Zum Inhalt springen
WLAN-Einsatz im Unternehmen

Sicherheit und Verbindungsqualität

Sicherheit und Qualität sind die bestimmenden Merkmale jedes WLANs. Ohne Sicherheit kann sich das Unternehmen nicht darauf verlassen, dass seine Daten vertraulich bleiben. Fehlende Qualität frustriert die Anwender, da ihnen das Netz nichts nutzt. Der Beitrag fasst die wichtigsten Aspekte für die Implementierung sicherer und zuverlässiger Wireless-Infrastrukturen zusammen.

Autor:Roger Hockaday/pf Roger Hockaday ist Marketing Director EMEA bei Aruba Networks. • 25.1.2009 • ca. 4:55 Min

Bei der Sicherung von WLANs gilt es, zwei Prinzipien zu berücksichtigen: Erstens sind Daten zu verschlüsseln, damit sie, wohin auch immer sie fließen, vertraulich bleiben. Das zweite Grundprinzip formulierte ein IT-Sicherheitsexperte einmal so: "Komplexität ist der Feind guter Sicherheitsmechanismen. Sicherheit muss ins System gegossen sein, nicht darauf aufgesetzt werden." Worauf also sollte sich eine Organisation beim Aufbau eines sicheren WLANs konzentrieren?

Die Daten schützen: Vor allem sollten die Daten mit WPA2-AES (Wireless Protected Access 2 - Advanced Encryption Standard) verschlüsselt sein. Dieser Mechanismus lässt sich relativ einfach auf allen Windows-XP- und -Vista-Laptops implementieren. Er ist auch auf den meisten Mobilplattformen verfügbar - seien es Dual-Mode-Telefone oder Handhelds wie etwa Tablet-PCs. Zwar kann der Anwender auch andere Verschlüsselungslösungen wählen. Allerdings kombiniert WPA2-AES die Einfachheit einer Standardlösung mit der Garantie der Datenvertraulichkeit - bei manchen Herstellern bis zu FIPS 140-2 (Federal Information Processing Standard) - und bietet zudem eine Plattform für die Zertifizierung gemäß Common Criteria EAL 2 (ISO-Standard 15408).

Den Anwender authentisieren: Mit einer Authentisierung gemäß 802.1X können Organisationen darauf vertrauen, dass nur berechtigte Anwender ihr Netz nutzen. Die Anwender können sich darauf verlassen, dass sie mit einem zulässigen Server verbunden sind. Die Authentisierung mit EAP-GTC (Extensible Authentication Protocol - Generic Token Card) ermöglicht eine Zwei-Faktor-Authentisierung. Dieses Verfahren ist vor allem in Deutschland verbreitet. Viele Organisationen sind aber auch mit der relativen Einfachheit und Sicherheit von EAP-PEAP-Implementierungen (Protected EAP) zufrieden, die lediglich eine Kombination aus Benutzername, Passwort und Serverzertifikat nutzen. Eine erweiterte Authentisierung sollte sicherstellen, dass das verwendete Endgerät den unternehmensweiten Sicherheitsstandards entspricht - besonders, wenn es sich um Handheld-Rechner handelt (etwa Dual-Mode-Phones sowie Laptops von Beratern oder Gästen). Die Anwendung von NAC (Network Access Control) oder Microsofts Zugangssystem Network Access Protection im WLAN ist eine in der Praxis bewährte Maßnahme (Best Practice). Eine solche Umgebung eignet sich gut für Tests vor der breiten Implementierung.

Anwender voreinander schützen: Früher "pfropften" viele Organisationen einfach Firewalls auf das vorhandene Netz auf. Sie trennten damit das nicht vertrauenswürdige WLAN komplett vom vertrauenswürdigen verkabelten Netz. Aus dieser Herangehensweise resultieren zwei wichtige Probleme: Erstens erschwert diese das Roaming zwischen den Funkzellen, zweitens werden die Anwender nicht wirkungsvoll voneinander getrennt. Ersteres behindert vor allem die Sprachkommunikation. Bei einer externen Firewall können Statusinformationen verloren gehen, während Anwender beim Roaming von einem Port der Firewall zum anderen wechseln, und die Verbindung wird unterbrochen.

