Sicherheit und Verbindungsqualität
Sicherheit und Qualität sind die bestimmenden Merkmale jedes WLANs. Ohne Sicherheit kann sich das Unternehmen nicht darauf verlassen, dass seine Daten vertraulich bleiben. Fehlende Qualität frustriert die Anwender, da ihnen das Netz nichts nutzt. Der Beitrag fasst die wichtigsten Aspekte für die Implementierung sicherer und zuverlässiger Wireless-Infrastrukturen zusammen.
Bei der Sicherung von WLANs gilt es, zwei Prinzipien zu berücksichtigen: Erstens sind Daten zu verschlüsseln, damit sie, wohin auch immer sie fließen, vertraulich bleiben. Das zweite Grundprinzip formulierte ein IT-Sicherheitsexperte einmal so: "Komplexität ist der Feind guter Sicherheitsmechanismen. Sicherheit muss ins System gegossen sein, nicht darauf aufgesetzt werden." Worauf also sollte sich eine Organisation beim Aufbau eines sicheren WLANs konzentrieren?
Die Daten schützen: Vor allem sollten die Daten mit WPA2-AES (Wireless Protected Access 2 - Advanced Encryption Scheme) verschlüsselt sein. Dieser Mechanismus lässt sich relativ einfach auf allen Windows-XP- und -Vista-Laptops implementieren. Er ist auch auf den meisten Mobilplattformen verfügbar - seien es Dual-Mode-Telefone oder Handhelds wie etwa Tablet-PCs. Zwar kann der Anwender auch andere Verschlüsselungslösungen wählen. Allerdings kombiniert WPA2-AES die Einfachheit einer Standardlösung mit der Garantie der Datenvertraulichkeit - bei manchen Herstellern bis zu FIPS 140-2 (Federal Information Processing Standard) - und bietet zudem eine Plattform für die Zertifizierung gemäß Common-Criteria-EAL-2 (ISO-Standard 15408).
Den Anwender authentisieren: Mit einer Authentisierung gemäß 802.1X können Organisationen darauf vertrauen, dass nur berechtigte Anwender ihr Netz nutzen. Die Anwender können sich darauf verlassen, dass sie mit einem zulässigen Server verbunden sind. Die Authentisierung mit EAP-GTC (Extensible Authentication Protocol - Generic Token Card) ermöglicht eine Zwei-Faktor-Authentisierung. Dieses Verfahren ist vor allem in Deutschland verbreitet. Viele Organisationen sind aber auch mit der relativen Einfachheit und Sicherheit von EAP-PEAP-Implementierungen (Protected EAP) zufrieden, die lediglich eine Kombination aus Benutzername, Passwort und Serverzertifikat nutzen. Eine erweiterte Authentisierung sollte sicherstellen, dass das verwendete Endgerät den unternehmensweiten Sicherheitsstandards entspricht - besonders, wenn es sich um Handheld-Rechner handelt (etwa Dual-Mode-Phones sowie Laptops von Beratern oder Gästen). Die Anwendung von NAC (Network Access Control) oder Microsofts Zugangssystem Network Access Policy im WLAN ist eine in der Praxis bewährte Maßnahme (Best Practice). Eine solche Umgebung eignet sich gut für Tests vor der breiten Implementierung.
Anwender voreinander schützen: Früher "pfropften" viele Organisationen einfach Firewalls auf das vorhandene Netz auf. Sie trennten damit das nicht vertrauenswürdige WLAN komplett vom vertrauenswürdigen verkabelten Netz. Aus dieser Herangehensweise resultieren zwei wichtige Probleme: Erstens erschwert diese das Roaming zwischen den Funkzellen, zweitens werden die Anwender nicht wirkungsvoll voneinander getrennt. Ersteres behindert vor allem die Sprachkommunikation. Denn besonders Sprachanwender bewegen sich im Büro, manchmal sogar auf unterschiedlichen Etagen oder in unterschiedlichen Gebäuden auf demselben Gelände, während sie mit dem WLAN verknüpft sind. Bei einer externen Firewall können Statusinformationen verloren gehen, während Anwender beim Roaming von einem Port der Firewall zum anderen wechseln, und die Verbindung wird unterbrochen. Was die Abgrenzung der Anwender untereinander angeht, so erlaubt die Platzierung einer Firewall außerhalb des WLANs so genanntes VLAN-Hopping oder ARP-Spoofing im WLAN. Dies kann die Integrität aller Anwender gefährden. Früher war es kein Sicherheitsrisiko, Anwendergruppen durch VLANs voneinander zu trennen. Heute jedoch nutzen nicht nur die Mitarbeiter, sondern auch Gäste und Kooperationspartner die vorhandenen WLANs. Daher ist es nicht mehr akzeptabel, Anwendergruppen durch einfache VLANs zu trennen. Jeder Anwender sollte durch eine Firewall von anderen separiert sein.
Daten prinzipiell zu verschlüsseln und Anwender zu authentisieren, wenn sie aufs Netz zugreifen, ist ein großer Schritt auf dem Weg, das Risiko von Datendiebstählen oder Angriffen durch Angestellte und Hacker zu verringern. Kombiniert mit einem Intrusion Detection and Prevention System, das kontinuierlich nach Bedrohungen von innerhalb oder außerhalb der Organisation fahndet, können IT- und Security-Abteilungen damit für die Sicherheit ihrer Netze garantieren.
