Bundesamt für Sicherheit in der Informationstechnik

M 2.386 Sorgfältige Planung notwendiger WLAN-Migrationsschritte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Auf Grund der Schnelllebigkeit der WLAN-Technologie wird sich in der Praxis eine Migration einer bestehenden Installation hin zu neuen Protokollen, Techniken oder Produkten nur selten vermeiden lassen. Dabei ist generell zwischen zwei Migrationsarten zu unterscheiden:

  • Migration der Übertragungstechnik (z. B. von IEEE 802.11g nach IEEE 802.11h)
  • Migration der WLAN-Sicherheitsmechanismen (z. B. von WEP zu WPA-PSK oder IEEE 802.11i mit IEEE 802.1X)

Im ersten Fall muss der gesamte Planungsprozess für ein WLAN durchlaufen werden, angefangen bei Risikobewertung, bis hin zur Auswahl geeigneter Sicherheitsmaßnahmen.

Im zweiten Fall müssen vorübergehend gegebenenfalls unterschiedliche Sicherheitssysteme parallel betrieben werden und eine erweiterte Konfiguration der Access Points, des Distribution Systems und des Übergabepunktes zum WLAN durchgeführt werden. Die noch nicht migrierten WLAN-Komponenten oder WLAN-Bereiche sind durch entsprechende technische und organisatorische Festlegungen nötigenfalls auf eine eingeschränkte Nutzung zu reduzieren. So kann beispielsweise der Zugriff von noch nicht migrierten Komponenten auf sensible Daten verboten oder der nicht migrierte WLAN-Bereich durch eine zusätzliche DMZ vom restlichen WLAN und LAN abgesichert werden.

Während eines möglicherweise notwendigen Mischbetriebs zweier Sicherheitsmechanismen, z. B. von WPA-PSK bzw. WPA2-PSK und WEP, sind folgende Punkte zu beachten:

  • Der Mischbetrieb sollte so kurz wie möglich dauern.
  • Falls WEP und Pre-Shared Keys gleichzeitig verwendet werden, so ist verstärkt darauf zu achten, dass die Schlüsselinformationen häufiger (mindestens täglich) gewechselt werden und nur komplexe Passwörter benutzt werden (siehe M 2.388 Geeignetes WLAN-Schlüsselmanagement ).
  • Access Points müssen es erlauben, beide Mechanismen während der Migrationsphase simultan zu betreiben. Access Points, die maximal WEP unterstützen, sind so schnell wie möglich zu ersetzen und aus dem WLAN zu entfernen.
  • WLAN-Clients, die lediglich WEP unterstützen (z. B. ein Drucker oder ein PDA) sollten nur eingeschaltet werden, wenn sie benötigt werden. Diese sollten schnellstmöglich durch Clients ersetzt werden, die WPA2 unterstützen.
  • Die Konfiguration der WLAN-Komponenten wie einen WLAN-Drucker sollte, sofern möglich, nicht über die Luftschnittstelle erfolgen, sondern über den Konsolen-Port der Komponente.

In jedem Fall sind die einzelnen Migrationsschritte sorgfältig zu planen. Dabei sollte die Migration auch zur Konsolidierung einer gewachsenen WLAN-Infrastruktur genutzt werden und eine Nachschulung der WLAN-Administratoren und WLAN-Benutzer erfolgen. Sofern sich durch die Einführung neuer WLAN-Authentisierungsmechanismen der Anmeldevorgang für die WLAN-Benutzer ändert, sind die Benutzer ebenfalls nachzuschulen. Des Weiteren sollte die WLAN-Benutzerrichtlinie an die neuen Abläufe angepasst werden.

Prüffragen:

  • Wird bei der Migration der Übertragungstechnik der gesamte Planungsprozess für ein WLAN durchlaufen?

  • Werden bei einer Migration der WLAN -Sicherheitsmechanismen, die noch nicht migrierten WLAN-Komponenten oder WLAN-Bereiche auf eine eingeschränkte Nutzung reduziert?

  • Werden bei einem Mischbetrieb zweier WLAN -Sicherheitsmechanismen entsprechende Maßnahmen ergriffen?

  • Wird bei einer Migration eine Konsolidierung der gewachsenen WLAN -Infrastruktur und eine Nachschulung der WLAN-Administratoren und Benutzer durchgeführt?

  • Wird die WLAN -Benutzerrichtlinie bei einer migration an die neuen Abläufe angepasst?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK