WLAN-Richtlinien

Bevorzugte Netzwerke

Im Register Bevorzugte Netzwerke lässt sich anschließend eine Liste konfigurieren, in der bevorzugte Netzwerke für eine automatische Verbindung mit den zugehörigen Sicherheitseinstellungen konfiguriert sind. Bei Desktop-Rechnern kann man sich auf die im Unternehmen verfügbaren WLANs, also zumeist eine Einstellung beschränken. Bei Notebooks sollte man die WLANs im Unternehmen, auch an unterschiedlichen Standorten, und Netzwerke der bevorzugten Provider außerhalb des Unternehmens, die beispielsweise WLANs an Bahnhöfen, Flughäfen und in Hotels bereitstellen, ebenfalls mit einrichten. Allerdings lässt sich dabei, wie oben bereits ausgeführt, keine vollständige Abdeckung erreichen.

Bild 5: Die Detaileinstellungen zu IEEE 802.1x bei den Parametern eines bevorzugten Netzwerks.
Bild 5: Die Detaileinstellungen zu IEEE 802.1x bei den Parametern eines bevorzugten Netzwerks.

Die Liste der bevorzugten Netzwerke ist zunächst noch leer. Über die Schaltfläche Hinzufügen wird ein neues Netzwerk eingerichtet.

Das erste Register bei den Einstellungen für das bevorzugte Netzwerk ist Netzwerkeigenschaften. Dort muss zunächst die SSID, also die eindeutige Kennung für das Netzwerk eingetragen werden. Leider ist diese Kennung nicht so eindeutig. So wird der Name Mobile relativ häufig von unterschiedlichen Anbietern verwendet. Das kann auch zu Problemen beim Verbindungsaufbau führen, wenn ein Netzwerk mit einer zwar definierten SSID, aber mit völlig anderen Sicherheitseinstellungen in der Nähe ist.

Darunter finden sich zwei der wichtigsten Festlegungen überhaupt:

  • Bei Netzwerkauthentifizierung wird konfiguriert, in welcher Form eine Authentifizierung beim Zugriff auf das WLAN erfolgen soll und muss.

  • Bei Datenverschlüsselung wird festgelegt, ob und in welcher Weise die übertragenen Daten verschlüsselt werden sollen.

Bei beiden Parametern hat man eine ganze Reihe von Auswahlmöglichkeiten, die teilweise voneinander abhängig sind. Für die Authentifizierung stehen folgende Optionen zur Verfügung:

  • Der Wert Offen legt fest, dass es sich um ein Netzwerk ohne Authentifizierung handelt. Bei vielen öffentlichen WLANs wird zwar damit gearbeitet, aber die Authentifizierung erfolgt anschließend über eine entsprechende Konfiguration eines Proxyservers, der die Weiterleitung des Datenverkehrs erst nach einer Authentifizierung bei einem Provider zulässt. Insofern ist offen nicht zwingend eine sicherheitskritische Einstellung aus Sicht des Providers. Grundsätzlich gilt aber, vor allem für eigene WLANs, dass man mit einer definierten Authentifizierung arbeiten sollte.

  • Die einfachste Möglichkeit dafür ist die Option Gemeinsam verwendet. Sie basiert auf WEP und verwendet für die Authentifizierung einen gemeinsam verwendeten Schlüssel. Die Nutzung solcher Schlüssel ist allerdings nur sehr eingeschränkt sicher, da gemeinsam verwendete Schlüssel dazu neigen, sehr schnell vielen Leuten bekannt zu sein. Außerdem ist die Änderung solcher Schlüssel aufwändig, da die Kommunikation in der Umstellungsphase nicht funktioniert, was zum Ergebnis hat, dass die Schlüssel kaum einmal geändert werden.

  • Die beste Lösung ist die Auswahl der Option WPA. In diesem Fall wird mit dem EAP (Extensible Authentication Protocol) für die Authentifizierung gearbeitet. Dabei können beispielsweise digitale Zertifikate genutzt werden. Alternativ lässt sich aber beispielsweise auch MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol) verwenden. Der Nachteil dabei ist, dass der Aufbau der Infrastruktur, wie eingangs erläutert, relativ komplex ist. Gemeinsam genutzte Schlüssel oder der Verzicht auf Authentifizierung sind natürlich deutlich einfacher umsetzbar.

  • Eine wiederum einfachere, dafür aber auch weniger sichere Lösung ist WPA-PSK. In diesem Fall wird WPA mit einem Pre-shared Key eingesetzt, also einem gemeinsam verwendeten, beiden Seiten vorab bekannt gemachten Schlüssel. Der Vorteil von WPA liegt hier nur noch in der höheren Sicherheit bei der Verschlüsselung, aber nicht mehr beim sicheren Verbindungsaufbau.

Dennoch kann es sinnvoll sein, diese Auswahl zu treffen, wenn es keine PKI für das Management der digitalen Zertifikate gibt, aber zumindest die Verschlüsselung von WPA genutzt werden soll. Wenn eine der ersten beiden Optionen gewählt wird, lässt sich nämlich auch nur entweder unverschlüsselt oder mit WEP-Verschlüsselung arbeiten. Ersteres ist ohnehin problematisch, Letzteres ist auch nicht der Weisheit letzter Schluss. Da WEP mit dem immer gleichen Schlüssel arbeitet und einige weitere Schwachstellen aufweist, ist es für Angreifer relativ leicht, diese Verschlüsselung zu knacken. Daher wurde auch WPA als Nachfolger für WEP definiert.