Drahtlose Infrastruktur in Geschäftsgebäuden

Gäste und mobile Mitarbeiter einplanen

1. März 2016, 7:00 Uhr | Martin Scheller, Sales Manager Central Europe bei Aerohive Networks, www.aerohive.com/de./pf

WLAN ist inzwischen (fast) genauso selbstverständlich wie die Versorgung mit Strom und wird in der allgemeinen Gebäudevernetzung immer wichtiger. Dies gilt nicht nur für den Office-Bereich, sondern auch für den öffentlichen und halböffentlichen Sektor. Doch worauf kommt es bei der Vernetzung mit WLAN an und wie ist es um die WLAN-Sicherheit bestellt? Der Beitrag nennt wichtigste Faktoren und gibt Hinweise für WLAN-Planung und -Management.

Bei Planung, Aufbau und Support drahtloser Netzwerke gilt es, verschiedene Faktoren zu berücksichtigen. Als Erstes sollten IT-Abteilungen, WLAN-Planer und Gebäudebetreiber die Client-Typen gut kennen: Welche Gerätetypen kommen zum Einsatz? Welche Anwendungen sollen darauf laufen? Besteht die Notwendigkeit für Roaming? Welche Datenraten sind für geschäftskritische Anwendungen er-forderlich? Welche Gesamtzahl an Geräten ist vorhanden, und wie sieht deren genaue Zusammensetzung aus (zum Beispiel Tablets, Notebooks, Telefone, POS-Terminals, Barcode-Scanner, Kameras etc.)? Ebenso sollten IT-Abteilungen und WLAN-Planer die Dichte des Geräteeinsatzes kennen, das heißt, wie viele Clients pro Access Point zu erwarten sind.
 
Gewissenhafte Planung und genaue Kenntnis der Umgebung
Sobald klar ist, welche Anwendergeräte zu unterstützen sind, steht die zukünftige WLAN-Umgebung im Fokus: Handelt es sich um eine Schule, einen Verkaufsraum, Räumlichkeiten in der Logistik, im Gesundheitswesen, bei Behörden, im Finanzsektor, in der Fertigung, um Vortragssäle, um Büroräume, oder ist es eine beliebige Kombination dieser Bereiche? Jeder physische Standort weist andere Problemfelder auf. IT-Abteilungen müssen aber auch über bestehende WLAN-Implementierungen, Nachbarnetzwerke sowie die existierende LAN-Infrastruktur und deren Auswirkungen auf ihre Implementierung Bescheid wissen, ebenso über etwaige Störquellen, die nicht dem 802.11-Standard entsprechen, in der Planung aber trotzdem zu berücksichtigen sind.
Über die für die WLAN-Vernetzung und -Umgebung wichtigen Faktoren hinaus gilt es aber auch, nicht-technische Aspekte zu bedenken wie finanzielle oder rechtliche, was beispielsweise den Gastzugriff zum Internet anbelangt. Eine WLAN-Implementierung muss innerhalb des gesetzlichen Rahmens planbar und realisierbar sein - ein unkontrollierter Internetzugang von Gästen über ein selbst betriebenes WLAN wäre nicht rechtskonform.
 
Sicherheit als wesentlicher Faktor
Neben Fragen der Planung und der WLAN-Umgebung stellt die Sicherheit des WLANs Unternehmen und Gebäudebetreiber im Allgemeinen vor einige Probleme: Das erste davon klingt zunächst banal und heißt "Luft". WLAN nutzt ein an sich unbegrenztes Medium, weshalb die Gewährleistung von Sicherheit eine größere Herausforderung darstellt als bei verkabelten LANs, wo ein Eindringling aus dem Inneren des Gebäudes oder durch die Firewall kommen muss. Bei WLAN-Implementierungen hingegen können Angreifer die Signale eines Geräts kilometerweit von außen - also außerhalb eines Grundstücks und außer Sichtweite - abgreifen.
Einfache Lauschangriffe oder Paketerfassungen lassen sich dabei vom Betreiber nicht erkennen, da sie passiv ablaufen und WLAN-Übertragungspaket-Header sowie -Trailer stets im Klartext sind. Allein aus diesen Informationen können Eindringlinge bereits viel über den Nutzer und dessen Netzwerk erfahren. Wenn WLAN-Betreiber jedoch nicht mit starker Verschlüsselung arbeiten, sind auch Nutzdaten einem großen Risiko ausgesetzt. Um gemäß der Wi-Fi Alliance als "Robust Security Network" (RSN) zu gelten, muss ein WLAN eine AES-Verschlüsselung (Advanced Encryption Standard) nutzen. Jede andere Form der Encodierung gilt als weniger sicher und sorgt für ein veraltetes Sicherheitsnetzwerk.
Das zweite Sicherheitsproblem stellen Altgeräte dar. Dass sie moderne Sicherheitsmechanismen wie gegenseitige, nicht-gerätebasierende Authentifizierungsmöglichkeiten häufig nicht unterstützten, macht ein WLAN-Netzwerk angreifbar. Des Weiteren muss ein Unternehmensnetzwerk heutzutage auch eigene Geräte des Nutzers (Bring Your Own Device, BYOD) zulassen. Mit wenig bis gar keiner Kontrolle über die persönlichen Geräte der Anwender wird die Gewährleistung von Sicherheit für die Administration noch deutlich schwieriger.
Die größte aller WLAN-Sicherheitsfragen bleibt dabei der Faktor Mensch. Ein Netzwerk lässt sich zwar für Unberechtigte sperren, achtlose Nutzer aber werden immer für potenzielle Sicherheitslücken sorgen, etwa wenn sie den Netzwerkschlüssel sorglos weiterverteilen oder zum Beispiel Familie und Freunde ihre Unternehmensgeräte nutzen lassen.
 
