Bundesamt für Sicherheit in der Informationstechnik

M 1.63 Geeignete Aufstellung von Access Points

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Innerer Dienst

Sichere Montage von Access Points

Um Manipulationen an den Access Points vorzubeugen, sollten diese in Metallgehäusen untergebracht oder mit Metallbügeln gesichert werden, die eine Wandmontage ermöglichen. Möglich ist die Unterbringung in Doppelböden, Zwischendecken oder abgehängten Decken und die Nutzung von externen Antennen. Je nach Antennenform kann so selbst durch einen Fachmann nicht mehr erkannt werden, ob es sich um einen Brandmelder oder um die Antenne eines Access Points handelt.

Räumlichkeiten bzw. Örtlichkeiten, in denen sich nicht vertrauenswürdige Personen für eine längere Zeit unbeobachtet aufhalten können, scheiden bei Anbringung der Access Points im Sichtbereich und ohne tarnende Form prinzipiell als Montage-Ort aus (Außengelände, Treppenhäuser). In diesen Bereichen können jedoch Access Points ohne Routing-Funktionalitäten aufgestellt werden. Dadurch können Informationen zum detaillierten Aufbau des Netzes nicht von unbefugten Personen ausgelesen werden. Somit wird die Angriffsfläche auf das WLAN und ein eventuell damit verbundenes LAN verringert.

Als Mindestschutz sollte eine feste Verschraubung des Access Points an einer ohne Hilfsmittel nicht zugängliche Stelle bzw. an eine nicht einsehbare Stelle erfolgen.

Positionierung der Access Points

Durch die Aufstellung und Ausrichtung von Access Points wird die Übertragungsqualität und der Durchsatz eines WLANs essentiell beeinflusst. Generell gilt, dass die Ausbreitung der Funkwellen in Bereichen, die nicht durch das WLAN versorgt werden sollen, möglichst stark zu reduzieren ist. Auf diese Weise wird nicht nur die Angriffsfläche verringert, sondern auch der eigentlich gewünschte Abdeckungsbereich besser versorgt. Hierzu können Richtantennen verwendet werden, welche die Abstrahlung von elektromagnetischen Wellen in gewisse Raumrichtungen bündeln und so einen richtungsabhängigen Verstärkungseffekt (als Antennengewinn bezeichnet) erzielen. Dieser Verstärkungseffekt muss mit der Sendeleistung am Access Point abgestimmt werden. Manche Access Points unterstützen eine flexible Einstellung der Sendeleistung. Auf diese Weise kann der Abdeckungsbereich mit der notwendigen Leistung ausgeleuchtet werden, und der Zugriff auf das WLAN von außen wird gleichzeitig erschwert, da hier nun vergleichsweise schlechte Empfangsbedingungen herrschen. Voraussetzung ist eine geeignete Positionierung der Access Points bzw. der Antennen. Diese kann auf Basis einer entsprechenden Ausleuchtungsmessung geschehen.

Bei der Versorgung von Außenbereichen sind Außeninstallationen (Antennen und gegebenenfalls Access Points) vor Witterungseinflüssen, elektrischen Entladungen und unberechtigtem Zugriff geeignet zu schützen. Die Anbringung von Access Points außerhalb von Gebäuden ist nach Möglichkeit zu vermeiden.

Die Anbringung von Antennen auf Gebäudedächern muss so erfolgen, dass die Antenne gegen Blitzschlag gesichert ist. Die Höhe der Antenne muss genügend unter der des Blitzableiters liegen, und der Abstand zum Blitzableiter muss genügend groß sein. Dies gilt auch für den einzuhaltenden Abstand zu Hochspannungsleitungen. Antennen im Außenbereich, die möglicherweise von der Gefahr elektrischer Entladungen betroffen sind (dies gilt stets für Antennen, die auf Dächern montiert werden), sollten über einen speziellen Überspannungsschutz angeschlossen werden, der Strom- und Spannungsstöße schnell erkennt und ableitet. Dieser Überspannungsschutz wird zwischen Antenne und Access Point (typischerweise innerhalb des Gebäudes oder an einem vergleichbar geschützten Platz) montiert und muss über eine ausreichende Erdung verfügen. Access Points sollten generell nicht in Bereichen installiert werden, die von elektrischen Entladungen betroffen sein können.

Werden im Ausnahmefall Access Points außerhalb eines geeignet klimatisierten Gebäudes installiert, ist sicher zu stellen, dass der Access Point ausreichend gegen eindringende Feuchtigkeit, Frost und Hitze geschützt ist. Außenantennen sind geeignet gegen Schnee-Ablagerung zu schützen. Sie sind entweder windgeschützt anzubringen, oder die Anbringung muss auch bei hohen Windstärken so fest sein, dass sich die Antennenausrichtung nicht verstellt.

Prüffragen:

  • Sind die Access Points gegen unerlaubte physikalische Zugriffe geschützt?

  • Wurde eine Ausleuchtungsmessung durchgeführt, um den Sendebereich der Access Points zu bestimmen?

  • Sind die Empfangsbereiche für den WLAN -Zugriff auf die relevanten Bereiche beschränkt?

  • WLAN -Antennen sind auf den Gebäudedächern angebracht: Sind die Antennen gegen Blitzschlag gesichert?

  • WLAN -Antennen sind im Außenbereich angebracht: Sind Maßnahmen gegen elektrische Entladungen getroffen?

Stand: 13. EL Stand 2013