WLAN-Management in Zeiten von BYOD und Mobilisierung

Ohne Wireless Intrusion Prevention geht im modernen WLAN nichts

| Autor / Redakteur: Roger Holder / Andreas Donner

In drahtlosen Netzen können Informationen sehr leicht abgegriffen warden – eine gute Absicherung insbesondere bei BYOD-Szenarien ist also extrem notwendig.
In drahtlosen Netzen können Informationen sehr leicht abgegriffen warden – eine gute Absicherung insbesondere bei BYOD-Szenarien ist also extrem notwendig. (Bild: Michele Piacquadio)

Jede BYOD-Strategie birgt durch die Verbindung privater Geräte mit dem Unternehmens-WLAN und dem Zugriff auf Firmen-Daten auch immer Risiken. Diese lassen sich grundsätzlich in zwei Kategorien aufteilen: Risiken, denen über das Gerät entgegengewirkt wird, und solche, die über das WLAN angegangen werden können.

Zunächst einmal stellt das Gerät des Benutzers eine Gefahr für die Sicherheit innerhalb des Netzwerks dar. Netzwerkingenieure können verschiedene Methoden einsetzen, um nicht autorisierte Benutzer daran zu hindern, Daten über ein im Netzwerk angemeldetes Gerät abzufangen, oder um zu gewährleisten, dass auf Geräten erfasste Geschäftsdaten nicht gespeichert werden.

Wenn Benutzer nicht über die Anmeldedaten verfügen, die für eine sichere und vertrauenswürdige Anmeldung in einem WLAN erforderlich sind, kann der offene, ungesicherte Gastzugriff genutzt werden. In diesem Falle können aber die vom oder zum Gerät übertragenen Daten von Dritten eingesehen oder abgefangen werden – ein Vorgang, der möglicherweise nie entdeckt wird.

Doch selbst im Falle autorisierter und registrierter Geräte, die sich über eine autorisierte und verschlüsselte Verbindung anmelden, besteht das Risiko unfreiwilliger Datenfreigabe. Dies geschieht bspw. bei der Übertragung geschützter und zugriffsbeschränkter Daten außerhalb der Unternehmensumgebung mithilfe von Cloudspeicherlösungen wie z.B. Dropbox.

Rechte-Management

Für diese Fälle und etwa auch dann, wenn Mitarbeiter ein Unternehmen verlassen, ist es wichtig, über eine Methode für die Rücknahme von Zugriffsberechtigungen zu verfügen, die an bestimmte Geräte erteilt wurden. Einige Geräte bieten außerdem eine per Fernzugriff ausgelöste Löschfunktion, mit der alle gespeicherten Geschäftsdaten entfernt werden.

BYOD bietet jedoch eine Hintertür durch die standardmäßigen Sicherheitsmechanismen, sodass gewöhnliche Sicherheitssysteme nicht alle Risiken abfangen können. Zwar bietet eine Firewall Schutz, sobald das Gerät jedoch nicht mehr mit dem Access Point verbunden ist, besteht keinerlei Verschlüsselung mehr. Wenn im WLAN Business-Applikationen integriert und sogar vertrauliche Daten enthalten sind, muss der Schutz des Unternehmens daher auch Layer 2 abdecken.

Anhaltende Sicherheit

Ein immens wichtiger Aspekt jeder BYOD-Strategie ist die Aufrechterhaltung der Sicherheit über die gesamte drahtlose Umgebung. Denn WLANs weisen vier Anfälligkeitsbereiche von auf:

  • Es fehlen physische Barrieren, wie beispielsweise beim Ethernet-LAN
  • WLANs arbeiten über unlizenzierte ISM- und UNII-Bänder, sodass jeder dort Daten übertragen kann
  • Mit ihnen gehen neue Geräte einher, die zu Fehlern und Problemen bei der Konfiguration führen

Darüber hinaus verwenden WLANs neue Protokolle mit neuen Anfälligkeiten, die von Dritten ausgenutzt werden können.

Der erste Schritt in Richtung BYOD-Sicherheit lautet „Vorsorge“. Sie müssen sicherstellen, dass Sie vor Angriffen von außen, vor internen Bedrohungen, bei Anfälligkeiten bezüglich der Gerätekonfiguration sowie vor etwaiger HF-Störeinstrahlung von außerhalb des Gebäudes geschützt sind.

Die beste Verteidigung

Die beste Verteidigung bieten regelmäßige Sicherheitsaudits. So können Sie gewährleisten, dass allen potenziellen Risiken entgegengewirkt wird. Hierzu zählen auch Standortbegehungen außerhalb des Gebäudeumfelds, Analysen des HF-Spektrums und ggf. das Implementieren stärkerer Sicherheitsmechanismen bei der Authentifizierung. Darüber hinaus ist es entscheidend, Benutzern die Wichtigkeit der Sicherheitsrichtlinien des Unternehmens und deren Einhaltung klarzumachen.

Das Verhindern nicht autorisierten Zugriffs ist ein weiteres wichtiges Thema. Sie können Wi-Fi-Geräte nicht an der Übertragung hindern, aber Sie können deren Zugriff auf Ihr Netzwerk einschränken. MAC-ACLs und Captive Portal-Webanmeldungen können leicht durch das Spoofing von MAC-Adressen umgangen werden, was eine versehentliche falsche Verwendung bzw. den Zugriff durch Gelegenheitshacker nach sich zieht.

Beim Thema Sicherheit geht es um mehr als nur um Tools, es geht auch um Personen und Prozesse. Hierbei ist es nötig, eine angemessene Methode zur Einhaltung der Sicherheitsrichtlinien zu entwickeln und die Benutzer dazu zu bringen, diese zu befolgen.

Daraufhin müssen Sie einen Weg finden, Angriffe auf Ihr Netzwerk zu erkennen und diese aufzuhalten. Einige Hardware-Anbieter stellen rudimentäre Sicherheitstools bereit, jedoch kann nur ein dediziertes Wireless Intrusion Prevention System (WIPS) dies angemessen und mit der nötigen Stabilität automatisch für mehrere Standorte leisten.

Es gibt zwei Gründe für die dedizierte Überwachung unter Verwendung eines WIPS:

Zunächst einmal verfügen WLANs im Gegensatz zu Ethernet-LANs nicht über einzelne Stellen, die der gesamte Datenverkehr passieren muss. Der Datenverkehr kann über jeden Kanal und an nahezu jedem Ort übertragen werden. Um über ein sicheres WLAN zu verfügen, müssen Sie also alle Kanäle sowie den physischen Luftraum Ihrer Umgebung überwachen, jede verdächtige Aktivität melden und ggf. gewisse Aktivitäten automatisch stoppen.

Darüber hinaus kann der Großteil der Gefahren für ein WLAN nicht durch einfache Bedrohungssignaturen erkannt werden. Es bedarf viel mehr einer Analyse verschiedener Bedrohungen, die ein Eindringen in Verbindung mit Identitäts-Spoofing ermöglichen könnten. Sporadische Scans umfassen üblicherweise weniger als 1 Prozent des gesamten Datenverkehrs in der Umgebung, wodurch das Erkennen eines Angriffsverhaltens nahezu unmöglich wird. Keine Sicherheitslösung kann funktionieren, wenn sie nicht den gesamten Verkehr untersucht, und nur eine dedizierte Lösung verfügt über das Potenzial, alle Kanäle und Geräte sowie das gesamte Verhalten aller Netzwerkteilnehmer zu überwachen.

WIPS im Detail

Ein WIPS funktioniert auf zweierlei Weise. Es überwacht das Funkspektrum im Hinblick auf nicht autorisierte WLAN-Geräte (Erkennung) und hält diese Geräte automatisch davon ab, auf das WLAN zuzugreifen (Schutz). Gerade große Unternehmen sind oft Opfer von Bedrohungen durch falsche Access Points, die das gesamte Netzwerk innerhalb der WLAN-Reichweite für jedermann verfügbar machen. Das WIPS spürt diese mit Hilfe der MAC-Adressfilterung auf. Als Schutz vor MAC-Spoofing wird zusätzlich Geräte-Fingerprinting verwendet, bei dem eindeutige Eigenschaften des jeweiligen Geräts geprüft werden. Das WIPS erkennt und kennzeichnet außerdem die versuchte Verwendung jeglicher Wireless-Angriffstools.

