von Redaktion IT-A…
Lesezeit
3 Minuten
WLAN im Unternehmen richtig absichern (2)
Wenn das kabellose Netz das physikalische Netzwerk weitgehend oder auch nur teilweise im Unternehmen ersetzt, genießt die Sicherheit selbstverständlich die gleiche, hohe Priorität. Doch muss der IT-Verantwortliche auf andere Technologien zurückgreifen, um diese zu realisieren. Gleichzeitig muss er sich mit einer neuen Rechtslage hinsichtlich WLAN und dessen Schutz vertraut machen. Im zweiten Teil unseres Beitrags sehen wir uns die Absicherungsmöglichkeiten mit virtuellen Access Points genauer an und werfen abschließend einen Blick auf relevante Gesetze und deren aktueller Auslegung.
Kabellose VLANs
Auf Basis der virtuellen AP-Technologie lassen sich jedem virtuellen AP individuelle Quality of Service (QoS)-Charakteristiken zuordnen. Zeitkritische (beispielsweise Voice over IP, Multimedia) und normale Verkehrsflüsse (beispielsweise FTP, E-Mail) lassen sich simultan – ohne sich gegenseitig zu beeinflussen – übermitteln. Die Performance über die kabelgebundene Infrastruktur wie auch das Funkmedium erfordert in den Endgeräten nur die Unterstützung folgender Standards: IEEE 802.1p und/oder DIFFSERV (RFC 2474). Die virtuelle AP-Technologie stellt somit die Adaption der virtuellen LANs (VLANs gemäß IEEE 802.1q) auf dem Wireless Medium dar.
Darüber hinaus lässt sich die Wi-Fi-Infrastruktur auf Basis einer virtuellen AP-Technologie zwischen mehreren logischen Benutzergruppen aufteilen und trotzdem die entsprechenden individuellen Sicherheitsfunktionen bereitstellen. Jeder virtuelle Access Point wird dabei einem Ethernet-VLAN zugeordnet und stellt ausschließlich nur den Zugriff auf die für die betreffende Benutzergruppe freigegebenen Ressourcen sicher. Bei der Kommunikation mit dem Unternehmens-Backbone über den WLAN-Zugang bleiben sämtliche VLAN-Sicherheitsregeln erhalten und müssen nicht speziell modifiziert werden.
Jedes Ethernet-VLAN lässt sich einem virtuellen AP auf Basis eines individuellen Broadcast-Key zuordnen. Somit ist die Integrität der Broadcast-Domänen garantiert. Die WLAN-Clients empfangen nur den ihnen zugeordneten Broadcast-Verkehr, denn aufgrund der Parametrierung lassen sich die Daten anderer VLANs nicht dekodieren.
Virtuelle APs sorgen für konsistente Sicherheit
Die virtuellen Access Points können einen wesentlichen Eckpunkt der WLAN-Architektur darstellen. Diese ermöglicht beispielsweise, dass ein Hinzufügen eines WLAN-Zugangspunkts in das Unternehmensnetz keine Änderungen der bereits verfügbaren Ethernet Switching-Infrastruktur, der Sicherheitsregeln und des Managementsystems zur Folge hat. Die meisten heute eingesetzten LANs basieren auf dem IEEE 802.1q-Standard und die Switches garantieren auf Basis des VLAN-Standards eine höhere Performance, eine erweiterte Managebarkeit und eine verbesserte Flexibilität. Diese Technik erweitert die VLAN-Infrastruktur durch ein Mapping der virtuellen APs (und der entsprechenden WLAN-Nutzer) in die festgelegten VLAN-Gruppen bei gleichzeitiger Einhaltung aller Sicherheitsfunktionen sowohl im LAN als auch im WLAN.
Die heute verfügbaren virtuellen Access Points unterstützen alle wesentlichen WLAN-Authentifizierungs- und -Sicherheitsmechanismen. Diese lassen sich unabhängig voneinander konfigurieren und dem Datenverkehr der jeweiligen Nutzer zuordnen. Hierzu zählen:
Ohne Absicherung kein Recht
Die strafrechtlichen Aspekte der Angriffe auf WLANs sind viel zu wenig bekannt und die meisten Angriffe auf funkbasierte Computernetzwerke bleiben unentdeckt. Dabei ist die Rechtslage eigentlich eindeutig: "Ungeladene" Gäste in einem WLAN verstoßen gegen eine ganze Reihe strafrechtlich relevanter Vorschriften und Gesetze. Die einschlägigen Regelungen im StGB beziehen sich auf die Paragraphen 202a, 303a und 303b; wobei die §§ 303a und b beim Angriffsobjekt selbst, nämlich bei den Daten, auf § 202a StGB verweisen. § 202a StGB bietet also die rechtliche Handhabe bei Angriffen auf Funknetze.
Diese Strafvorschrift wurde bereits mit dem 2.WiKG 1986 eingeführt. Der Sinn war, Strafbarkeitslücken zu schließen die, mit der zunehmenden "Entschriftlichung" des Informationsverkehres, entstanden waren. Denn der bis dahin für die Fälle der Verletzung von Privatgeheimnissen geschaffene § 202 StGB umfasst ausdrücklich lediglich Briefe und verschlossene Schriftstücke und wird daher dem heute stattfindenden Informationsaustausch über Computernetzwerke nicht gerecht.
§ 202a StGB schützt nach herrschender Ansicht den persönlichen Lebens- und Geheimbereich, zu dem auch ein allgemeines, durch das "Erfordernis der besonderen Sicherung" formalisiertes Interesse an der Geheimhaltung von Daten gehört, die nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Die relevante Tathandlung besteht nach dem Wortlaut der Vorschrift darin, dass ein Täter sich oder einem anderen unbefugt Daten verschafft, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugang besonders gesichert sind.
Der Gesetzgeber hat die Tatobjekte – die Daten – im zweiten Absatz der Vorschrift rechtlich eindeutig definiert. Hiernach sind Daten im Sinne der Vorschrift lediglich solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Hier kommen sowohl gespeicherte, wie in der Übermittlung befindliche Daten in Betracht. Bei Angriffen auf ein Funknetzwerk zum aktiven oder passiven Mitlesen des Datenverkehrs kommt die zweite Alternative zum Tragen, die sich auf in der Übermittlung befindliche Daten bezieht. Wird das Funknetzwerk nur als Vehikel genutzt, um die Daten aus einzelnen Rechnern auszulesen, trifft die erste Alternative zu.
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
Auf Basis der virtuellen AP-Technologie lassen sich jedem virtuellen AP individuelle Quality of Service (QoS)-Charakteristiken zuordnen. Zeitkritische (beispielsweise Voice over IP, Multimedia) und normale Verkehrsflüsse (beispielsweise FTP, E-Mail) lassen sich simultan – ohne sich gegenseitig zu beeinflussen – übermitteln. Die Performance über die kabelgebundene Infrastruktur wie auch das Funkmedium erfordert in den Endgeräten nur die Unterstützung folgender Standards: IEEE 802.1p und/oder DIFFSERV (RFC 2474). Die virtuelle AP-Technologie stellt somit die Adaption der virtuellen LANs (VLANs gemäß IEEE 802.1q) auf dem Wireless Medium dar.
Darüber hinaus lässt sich die Wi-Fi-Infrastruktur auf Basis einer virtuellen AP-Technologie zwischen mehreren logischen Benutzergruppen aufteilen und trotzdem die entsprechenden individuellen Sicherheitsfunktionen bereitstellen. Jeder virtuelle Access Point wird dabei einem Ethernet-VLAN zugeordnet und stellt ausschließlich nur den Zugriff auf die für die betreffende Benutzergruppe freigegebenen Ressourcen sicher. Bei der Kommunikation mit dem Unternehmens-Backbone über den WLAN-Zugang bleiben sämtliche VLAN-Sicherheitsregeln erhalten und müssen nicht speziell modifiziert werden.
Jedes Ethernet-VLAN lässt sich einem virtuellen AP auf Basis eines individuellen Broadcast-Key zuordnen. Somit ist die Integrität der Broadcast-Domänen garantiert. Die WLAN-Clients empfangen nur den ihnen zugeordneten Broadcast-Verkehr, denn aufgrund der Parametrierung lassen sich die Daten anderer VLANs nicht dekodieren.
