von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - WLAN im Unternehmen richtig absichern (1)
Parallele WLAN-Services auf Basis von virtuellen Access Points
In der Vergangenheit genügte die Installation eines einfachen Access Points, um den Zugang der Benutzer per WLAN zu gewährleisten. Heute kommuniziert eine Vielzahl unterschiedlicher Komponenten mit den unterschiedlichsten Sicherheitsanforderungen per Wireless LAN. Um den individuellen Sicherheitsanforderungen gerecht zu werden, installieren IT-Verantwortliche entweder mehrere Access Points oder nutzen die virtuelle Access Point-Technologie. Letztere spart nicht nur Platz und Geld, sondern schafft die Voraussetzung für die Nutzung von an die individuellen Sicherheitsanforderungen angepassten Diensten im Netzwerk.
Ein virtueller Access Point stellt eine logische Zugangskomponente innerhalb eines realen Access Points dar. Ein virtueller AP erbringt gegenüber den WLAN-Endgeräten die gleichen Dienste und Funktionen wie ein normaler physikalischer AP. Jeder virtuelle AP verfügt über einen vollständigen 802.11 Media Access Control (MAC)-Layer, inklusive dem individuellen Basic Service Set Identifikator (BSSID), dem Service Set Identifikator (SSID) und den notwendigen Sicherheitsfunktionen. Jeder virtuelle AP lässt sich vom Netzadministrator wie ein handelsüblicher AP konfigurieren.
Virtuelle APs und Interoperabilität
Durch die Implementation eines kompletten MAC-Protokollstacks in jedem virtuellen AP wird sichergestellt, dass sämtliche IEEE 802.11-Standards eingehalten werden und somit keine Interoperabilitätsprobleme mit anderen Wi-Fi-Komponenten entstehen.
Jede MAC-Instanz agiert dabei wie ein physikalischer AP und sendet periodisch eine Beacon-Sequenz aus. Der Beacon ist eine Art Leuchtfeuer, mit dessen Hilfe der AP die SSID und die wichtigsten Betriebsparametern propagiert. Der WLAN-Client sendet eine Anforderungsabfrage (Probe Request), die der Access Point mit einer Anforderungsantwort (Probe Response) quittiert. Sind die gegenseitigen Parameter passend, beginnt der Einbuchungsvorgang des WLAN-Clients auf dem Access Point. Durch die unabhängigen MAC-Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren. Dieses Verfahren bietet besonders Vorteile für Wireless ISPs, die ihre Nutzer von einer einfachen Authentifizierungsmethode (auch bekannt als "Web Login") auf eine wesentlich sichere Zugangsmethode (auf Basis von WPA,WPA2) migrieren wollen und dabei ihr Branding auf der bereits bekannten SSID beibehalten wollen.
In der Vergangenheit wurden bereits ähnliche Lösungsansätze von der Industrie entwickelt. Diese stellten jedoch in der Praxis einen Kompromiss dar und resultierten in verminderter Interoperabilität oder die angebotenen Services waren nicht vollständig unabhängig voneinander. Werden beispielsweise mehrere SSIDs mit Hilfe einer BSSID propagiert, führt dies auf den Clients zu Interoperabilitätsproblemen. Die Ursache hierfür liegt darin, dass einige Wi-Fi-NICs nicht mehr korrekt arbeiten, wenn sich die einer BSSID zugeordneten SSIDs während des Monitoring der Beacon Frames und der Probe Reply Messages ändern.
Der Schlüssel zu einer vollständigen Interoperabilität virtueller APs liegt in der Bereitstellung unabhängiger MAC-Protokolle (inklusive universeller BSSIDs pro SSID). Dieses Verfahren nennt sich "Single SSIDs/Beacon, Multiple Beacon, Multiple BSSIDs". Auf Basis dieses Verfahrens enthält jeder Management-Frame nur noch eine SSID. Der Netzzugangspunkt übermittelt somit die individuellen Beacon Frames während des Standard Beacon-Intervalls für jeden konfigurierten virtuellen AP und propagiert ebenfalls pro virtuellen AP den individuellen BSSID (oder die MAC-Adresse). Die Zugangskomponente reagiert auf Probe Requests der unterstützten SSIDs (inklusive Broadcast SSIDs) mit einem Probe Response und übermittelt damit die Betriebsparameter des virtuellen APs.
Zu den Betriebsparametern gehören beispielsweise Sicherheitsfunktionen (WEP, WPA) und QoS-Informationen. Dies setzt jedoch voraus, dass bei "n" unterstützten SSIDs während eines Standard Beacon-Intervalls (T) die Anzahl der Beacon Frames mit der Anzahl der per Broadcast übermittelten SSIDs multipliziert wird und der zeitliche Abstand zwischen den Beacons aus einem T/N-Intervall besteht. Dadurch wird sichergestellt, dass mehrere SSIDs nicht die spezifizierte Zeit für einen aktiven oder passiven Scanzyklus überschreiten.
