Best Practices zur Wi-Fi-Security
WLAN hat sich in den letzten beiden Jahrzehnten von einer praktischen Lösung für zu Hause zu einem weit verbreiteten Standard auch in Unternehmen und Behörden entwickelt. Unser Autor fasst angesichts von 25 Jahren WLAN heutige Technik und Best Practices zusammen, die es zur sicheren Nutzung und Datenübertragung im geschäftlichen und dienstlichen Umfeld zu beachten gilt.
Von Markus Mayrl, Wien
Die Geschichte der „Wireless Local Area Networks“ (WLAN alias IEEE 802.11) hatte 1997 zunächst einen zögerlichen Start – erst zwei Jahre später begann mit der Einführung der Apple-AirPort-Lösung für das iBook 1999 der Siegeszug des drahtlosen Netzzugangs: Anfänglich auf eine maximale Brutto-Bandbreite von 2 Mbit/s beschränkt, ermöglichte die Weiterentwicklung des Standards dann immerhin schon 11 Mbit/s. Erstmals war es einer breiteren Masse von Anwendern möglich, sich ohne Kabel mit Netzwerken zu verbinden – für den Heimgebrauch war speziell der Zugriff auf das Internet interessant.
Ein weiterer wichtiger Schritt zum Erfolg der kabellosen Technologie war die Einführung des iPhones, das 2007 einen neuen Standard für Smartphones gesetzt hat. Fortan hatte man das Internet immer bei sich – soweit es eine entsprechende Funkverbindung gab. Somit wurde auch WLAN immer gefragter und öffentliche Wi-Fi-Hotspots wurden zum Qualitätsmerkmal von Cafés, Gaststätten und Hotels. Durch die Weiterentwicklung des Funkstandards mit größeren Bandbreiten, höheren Reichweiten und besserer Sicherheit gelang dann auch der Durchbruch in die Unternehmenswelt und in den öffentlichen Raum mit der Erwartungshaltung, fast überall WLAN nutzen zu können.
Um auch jenen, die sich nicht täglich mit der Thematik der Standards beschäftigen, ein einfacheres Verständnis über den Technologiestatus zu verschaffen, hat die Wi-Fi Alliance im Oktober 2018 eine neue Namensgebung für die unterschiedlichen Generationen von WLAN eingeführt, die bis dato ausschließlich durch an den Standard angehängte Kleinbuchstaben bezeichnet wurden: Die älteren 802.11a/b/g blieben dabei unberücksichtigt 802.11n/ac/ac wave 2 hießen fortan in Anlehnung an die Mobilfunk-Generationen Wi-Fi 4, Wi-Fi 5 – später kamen Wi-Fi 6 und zuletzt Wi-Fi 6E hinzu (IEEE 802.11ax).
Derzeit arbeitet man am nächsten Standard Wi-Fi 7 (802.11be), der 2023 in den ersten Ausprägungen und 2024 in kommerzieller Nutzung erwartet wird.
Aktuelle und geplante WLAN-Standards
Wi-Fi-Generation | IEEE-Standard | Einführung | max. theor. Brutto-Bandbreite |
---|---|---|---|
Wi-Fi 4 | 802.11n | 2009 | 600 Mbit/s |
Wi-Fi 5 | 802.11ac | 2013 | 6936 Mbit/s |
Wi-Fi 6 | 802.11ax | 2019 | 9608 Mbit/s |
Wi-Fi 6E | 802.11ax | 2020 | 9608 Mbit/s |
Wi-Fi 7 | 802.11be | 2024 | 46100 Mbit/s |
Sicherheitsfragen
Obwohl auch sicherheitsrelevante Aspekte mit jedem Generationswechsel weiterentwickelt wurden, sind Fragen nach der Sicherheit und Angreifbarkeit von WLAN-Verbindungen weiterhin geboten. Grundsätzlich sind dabei verschiedene Gesichtspunkte zu unterscheiden, die im Folgenden in der Reihenfolge beleuchtet werden sollen, in der auch eine WLAN-Verbindung hergestellt und aufrechterhalten wird:
- die Sicherheit, eine Verbindung herstellen und bei ausreichender Bandbreite störungsfrei
aufrecht erhalten zu können (Verfügbarkeit) - die Sicherheit der Authentifizierung und des Zugriffs auf Netzwerkressourcen
- die abhörsichere Übertragung von Informationen (Verschlüsselung/Encryption)
Verbindungsaufbau
Zuerst muss eine Verbindung aufgebaut werden – in der Fachwelt wird dieser erste Schritt meist mit dem aus dem Englischen übernommenen Begriff „Discovery“ bezeichnet. Hierbei geht man aus der Sicht des Endgeräts (Client) vor, das eine Entscheidung treffen muss, mit welchem Netzwerk es sich verbindet. Aus Sicht des Nutzers soll die Auswahl natürlich so rasch wie möglich und mit der bestmöglichen Verbindungsqualität erfolgen.
