Konkrete Kritik an CVSS4
Marc Ruef
Das Thema der grundlegenden Absicherung drahtloser Netze wurde schon vielerorts besprochen: Massnahmen wie die Verschlüsselung der Datenübertragung, Limitierung von MAC-Adressen oder das Unterdrücken des Broadcastings der SSID werden breitflächig eingesetzt, um ein Höchstmass an möglicher Sicherheit erreichen zu können.
Damit werden jedoch in erster Linie die internen Benutzer vor Übergriffen vor externen Angreifern geschützt. Es gibt jedoch zunehmends Firmen, die ihren Besuchern einen unkomplizierten Gastzugang über WLAN bereitstellen wollen. Die Bedrohungslage verändert sich damit dahingehend, dass nun nicht nur mehr externe Angreifer als einzige Gefahr wahrgenommen werden, sondern ebenfalls legitime Gast-Benutzer zum potentiellen Risiko werden. Die Bedrohung wirkt damit nicht mehr nur von Aussen nach Innen, sondern nun ebenfalls von Innen nach Aussen bzw. von Innen nach Innen.
Ein Gast hat gegenüber einem externen Anwender, der keinen legitimen Zugang zum Funknetz hat, zusätzliche Rechte. Diese Rechte gilt es dahingehend einzuschränken, dass der Gastbenutzer nicht ohne weiteres auf sensitive Bereiche des WLANs, der damit verbundenen Netze (z.B. LAN und Internet) und den anderen legitimen Nutzern im WLAN zugreifen kann.
Eine professionelle Lösung sieht vor, dass sich die Gäste zuerst an einer zentralen Stelle anmelden und beglaubigen lassen müssen. Dies kann das Personal am Empfang, eine Telefon-Hotline oder eine Willkommens-Webseite sein. Durch das Angeben grundlegender Informationen wie Name und Mailadresse lässt sich die Ernsthaftigkeit der Nutzung ansatzweise prüfen. Zusätzlich könnte noch gefragt werden, inwiefern eine Verbindung zum Unternehmen besteht („Welches Projekt?“) und wer als interne Kontaktperson bürgen wird.
Sobald der Gast seine legitimen Absichten vorgetragen hat, kann ihm ein Gastkonto für die WLAN-Nutzung eingerichtet werden. Dieses sollte nur für einen begrenzten Zeitraum gültig sein, der ansatzweise durch ihn selbst bestimmt werden kann. Ein Gastkonto, dessen Lebensdauer die Zeitdauer eines Arbeitstags überschreitet, scheint nicht realistisch zu sein. Die Lebenszeit von 4 Stunden hat sich als guter Mittelwert für externe Besucher bewährt. Nach Ablauf dieser Zeit wird das Gastkonto wieder deaktiviert.
Nach der Authentisierung mit Benutzername und Passwort kann der Benutzer von seinem Gastzugriff Gebrauch machen. Dabei sollte das für Gäste vorgesehene WLAN physisch vom internen WLAN und anderen internen Bereichen getrennt sein. Ein Übergang, sofern erforderlich, sollte durch ein gut durchdachtes und strikt konfiguriertes Firewall-System gewährleistet werden. Flache Topologien ohne kanalisierte Übergänge gilt es also zu vermeiden. Ohne diese ginge die Einschränkung verloren und mit ihr die Möglichkeit der Kontrolle.
Der Zugang vom WLAN für Gäste zum Internet sollte ebenfalls durch ein Firewall-System geschützt werden. Hier kann, stehen denn dedizierte Netzwerk-Schnittstellen zur Verfügung, auf die bestehende Firewall-Struktur zurückgegriffen werden. Die Definition des Firewall-Regelwerks hat dabei im Gegensatz zur internen Nutzung in zusätzlichem Mass restriktiv angewendet zu werden: Neben Webzugriffen (TCP-Ports 80 und 443) sowie Email (TCP-Ports 25 und 110) erscheinen sich andere Mechanismen nicht im Rahmen regulärer Arbeitsprozesse rechtfertigen zu lassen.
Die Aktivitäten der Gäste, vor allem wenn diese den Gastbereich verlassen, sollten breitflächig protokolliert werden. Dies ist in umfassender Weise für die Übergänge zu internen Ressourcen (z.B. interner Dateiserver für Transfers) sowie für den Zugriff auf das Internet anzuwenden. Durch das Nachvollziehen von Benutzernamen und dazugehörigen IP-Adressen können so verdächtige Aktivitäten (z.B. Angriffe auf die interne Infrastruktur oder Download illegaler Inhalte) aufgedeckt und recherchiert werden.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!