zinaidasopina112 - stock.adobe.c

WLAN-Sicherheit: Best Practices für Wi-Fi-Netzwerke

Mit unseren Best Practices für die Sicherheit von drahtlosen Netzwerken können Sie das WLAN Ihres Unternehmens vor den größten Bedrohungen und Schwachstellen schützen.

Für viele Unternehmen ist das kabelgebundene Ethernet nicht mehr die erste Wahl. Stattdessen ist Wi-Fi zur bevorzugten Netzwerkzugangstechnologie für Benutzer und Endgeräte geworden. Wireless LANs (kurz: WLAN) bieten viele Vorteile gegenüber ihren kabelgebundenen Alternativen. Sie sind zuverlässig, flexibel und können die Betriebskosten senken. WLANs lassen sich leicht installieren, unterstützen mobiles Arbeiten, so dass man nicht an einen bestimmten Ort gebunden ist, und können einfach skaliert werden.

Den Vorteilen steht jedoch auch ein großer Nachteil gegenüber: die Sicherheit. Die grenzenlose Natur von Wi-Fi – in Kombination mit einer verwirrenden Vielzahl an alten und neuen Authentifizierungs-, Zugriffssteuerungs- und Verschlüsselungstechniken – macht WLAN-Sicherheit zu einer kaum zu bewältigenden Herausforderung.

WLAN-Sicherheit ist ein komplexes Thema, dem wir uns daher schrittweise nähern wollen. Zunächst erörtern wir einige gängige WLAN-Bedrohungen, mit denen Unternehmen konfrontiert werden, wenn die richtigen Sicherheitsrichtlinien nicht vorhanden sind. Dann untersuchen wir die Entwicklungsgeschichte der WLAN-Sicherheit und die Techniken, die heutige Sicherheitstechniker für optimal halten. Abschließend stellen wir einige Best-Practice-Empfehlungen für die WLAN-Sicherheit im Detail vor.

WLAN: Bedrohungen und Schwachstellen

Von WLAN ausgehende Bedrohungen der Cybersicherheit können zu Datenverlusten, Malware-Infektionen, DDoS-Angriffen (Distributed Denial of Service) und anderen Schreckensszenarien führen. Es gibt viele Bedrohungen und Schwachstellen, auf die Sie achten sollten. Dazu zählen die folgenden Punkte:

  • IP-Spoofing: Wenn ein Angreifer erfolgreich eine Verbindung zum Unternehmens-WLAN hergestellt hat, kann er mithilfe von Tools die Identität von vertrauenswürdigen Geräten annehmen – sogenanntes Spoofing. Dazu wird die Quell-IP-Adresse im Paket-Header geändert. Im Gegenzug können empfangende Geräte die manipulierten Pakete unwissentlich akzeptieren. DDoS-Botnets und Man-in-the-Middle-Angriffe gehören zu den am häufigsten eingesetzten Taktiken beim IP-Spoofing.
  • DNS-Cache-Spoofing/Poisoning: Beim DNS-Spoofing wird ein nicht autorisiertes Gerät im WLAN platziert, um den DNS-Server zu fälschen, den andere verbundene Clients verwenden. Nutzer und Geräte, die versuchen, auf eine vertrauenswürdige Remote-Ressource, zum Beispiel eine Website, zuzugreifen, werden von dem gefälschten DNS-Server auf den Server des Angreifers umgeleitet.
  • Rogue-/Evil-Twin-APs (Access Points): Hierzu richten Angreifer einen Access Point (AP) ein, der den gleichen oder einen ähnlich aussehenden Service Set Identifier (SSID) wie der reguläre Access Point nutzt. Ahnungslose Nutzer verbinden sich mit dem Rogue-Gerät, auf dem der Traffic erfasst und überwacht werden kann, oder werden sogar zu manipulierten Zielen umgeleitet.
  • War Driving. Wenn sich WLAN-Signale außerhalb der Unternehmensmauern im öffentlichen Raum ausbreiten, suchen War Driver aus Fahrzeugen heraus nach offenen oder ausnutzbaren WLANs, um diese für einen kostenlosen Internetzugang zu nutzen – sogenanntes Piggybacking. Dahinter können aber auch kriminellere Motive stecken, etwa der Versuch, sensible Unternehmensdaten aufzuspüren und zu stehlen.
Abbildung 1: Ein Evil-Twin-AP ahmt eine Unternehmens-SSID nach und versucht Firmengeräte dazu zu bringen, sich mit ihm anstatt mit dem legitimen AP zu verbinden.
Abbildung 1: Ein Evil-Twin-AP ahmt eine Unternehmens-SSID nach und versucht Firmengeräte dazu zu bringen, sich mit ihm anstatt mit dem legitimen AP zu verbinden.

