Sicherung des WiFi-Netzwerkes
 

Kurz gefasst

Innerhalb einer Organisation kann ein WiFi-Netzwerk eingestzt werden, um:

  • den Mitarbeitern zu erlauben, sich mit ihren tragbaren Geräten (Mobiltelefone, Smartphones, Tablets) anzuschließen;

  • den Besuchern zu erlauben, sich ans Internet anzuschließen, ohne ihnen jedoch Zugang zum internen Netzwerk zu geben.

Für weitere Informationen, lesen Sie auch den Artikel Trennung von Netzwerken.

Sicherheitsmaßnahmen

Die folgenden Empfehlungen sollten beachtet werden:
  1. das WiFi-Netzwerk darf nicht ans kabelgebundene interne Netzwerk der Organisation angeschlossen werden. Schreiben Sie eine Leitlinie zur Zugangskontrolle - Trennung von Netzen und sorgen Sie für deren Umsetzung.

  2. Aktivieren Sie einen DHCP Server für die Vergabe von IP-Adressen.

  3. Installieren Sie im WiFi-Netzwerk einen Web-Filter (Proxy-Server) um den Zugriff auf schädliche Webseiten oder Seiten mit unerwünschtem Inhalt (Spiele, Glücksspiele oder Pornographie,...) unterbinden zu können. Schreiben Sie eine Leitlinie zur Zugangskontrolle - Kontrolle von Netzverbindungen und sorgen Sie für deren Umsetzung.

  4. Statten Sie den Web-Filter auch mit einem Antivirenprogramm aus.

  5. Blockieren Sie, bis auf wenige Ausnahmen, wie etwa VPN (einige Kunden möchten sich vielleicht via VPN ans Netzwerk oder an die E-Mail-Plattform ihrer Firma anschließen) alle Nicht-Web-Zugänge ins Internet.

  6. Verschlüsseln Sie das Netzwerk. Dafür gibt es verschiedene Möglichkeiten. Sie werden im Folgenden beschrieben:

  7. Sorgen Sie dafür, dass der physische Zugang zu den Antennen beziehungsweise zum WiFi-Router schwierig ist. Schreiben Sie eine Leitlinie zur physischen und umgebungsbezogenen Sicherheit - Sicherheitsbereiche und Regeln im Sicherheitsbereich und sorgen Sie für deren Umsetzung.

WiFi für Mitarbeiter

Immer mehr Mitarbeiter bringen ihr Mobiltelefon oder Laptop mit auf die Arbeit. Einen Internet-Zugang für diese Geräte zur Verfügung zu stellen kann sehr viele Probleme, wie etwa der Versuch sich an das Organisationsnetzwerk oder an den Arbeitsplatzrechner anzuschließen, verhindern. Dieser Zugang sollte nur Mitarbeitern zur Verfügung stehen und mit geeigneten Mitteln gegen jeden Eindringungsversuch geschützt sein.
Als Chiffrier-Protokoll wird WPA2-Enterprise vorgeschlagen, bei dem es möglich ist, jedem Mitarbeiter sein eigenes Passwort oder Zertifikat (Software oder Hardware) zuzuweisen, was eine effiziente Verwaltung von Benutzerberechtigungen ermöglicht.
Lassen Sie die WiFi-Benutzungs-Charta von den Benutzern unterschreiben.
Rat:  schreiben Sie eine Leitlinie zur Beschaffung, Entwicklung und Wartung von Informationssystemen - Kryptografische Maßnahmen. und eine Leitlinie zur Einhaltung von Vorgaben (Compliance) - Schutz der personenbezogenen Daten.

WiFi für Besucher und Externe

Besucher, die innerhalb der Organisation einen Internetzugang verwenden wollen, müssen einen spezifischen Zugang bekommen. Da sie, im Gegensatz zu den internen Mitarbeitern, keine Charta unterschrieben haben, muss man ihnen diese bei der ersten Benutzung anzeigen und akzeptieren lassen. Typische Konfiguration:

  • Ein Hotspot mit captive portal, welcher den Zugang zum Internet solange unterbindet, wie die allgemeinen Nutzungsbedingungen nicht angenommen wurden und solange das benötigte Passwort nicht eingegeben wurde;

  • der Einsatz einer Chiffrier-Methode kann verhindern, dass ein Benutzer die Kommunikation eines anderen Benutzers mithört; es ist besser ein geschütztes Netzwerk mit trivialem Passwort zu benutzen, sogar wenn das Passwort von jedem bekannt ist.