Netzwerkschlüssel für spezifischen Zugang
Neueste WLAN-Sicherheitsmaßnahmen umfassen strenge Authentifizierung und starke Verschlüsselung. Sollte ein WLAN weiterhin Altgeräte nutzen müssen, die keine strenge Authentifizierung unterstützen, gibt es beispielsweise bei Aerohive eine Methode, die unter Verwendung sogenannter Private Pre-Shared Keys (PPSK) eine sichere Implementierung ähnlich wie mit 802.1X sicherstellt. Während Anwender normalerweise eine SSID für 802.1X und eine andere für die Altgeräte nutzen, ermöglichen diese privaten, vorab verteilten Schlüssel, dass sich jedem Gerät oder User ein eigener, einzigartiger Berechtigungsnachweis zuteilen lässt.
Bei Netzwerken mit herkömmlichen Pre-Shared Keys wird jedem Gerät und Nutzer immer derselbe Schlüssel zugewiesen. Ist bei diesem Verfahren ein Gerät oder der Datenverkehr eines Nutzers kompromittiert, so gefährdet dies gleichzeitig das gesamte Netzwerk. Bei Nutzung von Private Pre-Shared Keys hingegen ist im Kompromittierungsfall nur der jeweilige Nutzer beziehungsweise dieses eine Gerät betroffen, wohingegen der Rest des Netzwerks davon unberührt bleibt.
Darüber hinaus kann ein Administrator Schlüssel widerrufen, um einzelne Geräte davon abzuhalten, Zugang zum Netzwerk oder Datenverkehr zu erlangen. Dadurch kann ein WLAN ein deutlich höheres Sicherheitsniveau erreichen und mit sehr viel geringerem Aufwand auch verschiedene industriespezifische oder behördliche Vorschriften erfüllen. Erweitern lässt sich eine solche Sicherheitstechnik beispielsweise durch eine Cloud-basierende Gäste-Management- und BYOD-Onboarding-Lösung, bei der entweder RADIUS-Authentifizierung oder ebenfalls Private Pre-Shared Keys zum Einsatz kommen, um Netzwerke und Geräte sicherer zu machen.
 
Strenge Authentifizierung und physische Absicherung
Ein sicheres und funktionales WLAN besteht aus vielen Einzelteilen. In puncto Authentifizierung sollten IT-Abteilungen für das WLAN eine 802.1X-Methode nutzen, die unter Verwendung von Benutzer- und Geräteauthentifizierung Zertifikate wie PEAP mit EAP/TLS, integriert mit einer LDAP-Datenbank, erfordern. Dadurch lässt sich sicherstellen, dass innerhalb eines Netzwerks keine Geräte erlaubt sind, die außerhalb des eigenen Managements liegen, und dass starke gegenseitige Multi-Faktor-Authentifizierung stattfindet. Dies sollte mit einer AES-Verschlüsselung gekoppelt sein, um die Datenübertragung zu schützen.
Die Infrastrukturgeräte wie Access Points (APs) oder Switches hingegen gilt es, physisch zu sichern - entweder in verschlossenen Räumen, in verriegelten Gehäusen oder außer Sichtweite platziert. Auch dabei sollte die WLAN-Installation idealerweise flexibel genug sein, um sich bei verändertem Nutzungsverhalten und fortschreitender Technik weiterentwickeln zu können. Das LAN wiederum erfordert ein Konzept, das das WLAN einschließlich Redundanz und adäquater Internet-Verbindung unterstützt.
Es ist ratsam, den Datenverkehr von Gästen sowie bis zu einem gewissen Grad auch den BYOD-Datenverkehr vom internen Datenverkehr zu trennen - und zwar am Netzwerkrand, auf den Access Points und Switches.

Sollte ein WLAN weiterhin Altgeräte nutzen müssen, die keine strenge Authentifizierung unterstützen, lässt sich unter Verwendung von Private Pre-Shared Keys eine sichere Implementierung ähnlich 802.1X sicherstellen.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Pflitsch GmbH & Co. KG

Weitere Artikel zu Gigabyte

Weitere Artikel zu Dermalog

Weitere Artikel zu K&P Computer

Matchmaker+