WLAN gestalten statt verbieten
WLAN gestalten statt verbieten
Fazit
Unternehmen, die eine No-Wireless-Politik fahren, sollten die WLAN-Risiken also noch einmal unvoreingenommen im Licht der aktuellen sicherheitstechnischen Möglichkeiten prüfen. Denn technisch ist es heute einfach, die Infrastruktur für die Überwachung eines No-Wireless-Netzwerkes aufzubauen und später schrittweise immer mehr Mobilität bereitzustellen. Sollten die ehemaligen Drahtlos-Verweigerer sich am Ende für eine Next-Generation-WLAN-Lösung entscheiden, könnte diese sogar für mehr Sicherheit im verkabelten Netz sorgen.
Praxistipps
Kriterien, die ein sicheres WLAN erfüllen muss
o Es sollte verhindern, dass Mitarbeiter inoffizielle AP innerhalb des geschützten Bereichs einer Organisation installieren. Solche ungenehmigten AP sind Wireless-Komponenten, die ein Mitarbeiter angeschafft und an eine RJ45-Datendose angeschlossen hat, damit sie die Inhalte des verkabelten Netzwerkes per Funk übertragen. Ob ein Netzwerk nun Wireless-fähig ist oder nicht - derartige Geheim-AP (Rogue AP) sind heute eines der grössten Risiken für die Netzwerksicherheit.
o Es sollte unangemeldete AP entdecken und ausschalten, damit niemand über sie kommunizieren kann.
o Es sollte auch Adhoc-WLAN im geschützten Bereich einer Organisation verhindern. Wo auf die Einhaltung der No-Wireless-Richtlinie geachtet wird, müssen alle Adhoc-Netzwerke - also die unkontrollierten WLAN zwischen Endanwendern - aktiv aufgespürt und ausser Betrieb genommen werden, da sie über das Client Bridging (direkte WLAN-Kommunikation zwischen Rechnern) einen unberechtigten Zugangspunkt in das Netzwerk bieten. Dazu eignet sich vor allem ein System mit umfassender Funküberwachung.
oEs sollte bei Entdeckung von ungenehmigten Ad-hoc-Netzwerken einen Alarm zum Netzwerk-Administrator senden, damit dieser die Adhoc-Vernetzung abschalten kann.
o Es muss Wireless Bridges automatisch ent-decken und den Netzwerk-Administrator über ihr Vorhandensein informieren, damit dieser den Standort des betreffenden Clients auf einer Gebäudekarte identifizieren kann. Unter Wireless Bridges sind hier nachlässig konfigurierte Clients zu verstehen, die Anwender mit WLAN-fähigen Notebooks als Brücke benutzen können, um sich Zugang zum verkabelten Unternehmensnetz zu verschaffen.
oEs sollte Clients innerhalb des geschützten Funkbereiches davon abhalten, sich in die Netzwerke benachbarter Organisationen einzuklinken, ohne den Betrieb der eigenen AP oder Clients zu beeinträchtigen. Sie sollte benachbarte Zugangspunkte automatisch nicht als bösartig klassifizieren, sondern lediglich verhindern, dass die eigenen Clients auf sie zugreifen.
Roger Hockaday
