Lesezeit
3 Minuten
Seite 2 - Planungs- und Realisierungskriterien für WLANs (3)
Dabei sollten Sie nicht vergessen, die Sensoren so zu platzieren, dass diese den gewünschten Schutz bieten. Das Funkfeld eines Sensors ist in der Regel größer als der zu überwachende Funkraum. Die Sensoren sind dadurch in der Lage, die im Funkraum aktiven Wi-Fi-Komponenten anhand des von ihnen übertragenen Datenverkehrs beziehungsweise einem Teil der übermittelten Signale zu erkennen und zu klassifizieren. Um einen umfassenden Schutz zu gewährleisten, muss der Sensor einen zuverlässigen Kommunikationskanal zum entsprechenden WLAN-Gerät aufbauen. Deshalb müssen Sie für die richtige Platzierung der Sensoren diesen Graubereich, in dem die Sensoren die WLAN-Geräte zwar erkennen, aber keine nicht autorisierten Aktivitäten unterbinden können, beachten.
Bei der richtigen Platzierung der Sensoren und unter Berücksichtigung aller auf-gezeigten Faktoren ist die richtige Standortwahl nicht einfach. Folgende Methoden zur Sensorpositionierung werden in der Praxis angewandt:
HF-Modellierungswerkzeuge stellen die Sicherheitsrisiken graphisch dar. Mit Hilfe dieser Werkzeuge ist der Netzplaner in der Lage, experimentell die optimalen Konfiguration (unterschiedliche Access Point Modelle,Antennentypen und Sende/Empfangsleistungen) und die Installationsorte der Sensoren zu ermitteln. Als Basis dient die Ausbreitung der HF-Signale des WLANs über die Gebäude- und Unternehmensgrenzen hinweg.
Wird ein neues WLAN installiert, ein bestehendes Netzwerk erweitert oder modifiziert, modellieren diese Werkzeuge die WLAN-Performance und geben Hinweise zur Beurteilung der Sicherheit. Der Netzplaner muss hierfür nur die Änderungen in den Gebäudeplan oder die geänderten Geräteparameter eingeben. Anschließend nimmt das Programm automatisch ein Update der Funkzelle vor.
Schutz in öffentlichen WLANs
Bauen Nutzer eine Verbindung über ein öffentliches WLAN auf, wandern eine Menge relativ sensibler Daten (beispielsweise Passwörter, Session IDs, Cookies, et cetera) über die unverschlüsselte Funkstrecke. Das fatale daran ist, dass diese Daten meist unverschlüsselt übergeben werden. Jede Person innerhalb der Funkzelle kann mit einem trivialen Sniffer wie Wireshark diese Daten mitlesen. Diese Entwicklung geht mit dem Umstand einher, dass die mobilen Geräte immer kleiner und gleichzeitig immer leistungsfähiger sind und somit zu richtigen Rechnern heranwachsen. Doch es gibt einige relativ einfache Ansätze, um die mobile Kommunikation zu schützen. Hierzu gehören:
Fazit
Die Zukunft der drahtlosen Netzwerkarchitektur basiert auf einer Verteilung der Intelligenz, die die Performance-Anforderungen erhöht, ohne dass Kompromisse in den Bereichen Sicherheit und QoS eingegangen werden müssen. Natürlich sind diese Lösungsansätze etwas teurer als die bisherigen zentralen WLAN-Architekturen. Aber steigender Netzwerkverkehr erfordert die Beseitigung von Engpässen und den ungehinderten Transport der Echtzeitdatenströme von Ende-zu-Ende. Langfristig zahlen sich intelligente Netzarchitekturen durch verringerte Betriebs- und Wartungskosten jedoch aus.
Michael Reisner, Mathias Hein, Axel Simon/dr/ln
Bei der richtigen Platzierung der Sensoren und unter Berücksichtigung aller auf-gezeigten Faktoren ist die richtige Standortwahl nicht einfach. Folgende Methoden zur Sensorpositionierung werden in der Praxis angewandt:
- Adhoc-Installation
- Daumenregel
- Ausmessen des Funkfelds
- HF-Modellierung
HF-Modellierungswerkzeuge stellen die Sicherheitsrisiken graphisch dar. Mit Hilfe dieser Werkzeuge ist der Netzplaner in der Lage, experimentell die optimalen Konfiguration (unterschiedliche Access Point Modelle,Antennentypen und Sende/Empfangsleistungen) und die Installationsorte der Sensoren zu ermitteln. Als Basis dient die Ausbreitung der HF-Signale des WLANs über die Gebäude- und Unternehmensgrenzen hinweg.
