Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.297 Sicherer Betrieb der WLAN-Komponenten - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.297 Sicherer Betrieb der WLAN-Komponenten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

WLANs sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden, damit sie sicher betrieben werden können. Alle WLAN-Komponenten müssen so konfiguriert sein, dass sie so gut wie möglich gegen Angriffe geschützt sind. Solange WLAN-Komponenten nicht entsprechend konfiguriert sind, dürfen sie nicht aktiviert bzw. mit der Produktivumgebung gekoppelt werden.

Abzusichernde WLAN-Komponenten sind unter anderem die Access Points, das Distribution System, die WLAN-Clients, die Betriebssysteme, auf denen die WLAN-Komponenten betrieben werden, und die verwendeten Protokolle. Insbesondere sind folgende Punkte zu beachten:

Es sollte möglichst eine Standard-Konfiguration für die eingesetzten WLAN-Komponenten ausgearbeitet werden, die die Vorgaben aus der WLAN-Sicherheitsrichtlinie wiederspiegelt. Dies erleichert bei einer Vielzahl zu betreuender Geräte außerdem das Einspielen von Änderungen. Ebenso lassen sich hierüber Abweichungen von der Soll-Konfiguration schneller feststellen.

Sinnvoll ist der Einsatz einer WLAN-Management-Lösung, die für eine effiziente Konfiguration der Access Points sorgt. Access Points und die aktiven Komponenten des Distribution System sollten weiterhin in das Netz-Management-System eingebunden und überwacht werden können. Schließlich sollte auch die Verfügbarkeit der Authentisierungsserver über das Management-System geprüft werden können. Gegebenenfalls bietet sich die Erweiterung eines bereits genutzten Netz-Management-Systems um ein WLAN-Management-Modul an.

Der Anschluss von fremden Access Points oder Manipulationen an den Switches des Distribution Systems sollte durch das WLAN-Management-System erkannt werden. Der betroffene Netz-Port des Distribution Switch sollte in einem solchen Fall umgehend gesperrt werden.

Ebenso sollte die Konfiguration der Access Points und des Distribution Systems regelmäßig geprüft werden. Hierzu muss die aktuell vorgefundene Systemkonfiguration gegen eine dokumentierte und validierte Konfiguration geprüft werden. Bei nicht bestätigten Änderungen müssen die Systeme untersucht und gegebenenfalls sogar abgeschaltet und geprüft werden, ob ein Angriff vorliegt.

Für den sicheren Betrieb der WLAN-Komponenten ist sowohl die Grund-Konfiguration, die aufbauend auf der WLAN-Sicherheitsrichtlinie festgelegt wurde, als auch alle durchgeführten Änderungen sorgfältig zu dokumentieren, um diese jederzeit nachvollziehbar zu machen. Neben der Dokumentation der Sicherheitskonfigurationen gehört auch die Dokumentation der Firmware-Stände der Access Points und die Dokumentation von ortsspezifischen Konfigurationen.

Ergänzende Kontrollfragen