Was die Abgrenzung der Anwender untereinander angeht, so erlaubt die Platzierung einer Firewall außerhalb des WLANs so genanntes VLAN-Hopping oder ARP-Spoofing im WLAN. Dies kann die Integrität aller Anwender gefährden. Früher war es kein Sicherheitsrisiko, Anwendergruppen durch VLANs voneinander zu trennen. Heute jedoch nutzen nicht nur die Mitarbeiter, sondern auch Gäste und Kooperationspartner die vorhandenen WLANs. Daher ist es nicht mehr akzeptabel, Anwendergruppen durch einfache VLANs zu trennen. Jeder Anwender sollte durch eine Firewall von anderen separiert sein.

Daten prinzipiell zu verschlüsseln und Anwender zu authentisieren, wenn sie aufs Netz zugreifen, ist ein großer Schritt auf dem Weg, das Risiko von Datendiebstählen oder Angriffen durch Angestellte und Hacker zu verringern. Kombiniert mit einem IDP-System (Intrusion Detection and Prevention), das kontinuierlich nach Bedrohungen von innerhalb oder außerhalb der Organisation fahndet, können IT- und Security-Abteilungen damit für die Sicherheit ihrer Netze garantieren.

Verbindungsqualität

Auch die nötige Netzwerkqualität lässt sich mit wenigen Maßnahmen sicherstellen. Sie wird meist
als Dienstgüte (Quality of Service – QoS) der Anwendungen verstanden. Es gilt aber auch, die Sicht
der Anwender zu berücksichtigen: Mit 802.11n beispielsweise können Organisationen ihren
Mitarbeitern verlässliche, hochqualitative Verbindungen zur Verfügung stellen. Zum ersten Mal lässt
sich so ein komplett drahtloser Arbeitsplatz realisieren. Obwohl noch recht neu, hat 802.11n Draft
2.0 schon bewiesen, dass es eine robuste Methode zur Bereitstellung drahtloser Verbindungen ist.
Der Standard kombiniert Spatial Division Multiplexing (räumliches Multiplexing) sowie MIMO
(Multiple Input Multiple Output) und liefert mehrere Datenströme über bis zu drei Antennen
gleichzeitig. Im Ergebnis verbessert die Signalreflexion nun Durchsatz und Signalqualität, statt
sie zu verschlechtern. Anwender können Durchsätze von mehr als 150 MBit/s über TCP/IP erzielen.

Aufgrund der vielen zeitkritischen Anwendungen, die heute über WLANs laufen, spielt deren
Verbindungsqualität eine immer wichtigere Rolle. Beispiele für solche Anwendungen sind das
Monitoring von Patienten auf der Intensivstation oder IP-Telefonie in Büroumgebungen. Angemessene
Mechanismen zur Qualitätssicherung wie WMM (Wi-Fi Multimedia) und 802.11e garantieren die nötige
Verbindungsqualität von den Endgeräten bis zur Infrastruktur und umgekehrt. Jedoch müssen
QoS-Implementierungen über die konventionellen Methoden hinausgehen, wenn Echtzeitverkehr in einer
Funkumgebung übertragen wird. Dies betrifft vor allem das Verbindungsmanagement, das die Stabilität
der Funkumgebung sicherstellt. Konsequenterweise sollten Systeme daher folgende Schlüsselfunktionen
besitzen, wenn sie in einem solchen Netz zum Einsatz kommen:

Bandbreitenzuweisung per SSID (Service Set Identifier): Es ist üblich, dass jeder Access Point
(AP) mehrere SSIDs für unterschiedliche Anwendungen bereitstellt. Beispielsweise nutzt ein großer
Flughafen sechs unterschiedliche Netzwerke über eine WLAN-Infrastruktur. Passagiere dürfen dabei
nicht die internen Abläufe des Flughafens beeinträchtigen. Begrenzte Bandbreiten pro SSID stellen
sicher, dass alle Anwender fairen Zugang zum Netz erhalten.