Verbindungsqualität aus Anwender- und Applikationssicht
Auch die nötige Netzwerkqualität lässt sich mit wenigen Maßnahmen sicherstellen. Sie wird meist als Dienstgüte (Quality of Service - QoS) der Anwendungen verstanden. Es gilt aber auch, die Sicht der Anwender zu berücksichtigen: Mit 802.11n beispielsweise können Organisationen ihren Mitarbeitern verlässliche, hochqualitative Verbindungen zur Verfügung stellen. Zum ersten Mal lässt sich so ein komplett drahtloser Arbeitsplatz realisieren. Obwohl noch recht neu, hat 802.11n Draft 2.0 schon bewiesen, dass es eine robuste Methode zur Bereitstellung drahtloser Verbindungen ist. Der Standard kombiniert Spatial Division Multiplexing (räumliches Multiplexing) sowie MIMO (Multiple Input Multiple Output) und liefert mehrere Datenströme über bis zu drei Antennen gleichzeitig. Im Ergebnis verbessert die Signalreflexion nun Durchsatz und Signalqualität, statt sie zu verschlechtern. Anwender können Durchsätze von mehr als 150 MBit/s über TCP/IP erzielen.
Aufgrund der vielen zeitkritischen Anwendungen, die heute über WLANs laufen, spielt deren Verbindungsqualität eine immer wichtigere Rolle. Beispiele für solche Anwendungen sind das Monitoring von Patienten auf der Intensivstation oder IP-Telefonie in Büroumgebungen. Angemessene Mechanismen zur Qualitätssicherung wie WMM (Wi-Fi Multimedia) und 802.11e garantieren die nötige Verbindungsqualität von den Endgeräten bis zur Infrastruktur und umgekehrt. Jedoch müssen QoS-Implementierungen über die konventionellen Methoden hinausgehen, wenn Echtzeitverkehr in einer Funkumgebung übertragen wird. Dies betrifft vor allem das Verbindungsmanagement, das die Stabilität der Funkumgebung sicherstellt. Konsequenterweise sollten Systeme daher folgende Schlüsselfunktionen besitzen, wenn sie in einem solchen Netz zum Einsatz kommen:
Bandbreitenzuweisung per SSID (Service Set Identifier): Es ist üblich, dass jeder Access Point (AP) mehrere SSIDs für unterschiedliche Anwendungen bereitstellt. Beispielsweise nutzt ein großer Flughafen sechs unterschiedliche Netzwerke über eine WLAN-Infrastruktur. Passagiere, die vorhandene Hotspots nutzen, müssen dabei nicht die Leistungen der Kassenterminals in den Einzelhandelsgeschäften im Terminal oder die internen Abläufe des Flughafens beeinträchtigen. Begrenzte Bandbreiten pro SSID stellen sicher, dass alle Anwender fairen Zugang zum Netz erhalten.
Schnelles Client-Roaming: Eine zentrale Roaming-Steuerung mit Opportunistic Key Caching (OKC) und/oder 802.11r bietet die nötige Roaming-Leistung auf dem WLAN, damit Anwender von Sprach-Handsets sich im Netz umherbewegen können, ohne dass ihre Verbindung dabei unterbrochen wird. Dedizierte VoIP-Endgeräte haben eine hervorragende Handover-Leistung. Die Roaming-Zeiten aktueller Handys und WLAN-Telefone liegen weit unterhalb der kritischen 100 Millisekunden. Es wird zunehmend deutlich, dass standardbasierende Interoperabilitätsmethoden ausreichen, um sehr schnelle Handovers zu garantieren. Proprietäre Implementierungen sind daher unnötig. Sie erhöhen die Komplexität und führen zu unvorhersehbaren Schwierigkeiten.
Call Admission Control (CAC): 802.11g oder 802.11a unterstützen mehr als 30 gleichzeitige Sprachverbindungen pro AP. Obwohl WLANs in Büroumgebungen wegen der Größe der Schreibtische normalerweise kaum mehr als zehn Datenanwender pro AP bedienen, kann es in einigen Arealen, etwa an der Rezeption oder in Restaurants, nötig sein, deutlich mehr Anwender zu unterstützen. Dann ist CAC nötig, um Engpässe zu vermeiden. Organisationen sollten eine TSpec-geeignete Infrastruktur implementieren. TSpec gehört zum QoS-Standard 802.11e und umfasst ein Element für die Reservierung von Bandbreite, das RSVP (Resource Reservation Protocol) ähnelt. TSpec wurde von der Wi-Fi-Alliance als Bestandteil der WMM-AC-Zertifizierung (AC: Access Categories) akzeptiert.
Qualitätsmanagement der Funkumgebung: Um die Funkumgebung effektiv zu verwalten, gehen die meisten APs offline und scannen die vorhandenen Frequenzen oder sie nutzen eine Hybridfunktion, um Eindringversuche ins Netz zu registrieren und abzuwehren (Intrusion Detection and Prevention). Währenddessen verarbeitet der AP keinen Datenverkehr - gleichgültig welcher Priorität. Obwohl der Scan nur sehr kurz dauert und die Datenverbindung nicht unterbrochen wird, kann dies zeitkritische Übertragungen wie Sprache, Videos oder Ähnliches beeinträchtigen. Konsequenterweise muss der AP wissen, wann er derartigen Verkehr verarbeitet und währenddessen solche Scans vermeiden.
Anders als WLANs vor fünf Jahren, die aus unabhängig voneinander verwalteten Access Points bestanden, lassen sich moderne, zentral überwachte WLAN-Infrastrukturen leicht implementieren, verfügen über einfach handhabbare Sicherheitsmechanismen und bieten eine hohe Verbindungsqualität. All dies trägt gemeinsam zu einem sehr positiven Nutzungserlebnis für die Anwender bei. Gleichzeitig kann ein solches Netzwerk auch einigen der härtesten Sicherheitszertifizierungen für kommerzielle Kommunikationssysteme genügen.
