Fünf Tipps für das Management von WLAN-Gastzugriff

Unternehmensbesucher erwarten WLAN-Gastzugriff für ihre mobilen Geräte. Die IT-Abteilung muss Richtlinien festlegen, um Probleme zu vermeiden.

Eine der ersten großen Erweiterungen zu WLAN-Systemen in Unternehmen war der Gastzugriff. Damit kann sich fast jeder mit dem WLAN der Firma verbinden und hat so Zugriff auf das Internet. So wie die IT-Abteilung Richtlinien für die Angestellten des Unternehmens vorgibt, sollte sie das auch für die Gastzugriffe auf das drahtlose Netzwerk tun.

Mehr Menschen als jemals zuvor bringen intelligente Geräte in die Räumlichkeiten der Unternehmen mit. Dabei handelt es sich nicht immer um Angestellte. Man kann in der heutigen Zeit davon ausgehen, dass Besucher eines Unternehmens ein Smartphone mit sich bringen, auf dem Wi-Fi aktiviert ist. Die IT-Abteilung kann diese Gäste mit einem Zugriff auf das Internet versorgen. Doch selbst für Firmen ohne große Bedenken bezüglich IT-Sicherheit ist es sinnvoll, einige Richtlinien für die Außenstehenden aufzustellen, die das WLAN des Unternehmens nutzen.

Die IT-Abteilung kann Besuchern Zugriff auf das Unternehmensnetzwerk gestatten, indem sie einen Service Set Identifier (SSID) aufsetzt, der das Routing auf Traffic für das Wide Area Network (WAN) limitiert. Alle anderen Elemente und Services im LAN bleiben für die Gäste unsichtbar. Müssen Sie Auftragnehmern Zugriff auf das Unternehmensnetzwerk gewähren? Würde ein kostenloser Internet-Service die Kunden bei der Stange halten? In solchen Fällen muss man über die Bereitstellung eines Gastzugriffs via WLAN nicht weiter nachdenken.

Allerdings ist es nicht ganz so einfach. Die Definition eines Gastzugriffs weitet sich stets aus. Die IT-Abteilungen müssen ein paar Schutzmaßnahmen implementieren, die die meisten Unternehmen gerne übersehen. 

Verbrauchergeräte werden bald den Großteil des Traffics in Unternehmensnetzwerken ausmachen, Stichworte BYOD und IoT. Deshalb sollte die IT-Abteilung die Richtlinien für den Netzwerkzugriff durch Gäste sehr genau überdenken und die Funktion nicht einfach mit den Standardwerten aktivieren.

Vorsichtsmaßnahmen für die Gastzugriffe implementieren

Stellen Sie einen Gastzugriff zur Verfügung, geht es dabei nicht nur um die Einschränkung beim Routing. Die meisten Unternehmen sollten den Gastzugriff als eine weitere CoS (Class of Service) behandeln, die im Netzwerk aktiv ist. Bei einem Gastzugriff muss es sich auch nicht um einen einzigen Satz an Leistungsmerkmalen handeln, der von der IT-Abteilung abgesegnet ist. Unternehmen können sich Services für verschiedene Typen an Gästen maßschneidern.

Wenn Sie eine Richtlinie für den Netzwerkzugriff von Gästen erstellen, dann sollten Sie folgende fünf Punkte beachten:

