Bundesamt für Sicherheit in der Informationstechnik

M 4.294 Sichere Konfiguration der Access Points

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Keinesfalls dürfen Access Points in der Konfiguration des Lieferzustandes verwendet oder mit Einstellungen z. B. für SSID (Service Set Identifier), Zugangskennwörter oder kryptographischen Schlüssel versehen werden, die in den Handbüchern des Produktes genannt werden.

Folgende Einstellung sollten vorgenommen bzw. auf individuelle, sichere Werte geändert werden:

  • Soweit möglich, sollte ein administrativer Zugriff auf die Access Points über die Luftschnittstelle generell deaktiviert werden.
  • Alle Administrationspasswörter sollten möglichst komplex sein und regelmäßig gewechselt werden.
  • Unsichere Administrationszugänge (z. B. über Telnet, HTTP) sollten möglichst abgeschaltet werden. Ein administrativer Zugriff muss in jedem Fall über eine verschlüsselte Verbindung erfolgen (z. B. über SSL oder SSH).
  • Die voreingestellte SSIDs, kryptographische Schlüssel oder Passwörter müssen gleich nach Inbetriebnahme geändert werden.
  • Die SSID sollte keinen Hinweis auf den Inhaber oder den Zweck eines WLAN geben. Ebenso sollte die SSID nicht auf "Any" gesetzt sein, da sonst jede beliebige WLAN-Komponente an der Kommunikation teilnehmen kann.
  • Der SSID-Broadcast sollte deaktiviert werden, damit die Existenz des WLAN nicht unnötig mitgeteilt wird. Ferner sollte die Assoziation via SSID-Broadcast deaktiviert sein, damit der Client explizit die gewünschte SSID bei der Assoziierung angeben muss.
  • Es müssen geeignete Verschlüsselungsmechanismen aktiviert werden. Gleichzeitig muss sichergestellt sein, dass alle Komponenten im WLAN diese unterstützen. Es darf nicht möglich sein, mit WLAN-Komponenten Verbindungen aufzubauen, die keine oder nur unzureichende Verschlüsselungsmechanismen besitzen.
  • Kryptographische Schlüssel sollten möglichst zufällig gewählt und regelmäßig gewechselt werden. Es sollte ein komplexer Pre-Shared Key (PSK) bei der Nutzung von WPA-PSK bzw. WPA2-PSK verwendet werden. Falls kryptographische Schlüssel wie der PSK über ein Passwort generiert wird, so sollte hierfür ein Passwort hoher Komplexität mit mindestens 20 Zeichen gewählt werden.
  • Zur Einschränkung der zugelassenen Kommunikationspartner eines Access Point sollten Access Control Lists (ACLs) auf MAC-Adress-Ebene verwendet werden. Dies ist insbesondere bei kleinen bis sehr kleinen WLAN-Installationen hilfreich. Als alleiniges Instrument kann sie aber besonders im WLAN (durch die leichte Abhörbarkeit) im Allgemeinen nicht für ein ausreichendes Maß an Sicherheit sorgen, da MAC-Adressen einfach geändert werden können. ACLs im WLAN können daher nur als eine schwache, ergänzende Zusatzmaßnahme gesehen werden, deren Einsatz vor allem in speziellen Situationen sinnvoll ist. Da der Sicherheitsgewinn begrenzt ist, sollte in größeren Netzen abgewogen werden, ob der Sicherheitsgewinn den entstehenden Administrationsaufwand rechtfertigt.
  • Der DHCP (Dynamic Host Configuration Protocol) Server im Access Point sollte, falls vorhanden und technisch möglich, abgeschaltet werden, d. h. es sollten statische IP-Adressen vergeben und der zulässige IP-Adressraum möglichst klein gehalten werden. Der DHCP Server wird einem Eindringling andernfalls automatisch eine gültige IP-Adresse zuweisen.
  • Beim Einsatz mehrerer Access-Points sind die benutzten Frequenzkanäle benachbarter Access-Points möglichst überlappungsfrei zu wählen.
  • Änderungen an der Systemkonfiguration müssen getestet und dokumentiert werden.
  • Es muss regelmäßig überprüft werden, ob alle sicherheitsrelevanten Updates und Patches eingespielt worden sind. Auch für die zugehörigen Gerätetreiber der WLAN-Hardware auf den WLAN-Clients ist dies zu berücksichtigen. Eine neue Software-Version oder ein Patch sollte erst nach einem angemessenen Test im WLAN eingespielt werden. Es ist in der Praxis schon vorgekommen, dass nach einen Software-Update die WLAN-Kommunikation nur noch eingeschränkt oder sogar gar nicht mehr möglich war.
    Es sollten Melde- und Informationsprozeduren im Änderungsmanagement spezifiziert werden, die beschreiben, wer und wie bei derartigen Änderungen zu informieren ist. Ebenso ist die Dokumentation der WLAN-Infrastruktur anzupassen.
  • Wenn WLAN-Komponenten längere Zeit nicht benutzt werden, sollten sie abgeschaltet werden. Access Points sollten außerhalb der Arbeitszeiten (beispielsweise nachts und am Wochenende) automatisch deaktiviert werden.

Diese Aufgaben können durch den Einsatz einer WLAN-Management-Software und durch Einbindung in ein zentrales Netz-Management sinnvoll unterstützt und überwacht werden.

Prüffragen:

  • Ist die SSID des Access Points so gewählt, dass kein Hinweis auf den Inhaber und den Verwendungszweck gegeben ist?

  • Ist der SSID Broadcast deaktiviert?

Stand: 13. EL Stand 2013