Im zweiten Teil unseres Beitrags sehen wir uns die Absicherungsmöglichkeiten mit virtuellen Access Points noch einmal genauer an und werfen abschließend einen Blick auf relevante Gesetze und deren aktueller Auslegung.
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
In der Vergangenheit genügte die Installation eines einfachen Access Points, um den Zugang der Benutzer per WLAN zu gewährleisten. Heute kommuniziert eine Vielzahl unterschiedlicher Komponenten mit den unterschiedlichsten Sicherheitsanforderungen per Wireless LAN. Um den individuellen Sicherheitsanforderungen gerecht zu werden, installieren IT-Verantwortliche entweder mehrere Access Points oder nutzen die virtuelle Access Point-Technologie. Letztere spart nicht nur Platz und Geld, sondern schafft die Voraussetzung für die Nutzung von an die individuellen Sicherheitsanforderungen angepassten Diensten im Netzwerk.
Virtuelle APs und Interoperabilität
Durch die Implementation eines kompletten MAC-Protokollstacks in jedem virtuellen AP wird sichergestellt, dass sämtliche IEEE 802.11-Standards eingehalten werden und somit keine Interoperabilitätsprobleme mit anderen Wi-Fi-Komponenten entstehen.
Jede MAC-Instanz agiert dabei wie ein physikalischer AP und sendet periodisch eine Beacon-Sequenz aus. Der Beacon ist eine Art Leuchtfeuer, mit dessen Hilfe der AP die SSID und die wichtigsten Betriebsparametern propagiert. Der WLAN-Client sendet eine Anforderungsabfrage (Probe Request), die der Access Point mit einer Anforderungsantwort (Probe Response) quittiert. Sind die gegenseitigen Parameter passend, beginnt der Einbuchungsvorgang des WLAN-Clients auf dem Access Point. Durch die unabhängigen MAC-Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren. Dieses Verfahren bietet besonders Vorteile für Wireless ISPs, die ihre Nutzer von einer einfachen Authentifizierungsmethode (auch bekannt als "Web Login") auf eine wesentlich sichere Zugangsmethode (auf Basis von WPA,WPA2) migrieren wollen und dabei ihr Branding auf der bereits bekannten SSID beibehalten wollen.
In der Vergangenheit wurden bereits ähnliche Lösungsansätze von der Industrie entwickelt. Diese stellten jedoch in der Praxis einen Kompromiss dar und resultierten in verminderter Interoperabilität oder die angebotenen Services waren nicht vollständig unabhängig voneinander. Werden beispielsweise mehrere SSIDs mit Hilfe einer BSSID propagiert, führt dies auf den Clients zu Interoperabilitätsproblemen. Die Ursache hierfür liegt darin, dass einige Wi-Fi-NICs nicht mehr korrekt arbeiten, wenn sich die einer BSSID zugeordneten SSIDs während des Monitoring der Beacon Frames und der Probe Reply Messages ändern.
Der Schlüssel zu einer vollständigen Interoperabilität virtueller APs liegt in der Bereitstellung unabhängiger MAC-Protokolle (inklusive universeller BSSIDs pro SSID). Dieses Verfahren nennt sich "Single SSIDs/Beacon, Multiple Beacon, Multiple BSSIDs". Auf Basis dieses Verfahrens enthält jeder Management-Frame nur noch eine SSID. Der Netzzugangspunkt übermittelt somit die individuellen Beacon Frames während des Standard Beacon-Intervalls für jeden konfigurierten virtuellen AP und propagiert ebenfalls pro virtuellen AP den individuellen BSSID (oder die MAC-Adresse). Die Zugangskomponente reagiert auf Probe Requests der unterstützten SSIDs (inklusive Broadcast SSIDs) mit einem Probe Response und übermittelt damit die Betriebsparameter des virtuellen APs.
Zu den Betriebsparametern gehören beispielsweise Sicherheitsfunktionen (WEP, WPA) und QoS-Informationen. Dies setzt jedoch voraus, dass bei "n" unterstützten SSIDs während eines Standard Beacon-Intervalls (T) die Anzahl der Beacon Frames mit der Anzahl der per Broadcast übermittelten SSIDs multipliziert wird und der zeitliche Abstand zwischen den Beacons aus einem T/N-Intervall besteht. Dadurch wird sichergestellt, dass mehrere SSIDs nicht die spezifizierte Zeit für einen aktiven oder passiven Scanzyklus überschreiten.
Im zweiten Teil unseres Beitrags sehen wir uns die Absicherungsmöglichkeiten mit virtuellen Access Points noch einmal genauer an und werfen abschließend einen Blick auf relevante Gesetze und deren aktueller Auslegung.
<<Vorherige Seite Seite 2 von 2
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
