Mögliche Lösungsansätze

Damit ein WLAN und dessen Kommunikation sicher betrieben werden können, gibt es verschiedene Mechanismen und Maßnahmen.

Konfiguration und Administration der WLAN Komponenten

Mittels einfacher Basisschutzmaßnahmen kann ein sonst offenes WLAN gegenüber unbefugter User abgesichert werden bzw. der Netzzugang unbefugter User erschwert werden. So sollten in einem WLAN alle möglichen (von WLAN Komponenten unterstützten) Sicherheitsmechanismen aktiviert werden, auch wenn manche Mechanismen nicht als absolute Sicherheit angesehen werden können (WEP Verfahren).

Die folgenden Schutzmechanismen sollten (wenn möglich) an den einzelnen WLAN Komponenten des Netzwerkes vorgenommen werden:

1. Die vom Hersteller verwendeten bzw. vergebenen Passwörter müssen durch eigene Passwörter geändert werden.

2. Bei der Passwortvergabe ist darauf zu achten, dass kein normales Wort als Passwort genommen wird. Man sollte das Passwort aus mindestens 8 Zeichen erstellen, wobei eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen ratsam ist.

Beispiel:
Falsches Passwort - z.B. home
Richtiges Passwort - z.B. H12al/r&

3. Die in den WLAN Komponenten vordefinierten Netzwerknamen (SSID) ändern.

4. Bei der Vergabe eines neuen Netzwerknamens (SSID) sollte kein Rückschluss auf Ort und Einsatz des WLAN zurückzuführen sein.

Beispiel:
Falscher Name - z.B. Büro, Praxis, Untermnehmensnahme, Gateway…
Richtiger Name - z.B. al12/4Bv (Prinzip wie bei Passwort)

Hierbei ist jedoch zu beachten, dass der Netzwerkname (SSID) und das Passwort unterschiedlicht sind. Zudem sollte der Netzwerkname nicht veröffentlich werden.

5. Wenn der Access Point die Möglichkeit bietet ein Administratorpasswort einzurichten, sollte dies durch den User erfolgen (Passwortprinzip beachten). Dieses Passwort sollte jedoch nicht mit dem Netzwerkpasswort und Netzwerknamen übereinstimmen.

6. Wenn der Access Point die Funktionalität eines MAC Adressen Filters besitzt, sollte dies durch den User aktiviert werden.

7. Wenn die WLAN Komponente WEP Verschlüsselung realisieren können, sollte dies durch den User aktiviert werden (mind. WEP 128 Bit) und ein sicheres Passwort vergeben werden. Noch besser für Sicherheit ist natürlich eine Aktivierung der WPA Verschlüsselung.

8. Der geheime WEP bzw. WPA Schlüssel sollte in periodischen Zeiträumen gewechselt werden. Je sensibler das WLAN und die sich darin befindlichen Daten desto geringer sollte die Wechselzeitspanne sein.

9. Der Aufstellort der WLAN Komponenten (Access Points…) ist so zu wählen, dass die Antennencharakteristika und die damit verbundene Funkzellenausbreitung bestmöglich gewählt wird. Dabei ist darauf zu achten, dass nur die gewünschten Orte mittels der Funkzelle ausgestrahlt werden.

10. Eine automatische IP-Adressenvergabe per DHCP sollte in einem Access Point nur in Ausnahmefällen konfiguriert werden. Die lokalen IP-Adressen sollten statisch vergeben werden, um so einen Fremdzugriff auf das Firmennetzwerk kontrollieren zu können.

11. Bei Nichtnutzung der WLAN Komponenten sollten diese abgeschaltet werden. So wird dem Angreifer keine Angriffsfläche eines vergessenen APs oder eines WLAN Netzwerkdruckers geboten, bei dem er in aller Ruhe versuchen kann in das Netzwerk einzudringen.

