M 5.139 Sichere Anbindung eines WLANs an ein LAN

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Ziel bei der Nutzung von WLAN-Komponenten ist häufig die bequeme und mobile Anbindung an andere Netze. Dies können andere WLANs, aber auch existierende LANs in der eigenen Institution sein. Hierbei sollten zwei Sicherheitsaspekte unterschieden werden:

Bei der Anbindung eines WLANs an ein LAN muss der Übergang zwischen WLAN und LAN entsprechend des höheren Schutzbedarfs abgesichert werden. Diesen hat im Allgemeinen das LAN. Bei der WLAN-Kopplung mit einem LAN sind grundsätzlich zwei Ansätze möglich:

Je höherwertiger die Absicherung auf der Luftschnittstelle und der aktiven Komponenten des Distribution System ist, desto weniger umfangreich müssen die am Übergabepunkt zum LAN zu realisierenden Maßnahmen ausfallen. In jedem Fall muss aber am Übergabepunkt eine vollständige Sperrung der WLAN-Kommunikation ins interne LAN möglich sein, sobald ein Angriff auf das WLAN erkannt wird.

Das Koppelelement zwischen dem Distribution System des WLANs und LAN muss mindestens ein Layer-3-Router sein, um eine effektive Trennung der Broadcast-Domänen zu erreichen. Der Einsatz weitergehender Mechanismen, etwa eines dynamischen Paketfilters anstelle eines Routers, muss je nach Einsatzumgebung und entsprechend des Schutzbedarfs entschieden werden.

Bei höherem Schutzbedarf sollte außerdem die Sicherheit der Authentisierung verbessert werden, beispielsweise durch den Einsatz von EAP -TLS, so dass eine gegenseitige starke Authentikation zwischen den WLAN-Clients und einem Authentikationsserver innerhalb des LANs möglich ist.

Ergänzende Kontrollfragen: