Bundesamt für Sicherheit in der Informationstechnik

M 5.139 Sichere Anbindung eines WLANs an ein LAN

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Ziel bei der Nutzung von WLAN-Komponenten ist häufig die bequeme und mobile Anbindung an andere Netze. Dies können andere WLANs, aber auch existierende LANs in der eigenen Institution sein. Hierbei sollten zwei Sicherheitsaspekte unterschieden werden:

  • der Schutz der benutzten WLAN-Komponenten vor Missbrauch bei der Nutzung fremder Netze und
  • der Schutz der internen LANs gegen Missbrauch von außen.

Bei der Anbindung eines WLANs an ein LAN muss der Übergang zwischen WLAN und LAN entsprechend des höheren Schutzbedarfs abgesichert werden. Diesen hat im Allgemeinen das LAN. Bei der WLAN-Kopplung mit einem LAN sind grundsätzlich zwei Ansätze möglich:

  • Es kann versucht werden, im WLAN ein Sicherheitsniveau zu erreichen, dass dem innerhalb des vorhandenen drahtgebundenen LANs entspricht. Dazu müssen aber im Allgemeinen die bei Standard-WLAN-Komponenten integrierten Sicherheitsmechanismen erweitert, beispielsweise durch stärkere Kryptoalgorithmen, sowie ein hoher Aufwand für zusätzliche Absicherungen betrieben werden.
  • Auf der anderen Seite kann ein pragmatischer Ansatz gewählt werden, bei dem davon ausgegangen wird, dass sowohl die auf der Funkstrecke übertragenen Daten als auch die WLAN-Komponenten nicht dem Sicherheitsniveau des LAN entsprechen. Daher sind Zugriffe aus dem WLAN hierbei wie solche aus dem Internet zu behandeln und somit nur über ein Sicherheitsgateway zuzulassen. Diese Vorgehensweise ist zu empfehlen.

Je höherwertiger die Absicherung auf der Luftschnittstelle und der aktiven Komponenten des Distribution System ist, desto weniger umfangreich müssen die am Übergabepunkt zum LAN zu realisierenden Maßnahmen ausfallen. In jedem Fall muss aber am Übergabepunkt eine vollständige Sperrung der WLAN-Kommunikation ins interne LAN möglich sein, sobald ein Angriff auf das WLAN erkannt wird.

Das Koppelelement zwischen dem Distribution System des WLANs und LAN muss mindestens ein Layer-3-Router sein, um eine effektive Trennung der Broadcast-Domänen zu erreichen. Der Einsatz weitergehender Mechanismen, etwa eines dynamischen Paketfilters anstelle eines Routers, muss je nach Einsatzumgebung und entsprechend des Schutzbedarfs entschieden werden.

Bei höherem Schutzbedarf sollte außerdem die Sicherheit der Authentisierung verbessert werden, beispielsweise durch den Einsatz von EAP -TLS, so dass eine gegenseitige starke Authentikation zwischen den WLAN-Clients und einem Authentikationsserver innerhalb des LANs möglich ist.

Prüffragen:

  • Ist am WLAN -Übergabepunkt eine vollständige Sperrung der WLAN -Kommunikation ins interne LAN möglich?

  • Wird als Koppelelement zwischen WLAN und LAN mindestens ein Layer-3-Router eingesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK