WLAN-Sicherheit:
Gesichertes WLAN-Netz durch einen ganzheitlichen Sicherheitsansatz!

Drahtlosnetzwerke sind heute allgegenwärtig und aus dem Geschäftsalltag nicht mehr wegzudenken. Viel mehr noch, „WLAN jederzeit, überall und zuverlässig“ ist zu einer gesamtgesellschaftlichen Erwartung geworden. Parallel machen New Work-Konzepte, Cloud-Lösungen, sowie die explodierende Anzahl mobiler und internetfähiger Endgeräte und Maschinen ihren Einsatz im Geschäftsalltag zunehmend unabdingbar.

Wenngleich sich auf der einen Seite ständig mehr Endpunkte mit dem Drahtlosnetzwerk eines Betriebes verbinden, vernetzen und miteinander austauschen, entstehen auf der anderen Seite immer größere – und oft versteckte – Angriffsflächen und Sicherheitslücken für Bedrohungsakteure und Internetbedrohungen.

Allein im vergangenen Jahr wurden etliche schlecht gesicherte Drahtlosnetze durch den Verschlüsselungstrojaner Emotet angegriffen und mittels der Brute-Force Methode geknackt.

Aber nicht nur Internetbedrohungen sind Spielverderber in Sachen WLAN-Sicherheit, sondern auch Sicherheitsprotokolle wie WPA2 oder WPA3, die entworfen wurden, um einerseits die Authentifikation und Verschlüsselung der WLAN-Netze zu verbessern und andererseits die Konfiguration zu vereinfachen.

So sorgte zuerst die WLAN-Sicherheitslücke KRACK im WPA2-Verschlüsselungsprotokoll (https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html) dann die sogenannten „Dragonblood-Schwachstellen“ im WPA3 (https://www.heise.de/security/meldung/Dragonblood-Angreifer-koennen-bei-WPA3-unter-Umstaenden-WLAN-Passwoerter-knacken-4393108.html) für Schlagzeilen.

Angriffsziel: WLAN

Wie in allen Bereichen der IT wächst die Gefahrenlage auch im WLAN-Bereich mit dem wachsenden Ausbau und der intensiveren Anwendung der Technologie.

Besonders risikobehaftet sind unter anderem:

• WLAN-Zugriffe durch Besucher und Gäste, da sie zu einer unangebrachten und unerlaubten Verwendung führen kann.
• private Endgeräte, da sie sich im Allgemeinen außerhalb der Kontrolle des Unternehmens liegen, aber möglicherweise auf vertrauliche Unternehmensdaten zugreifen können.
• Man-in-the-Middle-Angriffe, da Angreifer in die Kommunikation/Übertragung eindringen und diese verändern können.
• Rogue Access Points und Clients / „Evil Twin“ Access Points, da sie den WLAN-Namen und die eindeutige Hardware-Adresse eines echten Access Points imitieren und Internetkriminellen unter anderem das Ausspionieren und das Manipulieren des Datenverkehrs ermöglichen.
• Schadprogramm-Injektionen, da sie das System kompromittieren und lahmlegen.
• Packet-Sniffing, da Eindringlinge mittels einer speziellen Software den vollständigen Datenverkehr einsehen und darauf zugreifen können.
• veraltete Sicherheitsstandards, da ältere Endgeräte ins WLAN-Netz gelangen, über die sich Internetkriminelle trotz Authentifikation und Verschlüsselung ohne immense Probleme Zugang verschaffen können.
• Standardbenutzer und – Passwörter in Access Points sowiewie auch WLAN-Routern, da sie durch Brute-Force erraten werden können.

„Drahtlos glücklich“ durch einen vollständigen Ansatz!

Die aufgeführten Bedrohungen beweisen, wie relevant es ist, dass Unternehmen effektive Sicherheitsmaßnahmen ergreifen, um die WLAN-Sicherheit aufrechtzuerhalten und zu optimieren.