Schnelles Client-Roaming: Eine zentrale Roaming-Steuerung mit Opportunistic Key Caching (OKC)
und/oder 802.11r bietet die nötige Roaming-Leistung auf dem WLAN, damit Anwender von
Sprach-Handsets sich im Netz umherbewegen können, ohne dass ihre Verbindung dabei unterbrochen
wird. Dedizierte VoIP-Endgeräte haben eine hervorragende Handover-Leistung. Die Roaming-Zeiten
aktueller Handys und WLAN-Telefone liegen weit unterhalb der kritischen 100 Millisekunden. Es wird
zunehmend deutlich, dass standardbasierende Interoperabilitätsmethoden ausreichen, um sehr schnelle
Handovers zu garantieren. Proprietäre Implementierungen sind daher unnötig. Sie erhöhen die
Komplexität und führen damit zu Schwierigkeiten.

Call Admission Control (CAC): 802.11g oder 802.11a unterstützen mehr als 30 gleichzeitige
Sprachverbindungen pro AP. Obwohl WLANs in Büroumgebungen wegen der Größe der Schreibtische
normalerweise kaum mehr als zehn Datenanwender pro AP bedienen, kann es in einigen Arealen, etwa an
der Rezeption oder in Restaurants, nötig sein, deutlich mehr Anwender zu unterstützen. Dann ist CAC
nötig, um Engpässe zu vermeiden. Organisationen sollten eine TSpec-geeignete Infrastruktur
implementieren. TSpec gehört zum QoS-Standard 802.11e und umfasst ein Element für die Reservierung
von Bandbreite, das RSVP (Resource Reservation Protocol) ähnelt. TSpec wurde von der Wi-Fi-Alliance
als Bestandteil der WMM-AC-Zertifizierung (AC: Access Categories) akzeptiert.

Qualitätsmanagement der Funkumgebung: Um die Funkumgebung effektiv zu verwalten, gehen die
meisten APs offline und scannen die vorhandenen Frequenzen oder sie nutzen eine Hybridfunktion, um
Eindringversuche ins Netz zu registrieren und abzuwehren (Intrusion Detection and Prevention).
Währenddessen verarbeitet der AP keinen Datenverkehr – gleichgültig welcher Priorität. Obwohl der
Scan nur sehr kurz dauert und die Datenverbindung nicht unterbrochen wird, kann dies zeitkritische
Übertragungen wie Sprache, Videos oder Ähnliches beeinträchtigen. Konsequenterweise muss der AP
wissen, wann er derartigen Verkehr verarbeitet und währenddessen solche Scans vermeiden.

Das könnte Sie auch interessieren
Partnerschaft, Handschlag, Kooperation
Dell gibt Tipps Mobiles Arbeiten und Sicherheit
Systemabsturz
Teletrust: „Dogmen, Mythen und Fehler“ Denkfehler bei der Umsetzung von IT-Sicherheit
Paawortklau_Quelle_ Foto-Ruhrgebiet_AdobeStock_435455436.jpeg
Studie „Cybersicherheit in Zahlen“ Sicherheitsrisiko Mitarbeiter
Daueraufgabe IT-Sicherheit
NIS-2-Richtlinie Daueraufgabe IT-Sicherheit
Awareness
G DATA: IT-Sicherheit unterbewertet Chefs sollten sich um Security kümmern
Cyber Security Rundumblick
Best Practices für KRITIS EWE fokussiert sich auf IT-Sicherheit von Unternehmen
Security
Security als Basis der Digitalisierung Digitalisierung durch Modernisierung der Sicherheit vorantreiben
Andreas Junck, Senior Sales Director DACH bei Gigamon.
Gigamon: Cloud-Sicherheit mit System Best Practices für ein sicheres Cloud-Netzwerk
Mehr passende Artikel
B.Jara
Zwischen Datenwachstum und Effizienz Storage: Dynamischer Service statt starrer Infrastruktur
WLAN
Netpeppers vertreibt Ekahau Plan WLAN-Planung als eigenständige SaaS-Lösung
Tester
Automatisierte Testlösung von Keysight Check der SSL-Deep-Inspection-Leistung und Netzwerksicherheit
ekom21 O2 Telefónica
Digitale Verwaltung in Hessen O2 Telefónica und Ekom21 vernetzen 350. Verwaltungsstandort
Tim Coogan, Senior Vice President Global Partner Sales bei Cisco
Tim Coogan übernimmt Channel und SMB Cisco wechselt Channel-Chef aus
Weiter zur Startseite