Passcodes sind anfällig für Brute-Force-Angriffe
Die Risiken von Personal WPA2 für Business-WLAN und was man stattdessen verwenden sollte
Mit einem zertifikatbasierten EAP können nur die Benutzer, Computer und mobilen Geräte mit den korrekt konfigurierten Zertifikaten auf die entsprechenden WLAN-Netzwerke zugreifen
Mittlerweile sind die Risiken bekannt, die entstehen, wenn WLAN-Netzwerke in Unternehmen nicht ausreichend gesichert sind. Das ist bestenfalls lästig (wenn Passanten Ihr Netzwerk kostenlos nutzen und Verbindungen verlangsamen), schlimmstenfalls kritisch (unberechtigte Dritte haben Zugang zu Unternehmensdaten, fangen sensible Informationen ab, erbeuten Anmeldeinformationen oder verbreiten Malware und Viren).
Glücklicherweise haben die meisten Unternehmen auf diese Bedrohungen reagiert, indem sie ihre Netzwerke mit WPA oder WPA2 abgesichert haben. Dabei werden die Daten verschlüsselt übertragen und der Zugang nur autorisierten Usern gestattet (WPA2 ist die stärkere und für Unternehmen empfohlene Variante und darum soll es hier gehen).
Allerdings verwenden viele Firmen den persönlichen Modus von WPA2 oder WPA2 Personal. Sie beruhen für den Zugang auf einer gemeinsamen Passphrase, was für Unternehmensumgebungen naturgemäß nicht die beste Wahl ist. Wir sehen uns zunächst genauer an, wo die Fallstricke bei diesem Setup liegen und auch welche Alternativen es gibt. Eine Anmerkung am Rande. Wir gehen hier davon aus, dass es sich von selbst versteht, dass Sie sich nicht mehr auf WEP verlassen sollten.
Die Gefahren gemeinsam genutzter WLAN-Passphrasen
Das größte Problem mit dem Persönlichen WPA2-Modus liegt in der Nutzung einer gemeinsamen Passphrase. Das heißt, um auf ein WLAN-Netzwerk zuzugreifen, muss man nur einen Code eingeben. Jede Person und jedes Gerät verwenden den gleichen Code.
Dieses Szenario mag für das heimische Netzwerk ausreichen. Für Unternehmensanwendungen kann es zweifelsohne zu Problemen führen:
>> Für Mitarbeiter ist es nicht besonders schwierig, den Passcode an Nichtmitarbeiter weiterzugeben.
>> Es ist höchstwahrscheinlich, dass am Ende doch jemand den Passcode aufschreibt und er so in falsche Hände gelangen kann.
>> Passcodes sind anfällig für Brute-Force-Angriffe
>> Was passiert, wenn jemand das Unternehmen verlässt? Um sicherzustellen, dass die betreffende Person keinen Zugang mehr zum Netzwerk und damit zu sämtlichen freigegebenen Ressourcen hat müssen Sie schleunigst den Code ändern.
>> Was passiert, wenn jemand ein Gerät verliert? Das gleiche. Sie müssen den Passcode aktualisieren, damit niemand, der das Gerät vielleicht findet, auf das Unternehmensnetzwerk zugreifen kann.
>> Angesichts der vorangegangen Punkte: Wie oft wollen Sie Passcodes neu ausliefern? Müssen Sie von Computer zu Computer gehen und die Codes eingeben? Wenn nicht, wie werden die neuen Passcodes an die Mitarbeiter weitergegeben?
Gemeinsam genutzte Passphrasen hinterlassen also ganz offensichtlich etliche Löcher, über die unbefugte Nutzer potenziell auf ein Firmennetzwerk zugreifen können. Einmal im System treten dieselben Risiken auf wie in einem offenen Netzwerk. Daten lassen sich ausspähen und abfangen, der Datenverkehr lässt sich überwachen, Anmeldeinformationen stehlen, Zugang zu freigegebenen Ressourcen bekommen, Malware oder Viren verbreiten und so weiter.
WPA2-Enterprise: Die bessere Option für Unternehmens-WLANs
Ich denke, wir sind uns in diesem Punkt einig: WPA2 Personal reicht für die meisten Unternehmen schlicht nicht aus. Stattdessen sollten Firmen WPA2 Enterprise in Erwägung ziehen. Neben anderen Vorteilen, eliminiert es vor allem die gemeinsame genutzte Passphrase. Zwar ist dazu ein zusätzliches Setup nötig, aber in Anbetracht der Vorteile sollte es die Mühe wert sein:
>> Jeder User erhält anstatt eines universellen Passcodes eine eindeutige Anmeldeinformation um auf das Netzwerk zuzugreifen. Neben dem offensichtlichen Sicherheitsvorteil erleichtert das die Arbeit, wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht. Man muss lediglich die Anmeldeinformation löschen/aktualisieren. Administratoren stellen die Anmeldeinformationen bereit und verwalten sie. Endbenutzer müssen sich nichts merken oder konfigurieren.
>> Benutzer sind nicht in der Lage Sessions anderer User auszuspähen (z. B. Datenverkehr zu überwachen, Anmeldeinformationen zu stehlen). Jede Session eines Benutzers wird mit einem anderen Schlüssel verschlüsselt. Im Gegensatz zu WPA2-Personal, das einen gemeinsamen Schlüssel verwendet. Benutzer können Aktivitäten anderer Benutzer weder entschlüsseln noch sehen. Gelangt ein nicht autorisierter Nutzer ins Netzwerk würde das allein schon helfen.
Die technischen Spezifikationen dieser Art der Bereitstellung sprengen hier den Rahmen. Dieser bietet aber einen guten Überblick: Drahtlose Sicherheit im Unternehmen: Der Einsatz von WPA2-Enterprise.
Die beste Option im Unternehmens-WLAN: WPA2-Enterprise mit Zertifikaten
Bei der Einrichtung von WPA2-Enterprise wählen Sie Ihr Extensible Authentication Protocol (EAP), das, um es einfach auszudrücken, die Art und Weise ist, wie sich Clients am betreffenden WLAN-Netzwerk authentifizieren. Eine Option ist es, Benutzernamen/Passwort zu verwenden (z.B. die Domain-Anmeldeinformationen eines Mitarbeiters). Aber Passwörter sind notorisch unzuverlässig. Eine weit bessere Möglichkeit ist es Zertifikate zu verwenden. Das sieht auch Microsoft so:
"Passwortbasierte Authentifizierungsmethoden bieten jedoch keine starke Sicherheit und ihre Verwendung wird nicht empfohlen. Es wird hingegen empfohlen, für alle Netzwerkzugangsmethoden, die die Verwendung von Zertifikaten unterstützen, eine zertifikatbasierte Authentifizierungsmethode zu verwenden. Dies gilt insbesondere für drahtlose Verbindungen ... "
Mit einem zertifikatbasierten EAP können nur die Benutzer, Computer und mobilen Geräte mit den korrekt konfigurierten Zertifikaten auf die entsprechenden WLAN-Netzwerke zugreifen. Selbst wenn jemand sich in den Besitz eines Mitarbeiter-Logins gebracht hat, kann er trotzdem noch nicht auf das Netzwerk zugreifen. Im Gegensatz zu passwortbasierten Schemata, die nur den Benutzer authentifizieren, können Zertifikate für die Geräte selbst ausgestellt werden. Was verhindert, dass jemand unberechtigt auf ein Gerät zugreift (z. B. ein nicht autorisiertes persönliches mobiles Gerät, bösartige Dritte). Ein weiterer Vorteil.
Nutzung von Active Directory?
Viele WPA2-Enterprise Bereitstellungen nutzen Active Directory, Gruppenrichtlinien und einen RADIUS-Server für die Bereitstellung von drahtlosen Netzwerkeinstellungen und Anmeldeinformationen. Zertifikate passen genau in dieses Szenario. Durch die Nutzung von Gruppenrichtlinien und einem RADIUS-Server, können Sie Zertifikate auf Client-Computer verteilen und Richtlinien erstellen, die Geräte automatisch in das entsprechende Netzwerk einfügen. Einige CAs, wie z.B. GlobalSign, bieten Active Directory-Integrationen an, sodass Sie keine eigene interne CA betreiben müssen, was ressourcenintensiv und zeitaufwendig werden kann.
Wenn Sie WPA2-Enterprise bereits einsetzen: Verwenden Sie Zertifikate, um die Authentifizierung und den sicheren Zugang zu drahtlosen Netzwerken zu stärken? Warum oder warum nicht?
(GMO GlobalSign: ra)
eingetragen: 18.11.16
Home & Newsletterlauf: 09.12.16
GMO GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
