WLAN-Sicherheit im Unternehmen

WPA2 Enterprise + Radius

Das Authentifizierungs- und Verschlüsselungsverfahren WPA2 (WiFi Protected Access 2) ist ein Standard aus dem Jahr 2004 und erweitert den WPA-Standard, basierend auf IEEE 802.11i. Der Netzwerkstandard IEEE 802.1X ist ein sicheres Authentifizierungsverfahren für LAN, VLAN oder WLAN und regelt den Zugriff auf Benutzerebene. Alle Verbindungsanfragen eines Clients (Supplicant / Antragsteller) werden über einen zentralen Access Point (Authenticator / Beglaubiger) direkt mit dem Authentication Server (Remote Authentication Dial-In User Service) ausgehandelt. Dazu dient das IEEE 802.1X-Protokoll, das im Kern auf dem Extensible Authentification Protocol (EAP) basiert. Bevor die Verbindung hergestellt wird, authentifiziert sich jeder Client über einen Access Point am Radius-Server. Radius steht für das englische Remote Authentication Dial-In User Service. Hier teilt der Server die Passwörter zu. Der Dienst authentifiziert und autorisiert den User in einem Dial-In-Netzwerk. Diese Eigenschaft prädestiniert Radius für die Benutzeranmeldung in WLAN-Netzwerken und hat sich inzwischen fast als Quasi-Standard etabliert. War die Authentifizierung erfolgreich, wird zwischen dem mobilen Endgerät und dem Netzwerk ein Tunnel etabliert. Über diesen Tunnel kann man dann Usern oder mobilen Endgeräten verschiedene Dienste zur Verfügung stellen. Die Anmeldedaten liegen zentral auf dem Radius-Server oder werden an einen LDAP- oder Verzeichnis-Server weitergeleitet und abgeglichen. Die Übertragung der Daten erfolgt verschlüsselt, und der Zugang ist den autorisierten Benutzern vorbehalten.

Das Verfahren wird mittlerweile in vielen Unternehmen gerne genutzt, weil es IT-Administratoren erlaubt, Geräte, Benutzer und Passwörter vergleichsweise einfach zu verwalten. Im Gegensatz zu WPA2 Personal erhält bei der Enterprise-Variante jeder User eine eindeutige Anmeldeinformation, mit der er auf das Netzwerk zugreifen kann, und keine universellen Passcodes. Das hat weitere Vorteile, etwa wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verlorengeht. Dann muss man lediglich die Anmeldeinformationen löschen. Da jede Session mit einem anderen Schlüssel verschlüsselt wird, kann niemand WLAN-Sessions anderer Nutzer ausspähen. Keiner der verwendeten Schlüssel wird gemeinsam genutzt und keiner der Benutzer kann Aktivitäten anderer User verfolgen oder entschlüsseln.

Will man den Sicherheitslevel zusätzlich erhöhen, setzt man eine weitere Komponente wie einen Security-Token oder ein zusätzliches Zertifikat ein. Selbst wenn es dann jemandem gelungen ist, sich in den Besitz eines Mitarbeiter-Logins zu bringen, kann er nicht auf das Netzwerk zugreifen. Im Gegensatz zu passwortbasierten Schemata, die nur den Benutzer authentifizieren, kann man Zertifikate für die Geräte selbst ausstellen. Das verhindert, dass jemand mit einem nicht dazu berechtigten Gerät auf das Netz zugreift – zum Beispiel ein nicht autorisiertes persönliches mobiles Gerät, böswillig agierende Dritte. Man kann zudem den Zugriff auf Daten und Dienste zeitlich begrenzen. Ist die Authentifizierung nicht erfolgreich verlaufen, erhält der betreffende User keinen Zugriff auf das Netzwerk beziehungsweise die angefragten Dienste und Daten. WPA2 Enterprise, gegebenenfalls kombiniert mit weiteren Komponenten, senkt das Sicherheitsrisiko durch WLAN-fähige Endgeräte ganz erheblich.

Gastzugang = Gefahr?
Bleibt noch der Gastzugang. So gut wie jedes Hotel stellt seinen Gästen ein WLAN zur Verfügung. Um sich mit dem Internet verbinden zu können, bekommen die Besucher einen Voucher oder ein Ticket. Darüber erhalten sie einen zeitlich befristeten Zugang zum WLAN, der wiederum über einen Benutzernamen und ein Passwort oder eine Pin aktiviert wird. Für Besucher und Kunden in einem Unternehmen lässt sich durchaus ein ähnliches Ticketsystem einführen. Dann erhält jeder Besucher am Empfang einen entsprechenden Voucher. Der Gast wird in ein separates Gäste-WLAN geroutet und hat keinen Zugriff auf die Unternehmensdaten.

Ein Authentifizierungs- und Verschlüsselungsverfahren mit WPA Enterprise und einem Radius-Server ist für ein WLAN im Unternehmen unverzichtbar, da die Methode das Risiko eines unbefugten Zugriffs Dritter deutlich senkt.

Alpay Arslan ist Fachplaner für Informations- und Sicherheitstechnik bei Concepture

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. WLAN-Sicherheit im Unternehmen
2. WPA2 Enterprise + Radius

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu WLAN

TP-Links Business-Router-Serie

Omada Pro: Das bietet TP-Links Enterprise-Klasse

Netzwerk der Zukunft

Wie 5G-Campusnetze Unternehmen transformieren

Drahtlose Netzwerke

Wi-Fi 7: Ein Funknetzwerk für (fast) alle Fälle

Neuer Vice President B2B

Jens Walter leitet das deutsche B2B-Geschäft von TP-Link

Performance-Schub mit Wi-Fi 7

AVM zeigt neue FRITZ!Box-Modelle

Weitere Artikel zu Transportnetze, Netzinfrastruk

DE-CIX-Internetknoten mit Rekord

Datenverkehr erreicht 68 Exabyte

Gastkommentar zum Netzausbau Mobilfunk

„Offener Wettbewerb ist wichtig“

channel champions of the year 2024

Geben Sie Ihren Channel Champions Ihre Stimme!

Im Vergleich: MPLS und SD-WAN

Zugvögel im Unternehmensnetz

DE-CIX Internetknoten

Globaler Datenverkehr wächst 2023 auf 59 Exabyte

Weitere Artikel zu Wireless-LAN-Netzbetreiber

Was 2025 für die Zukunft bringt

Die drahtlose Revolution

Österreichischer Papierhersteller

O2 Telefónica errichtet 5G-Campusnetz für Prinzhorn Group

NTT Global Network Report 2022

Network as a Service rückt in den Fokus

Telefónica Deutschland und 1&1

Details zur Netznutzung stehen fest

Roamingdeal

Durchbruch für Drillisch und ein viertes Mobilfunknetz