WLAN-Sicherheit: Entwicklung im Laufe der Zeit

Die ersten WLAN-Versionen konzentrierten sich mehr auf die Konnektivität als auf die Sicherheit. Daher wurden WLAN-Sicherheitsprotokolle entwickelt, um einen sicheren Zugang zu gewährleisten.

WEP

Der WEP-Standard (Wired Equivalent Privacy), der Ende der 1990er Jahre eingeführt wurde, war der erste Versuch, den Zugriff von Hackern auf WLAN-Datenverkehr zu verhindern Er hatte jedoch schwerwiegende Mängel. WEP stützte sich ausschließlich auf Pre-Shared Keys (PSK), um Geräte zu authentifizieren. Die PSKs wurden allerdings nicht häufig genug geändert, und Hacker fanden heraus, dass sie mit einfachen Tools den statisch verschlüsselten Key in nur wenigen Minuten knacken konnten. WEP gilt heute als höchst unsicher und sollte in Unternehmen nicht mehr zum Einsatz kommen.

WPA

Im Jahr 2003 wurde ein neuer Standard, Wi-Fi Protected Access (WPA), standardisiert. Er bot einen sichereren Verschlüsselungsmechanismus. Das ursprüngliche WPA nutzt eine stärkere, paketweise Key-Verschlüsselung, das sogenannte Temporal Key Integrity Protocol.

WPA2, das 2004 veröffentlicht wurde, vereinfachte das Konfigurationsmanagement und fügte den Advanced Encryption Standard (AES) für einen stärkeren Schutz hinzu.

Das 2018 eingeführte WPA3 verwendet noch stärkere Verschlüsselungsmechanismen. Da es sich jedoch um einen relativ neuen Standard handelt, können viele Legacy-Geräte WPA3 nicht unterstützen. Deshalb setzen Unternehmen heute in der Regel eine Kombination der drei WPA-Protokolle ein, um ihre Firmen-WLANs zu schützen.

WPA wird in der Regel mit einer von zwei unterschiedlichen Methoden zur Verteilung von Authentifizierungsschlüsseln konfiguriert:

  1. WPA Personal, auch als WPA-PSK bezeichnet, basiert auf einem vorab vereinbarten und bekannten Passwort, das die Benutzer verwenden, um Zugriff auf das Netzwerk zu erhalten. Da diese Authentifizierungstechnik im Shared-Verfahren genutzt wird, gilt sie als weniger sicher als WPA-Enterprise.
  2. WPA Enterprise, auch WPA-Extensible Authentication Protocol (WPA-EAP) genannt, verwendet den Remote Authentication Dial-In User Service (RADIUS) nach 802.1X, um eine Verbindung zu einer Benutzerdatenbank herzustellen, die individuelle Nutzernamen und Passwörter enthält. Bei WPA-EAP muss jeder Anwender einen gültigen Benutzernamen und das zugehörige Passwort eingeben, bevor er Zugang zum WLAN erhält. Diese Methode gilt als sicher, weil keine Passwörter zwischen Benutzern und Geräten ausgetauscht werden.
Abbildung 2: Vergleich von WEP, WPA, WPA2 und WPA3.
Abbildung 2: Vergleich von WEP, WPA, WPA2 und WPA3.

WLAN-Sicherheit: Tipps für Best Practices

Unternehmen sollten eine kohärente Strategie zum Schutz ihrer WLANs vor Datenverlusten und unberechtigtem Zugriff sorgfältig planen und umsetzen. Während die endgültigen Sicherheitsoptionen vom erforderlichen Schutzniveau und dem verfügbaren Budget abhängen, gibt es einige wichtige generelle Tipps und Techniken.

Wie bei allen anderen Sicherheitsmaßnahmen sollten Sie darauf achten, dass Ihre IT-Sicherheitsrichtlinien die Zugriffsanforderungen festlegen: Wer braucht wann Zugriff auf was? Beziehen Sie auch Remote- und mobile Mitarbeiter ein.