Die meisten Access-Points (AP, umgangssprachlich oft als Hotspot oder WLAN-Router bezeichnet) verfügen über zwei oder drei Funkschnittstellen (Radios), die bei höherwertigen Modellen parallel verwendet werden können. Man spricht von „Dual Band“ oder „Triple Band“ APs, die gleichzeitig auf 2,4 GHz, 5 GHz und bei Wi-Fi 6E auch auf 6 GHz arbeiten. Die konkrete Anzahl und Kombination gleichzeitig verwendbarer Radios ist hersteller- und modellabhängig.
Das Endgerät erfasst für den Verbindungsaufbau über die Funkschnittstelle auf allen Frequenzbändern, welche Netzwerke auf welchen Kanälen zur Verfügung stehen. Jeder AP sendet dazu regelmäßig sogenannte Beacons aus, die Endgeräte interpretieren können und Auskunft darüber geben, welche Kanäle am jeweiligen AP zur Verfügung stehen.
Zur Beschleunigung des Vorgangs kann das Endgerät auch einen sogenannten „Probe Request“ senden, auf den alle verfügbaren APs mit einem „Probe Response“ antworten: Man erhält so für jede Funkschnittstelle pro AP ein „Basic Service Set“ (BSS) mit Informationen zu Leistung und vielen weiteren Parametern. Das Endgerät sammelt all diese Daten, um sie vergleichen zu können.
Mit Wi-Fi 6E und der Einführung breiterer Frequenzbänder dauert dieser Erfassungsvorgang übrigens weitaus länger als früher, da deutlich mehr Kanäle abgefragt werden müssen. Waren es im 2,4-GHz-Band bisher 13 Kanäle und für 5 GHz 25 Kanäle, führt Wi-Fi 6E im 6-GHz-Band potenziell bis zu 59 weitere Kanäle ein. Ein kompletter passiver Scan aller 59 Kanäle kann bis zu 6 Sekunden in Anspruch nehmen, was in der Netzwerkwelt einer Ewigkeit gleichkommt. Daher wurden weitere Methoden definiert, von denen hier die beiden kurz beleuchtet werden sollen, die sich langfristig in der Praxis am wahrscheinlichsten durchsetzen werden:
- Out-of-Band-Messung mit „ReducedNeighbour Report“ (RNR): APs senden mit jedem ihrer Beacons die Informationen zu allen verfügbaren Radios aus. So reicht es beispielsweise, den Beacon des 2,4-GHz-Radios zu lesen, um zu wissen, auf welchen Kanälen im 5- und 6-GHz-Band gesendet wird. Es ist nicht notwendig, für diesen AP weiter zu scannen.
- „Preferred Scanning Channel“ (PSC): Im 6-GHz-Spektrum wird dabei jeder vierte Kanal gescanned, was bei Verwendung der maximalen Kanalbandbreite von 80 MHz 15 zu prüfende Kanäle bedeutet. Diese Methode wird größtenteils in jenen Ländern verwendet, in denen das volle 6E-Band zur Verfügung steht, wie in den USA. In Deutschland, Österreich und der Schweiz ist derzeit hingegen nur die untere Hälfte des Bandes freigegeben, was dazu führt, dass oft schmalere Kanäle (20 oder 40 MHz) verwendet werden – was wiederum einen zeitintensiveren Aufwand für den Scan der erhöhten Kanalanzahl bedeuten würde.
