WLAN-Sicherheit: Geschütztes WLAN-Netz durch einen ganzheitlichen Sicherheitsansatz!
Drahtlosnetzwerke sind heute allgegenwärtig und aus dem Geschäftsalltag nicht mehr . Viel mehr noch, „WLAN ständig, überall und zuverlässig“ ist zu einer gesamtgesellschaftlichen Erwartung geworden. Parallel machen New Work-Konzepte, Cloud-Lösungen, sowie die explodierende Vielzahl mobiler und internetfähiger Endgeräte und Maschinen ihren Einsatz im Geschäftsalltag zunehmend unabdingbar.
Während sich auf der einen Seite ständig mehr Endpunkte mit dem Drahtlosnetzwerk eines Unternehmens verbinden, vernetzen und untereinander kommunizieren, entstehen auf der anderen Seite immer größere – und oft versteckte- Angriffsflächen und Sicherheitslücken für Bedrohungsakteure und Internetbedrohungen.
Allein im vorhergehenden Jahr wurden zahlreiche schlecht geschützte Drahtlosnetze durch den Verschlüsselungstrojaner Emotet angegriffen und mithilfe der Brute-Force Methode geknackt.
Aber nicht nur Internetbedrohungen sind Spielverderber in Sachen WLAN-Sicherheit, sondern auch Sicherheitsprotokolle wie WPA2 oder WPA3, die entwickelt wurden, um einerseits die Identitätsprüfung und Verschlüsselung der WLAN-Netze zu verbessern und andererseits die Konfiguration zu vereinfachen.
So sorgte zuerst die WLAN-Sicherheitslücke KRACK im WPA2-Verschlüsselungsprotokoll dann die sogenannten „Dragonblood-Schwachstellen“ im WPA3 für Schlagzeilen.
Angriffsziel: WLAN
Wie in allen Bereichen der IT wächst die Gefahrenlage auch im WLAN-Bereich mit dem wachsenden Ausbau und der intensiveren Anwendung der Technologie.
Ausgesprochen risikobehaftet sind unter anderem:
• WLAN-Zugriffe durch Besucher und Gäste, da sie zu einer unangebrachten und unerlaubten Nutzung führen kann.
• private Endgeräte, da sie sich in der Regel außerhalb der Kontrolle des Betriebes befinden, aber unter Umständen auf sensible Unternehmensdaten zugreifen können.
• Man-in-the-Middle-Angriffe, da Angreifer in die Kommunikation/Übertragung vordringen und diese ändern können.
• Rogue Access Points und Clients / „Evil Twin“ Access Points, weil sie den WLAN-Namen und die eindeutige Hardware-Adresse eines echten Access Points imitieren und Internetkriminellen unter anderem das Ausspionieren und das Manipulieren des Datenverkehrs ermöglichen.
• Schadprogramm-Injektionen, da sie das System kompromittieren und lahmlegen.
• Packet-Sniffing, da Angreifer mithilfe einer besonderen Softwareanwendung den kompletten Traffic einsehen und darauf zugreifen können.
• veraltete Sicherheitsstandards, da ältere Endgeräte ins WLAN-Netz kommen, über die sich Internetkriminelle trotz Authentifikation und Verschlüsselung ohne immense Probleme Zugang verschaffen können.
• Standardbenutzer und – Passwörter in Access Points und WLAN-Routern, da sie mittels Brute-Force erraten werden können.
„Drahtlos glücklich“ über einen vollständigen Ansatz!
Die genannten Bedrohungen beweisen, wie relevant es ist, dass Betriebe effektive Sicherheitsmaßnahmen ergreifen, um die WLAN-Sicherheit aufrechtzuerhalten und zu verbessern.
Schutz bringt hier:
1. Die passende Konfiguration des Wireless Access Points:
Da der Wireless Access Point die zentrale Steuereinheit eines Drahtlosnetzwerkes bietet, ist die passende Konfiguration das entscheidende Puzzleteil für die WLAN-Sicherheit.
