Bundesamt für Sicherheit in der Informationstechnik

M 2.385 Geeignete Auswahl von WLAN-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Zur Auswahl von WLAN-Geräten ist zunächst zu hinterfragen, ob diese in die WLAN-Sicherheitsstrategie hineinpassen. WLAN-Komponenten gibt es in verschiedensten Varianten und Geräteklassen. Diese unterscheiden sich nicht nur in ihrem Leistungsumfang, sondern auch in den Sicherheitsmechanismen und im Bedienkomfort. Zudem stellen sie unterschiedliche Voraussetzungen an Hard- und Software-Komponenten im Einsatzumfeld.

Bei der Vielzahl verschiedener WLAN-Komponenten sind Kompatibilitäts-probleme naheliegend. Wichtige Kriterien für die Auswahl von WLAN-Komponenten sind daher Sicherheit und Kompatibilität.

Wenn beschlossen wurde, innerhalb einer Institution ein WLAN aufzubauen, sollte eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung sollten dann die zu beschaffenden Produkten ausgewählt werden. Die Praxis zeigt, dass es aufgrund verschiedener Einsatzanforderungen durchaus sinnvoll sein kann, mehrere Gerätetypen für die Beschaffung auszuwählen. Die Gerätevielfalt sollte aber zur Vereinfachung des Supports eingeschränkt werden. Ein wichtiges Kriterium bei der Beschaffung von WLAN-Komponenten ist die Kompatibilität zu bereits vorhandenen Geräten.

Bei der Beschaffung sollte auch Datendurchsatz und Reichweite hinterfragt werden. Mit externen Antennen kann bei WLAN-Komponenten zusätzlich die Reichweite verbessert werden. Allerdings ist hier sicherzustellen, dass durch die größere Reichweite ein WLAN nicht in Bereiche abstrahlt, in denen es nicht genutzt werden soll oder darf.

Bei der Beschaffung von Access Points sollte unter anderem überprüft werden,

  • wie viele Kanäle einstellbar sind,
  • ob die SSID einstellbar ist,
  • ob der SSID-Beacon deaktivierbar ist,
  • welche kryptographischen Verfahren implementiert sind (WEP, WPA, WPA2 und weitere),
  • ob bei der Authentisierung sowohl der Open System als auch der Shared Key Modus vorgegeben werden kann (letzteres ist leider nicht selbstverständlich),
  • inwiefern EAP -Methoden nach IEEE 802.1X unterstützt werden,
  • ob eine Administration über sichere Kommunikationswege, z. B. SSH oder SSL, möglich ist und unsichere Protokolle, wie z. B. HTTP oder Telnet, abgeschaltet werden können,
  • ob eine IP- bzw. MAC-Adressfilterung möglich ist,
  • ob ACL s für die Zugriffe über das WLAN, ein angeschlossenes LAN oder zur Konfiguration der Access Points eingerichtet werden können,
  • ob ein Paketfilter integriert ist,
  • ob weitere Mechanismen zur Zugriffssteuerung vorhanden sind (Filterung nach verschiedenen Kriterien wie Ports, Applikationen, URLs, etc.),
  • ob Tunnel-Protokolle wie PPTP oder IPsec unterstützt werden.

Es sollte unbedingt getestet werden, ob die implementierten kryptographischen Verfahren nicht nur gleich benannt sind, wie bei anderen eingesetzten WLAN-Komponenten, sondern auch korrekt zusammenarbeiten.

Die korrekte Konfiguration der Access Points ist ein wesentlicher Sicherheitsaspekt. Bei einigen Access Points ist eine Konfiguration drahtlos direkt über das WLAN möglich, was von den Herstellern als komfortabel angepriesen wird. Dies birgt aber auch Sicherheitsprobleme, daher sollte darauf verzichtet werden, wenn eine solche Funktionalität aber vorhanden ist, sollte sie zumindest abschaltbar sein (und im Betrieb grundsätzlich abgeschaltet sein). Viele Access Points bieten zur bequemen Konfiguration auch die Möglichkeit, diese über eine serielle oder USB-Schnittstelle an eine Managementkonsole anzuschließen. Über HTTP oder Telnet können diese dann über das Intranet oder Internet administriert werden. Hierfür ist eine vernünftige Absicherung des Fernzugriffes notwendig, beispielsweise die Absicherung der Kommunikation über SSL oder SSH. Fernzugriffe über das Internet sollten generell kritisch hinterfragt werden.

