WiFi

Sicheres WLAN mit der richtigen Authentifizierung vom Spezialisten

 

Viele kleine und mittelständische Unternehmen machen sich zu wenig Gedanken über den Betrieb eines sicheren WLANs.

Häufig werden von der IT-Abteilung oder auch einzelnen Mitarbeitern Access Points an das interne Firmennetz gesteckt. Beim Betrieb eines WLANs sollten natürlich alle Daten adäquat verschlüsselt werden. Auf diese Thematik soll hier aber nicht eingegangen werden. Es geht vielmehr um ein ebenso wichtiges, aber oft missachtetes Thema: die Authentifizierung.

Der Großteil der Funknetzwerke in Unternehmen ist mit einem WLAN-Schlüssel (einem sogenannten Preshared Key) gesichert. Wenn man diesen Schlüssel kennt, erlangt man Zugriff auf das WLAN und somit auf die internen Ressourcen. Ohne diesen Schlüssel kann man keine Funkverbindung aufbauen.

Dieses Vorgehen birgt jedoch Risiken. Der WLAN-Schlüssel wird in den meisten Unternehmen nie geändert. Ausgeschiedene Mitarbeiter haben somit weiterhin Zugriff auf interne Ressourcen, wenn sie sich in der Nähe des Unternehmens befinden. Gäste, welche kurzzeitig Zugriff auf das Netzwerk bekommen sollten, haben unbegrenzt Zugriff auf das WLAN und somit die internen Ressourcen. Häufig wird der Schlüssel so freizügig weitergegeben, dass niemand mehr weiß, wer den Schlüssel jemals erhalten hat (und somit Zugriff hat). Moderne WLAN-Installationen gehen zwei andere Wege (ohne Preshared Key), um die Netzwerke hinreichend abzusichern.

 
 
 

Gästenetzwerk

Da man nicht für jeden Gast einen Benutzer anlegen möchte, muss hier ein anderer Weg der Authentifizierung gefunden werden. Eine Möglichkeit sind hier Voucher-Lösungen. Es können Zugänge mit kurzzeitigen Berechtigungen angelegt werden. Auf einem Portal muss ein Code eingegeben werden, welcher beispielsweise in Papierform vorbereitet sein kann. Dieser ist dann für eine beliebig zu definierende Nutzungszeit gültig. Diese aus Hotels bekannte Lösung ermöglicht auch Unternehmen den sicheren Betrieb eines WLANs. Selbstverständlich sollte das Gästenetzwerk vom internen Netz getrennt sein. Da moderne Access Points aber mehrere SSIDs ausstrahlen und mit VLANs umgehen können, ist dies auch schnell und unkompliziert eingerichtet.

 
 

Interne Nutzung

Benutzer authentifizieren sich nicht mit dem Schlüssel (für alle Nutzer gleich), sondern mit einer individuellen Kombination aus Benutzernamen und Passwort. Somit kann bei Verlassen des Unternehmens der Account des Mitarbeiters schlicht deaktiviert werden und er hat auch keinerlei Zugriff mehr auf das WLAN. Diese Form der Authentifizierung (802.1x) über einen Radiusserver kann an das Active Directory gekoppelt werden. Somit hat der Nutzer nur ein Passwort für seinen PC und das WLAN. Sobald der User-Account deaktiviert wird, erlischt auch die Möglichkeit der WLAN-Nutzung.

 
 
Ihr Ansprechpartner

Sie haben Interesse oder Fragen zum Produkt?