Bundesamt für Sicherheit in der Informationstechnik

M 5.140 Aufbau eines Distribution Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Distribution System ist ein Netz, das Access Points untereinander und mit der weiteren Infrastruktur, wie z. B. einem kabelgebundenen Netz, verbindet. Generell werden zwei Arten von Distribution Systemen unterschieden:

  • kabelgebundenes Distribution System:
    Alle Access Points werden untereinander und mit der weiteren Infrastruktur verkabelt.
  • Wireless Distribution System:
    Eine direkte Verkabelung zwischen den Access Points ist hierbei nicht mehr notwendig. Allein die Stromversorgung muss für jeden Access Point gewährleistet sein.

In beiden Fällen sollte die Kommunikation zwischen den Access Points stets verschlüsselt statt finden, um die Vertraulichkeit der übermittelten Daten zu gewährleisten. Bei einem kabelgebundenen Distribution System können hierfür beispielsweise IPSec-VPN-Tunnel eingesetzt werden, bei einem Wireless Distribution System nach IEEE 802.11i kann zusätzlich CCMP verwendet werden. Bei einem Wireless Distribution System ist neben dem Schutz der Vertraulichkeit und Integrität aber auch die Verfügbarkeit wesentlich und es sollten Maßnahmen ergriffen werden, um eventuelle Denial-of-Service-Angriffe usw. zu unterbinden. Durch den Einsatz von Wireless Intrusion Detection Systemen und regelmäßige Sicherheitschecks können Schwachstellen schnell gefunden und entsprechende Gegenmaßnahmen eingeleitet werden.

Beim Aufbau eines Distribution Systems muss darüber hinaus die prinzipielle Entscheidung getroffen werden, ob aus Sicherheitsgründen eine eigene Infrastruktur aufgebaut bzw. geschaltet wird, also eine physikalische Segmentierung zur Infrastruktur des internen LANs erfolgt. Als Alternative kann geprüft werden, ob eine logische Segmentierung durch VLANs ausreichend ist.

Wird eine eigene physikalische Infrastruktur für das Distrubtion System eingerichtet, so spielt vor allem die räumliche Ausdehnung des Versorgungsgebietes eine wesentliche Rolle. In der Regel werden mehrere Access Points durch Layer-2- bzw. Layer-3-Switches zusammengefasst, wobei eine Skalierung bei 12, 24 oder 48 Ports je Switch üblich ist. Sollen beispielsweise 100 Access Points miteinander zu einem Distribution System verbunden werden, so sind somit drei bis zehn Switches erforderlich. Eine direkte Verbindung der Access Points an Switches im zentralen Serverraum ist in der Regel nicht möglich, somit müssen die Switches über das gesamte Areal, das mit WLAN ausgestattet werden soll, verteilt werden. Dabei ist zu gewährleisten, dass die Switches ausreichend vor einem externen Zugriff geschützt sind und dass je nach Verfügbarkeit des Distribution Systems für eine Redundanz bei den Switches gesorgt ist. Für den Aufbau einer eigenen physikalischen Infrastruktur sind allerdings größere Investitionen und zusätzliche Sicherheitsmaßnahmen notwendig.

Bei einer logischen Segmentierung werden zur Kontrolle des Datenflusses über die Access Switches des kabelbasierten LANs virtuelle LANs (VLANs) gebildet. Soll eine Segmentierung von WLAN-Clients innerhalb des Distribution Systems erfolgen, muss beim Access Point zusätzlich eine Zuordnung eines WLAN-Clients zu einem VLAN erfolgen. Die Konfiguration eines logischen Distribution Systems innerhalb einer bestehenden LAN-Infrastruktur ist unter betriebstechnischen und damit unter Verfügbarkeitsaspekten nicht ganz unproblematisch und setzt extrem gut geschulte Administratoren voraus. Solange die gesamte LAN- und WLAN-Infrastruktur nur normal verfügbar sein soll, ist die Konfiguration von VLANs ein gangbarer Weg. Sobald allerdings eine höhere Verfügbarkeit angestrebt wird, sind VLANs für ein Distribution System nicht zu empfehlen.

Prüffragen:

  • Erfolgt die Kommunikation zwischen den Access Points verschlüsselt?

  • Existieren bei einem Wireless Distribution System Maßnahmen zur Unterbindung von Angriffen ( z. B. Denial-of-Service)?

  • Sind die eingesetzten Maßnahmen zur physikalischen und/oder logischen Netzsegmentierung dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK