Sechs Einsatzszenarien für Wireless Intrusion Prevention Systems (WIPS)

Mithilfe eines WIPS haben Security-Profis die Möglichkeit, das drahtlose Netzwerk im Unternehmen besser zu schützen.

Die geschäftsorientierte Computing-Technologie verschiebt sich in Richtung Mobile. Desktops sind zwar immer noch ein wichtiger Teil der Unternehmens-IT, aber die Welt bewegt sich hin zum universellen drahtlosen Zugang. In erster Linie hängt das mit den immer weiter wachsenden Arten an verbundenen Geräten wie Tablets, Smartphones, Notebooks und so weiter zusammen. Der BYOD-Trend sorgt hier für weiteren Zuwachs.

Was bedeutet all diese Mobilität für Enterprise-Security-Manager? Sie müssen natürlich nicht nur mehr Unternehmensdaten schützen, sondern es greifen auch immer mehr und mehr Geräte auf diese generierten Daten zu. Hinzu kommt noch, dass der Großteil dieser Geräte dauernd in Bewegung ist. Sie greifen auf Firmeninformationen über unzählige drahtlose Verbindungen von innerhalb und außerhalb des Firmennetzwerks zu. An dieser Stelle hilft ein WIPS (Wireless Intrusion Prevention System).

In diesem Artikel zeigen wir reale Anwendungsfälle oder Szenarien für WIPS, auf die viele Unternehmen beim Einsatz drahtloser Netzwerke treffen. Die anschließend beschriebenen sechs Szenarien beschreiben Gründe, warum eine Firma ein WIPS implementieren sollte. Der Artikel als Gesamtbild kann bei der Entscheidung helfen, ob WIPS für die Absicherung des drahtlosen Netzwerks das richtige Tool ist. Weiterhin können IT-Manager einen Geschäftsfall entwickeln, der dieses drahtlose Security-Tool gegenüber der Geschäftsleitung rechtfertigt.

Szenario 1: Datendiebstahl im Netzwerk verhindern

Die offensichtlichste Anwendung für ein WIPS ist, den drahtlosen Netzwerk-Traffic vor Snooping plus Datendiebstahl zu schützen und durch Angriffe verursachte Traffic-Störungen zu verhindern.

Lässt man den Netzwerk-Traffic ungeschützt, dann hat ein Angreifer relativ leichtess Spiel. Er kann vergleichsweise einfach auf das Netzwerk zugreifen und sich sensible Daten direkt aus dem Äther saugen. Es gibt zum Beispiel sehr viele Tools, die sowohl Netzwerk-Administratoren als auch Cyberkriminelle nutzen, um Netzwerk-Traffic, die drahtlose Netzwerktopologie und Zugriffsparameter zu analysieren. Diese Tools sind frei zum Download verfügbar. Ein Beispiel hierfür ist Wireshark.

Hinzu kommt noch, dass es bei den Standardtechnologien für WLANs genügend schwerwiegende Security-Lücken gibt. Beschafft sich ein Angreifer Zugriff auf ein Funknetz, kann er auch die Zugriffsschlüssel, Anwendernamen, Passwörter und so weiter abgreifen. Damit ist er wiederum in der Lage, weiterführende Angriffe im Netzwerk auszuführen.

Die anderen Angriffe könnten direkt auf die Integrität des WLANs abzielen. Denkbar ist das Fälschen von 802.11-Frames oder man modifiziert diese für Wiederholungen. Solche Arten an Angriffen lassen sich einsetzen, um relevante Antworten vom Netzwerk zu bekommen. Damit ist es unter Umständen wiederum möglich, die Schlüssel zu knacken oder valide Session-Authentifizierungs-Tokens zu wiederholen. Die Angreifer möchten natürlich unterm Strich in Systeme einbrechen.

WIPS-Produkte können gegen solche Angriffsmethoden sehr unterstützend wirken. Möglich ist das, weil sie Netzwerk-Traffic verschlüsseln, so genannte Rogue Access Points identifizieren und nach häufig verwendeten Angriffsmustern Ausschau halten, die Angreifer gerne in drahtlosen Netzwerken einsetzen.

Szenario 2: Mit Rogue Access Points fertig werden

Sie möchten das Netzwerk natürlich geborgen und sicher halten. Genauso wichtig ist es aber, Rogue Access Points vom Netzwerk fern zu halten, die dort ganz einfach nicht hingehören. Sowohl die Security- als auch Netzwerkmitarbeiter müssen wachsam im Hinblick auf diese Rogue Access Points sein, die von Angestellten oder anderen Personen installiert werden können.

Access Points sind sehr günstig und man kann sie sehr einfach beziehen. Somit ist es nur eine Frage der Zeit, bis sich einer einbildet, dass er eine bessere drahtlose Verbindung braucht und somit seinen eigenen Access Point im Büro aufstellt. Diese nicht genehmigten Access Points können für nicht autorisierte Personen Tür und Tor ins interne Firmennetzwerk öffnen.

Zum Glück bieten die meisten WIPS und anderen drahtlosen Sicherheitsanwendungen Identifikationsmöglichkeiten, um solche Rogue Access Points erkennen zu können. Immer wenn ein nicht autorisierter Access Point identifiziert ist, können sich IT-Sicherheitsverantwortliche und Administratoren benachrichtigen lassen. Auf diese Weise ist es möglich, diese Rogue Access Points zu isolieren. Damit verbundene Endgeräte können im Anschluss nicht mehr mit dem Netzwerk kommunizieren. Manchmal lässt sich so ein Vorgehen auch automatisieren.

Szenario 3: Gastnetzwerke

Die meisten Unternehmen benötigen WLAN-Gastzugriff. Dabei ist es egal, ob es sich um eine kleine Arztpraxis, einen großen Bürokomplex oder ein Unternehmen handelt, das sich in der Stadt oder auf dem Land befindet. Jede Firma, die Besucher bekommt, wird öfter als erwartet Zugriff auf schnelles, drahtloses Netzwerk zur Verfügung stellen müssen.

WIPS und drahtlose Netzwerksicherheit ermöglichen Methoden, das produktive Büronetzwerk von Gastnetzwerken zu separieren und somit zu schützen. Den Gästen stellt man genau genommen ein separates Netzwerk zur Verfügung und verwendet dafür ein gemeinsam genutztes Passwort. Somit ist das primäre Netzwerk abgesichert und Ihre Gäste oder Besucher sind netzwerktechnisch dennoch zufrieden.

Szenario 4: Netzwerk-Monitoring und -Untersuchungen

Angriffe auf drahtlose Netzwerke passieren oft und von überall. Zum Glück erkennen WIPS Angriffsversuche und schreiben diese in eine Log-Datei. Weiterhin benachrichtigen sie bei bestimmten Angriffsaktivitäten und loggen auch andere Ereignisse, die man später untersuchen kann. Dabei ist es irrelevant, ob diese geblockt wurden oder nicht.

Natürlich hilft Netzwerk-Monitoring den Teams Netzwerk und Security, um Rogue-Geräte so schnell wie möglich zu erkennen. Außerdem können sie bestimmen, ob man diesen Geräten Zugriff auf das Netzwerk erlaubt oder diese permanent blockiert.

Die meisten WIPS kommen mit Analyse-Tools. Allerdings variieren die Leistungsmerkmale und Nutzerfreundlichkeit. Aus diesem Grund sammeln viele Unternehmen WIPS-Daten und integrieren diese WIPS-Logs in existierende und in der Regel leistungsfähigere Analyse-Tools. Es kommt nicht darauf an, ob Sie eigene Analyse-Tools oder die vom WIPS-Anbieter mitgelieferten einsetzen. Unternehmen brauchen auf jeden Fall Möglichkeiten, die relevanten Security- und Netzwerk-Ereignisse deuten zu können.

Das ist nicht nur sinnvoll, wenn man potenzielle oder erfolgreiche Angriffe identifizieren oder untersuchen soll, sondern es dient auch der Verbesserung der WLAN-Architektur.

Szenario 5: Netzwerk- und Geräteklassifizierung und -identifikation

Sobald Geräte auf das drahtlose Netzwerk zugreifen, wird ein WIPS herausfinden wollen, ob es dazu überhaupt die notwendigen Rechte hat. Das ist vor allen Dingen in Unternehmen wichtig, die viele Gäste, Besucher oder Parteiverkehr haben. Eine weitere sinnvolle Funktion von WIPS ist, dass sie die Netzwerkarchitektur, alle drahtlosen Access Points und deren Standorte identifizieren können.

Das unterstützt Unternehmen hervorragend bei der Verbesserung der Netzwerk-Performance, indem man die Standorte der Access Points nach bester Leistung optimieren kann. Außerdem lassen sich so die geografischen Standorte der Angriffe aufspüren, wenn diese während einer forensischen Untersuchung auftreten.

Szenario 6: Richtlinienkonformität (Policy Compliance)

Fast jede IT-Richtlinie verlangt von Unternehmen, dass sie die Möglichkeit haben, gute Zugriffskontrollen zu demonstrieren. Weiterhin ist es notwendig, ein gewisses Niveau an Sicherheitsrichtlinien und angemessene Konfiguration aufrecht zu erhalten. Ein WIPS stellt Möglichkeiten zur Verfügung, drahtlose Geräte bloß zu stellen, die den Compliance-Regularien nicht entsprechen.

Mithilfe von WIPS-Toolsets können interne und externe Auditoren die Konfiguration eines Netzwerks analysieren. So lässt sich zertifizieren, dass alles nach Protokoll installiert ist. Zusätzlich kann man das Generieren von Berichten automatisieren oder Reports auf Anfrage erstellen. Diese lassen sich dann mit Aufsichtsbehörden, Security-Analytikern, Ermittlern und so weiter teilen.

Fazit

Das schnelle Wachstum von drahtlosen Netzwerken setzt die Security-Teams in den Unternehmen zusätzlichem Druck aus. Sie arbeiten natürlich daran, dass die WLANs so sicher wie die drahtgebundenen Netzwerke sind. Kleinere Netzwerke mit einer übersichtlichen Anzahl an Gästen brauchen wahrscheinlich kein dediziertes WIPS. Bei mittelständische Firmen und Konzernen ist so eine Security-Komponente schon notwendig. Das gilt vor allen Dingen dann, wenn die Büros weitläufig verteilt sind. In solchen Fällen gibt es meist mehr Access Points und drahtlose Netzwerkanwender als sich manuell verwalten lassen.

Das Schützen drahtloser Netzwerke mit einem WIPS kann kompliziert sein. Das gilt natürlich auch für den Umstand, sich für das richtige WIPS-Produkt zu entscheiden. Im nächsten Beitrag zu WIPS sehen wir uns die Kriterien an, die Unternehmen vor einem Kauf eines WIPS-Produkts beachten sollten. Es kommt natürlich immer auf die speziellen Anforderungen und vor allen Dingen auf die individuelle Netzwerkumgebung an.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close