Mit nachfolgenden Konfigurationsschritten kann die WLAN-Sicherheit essenziell erhöht werden:
• Schritt 1: Einen speziellen Administrator-Login wählen.
• Schritt 2: WPA3 als Verschlüsselungsverfahren wählen.
• Schritt 3: Ein starkes und langes WLAN-Passwort erstellen.
• Schritt 4: Einen nicht identifizierbaren Netzwerknamen (Service Set Identifiers, kurz SSID) generieren
• Schritt 5: Firmware-Update in regelmäßigen Abständen durchführen
2. Der Einsatz eines Wireless Intrusion Prevention Systems!
Mithilfe eines Wireless Intrusion Prevention System, kurz WIPS, können Firmen Angriffe und nicht autorisierte Zugriffe auf ein Drahtlosnetz ermitteln und abblocken. Das WIPS besteht aus verschiedenen Komponenten und nutzt Sensoren für das Monitoring des Funknetzwerks.
Die Anwendung eines Wireless Intrusion Prevention Systems bietet viele Vorteile. Diese sind:
• weiterer Schutz der WLAN-Infrastruktur
• automatische Entdeckung von WLAN-Bedrohungen
• automatische Abwehr von Internetangriffen
• Erkennung und Abwehr von Rogue Access Points und Rogue Clients
• Erkennung und Abwehr von „Evil Twin“ Access Points
• Erkennung und Eliminierung von falsch konfigurierten Access Points
• Durchsetzung der WLAN-Regeln
• Absicherung von persönlichen Endgeräten (BYOD)
• automatische Alarmierung bei verdächtigen Aktivitäten
3. Die Unterteilung des WLAN-Netzes:
Durch das Unterteilen der WLAN-Netzwerke, wird Besuchern und Gästen ein freier WLAN-Login zur Verfügung gestellt, ohne den Zugang zum internen LAN- oder WLAN-Netzwerk des Betriebes zu ermöglichen. Dank einer Aufsplittung können Firmen ein direktes Durchgreifen von Malware & Co. auf weitere Teile des Netzwerks und die darin befindlichen Endpunkte abwenden.
4. Die Client-Isolation:
Durch die Client-Isolierung verhindern Betriebe, dass das infizierte System andere Systeme im WLAN infizieren.
5. Die automatische Entdeckung und Isolierung infizierter Endgeräte:
Mit Hilfe einer integrierten und automatisierten Sicherheitslösung werden mit Malware kompromittierte IT-Systeme selbständig vom Netz isoliert, ehe andere Endpunkte im Netzwerk infiziert werden.
6. Die Nutzung eines VPN (Virtuelles privates Netzwerk):
Durch den Gebrauch eines verlässlichen VPNs schützen Firmen ihren Traffic vor illegalem Zugriff von außen.
Juristische Aspekte der WLAN-Sicherheit
Am Anfang der WLAN-Entstehung war der IEEE-Standard 802.11 vom Institute of Electrical and Electronics Engineers ein einziges Sicherheitsrisiko: Unverschlüsselter Datenaustausch, nicht vorhandene Benutzerauthentifizierung, freier und ungeschützter Login zum drahtlosen Netzwerk.
Die Forderung nach WLAN-Sicherheitsmaßnahmen begünstigte schließlich die Realisierung mehrerer Standards zur Verschlüsselung und Authentifizierung eines WLAN-Netzes.
Dazu zählen: WEP, WPA, WPA2, WPA3, TKIP und CCMP
Jedoch gelten die Standards wie WEP und WPA mittlerweile als antiquiert und sollten aus diesem Grund nicht mehr verwendet werden.
Inzwischen sieht die deutsche Rechtsprechung vor, dass die Verschlüsselung von Daten und die Identitätsprüfung von Nutzern und WLAN-Clients unbedingt integriert werden müssen.