Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.141 Regelmäßige Sicherheitschecks in WLANs - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.141 Regelmäßige Sicherheitschecks in WLANs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Es sollte regelmäßig, mindestens monatlich, ein WLAN-Sicherheitscheck durchgeführt werden.

WLANs sollten regelmäßig mit WLAN-Analysatoren und Netz-Sniffern überprüft werden, ob es eventuell Sicherheitslücken wie schwache Passwörtern, mangelhafte Verschlüsselung oder einen aktiven SSID-Broadcast gibt. Aber auch nach unbefugt installierten WLANs sollte gesucht werden.

Netz-Analyse-Programme

Zur Überwachung und Analyse von Dienstequalität und Sicherheit sind in WLANs ebenso wie auch in anderen Netzen spezifische Werkzeuge hilfreich. Für einen sicheren Betrieb von WLANs ist die Überprüfung, in wie weit die vorgegebenen Sicherheitsrichtlinien eingehalten werden und wie es um die Verfügbarkeit des WLANs bestellt ist, besonders wichtig. Zu letzterem gehören auch Messungen der Performance und Fehleranalysen. Nützlich sind aber auch Tools, die einen Überblick über alle aktiven WLAN-Teilnehmer, sowie über bisher erkannte Netzteilnehmer geben.

Netz-Analyse- oder Sniffer-Programme lesen Datenströme mit und untersuchen die übermittelten Datenpakete nach verschiedenen, einstellbaren Kriterien. Sie können beispielsweise nach bestimmten Mustern in den Datenpaketen suchen oder Routing-Information auswerten.

Netz-Analyse-Tools sollten regelmäßig eingesetzt werden, um

Überwachung der WLAN-Infrastruktur

Zur Überwachung der WLAN-Infrastruktur kann im einfachsten Fall eine Standortaufnahme über einen mit Spezial-Software ausgestatten WLAN-Client als Stichprobe durchgeführt werden, mit dem das Versorgungsgebiet abgelaufen wird. Hierdurch kann der Betrieb von unerlaubt aufgestellten Access Points ermittelt werden.

Eine bessere Kontrolle ist aber bei Einsatz eines WLAN-Management-Systems gegeben, mit dessen Hilfe regelmäßig folgende Aktion durchgeführt werden sollten:

Einsatz eines Wireless Intrusion Detection Systems

Bei der Planung eines Access Point-basierten Wireless Intrusion Detection Systems (IDS) sollte zunächst festgelegt werden, ob eine eigene Messinfrastruktur aufgebaut wird oder die im Produktivnetz verwendeten Access Points und WLAN-Clients in bestimmten Intervallen in einen Messmodus geschaltet werden. Wird hierbei keine vollständige Erfassung des zu überwachenden Bereichs realisiert, können Angriffe im WLAN auf Funkebene nicht erkannt werden. Darüber hinaus ist zu berücksichtigen, dass ein Access Point bzw. WLAN-Client im Messbetrieb keine Daten übertragen kann und damit eine Reduktion der Performance und gegebenenfalls der Verfügbarkeit der WLAN-Datenübertragung in Kauf genommen wird. Ebenso bleibt bei der Nutzung der zum Produktivnetz gehörenden Access Points im Scan-Modus immer ein Zeitfenster bestehen, in dem keine Überwachung auf der Luftschnittstelle möglich ist.

In jedem Fall muss beim Einsatz eines Intrusion Detection Systems oder gar eines Intrusion Prevention System (IPS) das normale Kommunikationsverhalten im WLAN ermittelt bzw. auf Basis von Messungen definiert werden (siehe auch M 5.71 Intrusion Detection und Intrusion Response Systeme).

Alarm- und Fehlerbehandlung

Die WLAN-Administration sollte über eine Alarm- und Fehlerbehandlung verfügen. Hierbei sind folgende Aufgaben durch die Administratoren wahrzunehmen:

Penetrationstest

Im Zuge eines Sicherheitschecks kann ein WLAN auch mit Hilfe von Penetrationstests auf Schwachstellen untersucht werden. Dabei sind alle getroffenen Sicherheitsmaßnahmen genau zu prüfen, ob diese den Angriffen gewachsen sind, gegen die sie wirken sollen. Ein Penetrationstest sollte mindestens halbjährlich, spätestens jedoch jährlich, erfolgen.

Dokumentation

Bei der Durchführung des Sicherheitschecks sollten die Administratoren alle Schritte so dokumentieren, dass sie (beispielsweise bei einem Verdacht auf ein kompromittiertes System) nachvollzogen werden können. Die Ergebnisse des Sicherheitschecks müssen dokumentiert werden, Abweichungen vom Soll zustand muss nachgegangen werden.

Ergänzende Kontrollfragen: