Einsatzszenarien
WLAN - Garant für Gästezufriedenheit und effiziente Abläufe
29. Juni 2015, 10:54 Uhr |
Eckhart Traber, Pressesprecher, Lancom Systems
Fortsetzung des Artikels von Teil 3
Technische Tipps rund um den WLAN-Gastzugang
- Kein offenes WLAN: Offene Internet-Gastzugänge, also ein WLAN ohne Zugangskontrolle, sollten vermieden werden. Es empfiehlt sich für den WLAN-Gastzugang eine professionelle Hotspot-Lösung mit webbasierter Benutzer-Authentifizierung. So wird sichergestellt, dass sich nur Gäste im Besitz eines Tickets/Vouchers in das Gastnetz einwählen können. Der Zugangscode kann als Papiervoucher oder per SMS/E-Mail zur Verfügung gestellt werden.
- Trennung der Teilnetze (Gäste, Verwaltung und Service): Jedem Teilnetz für Verwaltung, Gäste und Service sollte eine eigene SSID zugeweisen werden. Alle SSIDs sollten mit WPA2 verschlüsselt werden. Wichtig ist darüber hinaus, die Teilnetze auch auf der kabelgebundenen Netzwerkebene über VLANs zu trennen.
- Konfigurations-Zugriff im Hotspot unterbinden: Es muss sichergestellt werden, dass aus dem Hotspot kein Zugriff auf die Konfiguration der Router oder Access-Points möglich ist.
- Keine Kommunikation der Endgeräte untereinander auf der Gast-SSID: Auf der Gast-SSID sollte es nicht möglich sein, dass die Endgeräte (Tablets, Smartphones, Laptops) miteinander kommunizieren. In einem Gastnetz, das nur Internet-Zugang bietet, besteht kein Bedarf für eine Kommunikation der Endgeräte untereinander. Im Gegenteil birgt dies ein hohes Sicherheitsrisiko, falls Gäste versehentlich offene Freigaben auf ihren Endgeräten haben.
- Eigene Internetverbindung für den WLAN-Gastzugang verwenden: Für den WLAN-Gastzugang sollte eine eigene Internetverbindung konfiguriert oder dem WLAN-Gastzugang eine eigene öffentliche IP-Adresse zugewiesen werden.
- Sicherheit vor direktem Anschluss eines Clients an die Ethernet-Anschlussdose des Access-Points: Wenn ein Access-Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann, empfiehlt es sich, durch die Konfiguration eines sicheren Netzwerkszenarios (Zertifikate) zu gewährleisten, dass ein Client (zum Beispiel ein Notebook) selbst dann keinen Zugriff auf ein Firmennetzwerk erhält, wenn er per Kabel an die Ethernet-Anschlussdose des Access-Points angeschlossen wird.
- Einschränkung der Web-Zugriffe:
- Portsperren über Firewall-Regeln: Es ist ratsam, Ports zum Beispiel für bekannte Peer-to-Peer-Verbindungen zu sperren, über die viele illegale Tauschbörsen im Netz funktionieren. Die Ports sollten über die in der zentralen Netzwerkkomponente (zum Beispiel im Router) integrierte Firewall gesperrt werden. Es sollte eine „Deny All“-Strategie verfolgt werden: Alle Ports sind gesperrt und nur genau die Dienste geöffnet, die erlaubt sein sollen – zum Beispiel Port 80 für das einfache Surfen, Port 53 für DNS, Port 443 für HTTPS (sichere Internetseiten) sowie Port 500 und 4500 für VPN-Anwendungen, etc.
- Content-Filter: Zusätzlich kann ein Web-Content-Filter auf dem zentralen Grenzrouter zum Internet eingesetzt werden, um unerwünschte Internetinhalte zu sperren. Nach Belieben lassen sich mit dieser Software gezielt Webseiten-Kategorien, wie zum Beispiel "Gewalt" und "Pornografie" blockieren.
- WLAN - Garant für Gästezufriedenheit und effiziente Abläufe
- Sicher und komfortabel
- Vereinfachte Arbeitsabläufe
- Technische Tipps rund um den WLAN-Gastzugang
- Aus der Praxis: Digital und immer aktuell beschildert
Lesen Sie mehr zum Thema
