Wireless LANs sicher betreiben

Sicherheitslücke WLAN: Risikofaktor trotz Verschlüsselung

WPA2 und feste Passwörter

Oft übersehen wird auch der Nachteil von WPA/WPA2 in Verbindung mit Pre Shared Keys (PSK), also festen Passwörtern. Einmal eingegeben, merken sich die Endgeräte beziehungsweise deren Betriebssysteme den PSK. Geht ein Endgerät verloren, kann ein Dritter den Key auslesen und sich ohne Weiteres im Netzwerk anmelden. Denn per PSK lassen sich nur Endgeräte, aber keine Personen identifizieren. Eine Lösung für dieses Problem ist der Einsatz von WPA2 in Verbindung mit 802.1X, da hier der jeweilige Anwender von einem RADIUS-Server erkannt werden muss.

Alles unter Kontrolle: Mit WLAN-Controllern wie den hier gezeigten Produkten von Aruba verwalten Unternehmen größere Mengen von WLAN-Access-Points effizient und sicher. (Quelle: Aruba Networks)
Alles unter Kontrolle: Mit WLAN-Controllern wie den hier gezeigten Produkten von Aruba verwalten Unternehmen größere Mengen von WLAN-Access-Points effizient und sicher. (Quelle: Aruba Networks)

802.1X macht außerdem Schluss mit dem umständlichen Verwalten der Pre Shared Keys, die im Zweifelsfall zumeist von Hand auf allen Access Points und Endgeräten geändert werden müssen. Insbesondere für Unternehmen mit kleineren IT-Teams ist diese Arbeitserleichterung ein echter Segen. Ein Stolperstein könnte jedoch die Hardware sein: Sind in den meisten Unternehmen bereits RADIUS-Server vorhanden – Windows Server ab Server 2000 bringen RADIUS-Funktion ab Werk mit –, gibt es unter Umständen Schwierigkeiten mit den Ethernet-Switches. So manches ältere Modell kann mit 802.1X nichts anfangen, sodass eventuell eine Investition in neue Netzwerkinfrastruktur fällig ist. Übrigens: Alle Investitionen in ein per 802.1X gesichertes WLAN sind rausgeworfenes Geld, wenn das verdrahtete Netzwerk nicht ebenfalls abgesichert ist. Wenn beispielsweise offen zugängliche Ethernet-Ports in Konferenz- oder Warteräumen zu finden sind, muss ein Angreifer gar nicht erst den Umweg über das Knacken des WLANs gehen: Er dockt per Netzwerkkabel direkt ans Intranet an.