Wird ein neues WLAN installiert, ein bestehendes Netzwerk erweitert oder modifiziert, modellieren diese Werkzeuge die WLAN-Performance und geben Hinweise zur Beurteilung der Sicherheit. Der Netzplaner muss hierfür nur die Änderungen in den Gebäudeplan oder die geänderten Geräteparameter eingeben. Anschließend nimmt das Programm automatisch ein Update der Funkzelle vor.
Schutz in öffentlichen WLANs
Bauen Nutzer eine Verbindung über ein öffentliches WLAN auf, wandern eine Menge relativ sensibler Daten (beispielsweise Passwörter, Session IDs, Cookies, et cetera) über die unverschlüsselte Funkstrecke. Das fatale daran ist, dass diese Daten meist unverschlüsselt übergeben werden. Jede Person innerhalb der Funkzelle kann mit einem trivialen Sniffer wie Wireshark diese Daten mitlesen. Diese Entwicklung geht mit dem Umstand einher, dass die mobilen Geräte immer kleiner und gleichzeitig immer leistungsfähiger sind und somit zu richtigen Rechnern heranwachsen. Doch es gibt einige relativ einfache Ansätze, um die mobile Kommunikation zu schützen. Hierzu gehören:
- Daten erfragen: Möchten User an einem unbekannten Ort (Cafe, Restaurant, Biergarten) das WLAN nutzen, dann ist es aus Sicherheitsgründen ratsam, die notwendigen Verbindungsdaten (SSID) zu erfragen. Dies bietet noch keine Garantie, dass sie nicht ausgespäht werden, doch für die ersten grundlegenden Sicherheitsanforderungen genügt bereits ein legitimierter Access Point.
- Wi-Fi-Credentials: Wird ein WLAN-Service genutzt und erfordert dieser vor dem Aufbau der Verbindung die Eingabe von Account-Informationen, dann müssen die Anwender unbedingt überprüfen, ob sie sich tatsächlich mit dem eigenen Provider verbinden. In der Regel gelangen Sie über den Login-Mechanismus des Browsers automatisch in eine mit SSL verschlüsselte HTTPS-Verbindung. An diesem Punkt ist es ratsam innezuhalten und das SSL-Zertifikat zu kontrollieren. Wenn es das mobile Gerät zulässt, sollte auch die URL auf Korrektheit geprüft werden. Damit stellen die User sicher, dass sie wirklich mit dem Service Provider verbunden sind und nicht mit einem Angreifer, der über seine Website die Anmeldeinformationen einsammelt. Das heißt, das Vertrauen in die Login-Seite ist erst dann gegeben, wenn diese überprüft wurde.
- VPN: Nach der Verbindung mit dem WLAN sollten die Nutzer ihre Verbindung durch ein VPN absichern. Die heutigen VPNs nutzen entweder IP-Sec oder die PPTP-Mechanismen zur Verschlüsselung der Nutzerdaten.
- SSL: Ist es nicht möglich, ein VPN einzurichten und zu nutzen, dann sollten Sie trotzdem dafür sorgen, dass alle vertraulichen Daten sicher über das lokale Funknetz übertragen werden. In diesem Fall müssen die Daten per SSL geschützt werden. Hierfür muss das mobile Gerät so konfiguriert sein, dass es SSL für alle Sessions nutzt. Natürlich muss sich der Anwender beim Verbindungsaufbau mit seinem WLAN-Provider vergewissern, dass es sich bei dem Zertifikat des SSL-Servers um keine Fälschung handelt.
Fazit
Die Zukunft der drahtlosen Netzwerkarchitektur basiert auf einer Verteilung der Intelligenz, die die Performance-Anforderungen erhöht, ohne dass Kompromisse in den Bereichen Sicherheit und QoS eingegangen werden müssen. Natürlich sind diese Lösungsansätze etwas teurer als die bisherigen zentralen WLAN-Architekturen. Aber steigender Netzwerkverkehr erfordert die Beseitigung von Engpässen und den ungehinderten Transport der Echtzeitdatenströme von Ende-zu-Ende. Langfristig zahlen sich intelligente Netzarchitekturen durch verringerte Betriebs- und Wartungskosten jedoch aus.
<<Vorherige Seite Seite 2 von 2
Michael Reisner, Mathias Hein, Axel Simon/dr/ln