Der Administrationszugriff auf WLAN-Komponenten sollte nur autorisierten Personen möglich sein. Daher sollte hinterfragt werden, wie dieser abgesichert ist. Wenn dies über Passwörter erfolgt, müssen diese möglichst komplex gewählt werden (siehe M 2.11 Regelung des Passwortgebrauchs ). Besser ist es, für Administrationszugriffe starke Authentisierungsmethoden einzusetzen (siehe auch M 4.133 Geeignete Auswahl von Authentikationsmechanismen ).

Die Umsetzung der erforderlichen Sicherheitsregeln an Access Points ist häufig sehr aufwändig. Dazu gehören neben dem Schlüsselmanagement vor allem die notwendigen Einstellungen von verschiedenen Parametern und Optionen. Für einige Access Points gibt es daher mittlerweile Lösungen, um diese innerhalb einer Institution über einen zentralen Server zu steuern. Leider sind dies bisher noch proprietäre Lösungen und werden nur von den WLAN-Komponenten des jeweiligen Herstellers unterstützt.

Da es vor allem bei Netzkoppelelementen aufwendig sein kann, bis der Netzverwalter die korrekte Konfiguration herausgefunden hat, sollte es möglich sein, diese zu speichern.

Die Online-Hilfe und Dokumentation von WLAN-Komponenten sollten sprachlich so formuliert sein, dass zukünftige Benutzer bzw. Administratoren die technischen Beschreibungen nachvollziehen können.

Zusammenwirken mit der zugehörigen Infrastruktur

Im Rahmen der Beschaffung sollten auch das korrekte Zusammenwirken aller WLAN-Komponenten mit der zugehörigen Infrastruktur geprüft werden. Hierzu zählen beispielsweise:

  • Die im WLAN genutzte Authentisierungsmethode muss sowohl von den Clients und den Access Points, als auch vom Authentisierungsserver unterstützt werden.
  • Falls im WLAN die Authentisierung nach IEEE 802.1X erfolgt, müssen die Access Points die Authentisierungsmethode EAP unterstützen und die mitgeteilten Informationen innerhalb von IEEE 802.1X korrekt verarbeiten.
  • Es ist zu prüfen, ob der Authentisierungsserver auf eine eigene Datenbank zur Benutzer-Authentisierung verzichten kann und stattdessen die Authentisierungsanfragen an eine zentrale Benutzerdatenbank mittels sicherer Abfragemethoden durchreichen kann.

Bei der Beschaffung einer größeren WLAN-Installation sind vor der endgültigen Beschaffung entsprechende Teststellungen durchzuführen. Mit Hilfe eines Prüfkatalogs kann die Erfüllung der technischen Anforderungen evaluiert werden. Diese Prüfungen erleichtern eine spätere Durchführung der WLAN-Installation und deren Abnahme.

Prüffragen:

  • Wurde bei der Auswahl der WLAN -Geräte darauf geachtet, dass diese in die WLAN-Sicherheitsstrategie hineinpassen und kompatibel zu den Hard- und Software-Komponenten im Einsatzumfeld sind?

  • Wurde eine Anforderungsliste für die WLAN -Komponenten erstellt?

  • Wurde beim Einsatz von WLAN mit großer Reichweite darauf geachtet, dass nicht in Bereiche abgestrahlt wird, in denen es nicht genutzt werden soll oder darf?

  • Wird beim beim Einsatz von kryptografischen Verfahren darauf geachtet, dass diese in der Organisation gleich benannt sind und korrekt zusammenarbeiten?

  • Wenn die Konfiguration eines Access Points drahtlos direkt über das WLAN möglich ist, ist diese Konfiguration abschaltbar und im Betrieb grundsätzlich ausgeschaltet?

  • Ist sichergestellt, dass der Administrationszugriff auf WLAN -Komponenten nur autorisierten Personen möglich ist und die Anmeldung nur mit möglichst komplexen Passwörtern erfolgt?

  • Ist die korrekte Konfiguration der Netzkoppelelemente gespeichert und gesichert?

  • Ist die Online-Hilfe und Dokumentation der WLAN -Komponenten leicht nachvollziehbar?

  • Werden vor der endgültigen Beschaffung von WLAN -Komponenten Teststellungen durchgeführt und ein Prüfkatalog zur Prüfung der Erfüllung der technischen Anforderungen erstellt?

Stand: 13. EL Stand 2013