Hat ein Endgerät die zur Verfügung stehenden APs mit ihren Kanälen und jeweiligen Eigenschaften erfasst, bewertet es diese Daten, um die Entscheidung zu treffen, mit welchem AP es versucht, eine Verbindung aufzubauen. Dieser Prozess wird oft als „Green-Diamond-Algorithmus“ bezeichnet, der sehr unterschiedlich komplex aufgebaut sein kann: Das beginnt mit simplen Parametern wie Netzwerknamen (SSID), Signalstärke (RSSI) und Signal-Störabstand (SNR), kann dann aber über die Auslastung des Kanals (Channel Utilization), die Anzahl bereits verbundener Geräte (Number of Associated Stations), Allow/DenyListen und viele weitere Aspekte weitergeführt werden.
Für die AP-Hersteller ist es praktisch unmöglich, das Verhalten eines Endgeräts deterministisch vorherzusagen, da dieses letztlich von Hersteller, Modell und sogar Firmware-Version abhängt – der User hat hierauf meist ebenfalls keinen Einfluss (abgesehen von Vorgaben „bekannter“ oder „verbotener“ Netze). Relevant ist dieser Vorgang zudem nicht nur bei der erstmaligen Anmeldung in einem Netzwerk, sondern auch bei jedem Roaming-Vorgang, wie er zumeist durch Bewegung erforderlich wird.
Authentifizierung und Verschlüsselung
Wi-Fi kennt inzwischen sechs verschiedene Authentifizierungsmethoden, die jeweils unterschiedliche Verschlüsselungsmethoden anbieten (vgl. Abb. 1). Abhängig vom Anwendungsfall des Netzwerks, den Sicherheitsanforderungen und den vom Netzwerkhersteller angebotenen Optionen gibt es geeignete, aber auch ungeeignete Methoden, deren Vor- und Nachteile sowie empfohlene Anwendung im Folgenden aufgeführt sind.
- Open: Beim „offenen“ Zugang findet keine Layer-2-Authfizierung statt – auch auf Verschlüsselung wird im Layer 2 verzichtet, weshalb sich diese Betriebsart nicht für sichere Übertragungen eignet. Der Einsatzbereich liegt primär für Gästenetzwerke, meist in Verbindung mit einem sogenannten „Captive Portal“, bei dem die Nutzer Name und E-Mail-Adresse eintragen und die Nutzungsbedingungen akzeptieren. Ein großer Nachteil von Captive Portals: Es kommt immer wieder vor, dass Endgeräte diese Portale nicht im Browser öffnen und man sich daher nicht verbinden kann – das führt zu einem unbefriedigenden Nutzererlebnis. Generell ist es bei dieser Anmeldemethode außerdem sehr einfach, den Datenverkehr anderer Nutzer mitzuverfolgen (Sniffing)
und ihre Identität über die MAC-Adresse zu stehlen: Jeder weitere Datenverkehr wird dann vom Netzwerk so interpretiert, als wäre er durch den ursprünglichen Nutzer erfolgt. - Enhanced Open: 2018 wurde diese verhältnismäßig neue Methode zur einfachen, aber zugleich sicheren, Verbindung mit Netzwerken eingeführt. Die Verbindung erfolgt ebenso wie bei „Open“ ohne Layer-2 Authentifizierung, aber für die Verschlüsselung wird eine sogenannte „Opportunistic Wireless Encryption“ (OWE) eingesetzt, für die zwischen Client und AP ein Diffie-Hellman-Schlüsselaustausch stattfindet, der eine abhörsichere Verschlüsselung sicherstellt. Verglichen mit menschlicher Kommunikation ist es so, als spräche jedes Endgerät mit dem AP eine eigene Sprache, die nur diese beiden kennen. Somit ist Enhanced Open jene Methode, die für State-of-the-Art-Gästenetzwerke zum Einsatz kommen sollte. Leider unterstützen viele Endgeräte OWE noch nicht, weshalb man hier derzeit Kompromisse eingehen muss. Im 6-GHz Frequenzbereich von Wi-Fi 6E ist sie für Gästenetzwerke übrigens zwingend vorgesehen.
- Wired Equivalent Privacy (WEP): Als erste eingeführte Methode zur Authentifizierung mit verschlüsselter Übertragung wurde ein geteilter Schlüssel verwendet, der sich heutzutage allerdings sehr schnell knacken lässt: Der Zeitaufwand kann im Bereich von Sekunden bis maximal Stunden liegen – danach kann der gesamte Verkehr entschlüsselt und mitgelesen werden. Die Verwendung von WEP ist daher in keiner Anwendung mehr zu empfehlen!
