Wireless als drahtloses Einfallstor
Wireless als drahtloses Einfallstor
Der Zugriff auf das Wireless-Netzwerk wird heute primär über 802.1x geschützt. Das Protokoll stammt ursprünglich aus dem Bereich der drahtgebundenen Netzwerke, um Port-basierte Autorisierung zu ermöglichen und wurde für den Einsatz in drahtlosen Netzwerken angepasst. Ein Benutzer erhält erst nach einer erfolgreichen Autorisierung einen Vollzugriff auf das Netzwerk. Dieser Status hat eine gewisse Zeit Gültigkeit und muss nicht für jedes Paket erneut geprüft werden, was den verursachten Netzwerkverkehr aufgrund der Autorisierung gering hält. In einem Wireless Umfeld kann der Client mit dem Access Point eine Verbindung aufbauen und diesem seine Zugangsdaten übermitteln, welcher dieser normalerweise an einen so genannten Remote Authentication Dial-In User Service (Radius) zur Prüfung weiterleitet. Sofern diese erfolgreich verläuft, wird der Access Point über die Zulassung des Clients informiert und das Netzwerk kann freigegeben werden. Um diese initialen Zugangsdaten über das drahtlose Netzwerk sicher zu übermitteln, müssen bereits diese Daten verschlüsselt werden. Zum Einsatz kommt das Extensible Authentication Protocol (EAP). Dieses bietet eine Art Basis für eine Autorisierungslösung, welche über EAP implementiert werden kann. So findet man heute diverse Lösungen, angefangen von LEAP (EAP-Cisco) über PEAP bis zu EAP-TLS oder EAP-TTLS. Die verschiedenen Protokolle bieten Vor- und Nachteile. Einige benötigen Client-Zertifikate, einige sind proprietär und andere herstellerübergreifend. Die Wahl für das optimale Verfahren muss auf die Umgebung abgestimmt werden.
Nachdem der Benutzer Zugriff auf das Netzwerk gewährt bekommen hat, werden vom Radius normalerweise die Daten für die Verschlüsselung bereitgestellt. Auch hier sind die Angebote sehr vielfältig und je nach Umgebung unterschiedlich gut geeignet. Entscheidend ist die Tatsache, dass heute in einer modernen drahtlosen Netzwerkinfrastruktur der Access Point lediglich die Brücke zwischen dem luft- und drahtgebundenen Netzwerk darstellt. Vor einigen Jahren wurden so genannte Fat Access Points verwendet, welche selber eine Autorisierung der Clients durchführten. In geschäftlich verwendeten drahtlosen Netzwerken wird heute jedoch auf Thin Access Points gesetzt. Sie stellen nur die wirklich benötigten Funktionen bereit. Aufgaben wie Zulassungskontrolle und Wahl der Schlüssel werden an andere Komponenten abgegeben. Dies hat den immensen Vorteil, dass die Verwaltung einer Wireless-Umgebung heute, dank der Zentralisierung der «Logik und Benutzerverwaltung», viel einfacher wurde. Mit diesen Methoden lässt sich eine Wireless-Infrastruktur mindestens so sicher wie eine drahtgebundene betreiben.