Smartphones, Tablets und Netbooks sind die WLAN-Infrastrukturen von Unternehmen. Sie bieten technisch bedingt eine große Angriffsfläche für Attacken. Wireless Intrusion Prevention ist damit wichtiger Teil einer BYOD-Strategie.Durch den täglich ansteigenden mobilen Datenverkehr wird das lokale WLAN zunehmend wichtiger für die Geschäftsabläufe innerhalb eines Unternehmens. Dieser Trend bestand schon vor BYOD, jedoch hat die Nutzung privater Geräte die Anforderungen an das WLAN eines Unternehmens erheblich gesteigert. BYOD eröffnet eine Hintertür durch standardmäßige Sicherheitsmechanismen, sodass klassische Security-Systeme nicht alle Risiken abfangen können. Zwar mag eine Unternehmens-Firewall guten Schutz bieten, sobald das Endgerät aber nicht mehr mit dem Access Point verbunden ist, besteht keinerlei Verschlüsselung. Wenn im WLAN Business-Applikationen integriert und sogar vertrauliche Daten enthalten sind, muss der Schutz des Unternehmensnetzes auch Layer 2 abdecken. Es ist also wichtiger denn je, effektive Sicherheit für das vorhandene WLAN zu implementieren, und um dies zu tun, benötigen die Verantwortlichen eine BYOD-Strategie. Ein besonders wichtiger Aspekt jeder BYOD-Strategie ist die Aufrechterhaltung der Sicherheit der gesamten drahtlosen Umgebung. WLANs weisen vier Bereiche der Verletzbarkeit auf: Es fehlen physische Barrieren wie beispielsweise beim Ethernet-LAN. Sie funktionieren über unlizenzierte Frequenzbänder, sodass jedermann Daten übertragen kann. Mit ihnen gehen neue Geräte einher, die zu Fehlern und Problemen bei der Konfiguration führen. Sie verwenden zusätzliche Protokolle mit weiteren Schwachstellen, die Dritte ausnutzen können. Der erste Schritt in Richtung BYOD-Sicherheit lautet "Vorsorge". Ein Unternehmen muss sicherstellen, dass es vor Angriffen von außen aber auch vor internen Bedrohungen geschützt ist, ebenso vor Schwachstellen der Gerätekonfigurationen sowie vor Hochfrequenz-Störeinstrahlung von außerhalb des Gebäudes. Die beste Verteidigung bieten regelmäßige Sicherheits-Audits. So kann die IT-Administration gewährleisten, dass es allen potenziellen Risiken entgegengewirkt. Dazu zählen auch Standortbegehungen außerhalb des Gebäudeumfelds, Analysen des Frequenzspektrums und gegebenenfalls das Implementieren stärkerer Sicherheitsmechanismen bei der Authentifizierung. Darüber hinaus ist es entscheidend, Benutzern die Wichtigkeit der Sicherheitsrichtlinien des Unternehmens und deren Einhaltung klarzumachen. Wireless Intrusion Prevention Das Verhindern nicht autorisierten Zugriffs stellt ein weiteres wichtiges Thema dar. IT-Verantwortliche können WLAN-Geräte nicht an der Übertragung hindern, aber sie können deren Zugriff auf das Unternehmensnetzwerk einschränken. MAC-ACLs (Access Control Lists) und "Captive Portal"-Web-Anmeldungen lassen sich dabei leicht durch das Spoofing von MAC-Adressen umgehen, sie vermeiden allenfalls zufälligen Missbrauch oder schrecken Gelegenheits-Hacker ab. Bei Sicherheit geht es um mehr als nur um Tools, es geht auch um Personen und Prozesse. IT-Verantwortliche müssen eine angemessene Methode zur Einhaltung der Sicherheitsrichtlinien entwickeln und die Benutzer dazu bringen, diese zu befolgen. Daraufhin gilt es, einen Weg zu finden, Angriffe auf das Unternehmensnetzwerk zu erkennen und aufzuhalten. Einige Hardwareanbieter stellen zwar rudimentäre Sicherheits-Tools in ihren Systemen bereit. Aber nur ein dediziertes Wireless Intrusion Prevention System (WIPS) kann diese Aufgabe automatisch und über mehrere Standorte hinweg in einer ausreichend leistungsfähigen Form meistern. Es gibt zwei Gründe, warum ein dediziertes Monitoring unter Verwendung eines WIPS wichtig ist: Erstens verfügen WLANs im Gegensatz zu Ethernet-LANs nicht über einzelne Stellen, die der gesamte Datenverkehr passieren muss. Dieser kann über jeden Funkkanal und nahezu jeden räumlichen Bereich übertragen werden. Um über ein sicheres WLAN zu verfügen sind also alle Funkkanäle sowie der physische Luftraum der Umgebung zu überwachen, jede verdächtige Aktivität ist zu registrieren und gegebenenfalls sind bestimmte Aktivitäten automatisch zu stoppen. Zweitens lässt sich der Großteil der Gefahren für ein WLAN nicht durch einfache Bedrohungssignaturen erkennen. Es bedarf einer koordinierten