Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Drahtlos, aber sicher

Drahtlos, aber sicher

27. September 2007, 9:35 Uhr |

Aufspüren, abhalten und orten – Mit den Funktionen Intrusion-Detection, Intrusion-Prevention und Location-Services sollen moderne WLAN-Sicherheitslösungen drahtlose Netze gegen unbefugte Benutzung oder Abhören sichern.

Der 802.11i-Standard für WLAN-Sicherheit gilt als allgemein anerkannt. Er hat allerdings auch Sicherheitslücken offen gelassen. Dieser Standard umfasst nämlich lediglich Vorgaben für die Sicherheit von WLAN-Sessions und die Frame-Level-Sicherheit. Die Sicherheit von WLAN-Sessions soll durch Authentifizierung/ Autorisierung von Benutzern für den Netzwerkzugriff gewährleistet werden. Die Frame-Level-Sicherheit erfolgt durch das Sicherstellen der Vertraulichkeit von Daten mittels Verschlüsselung.

Es gibt jedoch eine wichtige dritte Komponente, die 802.11i nicht anspricht, nämlich die Funktionalität der Intrusion-Detection- und Intrusion-Prevention-Systeme, kurz IDS und IPS. WLAN-Security-Lösungen wie »HiGuard« von Siemens Enterprise Communications schließen die Lücke mit der aktiven Überwachung des Funkbereichs. Während ein IDS Risiken erkennt und klassifiziert, ergreift ein IPS im Gefahrenfall von sich aus Maßnahmen gegen das Ausnutzen von Schwachstellen.

Einige dieser aktiven Überwachungslösungen kombinieren IDS- und IPS-Funktionen zudem noch mit Location-Services zur Ortung von WLAN-Geräten im Funkfeld. Damit können auch unerlaubte Endgeräte oder Access-Points aufgefunden und entfernt werden. Bauen die WLANs auf einer Controller-basierten Architektur mit zentraler Verwaltung aller Komponenten auf, lassen sich derartige Sicherheitslösungen einfach in bestehende Wireless-Umgebungen integrieren. Dabei schützt die Lösung das Unternehmensnetz sowohl vor so genannten »allgemeinen« Risiken, die normalerweise unabsichtlich ausgelöst werden und relativ häufig sind, sowie vor den seltener auftretenden, jedoch gefährlicheren »böswilligen« Angriffen, bei denen Hacker absichtlich versuchen, eine Schwachstelle zu erzeugen oder auszunutzen.

Zur ersten Kategorie gehören beispielsweise falsch konfigurierte Access-Points, drahtlose Ad-hoc-Netzwerke, falsche Client-Zuweisung bei physikalischer Nähe mehrerer WLANs sowie nicht autorisierte Access-Points im Netz. Die Palette der böswilligen Angriffe, vor denen Lösungen wie Higuard schützen können, reicht von MAC-Spoofing über nicht autorisierte Client-Zugriffe und Denial-of-Service-Angriffe bis hin zu Man-in-the-Middle-Attacken.

Eine Möglichkeit der Implementierung einer aktiven Überwachungslösung ist der Aufbau eines »Overlay«-Netzes, welches, vom WLAN komplett getrennt, einzig und allein als Sensorennetzwerk für IDS/IPS fungiert. Diese Lösungen bieten meist eine gute Performance, haben jedoch den Nachteil, zusätzliche Komplexität und Kosten zu erzeugen, da zwei Wireless-Netze ohne Management-Integration oder Hardware-Einsparungen implementiert werden müssen.

Die andere Alternative besteht darin, die integrierten IDS/IPS-Lösungen der WLAN-Anbieter zu nutzen, die diese zusammen mit ihren Lösungen anbieten. Das Problem besteht hier darin, dass die angebotene IDS/IPS-Lösung den Overlay-Produkten im Allgemeinen unterlegen ist – wenn schon nicht bei den Leistungsmerkmalen, dann ganz sicher in puncto Performance. Es sind aber auch Lösungen auf dem Markt, die das Beste aus beiden Welten vereinen, nämlich die Performance und die Leistungsmerkmale, die man vom führenden Overlay-IDS/IPS-Anbieter erwartet, ohne ein separates Netz aufbauen zu müssen. Access-Points können hierbei nämlich im Standard- oder Sensormodus betrieben werden. Es ist sogar möglich, die Access-Points durch eine zentrale Konfigurationsänderung in der Managementkonsole vom Standard- auf den Sensormodus umzuschalten und umgekehrt.

Die Sicherheitsfeatures können bei den technisch führenden Lösungen als Erweiterung der bestehenden WLAN-Managementsoftware implementiert werden. Die Verwaltung der neuen Security- und Location-Services erfolgt dann über das gewohnte User-Interface für das Netzwerkmanagement. In der Managementkonsole steht den Administratoren ein zentrales Armaturenbrett oder Dashboard zur Verfügung, das bei der Anmeldung angezeigt wird und ihnen eine komplette Übersicht über den Netzwerkstatus bietet. Neben der Erhebung von Daten und der Gewährleistung von Performance und Sicherheit sollten aber auch die Möglichkeiten für das Reporting nicht außer Acht gelassen werden. Wichtig ist die Erstellung von Berichten nicht zuletzt aus Compliance-Gründen etwa zur Einhaltung von behördlichen Vorschriften wie von Sarbanes-Oxley oder spezifischen Gesetzen wie HIPAA für das Gesundheitswesen.

Dirk Abel
Technical Sales Hipath Wireless bei Siemens Enterprise Communications

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
AixpertSoft GmbH

AixpertSoft GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH