Trusted Wireless Environment: Angriffe aufs WLAN wirkungsvoll unterbinden
Netzwerke und WLAN-Strukturen von Unternehmen werden zunehmend komplexer. Gleichzeitig kommen Cyberangriffe, die auf Schwachstellen in den WLAN-Umgebungen (Wireless Local Area Networks) von Unternehmen zielen, immer raffinierter daher. Im Folgenden richten wir den Fokus auf die entscheidenden Stellschrauben zur Gestaltung sicherer Drahtlos-Netzwerke.
Der Angriff auf ein US-amerikanisches Finanzunternehmen im Jahr 2022 liefert ein eindrucksvolles Beispiel für die Raffinesse der aktuellen Attacken. Hierbei entdeckte das Unternehmen ungewöhnliche Aktivitäten auf einem intern genutzten Shared-Workspace-Portal, deren Ursprung direkt im Unternehmensnetzwerk verortet wurde. Zur Überraschung der IT-Verantwortlichen war es Hackern gelungen, die Anmeldedaten und WLAN-Informationen eines Benutzers mithilfe einer Drohne abzufangen. Die Drohne war mit einem modifizierten WLAN-Router (WiFi Pineapple) ausgestattet, der üblicherweise im Zuge von Netzwerk-Penetrationstests zum Einsatz kommt. Eine zweite Drohne führte einen Koffer, der einen Raspberry Pi, mehrere Batterien, einen GPD-Mini-Laptop, ein 4G-Modem und ein weiteres WLAN-Device enthielt. Mithilfe dieses Equipments gelang es den Angreifern, die interne Website des Unternehmens zu kompromittieren und über die gespeicherten Anmeldedaten auf andere Geräte zuzugreifen. Bei diesem ausgeklügelten Angriff war nicht einmal die physische Anwesenheit in Reichweite des drahtlosen Netzwerks des Gebäudes erforderlich.
Tipps für die Praxis
In Anbetracht eines solchen Szenarios wird einmal mehr deutlich, dass es auf eine ganzheitliche und sorgfältig umgesetzte Sicherheitsstrategie zum WLAN-Schutz ankommt. Nur so lässt sich Datenverlust und unbefugtem Zugriff konsequent vorbeugen. Aufgrund der Cyber-Bedrohungslage sind sichere Zugangspunkte für den Schutz von drahtlosen Unternehmensumgebungen unabdingbar. Unternehmen müssen gleichzeitig sicherstellen, dass ihre IT-Security-Richtlinien gut formuliert sind und der gegenwärtigen Arbeitssituation – gerade im Hinblick auf Remote- und Hybrid-Mitarbeiter – Rechnung tragen. Hierfür haben wir fünf Tipps:
1. Segmentierung der WLAN-Nutzer und -Geräte nach SSID:
Die Nutzung der drahtlosen Netzwerke ist je nach Abteilung und Gerät unterschiedlich. Hierbei entfalten in der Regel auch abweichende WLAN-Verschlüsselungsmethoden Wirkung. So verfügt der WPA-Standard über mehrere Modi. Während WPA-Enterprise die Bedürfnisse von Unternehmensanwendern im Blick hat und eine strengere 802.1X-Authentifizierung verwendet, die einen Authentifizierungsserver erfordert, kommt WPA-Personal in der Regel als „abgespecktere“ Variante in SOHO-Szenarien (Small Office, Home Office) zur Anwendung – für eine einfachere Implementierung und Verwaltung bei Privatpersonen und kleinen Büros. In dem Zusammenhang ist es ratsam, unterschiedliche WLAN-Sphären für Geräte, die WPA-Enterprise unterstützen, und denen, bei denen WPA-Personal gilt, zu schaffen und separate SSID aufzusetzen. Auf diese Weise können IT-Verantwortliche spezifische Zugriffsvorgaben für weniger sichere Endgeräte erstellen und umsetzen.
2. Einrichten eines Gast-WLAN:
Durch die Konfiguration einer separaten Gast-WLAN-SSID mit eigenen Zugriffseinstellungen können fremde „Gastgeräte“ an der Kommunikation mit Benutzern oder Geräten innerhalb des Unternehmensnetzwerks gehindert werden. Gleichzeitig lässt sich der Internetverkehr sicher über den Netzwerkrand hinaus aufgleisen.
3. Konzentration der Signalstärke auf gesicherte Bereiche:
Wenn WLAN-Access-Points in der Nähe von Außenwänden installiert werden, muss darauf geachtet werden, dass ihre Leistungsstärke möglichst keine angrenzenden, fremden Umgebungen erreicht. Die Signalreichweite sollte entsprechend geregelt werden, um das Risiko zu reduzieren, dass ein unbefugter Benutzer erfolgreich eine Verbindung zum Netz herstellt.
4. Sichere Konfiguration von LAN-Switching-Ports:
Auch bei der Konfiguration der Ports, die die Access Points mit dem LAN des Unternehmens verbinden, muss der Sicherheitsgedanke vordergründig sein. Es ist ratsam, die Management-IP-Adressen der Access Points über ein eigenes Netzwerksegment (VLAN – Virtual Local Area Network) zu händeln und nur im Rahmen dieser VLAN-Strukturen die Verbindungsherstellung zu den Access Points zu ermöglichen. Darüber hinaus empfehlen wir die Verwendung von Port-Sicherheitstechniken auf Basis fester MAC-Adressen, um zu verhindern, dass Angreifer einen Access Point abtrennen und stattdessen ein nicht autorisiertes Gerät mit dem LAN verbinden.
5. Einsatz zusätzlicher Sicherheitstools, die den WLAN-Schutz erhöhen:
Durch die Implementierung weiterer IT-Sicherheitskomponenten – beispielsweise Firewalls, Lösungen zur Multifaktor-Authentifizierung oder für Endpoint Security – lassen sich zusätzliche Schutzebenen einziehen. Anwender, Geräte und über das WLAN übertragene Daten werden in Summe noch besser abgesichert.
Warum Unternehmen ein Rahmenkonzept für sicheres WLAN benötigen
Um vertrauenswürdige kabellose Umgebungen zu schaffen, müssen Unternehmen Sicherheitsrichtlinien implementieren, die ihren aktuellen Anforderungen entsprechen – idealerweise auf dem Fundament von Access Points, die stabile WLAN-Verbindungen ermöglichen und gleichzeitig umfassenden Schutz vor den sechs größten Bedrohungen – in Form von Rogue Access Points, „Evil Twin“ Access Points, benachbarten Access Points, Rogue Clients, Ad-hoc-Netzwerken und falsch konfigurierten Access Points – bieten.
Das alles kann kompliziert sein, da IT-Systeme nicht unabhängig voneinander arbeiten und Verbindungen zu sowie zwischen Netzwerken und Geräten ständig zunehmen. Der Trend zu Remote- und Hybrid-Arbeit erhöht die Komplexität bei der Absicherung von Unternehmensnetzwerken zusätzlich. Das „Trusted Wireless Environment“-Konzept von WatchGuard unterstützt Unternehmen dabei, leistungsstarke und gleichzeitig sichere WLAN-Strukturen aufzubauen und zu etablieren. Es basiert auf drei Säulen und ist auf optimale Funktionalität, skalierbares Management und umfassende WLAN-Sicherheit ausgerichtet.
Mehr zum Thema „Sicheres WLAN“ erfahren Sie auch in folgenden Blog-Beiträgen:
Im Visier der Angreifer: WLAN-Router und Access Points
Best Security Buddies: WLAN und das Zero-Trust-Modell
Kabellose Unsicherheit?
Verlässliches WLAN? Aber sicher!