Analyse vielfältiger Bedrohungsfaktoren, die mit Eindringen und Identitäts-Spoofing in Verbindung stehen. Sporadische Scans umfassen üblicherweise weniger als ein Prozent des gesamten Datenverkehrs in der Umgebung, wodurch das Erkennen eines Angriffsszenarios nahezu unmöglich ist. Keine Sicherheitslösung kann funktionieren, wenn sie nicht den gesamten Verkehr untersucht, und nur eine dedizierte Lösung verfügt über das Potenzial, alle Funkkanäle und Geräte sowie das gesamte Verhalten aller Netzwerkteilnehmer zu überwachen. Dedizierte WIPS-Lösungen Ein WIPS funktioniert auf zweierlei Weise. Es überwacht das Funkspektrum im Hinblick auf nicht autorisierte WLAN-Geräte (Erkennung) und hält diese Geräte automatisch davon ab, auf das WLAN zuzugreifen (Schutz). Gerade große Unternehmen sind oft Opfer von Bedrohungen durch nicht autorisierte, sogenannte Rogue Access Points, die das gesamte Netzwerk innerhalb der WLAN-Reichweite für jedermann verfügbar machen. Das WIPS spürt diese mithilfe der MAC-Adressfilterung auf. Als Schutz vor MAC-Spoofing kommt zusätzlich Geräte-Fingerprinting zum Einsatz, das eindeutige Erkennungsmerkmale des jeweiligen Geräts überprüft. Das WIPS erkennt und kennzeichnet außerdem die versuchte Verwendung jeglicher Wireless-Angriffs-Tools. Aktuelle WIPS-Lösungen umfassen drei separate Elemente: intelligente aktive Sensoren, die das Funkspektrum scannen und Datenpakete erfassen, ein oder mehrere verteilte Server, die mit den Sensoren kommunizieren und alle erfassten Datenpakete analysieren, sowie eine zentrale Benutzeradministrations- und Berichterstattungsstation. Mit dieser Konfiguration ist es möglich, mehrere Remote-Sensoren und/oder Server an allen Standorten in einem Unternehmensnetzwerk zu implementieren und eine End-to-End-Überwachung und -Erkennung rund um die Uhr bereitzustellen. Vom WIPS generierte zentrale Warnmeldungen benachrichtigen dann den zuständigen Netzwerkadministrator und das Sicherheitspersonal über jeden Eindringversuch. Bei integrierten Sicherheitslösungen hingegen haben die Access-Point-Hersteller Security-Funktionen in der Hardware ihrer Systeme verankert, entweder durch die Verwendung dedizierter Access Points, die als Sensoren agieren, oder durch das Ausstatten der Access Points mit zusätzlichen Funkmodulen, die sich für diesen Zweck nutzen lassen. Der Vorteil solcher Lösungen liegt darin, dass die Administration mit weniger Systemen unterschiedlicher Hersteller konfrontiert ist und dass die Daten kritischer Ereignisse im WLAN in der Regel an dieselbe Verwaltungskonsole gesendet werden, die auch die üblichen Statusinformationen des WLANs anzeigt. Solch eine Lösung bietet jedoch im Vergleich zu einem dedizierten Sicherheitssystem eine geringere Genauigkeit und Abdeckung bei der Erkennung von Angriffen und Fehlverhalten. Darüber hinaus widerspricht es den Best Practices bezüglich der Sicherheit, den gesamten Schutz in einer einzelnen Komponente zu bündeln, da so effektiv eine Schicht des Netzwerkschutzes verloren geht. Vor- und Nachteile abwägen Da jede Variante Vor- und Nachteile aufweist, müssen IT-Abteilungen die Kompromisse kennen, die sie bei der jeweiligen Option eingehen, und sich anhand des Risikoprofils ihres Unternehmens, des erforderlichen Sicherheitsniveaus und des verfügbaren Budgets für die am besten geeignete Lösung entscheiden. In Anbetracht der immer stärkeren Verbreitung von BYOD und drahtlosen Lösungen und der sich daraus ergebenden Zunahme von Schwachstellen und Bedrohungen ist es außerdem aus Sicherheitsgründen sehr wichtig, regelmäßige Updates durchzuführen, wenn neue Bedrohungen entdeckt werden und Schutzmechanismen gegen diese verfügbar sind. Geräteanbieter können zwar von Zeit zu Zeit Updates bereitstellen, die auch Sicherheitskomponenten enthalten. Ein dediziertes WIPS kann aber regelmäßige Updates im ganzen Unternehmen problemlos zentral verwalten, ohne dass Experten lokal vor Ort anwesend sein müssen. So hat beispielsweise Fluke Networks eine Reihe an Produkten entwickelt, die Techniker dabei unterstützen, eine geeignete WLAN-Topologie zu entwerfen und umzusetzen, um bestmögliche Leistung, Sicherheit und Compliance zu gewährleisten, BYOD-Probleme zu beheben und Hochfrequenz-Störungsquellen zu identifizieren.
Lesen Sie mehr zum Thema
