Sicherheit in der
Informatik - KMU, Mittelstand und Heimbüro
WLAN
Drahtlose Netzwerke
Viele Anwender sind sich dem Risiko nicht bewusst:
Die Einrichtung eines Drahtlosen Netzwerkes entspricht einem
Netzwerkkabel, welches bis auf die Strasse vor dem Haus verlegt ist -
und lädt nicht nur die gewünschten Besucher ein!
Aktuelle Technik
| Standard |
|
Brutto-Datenrate |
|
Frequenzband |
| 802.11a |
|
54 Mb/s |
|
5 GHz |
| 802.11b |
|
11 Mb/s |
|
2.4 GHz |
| - |
|
16..22 Mb/s |
|
2.4 GHz |
| 802.11g |
|
54 Mb/s |
|
2.4 GHz |
| - |
|
118 Mb/s |
|
2.4 GHz |
So kann jedermann mit der richtigen Ausrüstung -
ein Handheld oder Notebook mit einer WLAN-Karte ist bereits ausreichend
- aus der näheren Umgebung auf Ihr Netzwerk zugreifen, als ob er lokal
angeschlossen wäre. Der Notebook im Garten, auf der Terrasse oder im
Sitzungszimmer bleibt immer Online, das kann für Sie eine grosse
Arbeitserleichterung darstellen, birgt aber einige nicht zu
unterschätzende Risiken:
- Würmer und Trojanische Pferde können sich vom
System des ungebetenen Gastes an Ihrem Firewall vorbei direkt in Ihrem
Netzwerk verbreiten.
- Systeme, welche ungeschützt sind, bieten
wiederum grosse Angriffsflächen.
Schutzmöglichkeiten
| Bezeichnung |
|
Technik |
|
Nachteil |
|
Sicherheit |
| ESSID, SID |
|
Grundlage für WLAN |
|
Kann vom Access Point öffentlich bekannt
gegeben oder unterdrückt werden |
|
Muss auf beiden Seiten bekannt sein, sonst
ist keine Verbindung möglich. Unterdrückung der (ES)SID ist nur
bedingt nützlich.
Standardeinstellungen (WIRELESS, WLAN, DEFAULT usw.) aber trotzdem
unbedingt ändern! |
| WEP |
|
bis zu 4 statische Schlüssel |
|
Shared Key, muss auf beiden Seiten bekannt
sein; Häufiger Wechsel ist ein Muss |
|
Verschlüsselung mit 56(64) bit, 112(128), neu
auch 224 (256) bit - da die TCP/IP Protokoll-Header (va. Adressen)
immer wieder identisch sind können die Schlüssel relativ einfach
geknackt werden. |
| MAC Liste |
|
Einschränkung (oder Ausschluss) auf bestimmte
WLAN Karten durch Liste der physikalischen Adressen |
|
Kein Schutz gegen Abhören, MAC Adressen
können gefälscht werden |
|
- |
| VPN |
|
VPN Tunnel basierend auf IPSEC (IETF
Standard), PPTP, L2TP oder L2F (proprietär) |
|
VPN sind aufwendig in der Konfiguration und
Betrieb. |
|
Keine Verschlüsselung aller LAN Pakete, nut
TCP/IP |
| SSH |
|
SSH Tunnel oder, SSH Verbindungsschutz
(End-to-End) |
|
- |
|
Keine Verschlüsselung aller LAN Pakete, nur
TCP/IP |
| 802.11x |
|
Authentication, sonst keine Verbindung mit
dem Netzwerk möglich |
|
Muss von jedem Client unterstützt werden
(Notebook, Handheld...) |
|
Automatischer Schlüsselaustausch pro
Verbindung, für alle LAN Pakete |
| WPA |
|
Wireless Protected Access |
|
Muss von jedem Client unterstützt werden
(Notebook, Handheld...) |
|
Automatischer Schlüsselaustausch pro
Verbindung, für alle LAN Pakete |
| Firewall zwischen WLAN und LAN |
|
Firewall mit Session Authentication |
|
Konfigurationsaufwand, nur bedingt
transparent |
|
Wo WLAN und höhere Sicherheit zusammen kommen
führt kein Weg daran vorbei! |
Mit den Erfahrungen von Applied Security aus der
Installation von umfangreichen WLAN Infrastrukturen in Industrie,
Transport und im Telekom-Umfeld sind wir Ihr kompetenter Partner auch
für WLAN Installationen. |