Virtuelle APs sorgen für konsistente Sicherheit
Die virtuellen Access Points können einen wesentlichen Eckpunkt der WLAN-Architektur darstellen. Diese ermöglicht beispielsweise, dass ein Hinzufügen eines WLAN-Zugangspunkts in das Unternehmensnetz keine Änderungen der bereits verfügbaren Ethernet Switching-Infrastruktur, der Sicherheitsregeln und des Managementsystems zur Folge hat. Die meisten heute eingesetzten LANs basieren auf dem IEEE 802.1q-Standard und die Switches garantieren auf Basis des VLAN-Standards eine höhere Performance, eine erweiterte Managebarkeit und eine verbesserte Flexibilität. Diese Technik erweitert die VLAN-Infrastruktur durch ein Mapping der virtuellen APs (und der entsprechenden WLAN-Nutzer) in die festgelegten VLAN-Gruppen bei gleichzeitiger Einhaltung aller Sicherheitsfunktionen sowohl im LAN als auch im WLAN.
Die heute verfügbaren virtuellen Access Points unterstützen alle wesentlichen WLAN-Authentifizierungs- und -Sicherheitsmechanismen. Diese lassen sich unabhängig voneinander konfigurieren und dem Datenverkehr der jeweiligen Nutzer zuordnen. Hierzu zählen:
- VPN : Terminiert VPN-Tunnel zwischen dem AP und dem Client auf Basis der Protokolle IPSec, L2TP oder PPTP.
- WPA: 802.1x/EAP-Authentifizierung und RC4-Verschlüsselung rotieren gemäß den Festlegungen der Wi-Fi-Allianz auf Basis von TKIP die jeweiligen Schlüsselworte.
- WEP: RC4-Verschlüsselung auf Basis von Shared Keys. Garantiert eine Rückwärtskompatibilität zu nicht WPA-kompatiblen WLAN-Komponenten
- WPA2/802.11i: Integrierte AES-Verschlüsselungs-Hardware garantiert die Unterstützung kommender IEEE 802.11-Sicherheitsstandards.
- Ungeschützt: Bietet den Internetzugang für Gäste und Besucher. Ein ungeschütztes WLAN (Broadcast der SSIDs) sollte Sie nur in Zusammenhang mit zusätzlichen Schutzmaßnahmen (beispielsweise Portal) einsetzen.
Ohne Absicherung kein Recht
Die strafrechtlichen Aspekte der Angriffe auf WLANs sind viel zu wenig bekannt und die meisten Angriffe auf funkbasierte Computernetzwerke bleiben unentdeckt. Dabei ist die Rechtslage eigentlich eindeutig: "Ungeladene" Gäste in einem WLAN verstoßen gegen eine ganze Reihe strafrechtlich relevanter Vorschriften und Gesetze. Die einschlägigen Regelungen im StGB beziehen sich auf die Paragraphen 202a, 303a und 303b; wobei die §§ 303a und b beim Angriffsobjekt selbst, nämlich bei den Daten, auf § 202a StGB verweisen. § 202a StGB bietet also die rechtliche Handhabe bei Angriffen auf Funknetze.
Diese Strafvorschrift wurde bereits mit dem 2.WiKG 1986 eingeführt. Der Sinn war, Strafbarkeitslücken zu schließen die, mit der zunehmenden "Entschriftlichung" des Informationsverkehres, entstanden waren. Denn der bis dahin für die Fälle der Verletzung von Privatgeheimnissen geschaffene § 202 StGB umfasst ausdrücklich lediglich Briefe und verschlossene Schriftstücke und wird daher dem heute stattfindenden Informationsaustausch über Computernetzwerke nicht gerecht.
§ 202a StGB schützt nach herrschender Ansicht den persönlichen Lebens- und Geheimbereich, zu dem auch ein allgemeines, durch das "Erfordernis der besonderen Sicherung" formalisiertes Interesse an der Geheimhaltung von Daten gehört, die nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Die relevante Tathandlung besteht nach dem Wortlaut der Vorschrift darin, dass ein Täter sich oder einem anderen unbefugt Daten verschafft, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugang besonders gesichert sind.
Der Gesetzgeber hat die Tatobjekte – die Daten – im zweiten Absatz der Vorschrift rechtlich eindeutig definiert. Hiernach sind Daten im Sinne der Vorschrift lediglich solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Hier kommen sowohl gespeicherte, wie in der Übermittlung befindliche Daten in Betracht. Bei Angriffen auf ein Funknetzwerk zum aktiven oder passiven Mitlesen des Datenverkehrs kommt die zweite Alternative zum Tragen, die sich auf in der Übermittlung befindliche Daten bezieht. Wird das Funknetzwerk nur als Vehikel genutzt, um die Daten aus einzelnen Rechnern auszulesen, trifft die erste Alternative zu.
Seite 1 von 2 Nächste Seite>>
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