Zusätzliche technische Maßnehmen zum 802.11b-Standard

Für die Sicherstellung der Daten eines WLANs stehen dem User/Administrator zusätzliche technische Maßnahmen zur Verfügung, welche über die definierten Sicherheitsmechanismen des IEEE 802.11 Standards hinausgehen. Diese Mechanismen können die Sicherheit eines WLANs enorm erhöhen und so zu einem sichereren Netzwerkverkehr führen. Die definierten Sicherheitsmechanismen des IEEE 802.11 sind bei weitem nicht ausreichend, um einen sicheren Netzwerkverkehr in einem WLAN führen zu können.

Um eine Sicherstellung des Datenverkehrs in einem WLAN zu realisieren, sind folgende Mechanismen ratsam:

1. Eine zusätzliche und enorm wirksame Sicherheitsmaßnahme für den Betrieb eines drahtlosen Netzwerks und dessen Komponenten ist der Einsatz von VPN-Technologie (Virtual Private Network). So wird für die Kommunikation in dem WLAN ein so genannter VPN-Tunnel verwendet. Um diese Funktionalität nutzen zu können, müssen die Access Point über VPN-Gateways angesprochen werden. Diese Gateways sind dafür zuständig, dass nur autorisierte User einen Kommunikationskanal im WLAN bekommen und so in diesem kommunizieren können. Beim Verbindungsaufbau wird ein kryptografischer Tunnel (basierend auf einem VPN Protokoll z.B. IPSec) erzeugt. In diesem Tunnel werden die Kommunikationsdaten übermittelt, was ein Mithören der Kommunikationsdaten fast unmöglich macht. Zudem werden die Kommunikationsdaten in dem Tunnel noch verschlüsselt. Bei IPSEC handelt es sich um ein weltweit standardisiertes Protokoll. Somit können alle Produkte, die diese Protokoll unterstützen, für die Kommunikation eingesetzt werden.

2. Sollte eine Verwendung der VPN-Technologie aus technischen Gründen nicht realisierbar sein, sollten alternative Verschlüsselungsverfahren wie SSH, SSL …) eingesetzt werden, um so die Sicherheit im WLAN zu erhöhen.

3. Ein WLAN ist wie das Internet ein "öffentliches" Netzwerk und sollte auch dementsprechend behandelt werden. So sollte keine direkte Verbindung zwischen WLAN und LAN vorhanden sein. Damit eine sichere Kommunikation der beiden Netzwerke vollzogen werden kann, sollte eine Firewall zwischen die beiden Netzwerke integriert werden.

4. Jeder Client eines WLAN Users sollte neben allgemeinen Betriebssicherheitsmechanismen auch weitere lokale Schutzmaßnahmen implementiert haben. So sollten Mechanismen wie Benutzerauthentisierung, Virenschutz, lokale Firewall, lokale Verschlüsselung etc. in Betracht gezogen werden.

Organisatorische Maßnahmen

Neben den beiden bis jetzt aufgezeigten Maßnahmen können auch organisatorische Maßnahmen die Sicherheit der User und deren Kommunikation in einem WLAN anheben. Bei den organisatorischen Maßnahmen spielt weniger die Technik, sondern die menschliche Komponente des WLANs eine wichtige Rolle.

Für einen sicheren WLAN Betrieb sind aus organisatorischer Sicht folgende Maßnahmen ratsam:

1. Die Administratoren eines WLANs sollten die auftretenden Vorgänge innerhalb des Netzwerks restriktiv untersuchen und kritisch beurteilen, denn jede auch nur kleinste Abweichung der Norm könnte Gefahren aufdecken. Die Kontrolle der Access Point, User Clients und WLAN Komponenten kann mittels Snifferprogrammen oder anderen Analysewerkzeugen durch den Administrator erfolgen. Diese Kontrollen sollten zudem regelmäßig erfolgen. Ein spezielles Augenmerk sollte dahingehend Richtung Datenaustausch zwischen drahtgebundenen Netzwerk und WLAN erfolgen.

2. Die Mitarbeiter eines Unternehmens müssen über die Gefahren eines WLANs informiert werden. Zudem sollte ein Regelkatalog für den Gebrauch des WLANs durch die User vom Administrator erstellt werden. Dieser Regelkatalog muss für die User und deren Kommunikation im WLAN bindend gelten.