Schutz schafft hier:

1. Die richtige Konfiguration des kabelosen Access Points:
Da der Wireless Access Point die zentrale Steuereinheit eines Drahtlosnetzwerkes bietet, ist die richtige Einstellung das ausschlaggebende Puzzleteil für die WLAN-Sicherheit.

Mit folgenden Konfigurationsschritten kann die WLAN-Sicherheit entscheidend gesteigert werden:

• Schritt 1: Einen speziellen Administrator-Login auswählen.
• Schritt 2: WPA3 als Verschlüsselungsverfahren wählen.
• Schritt 3: Ein starkes und langes WLAN-Kennwort erstellen.
• Schritt 4: Einen nicht identifizierbaren Netzwerknamen (Service Set Identifiers, kurz SSID) generieren
• Schritt 5: Firmware-Update regelmäßig durchführen

2. Die Verwendung eines Wireless Intrusion Prevention Systems!

Mittels eines Wireless Intrusion Prevention System, kurz WIPS, können Firmen Angriffe und nicht autorisierte Zugriffe auf ein Drahtlosnetz identifizieren und abwehren. Das WIPS setzt sich zusammen aus verschiedenen Komponenten und nutzt Sensoren für die Überwachung des Funknetzwerks.

Die Verwendung eines Wireless Intrusion Prevention Systems schafft zahlreiche Vorteile. Diese sind:

• weiterer Schutz der WLAN-Infrastruktur
• automatische Erkennung von WLAN-Bedrohungen
• automatische Abwehr von Internetangriffen
• Ermittlung und Abwehr von Rogue Access Points und Rogue Clients
• Entdeckung und Abwehr von „Evil Twin“ Access Points
• Erkennung und Eliminierung von falsch konfigurierten Access Points
• Durchsetzung der WLAN-Richtlinien
• Absicherung von persönlichen Endgeräten (BYOD)
• automatische Alarmierung bei verdächtigen Aktivitäten

3. Die Unterteilung des WLAN-Netzes:
Durch das Segmentieren der WLAN-Netzwerke, wird Besuchern und Gästen ein freier WLAN-Zugang zur Verfügung gestellt, ohne den Zugang zum internen LAN- oder WLAN-Netzwerk des Betriebes zu gestatten. Dank einer Unterteilung können Unternehmen ein direktes Durchgreifen von Malware & Co. auf andere Teile des Netzwerks und die darin sich befindenden Endpunkte unterbinden.

4. Die Client-Isolierung:
Durch die Client-Isolation verhindern Betriebe, dass das infizierte System andere Systeme im WLAN infizieren.

5. Die automatische Erkennung und Isolation infizierter Endgeräte:
Mit Hilfe einer integrierten und automatisierten Sicherheitslösung werden mit Malware kompromittierte IT-Systeme automatisch vom Netz isoliert, bevor andere Endpunkte im Netzwerk infiziert werden.

6. Die Verwendung eines VPN (Virtuelles privates Netzwerk):
Durch den Einsatz eines verlässlichen VPNs sichern Firmen ihren Traffic vor illegalem Zugriff von außerhalb.

Juristische Aspekte der WLAN-Sicherheit

Am Anfang der WLAN-Entwicklung war der IEEE-Standard 802.11 vom Institute of Electrical and Electronics Engineers ein einziges Sicherheitsrisiko: Unverschlüsselter Datenaustausch, fehlende Benutzerauthentifizierung, freier und ungeschützter Zugang zum drahtlosen Netz.

Die Forderung nach WLAN-Sicherheitsmaßnahmen begünstigte letztendlich die Entwicklung verschiedener Standards zur Chiffrierung und Identitätsprüfung eines WLAN-Netzes.
Dazu zählen: WEP, WPA, WPA2, WPA3, TKIP und CCMP

Allerdings gelten die Standards wie WEP und WPA inzwischen als überholt und sollten demnach nicht mehr verwendet werden.

In der Zwischenzeit sieht die deutsche Rechtsprechung vor, dass die Verschlüsselung von Daten und die Identitätsprüfung von Benutzern und WLAN-Clients zwingend implementiert werden müssen.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.