Außerdem gehören folgende Aspekte zu den Best Practices:

  • Segmentierung der Wi-Fi-Nutzer und -Geräte nach SSID: Abteilungen und Geräte nutzen WLANs auf unterschiedliche Weise. Infolgedessen lässt sich nicht jedes Gerät mit demselben Standard absichern. Eine Möglichkeit, Geräte, die etwa WPA-Enterprise unterstützen, vor denen zu schützen, die nur WPA-Personal beherrschen, besteht darin, Legacy-Geräte per logischer Segmentierung in eine separate SSID zu verfrachten. Nach der Segmentierung können die weniger sicheren Endpunkte mit entsprechenden Zugriffsrichtlinien geschützt werden.
  • Gast-Wi-Fi: Richten Sie eine separate Gast-Wi-Fi-SSID für die Benutzer und Geräte ein, die nur Internetzugang benötigen. Zugriffsrichtlinien können diese Geräte an der Kommunikation mit Nutzern oder Geräten im Unternehmensnetzwerk hindern, ermöglichen ihnen aber weiterhin Internetkonnektivität.
  • Reduzierung der Signalstreuung: Bei APs, die in der Nähe von Außenwänden installiert sind, sollten Sie die Sendeleistung sorgfältig wählen, um eine zu starke Signalstreuung auf nahe gelegene Parkplätze oder öffentliches Gelände zu verhindern. Dies trägt zum Schutz vor externen Funkstörungen bei und verringert die Wahrscheinlichkeit, dass ein Unberechtigter sich erfolgreich mit dem Netzwerk verbinden kann.
  • Erkennen von Rogue-APs: Die meisten WLAN-Plattformen für den Enterprise-Bereich enthalten Tools, mit denen sich die 802.11-Funkfrequenzbereiche überwachen lassen, um Rogue-APs zu identifizieren – oder Access Points, die potenziell Unternehmens-SSIDs fälschen.
  • 802.1x-Authentifizierung versus PSK: Verlangen Sie, wann immer möglich, dass sich Benutzer und Geräte per 802.1x und nicht mit einem PSK authentifizieren. Dies reduziert die Notwendigkeit, PSKs mehrmals im Jahr manuell zu ändern. Außerdem wird damit das Teilen von PSKs verhindert, was dazu führen kann, dass Hacker Wi-Fi nutzen, um sich unbefugten Zugang zum Unternehmensnetzwerk zu verschaffen.
  • Switch-Port-Konfigurationen für das LAN: Konfigurieren Sie die Switch-Ports, die WLAN-APs mit dem Unternehmens-LAN verbinden, unter Berücksichtigung der Sicherheit. Bringen Sie die IP-Adressen für die AP-Verwaltung in einem segmentierten virtuellen LAN unter, so dass nur bestimmte VLANs mit den APs verbunden werden können. Verwenden Sie statische oder feste (sticky) Port-Security-Verfahren für MAC-Adressen (Media Access Control), um zu verhindern, dass Personen einen AP entfernen und ein nicht autorisiertes Gerät an das LAN anschließen.
  • Einsatz von externen Sicherheits-Tools, die WLANs weiter absichern können: Nutzen Sie ergänzend andere Tools zum Schutz von Nutzern, Geräten und Daten, die über das WLAN transportiert werden. Beispiele hierfür sind:
    • Network-Access-Control- (NAC) oder Unified-Endpoint-Management-Plattformen (UEM), um granulare Zugriffssteuerungen zu ermöglichen;
    • VPN-Technologien zum Schutz, wenn sensible Daten über unsichere WLAN-Verbindungen gesendet oder empfangen werden; und
    • KI-gestützte NDR-Plattformen (Network Detection and Response), die den Traffic überwachen und Mitarbeiter warnen können, wenn Benutzer, Geräte oder Traffic-Ströme vom normalen Verhalten abweichen. Dies ist ein Zeichen dafür, dass eine Form von WLAN-Kompromittierung vorliegt.

Es gelten auch andere übliche Best Practices für die Sicherheit. Unter anderem sollten Sie:

  • Firewalls und Malware-Schutz verwenden;
  • einen sicheren Remote-Zugriff über VPNs, Zero Trust Network Access (ZTNA) oder Secure Access Service Edge (SASE) gewährleisten;
  • Software patchen und auf dem neuesten Stand halten;
  • Default-Anmeldedaten ändern;
  • die Benutzer über Sicherheitsfragen aufklären; und
  • sich über aktuelle Sicherheitsbedrohungen auf dem Laufenden halten.

Erfahren Sie mehr über WLAN und Mobilfunk

ComputerWeekly.de
Close