Aktuelle WIPS-Tools umfassen drei separate Elemente: intelligente aktive Sensoren, mit denen das Funkspektrum überprüft und Datenpakete erfasst werden, ein oder mehrere verteilte Server, die mit den Sensoren kommunizieren und alle erfassten Datenpakete analysieren sowie eine zentrale Benutzeradministrations- und Berichterstattungsstation.

Mit dieser Konfiguration ist es möglich, mehrere Remote-Sensoren und/oder Server an allen Standorten in einem Netzwerk zu implementieren und eine End-to-End-Überwachung und -Erkennung rund um die Uhr bereitzustellen. Vom WIPS generierte zentrale Warnmeldungen benachrichtigen den zuständigen Netzwerkingenieur und das Sicherheitspersonal dann über Eindringversuche.

Integrierte Lösungen

Bei integrierten Lösungen wurde die Sicherheit durch den AP-Hersteller in der Hardware der Geräte verankert, entweder durch die Verwendung dedizierter Access Points, die als Sensoren agieren, oder durch das Ausstatten der Access Points mit zusätzlichen Funkfrequenzen, die zur Steigerung der Sicherheit verwendet werden können. Der Vorteil hierbei liegt in der Tatsache, dass weniger Hersteller verwaltet werden müssen und dass die Daten zu Ereignissen im WLAN im Normalfall an dieselbe Verwaltungskonsole gesendet werden, über die man auch die Informationen zum WLAN-Status einsehen kann.

Solch eine Lösung bietet jedoch im Vergleich zu einem dedizierten Sicherheitssystem eine geringere Genauigkeit und Abdeckung bei der Erkennung von Angriffen und Fehlverhalten. Darüber hinaus widerspricht es den Best Practices bzgl. der Sicherheit, den gesamten Schutz in einer einzelnen Komponente zu bündeln, da so effektiv eine Schicht des Netzwerkschutzes verloren geht.

Da jede Variante Vor- und Nachteile bietet, müssen IT-Abteilungen insbesondere die Abstriche kennen, die sie bei der jeweiligen Option machen müssen. Ziel ist es, sich anhand des Risikoprofils des eigenen Unternehmens, des erforderlichen Sicherheitsniveaus und des verfügbaren Budgets für die am besten geeignete Lösung zu entscheiden.

In Anbetracht der immer stärkeren Verbreitung von drahtlosen Lösungen und der sich daraus ergebenden Zunahme von Schwachstellen und Bedrohungen ist es außerdem aus Sicherheitsgründen sehr wichtig, regelmäßige Updates durchzuführen, wenn neue Bedrohungen – sowie Schutzmechanismen gegen diese – entdeckt bzw. entwickelt werden. Geräteanbieter können zwar von Zeit zu Zeit Updates bereitstellen, die auch Sicherheitskomponenten enthalten; ein dediziertes WIPS kann jedoch regelmäßige Updates im ganzen Unternehmen problemlos zentral verwalten, ohne dass Experten lokal vor Ort anwesend sein müssen.

Roger Holder
Roger Holder (Bild: Jason Butcher Photography 2013)

Über den Autor

Roger Holder ist EMEA Field Marketing Manager bei Fluke Networks.

Weiterführende Informationen

Fluke Networks hat eine Reihe an Produkten entwickelt, die Techniker dabei unterstützen, eine geeignete WLAN-Topologie zu entwerfen und aufzusetzen, um optimale Leistung, Sicherheit und Compliance zu gewährleisten, BYOD-Probleme zu beheben und HF-Störungsquellen zu identifizieren.

Weitere Informationen zur Verwaltung von WLANs finden Sie im Wireless-Ressourcenzentrum von Fluke Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42694319 / Security)