WLAN gestalten statt verbieten

Da die Wirelss-Technologie mittlerweile sehr weit fortgeschritten ist, sind die Bedenken hinsichtlich der Sicherheit von WLAN nicht mehr stichhaltig. Die meisten Organisationen haben die Vorteile der Anwender-Mobilität und die Fähigkeiten der neuen Sicherheitstechnik auch schon erkannt. Sie halten den Wireless-Zugang heute für sicherer als ein verkabeltes LAN. Zudem ist es einfacher, eine Firma mit WLAN zu vernetzen, denn sie lassen sich auf vorhandenen Netzen ohne Upgrades oder Konfigurationsänderungen implementieren. Aus diesem Grund untersuchen viele Unternehmen nun erstmals, wie sie alle Vorteile anspruchsvoller und sicherer Mobilitätslösungen nutzen können.

Als ersten Schritt richten viele Organisationen einen dedizierten Wireless-Zugang für einzelne Anwender ein, sobald diese drahtlosen Zugriff auf geschäftliche Informationen fordern. Beim Übergang von einer durchgängigen No-Wireless-Strategie auf drahtlose Zugriffsmöglichkeiten für einige wenige User gibt es kaum Auswirkungen auf Sicherheit und Verwaltbarkeit. Ganz nebenbei verschwindet auch die Versuchung, sich als Mitarbeiter ein eigenes WLAN einzurichten. Dieser Schritt sollte aber die Sicherheit des Netzwerks keinesfalls kompromittieren und auch die IT-Mitarbeiter niemals zu stark belasten.

Die Beschränkung auf bestimmte WLAN-Nutzer ist nicht die einzige Möglichkeit der Kontrolle. Der Zugriff lässt sich auch auf bestimmte Zeiten oder Standorte einschränken. Im verkabelten LAN ist Zugang nur solange möglich, wie das Gebäude physikalisch offen ist. WLAN waren bisher ständig verfügbar. Fortschrittliche WLAN-Lösungen ermöglichen es heute allerdings, einen AP oder eine Gruppe von AP zu bestimmten Zeiten, etwa über Nacht, abzuschalten. Dann steht auch das WLAN nicht ständig zur Verfügung. So kann sichergestellt werden, dass IT-Mitarbeiter in den Betriebszeiten verfügbar sind und auftauchende Prob-leme schnell beseitigen können.

Darüber hinaus können Anwender oder Endgeräte bei der WLAN-Nutzung auf die Anwendungen beschränkt werden, die sie tatsächlich benötigen. Mit modernen Wireless-Lösungen lassen sich Regeln implementieren, die von Protokollen, IP-Adressen und Applikationen abhängen. Ist in das Drahtlosnetzwerk eine Stateful Firewall integriert, wie das einige Lösungen bieten, erzeugt diese automatisch eine Schwarze Liste (Blacklist) mit allen Anwendern, die gegen spezielle Firewall-Regeln verstossen. Das automatische Blacklisting trennt das betreffende Gerät sofort vom Netzwerk und überträgt einen Alarm zum Administrator.

Sichere Lösungen sind zudem in der Lage, den gesamten Datenverkehr verschlüsselt zurück zum Core zu übertragen, damit der Netzwerk-Traffic nicht von Eindringlingen abgehört oder verfälscht werden kann. Erfolgt die Zugangskontrolle über eine Firewall, kann man die Policy mit der Identität und Funktion des Anwenders statt mit einem willkürlichen Parameter wie der IP-Adresse verknüpfen. Das bietet erheblich mehr Schutz vor unerwünschten Eindringlingen und Fehlverhalten.