M2M, Industrie 4.0, IoT
Die wunde Stelle der WLAN-Technik
Fortsetzung des Artikels von Teil 1
Sicherheit durch individuelle Schlüssel
Wenn der Netzwerkzugriff über einen vorab verteilten Schlüssel erfolgt, muss daher zum einen das Netzwerk gesichert sein, zum anderen sollte der Funktionsumfang des Geräts eingeschränkt werden, für das die Zugangsdaten gelten. Realisieren lässt sich dies, indem den Geräten private Schlüssel zugewiesen werden, für die jeweils unterschiedliche Rechte gelten. So könnte ein Satz von Schlüsseln für den Gast- oder BYOD-Zugang (Bring your own device) genutzt werden.
Ein anderer Schlüsselsatz könnte für das Gebäudemanagement vorgesehen sein, wobei eine strikt kontrollierte Firewall-Richtlinie sicherstellen würde, dass nur die Systeme selbst, nicht jedoch andere Nutzer/Geräte, die sich im Netzwerk eingeloggt haben, Änderungen an der Haustechnik vornehmen dürften.
Die Verwendung individueller Netzwerkschlüssel stellt die Betreiber der Infrastruktur jedoch vor neue Herausforderungen. Die Firma Aerohive hat ein System aus WLAN-Bausteinen und Management-Software entwickelt, das die Verwaltung und Verwendung solcher Schlüssel erlaubt.
Die individuellen Schlüssel können automatisch erzeugt oder über eine Tabellendatei in das Managementsystem importiert werden. Von dort werden sie dann an die Access-Points verteilt. Auf diese Weise könnten in einem einzigen Netzwerk Tausende von vorab verteilten Schlüsseln mit individuellen Verbindungsprofilen einschließlich Firewalls und VLANs vergeben werden (Bild 1).
Im Context-Szenario würde dies bedeuten, dass eine fremdgesteuerte Lampe nicht automatisch zu einem Risiko für die gesamte Beleuchtungsanlage werden könnte, da ihr Netzwerkschlüssel dies nicht zulassen würde. Selbst bei einem erfolgreichen Hackerangriff wäre der Schaden somit begrenzt.
Irgendwie müssen die Zugangsdaten aber auch noch auf die Geräte kommen. Wie das geschieht, ist von der Art des Gerätes abhängig. Möglich sind hier zum beispiel ein Verteilmechanismus per E-Mail oder eine automatische Image-Verteilung. Bei wenigen Geräten können die Keys auch durch einen Administrator eingegeben werden.
Sind die Schlüssel verteilt und die Infrastruktur bereit, die Schlüssel zu erkennen, dann können mit der Anmeldung am WLAN beziehungsweise mit den Schlüsseln zahlreiche Rechte oder Funktionen verknüpft werden (Bild 2):
- Firewall-Regeln,
- VLAN- oder Tunnel-Zuweisung,
- QoS-Profile,
- Rate Limits,
- Zeitlimits (an welchen Wochentagen und zu welchen Zeiten kann der Key verwendet werden),
- SLAs – Service Level Agreements: Es kann eine Mindestbandbreite für eine Gerätegruppe definiert werden. Erkennen die Access Points (APs), dass die definierte Mindestbandbreite nicht mehr erreicht wird, bekommt das Gerät mehr Airtime vom AP, um die im SLA definierte Mindestbandbreite zu gewährleisten.
Die wichtigste Erkenntnis lautet also: Die Zugangsdaten zu einem IoT-Netzwerk dürfen für Eindringlinge nur von geringem Nutzen sein. Entsprechend wichtig ist die einfache und sichere Authentifizierung und Erkennung von Geräten, die sich im Netzwerk anmelden möchten.
Durch maßgeschneiderte Zugriffsrechte können auch IoT-Geräte und -Infrastrukturen wirkungsvoll geschützt werden. Allerdings befindet sich das Internet der Dinge gerade erst im Entstehen. Eine Infrastruktur aufzubauen, die diesen Sicherheitsanforderungen gewachsen ist, wird auf absehbare Zeit eine Aufgabe bleiben, die kontinuierlich weiterentwickelt werden muss.
- Die wunde Stelle der WLAN-Technik
- Sicherheit durch individuelle Schlüssel
Lesen Sie mehr zum Thema