  1. Betriebliche Spezifikationen: Konzentrieren Sie sich auf die Kundschaft und entscheiden Sie dann, welche Services die IT entsprechend aktivieren sollte. Zugriff auf das Internet muss man in der Regel nicht weiter diskutieren. Allerdings möchte die IT-Abteilung vielleicht den Zugriff auf diverse Seiten einschränken. Die IT-Abteilung kann einigen Gästen auch das Drucken erlauben oder Zugriff auf ein öffentlich freigegebenes Verzeichnis gestatten. Beispiele dafür sind Langzeitpartner oder Besucher mit hoher Priorität. QoS (Quality of Service) sollte man ebenfalls in Erwägung ziehen. Viele Unternehmen priorisieren den Traffic von Gästen niedriger als den meisten, wenn nicht den gesamten anderen Netzwerkverkehr. Einige Firmen schränken den Zugriff möglicherweise auf einen Satz erlaubter Geräte und Betriebssysteme ein. So werden die Möglichkeiten für Unfug minimiert.
  2. WPA2-Schlüssel pro Sitzung: Sehen Sie sich nach Services von Dritten um, die Security-Schlüssel automatisch auf einer Pro-Anwender-Basis zuweisen. Geben Sie nicht einfach jedem ein identisches Passwort. Wenn Sie pro Anwender und pro Sitzung an die Sache herangehen, ist es einfacher, spezielle Problemgäste zu blockieren. Dabei stören Sie alle anderen nicht. Ein drahtloses Netzwerk in einem Unternehmen sollte über ein Sicherheitsniveau von mindestens WPA2 verfügen. Gemeint sind hier zum Beispiel 802.1X, IPSec, SSL und so weiter. Eine Firma sollte ihr WLAN niemals offen lassen.
  3. Zustimmung auf einer Vorschaltseite: Unternehmen sollten die Richtlinien für den Zugriff auf ihr Netzwerk auf einer Vorschaltseite oder Splash-Seite klarstellen. Diese Seite wird jedem Gast vor einer Nutzung angezeigt und enthält im Idealfall eine Schaltfläche, über die ein Anwender zustimmen muss. Das ist eine Schutzmaßnahme, sollte ein Gast die Richtlinien der IT-Abteilung oder sogar Gesetze verletzen.
  4. Ablaufdatum für Zugangsdaten: Die Login-Daten für Gäste sollten nach einem vordefinierten Zeitraum ablaufen. Eine mögliche Frist wäre hier das Ende des jeweiligen Tages, nach 24 Stunden oder nach einigen Tagen. Laufen Zugangsdaten nicht ab, ergibt sich daraus häufig eine Sicherheitslücke. So bestünde die potenzielle Gefahr für einen unautorisierten Wiedereinstieg in das Netzwerk.
  5. Identitätsmanagement: Viele Anbieter von WLANs stellen IDM-Leistungsmerkmale (Identitätsmanagement) zur Verfügung. Damit hat die IT-Abteilung die Möglichkeit, Daten über die Gäste zu sammeln. Die Unternehmen können diese anonymisierten Daten für eigene Zwecke behalten und sie für Analysen verwenden, wie die Gäste das Netzwerk nutzen. IDM-Services vereinfachen es auch, mehrere Klassen an Gästen zu definieren und den jeweiligen Gruppen verschiedene Rechte einzuräumen. Schließlich haben Unternehmen häufig unterschiedliche Arten an Besuchern, die wiederum differenzierten Zugriff auf das Netzwerk benötigen.

Auch wenn immer mehr Verbraucher-WLANs Gastzugriffe zur Verfügung stellen, sollten sich kleinere Unternehmen davon nicht in die Irre führen lassen. WLAN-Systeme der Enterprise-Klasse sind für den Einsatz im großen Stil ausgelegt, aber auch für kleinere Firmen wichtig. Nur so lassen sich die oben beschriebenen Anforderungen erfüllen.

Fazit

Gastzugriff ist in Wirklichkeit nur eine weitere CoS mit dazugehörigem QoS. Zusätzlich gelten Richtlinien für Security und Routing, da der Traffic parallel zu anderem läuft. Im Endeffekt handelt es sich um einen Satz an Richtlinien für eine bestimmte Klasse an Anwendern, wobei hier häufig wieder in differenzierte Klassen an Gästen unterteilt wird. 

Routing und Rechte legt man behutsam für die jeweiligen Ansprüche fest. Durch Identitätsmanagement können IT-Abteilungen diese Richtlinien einfach an die modernen Anforderungen nach Netzwerkzugriffen anpassen. Wenn Sie den Gästen drahtlosen Zugriff erlauben, dann vergessen Sie dabei aber nicht die oberste Priorität der IT-Abteilung. Das ist das Management und die Absicherung des Netzwerks.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2015 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close