- Wi-Fi Protected Access (WPA/WPA1): Zur Authentifizierung dient hierbei ein „Pre-Shared Key“ (PSK) und die meisten Menschen werden diese Zugangsmethode aus dem persönlichen Anwendungsbereich zu Hause kennen, wo man ein Passwort eingegeben muss, um Zugriff auf das WLAN-Netzwerk zu erhalten. Als Variante für Unternehmen kommt das „Extensible Authentication Protocol“ (EAP) nach IEEE 802.1X zum Einsatz, wobei die Authentifizierung üblicherweise gegenüber einem RADIUS-Server erfolgt (Remote Authentication Dial-In User Service). Die WPA-Verschlüsselung mittels „Temporal Key Integrity Protocol“ (TKIP) wurde als Hot-Fix für die kompromittierte WEP-Variante mit RC4 entwickelt und unterstützt nur die Datenraten der veralteten Standards 802.11a/b/g. Die maximale Datenrate ist daher auf 54 Mbit/s und einen einzelnen Spatial Stream beschränkt, weshalb auch der Einsatz von WPA nicht empfohlen werden kann, zumal TKIP bereits seit 2009 ebenfalls nicht mehr als sicher angesehen wird.
- Wi-Fi Protected Access 2 (WPA2): Diese Weiterentwicklung von WPA/WPA1 nutzt die gleichen Authentifizierungsmethoden (PSK und 802.1X). Die Verschlüsselung kann theoretisch weiterhin mit TKIP erfolgen, wovon aber aufgrund der bei WPA genannten Vorbehalte auch hier dringend abzuraten ist. Stattdessen wird das „Counter Mode with Cipher Block Chaining Mesage Authentication Code Protocol“ (CCMP/AES) empfohlen, das auch heute noch als sicher gilt und das Netzwerk nicht verlangsamt. Trotzdem ist Vorsicht beim Einsatz von Pre-Shared Keys geboten: Ist der Schlüssel bekannt (z. B. da – wie oft üblich – alle Mitarbeiter und Gäste denselben PSK nutzen), ist es recht einfach, den Datenverkehr anderer Nutzer mitzulesen und zu entschlüsseln. Um hingegen die Enterprise-Verschlüsselung bei Authentifizierung über 802.1X mittels RADIUS auszuhebeln, bedarf es eines deutlich größeren Aufwands, Zugang zum kabelgebundenen Netzwerk und unter anderem Kenntnis des Schlüssels des RADIUS-Servers, weshalb diese Betriebsart weiterhin als sehr sicher anzusehen ist.
- Wi-Fi Protected Access 3 (WPA3): „WPA3 Personal“ nutzt wie WPA ein (geteiltes) Passwort zur Authentifizierung, aber nicht das gleiche Passwort für die Verschlüsselung. Stattdessen kommt – wie bei „Enhanced Open“ – der Diffie-Hellman-Schlüsselaustausch mit „Simultaneous Authentication of Equals“ (SAE) zum Einsatz, was zu einen abhörsicheren Datenaustausch führt. WPA3 führt außerdem eine zwingende Unterstützung von „Protected Management Frames“ (PMF) ein, wodurch weitere Sicherheit gewährleistet wird: Ohne PMF ist es beispielsweise möglich, unverschlüsselte Deauthentifizierungs-Befehle im Netzwerk zu teilen, die dann dazu führen, dass sich alle Clients vom WLAN abmelden – PMF verschlüsselt hingegen den Großteil der Netzwerk-Management-Frames. Wie bei Enhanced Open kommt WPA3 für Wi-Fi 6E zwingend zur Anwendung. Als extrem sicher ist eine Verschlüsselung nach „WPA3 Enterprise“ mit 192-Bit einzustufen: Dieser Modus eignet sich für besonders sicherheitsrelevante Unternehmensnetze und Behördennetzwerke mit erhöhten Sicherheitsvorkehrungen.
Um die Sicherheit des WLANs zu gewährleisten, müssen der Authentifizierungs-Server sowie der WLAN-Controller vor unbefugtem Zugang geschützt werden da auf diesen beiden Geräten die Schlüssel zugänglich sein können – auch eine physische Absicherung ist daher als Muss anzusehen!
Die Authentifizierung im per Wi-Fi angebundenen Netzwerk selbst stellt naturgemäß ein eigenes Sachgebiet dar, auf das in diesem Artikel nicht näher eingegangen werden kann – dessen Fragestellungen gelten ja auch nicht spezifisch für Wi-Fi, sondern ganz allgemein für alle Netzwerkteilnehmer. Es ist zu empfehlen, Grundprinzipien wie Zero Trust zu implementieren (jedes Gerät im Netzwerk wird vorerst als potenziell gefährlich eingestuft, bis durch die Authentifizierung das Gegenteil bewiesen wurde) und auch im laufenden Betrieb eine Überprüfung des Sicherheits-Status der Client-Geräte vorzunehmen. Moderne Network-Access-Control-(NAC)-Lösungen unterstützen dabei auch automatisierte rollenbasierende Zugriffskontrollen in Abhängigkeit von Nutzer, Ort, Uhrzeit und anderen Parametern.
Verfügbarkeit und Performance
Neben der Sicherheit der Daten ist auch die Zuverlässigkeit der Verfügbarkeit und Performance des WLAN-Netzwerks ein wichtiger Faktor. Um diese gewährleisten zu können, sollte man besonderes Augenmerk auf das Netzwerk-Design legen: Dazu zählt einerseits eine professionelle Planung der Anzahl und Positionierung von Access-Points, andererseits aber auch die Zuweisung der Frequenzbänder je nach Einsatzbereichen der Endgeräte.
Als Funkstandard sind heute mehrere Frequenzbereiche im Einsatz, deren Kanäle in verschiedenen Staaten aufgrund unterschiedlicher Frequenzpläne voneinander abweichen können. Bei der Auswahl der Frequenzbänder in Unternehmen, Behörden und Organisationen gibt es unterschiedliche Ansätze, die man je nach Anwendungsfall anpassen sollte. In der Praxis haben sich die im Folgenden dargestellten Grundsatzüberlegungen bewährt:
2,4-GHz-Band
Das offene 2,4-GHz-Band ist zwar am weitesten verbreitet und am universellsten eingesetzt, genau aus diesem Grund aber auch am anfälligsten für Störungen: Hier streiten sich unterschiedlichste Anwendungen um ein begrenztes Spektrum – sei es eine Audio-Übertragung, Funkfernsteuerungen, kabellose Tastaturen und Mäuse, Bluetooth-Geräte oder Mikrowellenherde, die durch ihre hohe Leistung auch ein großes Potenzial als Störquellen haben. Hinzu kommt die geringe Anzahl an parallel betreibbaren Kanälen im 2,4-GHz-Band, die besonders im städtischen Bereich schnell zu einer Überlappung von WLAN-Basisstationen führt. Denn aufgrund des schmalen Frequenzbands sind nur drei überschneidungsfreie Kanäle mit jeweils 20 MHz Kanalbandbreite für den gleichzeitigen Betrieb verfügbar.
Daher lautet die Empfehlung, dieses Band in erster Linie für Geräte des „Internet of Things“ (IoT) mit geringem Bandbreitenbedarf zu nutzen, für die eine temporäre Störung des Netzwerks meist unproblematisch ist. Da viele dieser Geräte nur eingeschränkte Möglichkeiten zur Authentifizierung bieten, sollte man hier WPA2-Personal wählen. Die Kanalbandbreite sollte auf 20 MHz beschränkt werden.
Tipp: Bei Druckern, Scannern und weiteren Geräten, die per Ethernet-Kabelverbindung ans LAN angeschlossen sind, sollte man überprüfen, ob etwaige Funkschnittstellen deaktiviert sind. Oft wird dies vernachlässigt, was dazu führt, dass WLAN-Kanäle unnötigerweise belegt sind. Das WLAN solcher Systeme abzuschalten, kann zu erheblichen Verbesserungen der Performance des Wi-Fi-Netzwerks führen. Gleichzeitig erhöht sich die Sicherheit, da derartige Geräte oft mit den Default-Zugangsdaten ein leichtes Ziel für kabellose Angriffe sind und dann eine Brücke ins kabelgebundene firmeninterne Netzwerk darstellen.
5-GHz-Band
Für höherwertige Anwendungen versucht man aufgrund der geschilderten Problematik heute, vorrangig das 5-GHz-Spektrum zu nutzen: Einerseits bietet es weit mehr Kanäle, andererseits sind deutlich weniger Geräte mit Störpotenzial auf diesen Frequenzen vertreten. Trotzdem muss man mit Störern wie Kameras, Fernsteuerungen oder kabellosen Präsentationssystemen in Meetingräumen rechnen, die in diesem Bereich senden – zudem sind in Teilen dieses Frequenzbands Sonderrechte zu beachten, wodurch es bisweilen zu kurzen Ausfällen oder „Umbuchungen“ auf andere Kanäle kommen kann (siehe „Tipp“).
Ein physikalischer Nachteil der kürzeren Wellenlänge ist die höhere Dämpfung, weshalb eine höhere Anzahl und Dichte an Access-Points für die Abdeckung nötig ist – eine professionelle Planung wird dies allerdings bereits bei der Dimensionierung/Platzierung der APs berücksichtigen.
Gäste sollten über WPA2-Personal authentifiziert werden, wobei bevorzugt „Multiple Pre-Shared Keys“ (MPSK) zum Einsatz kommen sollten: Hierbei erhält jeder Nutzer einen individuellen Schlüssel zum Netzwerk, was die Sicherheit deutlich steigert. Um die Frequenzen nicht durch die Kanäle für das Gästenetzwerk übermäßig zu belegen, ist auch hier eine Kanalbandbreite von 20 MHz zu empfehlen, was für übliche Anwendungen ausreicht.
Für das interne Netzwerk sollte man hingegen eine SSID mit WPA2-Enterprise mittels 802.1X Authentifizierung definieren. Auch hier sind jedoch 20 MHz Kanalbandbreite im Normalfall ausreichend – sollten spezielle Anwendungen besonders viel Bandbreite benötigen, können auch breitere Kanäle angedacht werden. Obwohl man theoretisch WPA3 einsetzen könnte, birgt dies in der Praxis oft noch Kompatibilitätsprobleme, da die meisten Endgeräte dieses Protokoll noch nicht unterstützen.
Tipp: Um Interferenzen durch Überwachungskameras zu vermeiden, sollten diese so weit wie möglich über Kabel angebunden sein, denn der laufende Video-Stream führt im WLAN zu einer konstanten Kanalauslastung (Channel Utilization) – das Gleiche gilt für Streaming-Anwendungen auf Fernsehern. Ist ein kabelloser Betrieb unumgänglich, sollten die Kanäle so gewählt werden, dass sie nicht in das U-NII-1-Band (5-GHz-Band, Kanäle 36-48) fallen, da dieses sehr attraktiv für Sprachverbindungen ist. In den höheren Bändern darf zudem aufgrund der „Dynamic Frequency Selection“ (DFS) gemäß den Bestimmungen zur Interferenz mit Flug- und Wetterradar (sowie weiteren Systemen) kein Probing durch Endgeräte stattfinden, weshalb diese auf Beacon-Signale warten müssen. Das macht den Roaming-Prozess deutlich langsamer, was zu schlechter Sprachqualität bis hin zu Verbindungsabbrüchen führen kann.
6-GHz-Band
Der relativ neue Wi-Fi-6E-Standard im 6-GHzSpektrum verhält sich bezüglich der Ausbreitung und Reichweite sehr ähnlich wie das 5-GHz-Band, bietet aber noch mehr Kanäle. Aufgrund der bislang geringen Nutzung dieses Bands ist mit sehr wenigen Störern zu rechnen. Wenn die Gäste nicht höchste Priorität haben, empfiehlt es sich, das Band ausschließlich für firmeninterne Zwecke zu nutzen. WPA3-Enterprise ist in diesem Frequenzbereich obligatorisch. Es gibt derzeit allerdings noch nicht sehr viele Endgeräte, die dieses Band unterstützen – wobei es nur eine Frage der Zeit ist, bis sich eine Verschiebung abzeichnen wird. Als Kanalbandbreite für das im derzeit in den deutschsprachigen Ländern limitierte Band empfiehlt der Autor 20 oder 40 MHz – in Ländern, in denen das volle 6E-Frequenzband zur Verfügung steht, sind auch 80 MHz unproblematisch.
Tipp: Da WPA3 im 6-GHz-Band unbedingt erforderlich ist, aber nicht von allen Geräten unterstützt wird, empfiehlt es sich, unterschiedliche SSID-Namen für die Netzwerke zu vergeben. So ist es einerseits für den Nutzer sehr einfach, sicherzustellen, dass er mit dem korrekten Radio verbunden ist, andererseits kann es auch beim Algorithmus der Geräte (Green Diamond) nicht vorkommen, dass ein Gerät versucht, sich mit der falschen SSID zu verbinden. Dies vermeidet Probleme mit der Kompatibilität und hilft auch dabei, ein gutes Roaming Verhalten zu gewährleisten
Namensgebung und Sendeleistung
Bei der Definition der „WLAN-Namen“ – sprich: „Service Set Identifiers“ (SSIDs) – gilt es, auch die Kombination der Frequenzbänder gut abzustimmen. Diese sollten für Gäste und Mitarbeiter mit folgender Priorisierung gereiht werden: 6 GHz > 5 GHz > 2,4 GHz.
Tipp: Wie bereits angesprochen, entscheidet aber letztlich das Endgerät, mit welchem Netz es sich verbinden möchte. Einige Netzwerkhersteller haben ausgeklügelte Systeme implementiert, um die Endgeräte trotzdem in bestimmte Bänder steuern zu können. Dennoch empfiehlt es sich, die Sendeleistung der Access-Points für 2,4 GHz um 3 dB niedriger anzusetzen als die Leistung bei 5 GHz und 6 GHz: Damit wird das 2,4-GHz-Band von Haus aus weniger attraktiv und die Wahrscheinlichkeit steigt, dass der Green-Diamond-Algorithmus am Client sich für die höheren Frequenzbänder entscheidet.
Störanfälligkeit von WLAN
Ein Nachteil jeglicher Funktechnologie ist, dass sie sich verhältnismäßig einfach außer Gefecht setzen lässt. Neben den bereits genannten unbeabsichtigten Störquellen ist auch eine absichtliche Beeinträchtigung einfach zu erreichen, da das WLAN-Protokoll vorsieht, vor einem Sendevorgang zu testen, ob der jeweilige Kanal belegt ist. Dabei reicht bereits ein relativ schwaches Signal aus, um den Sendevorgang zu unterbinden: Schon ein kleiner Störsender mit Batteriebetrieb kann dafür sorgen, dass alle Frequenzen im Umfeld belegt und für Übertragungen unbrauchbar werden. Diese Beobachtung musste beispielsweise ein europäischer Flughafen machen, in dessen unmittelbarer Nähe eine Autobahn verläuft: Um dem GPS-Tracking ihrer Auftraggeber zu entgehen, setzten Lkw-Fahrer entsprechende Störsender ein, die dann auch die Kommunikation am Flughafen in Mitleidenschaft zogen. Obwohl diese Praktik illegal ist, lässt sie sich nur schwer verhindern.
Für die sichere Anbindung systemkritischer Infrastruktur gilt daher weiterhin der Leitsatz: „Nur ein Kabel ist ein Kabel.“
Fazit
Zusammengefasst lässt sich feststellen, dass der WLAN-Betrieb in Unternehmen und Behörden heute als sicher zu erachten ist, wenn man gewisse Parameter für die Verschlüsselung beachtet, Einstellungen richtig
setzt sowie die Authentifizierung (ebenso wie im kabelgebundenen Ethernet) sicher gewährleistet. Dann entsteht durch den deutlich geringeren Aufwand gegenüber einer Verkabelung ein beträchtlicher Kostenvorteil und der Komfort sowie die Mobilität der Nutzer steigen. Wi-Fi 6/6E bietet zusätzliche Sicherheitsmerkmale und sollte für Neuinstallationen als Standard angewendet werden. In Bereichen, die Hochverfügbarkeit und absolute Störungsfreiheit verlangen, muss hingegen trotz allem auf eine klassische verkabelte Anbindung zurückgegriffen werden.
Mag. Ing. Markus Mayrl ist Portfolio Marketing Manager EMEA bei Aruba, a Hewlett Packard Enterprise Company