„ Sehr gute Beratung bei der Konzeption unserer App. " Ayse
„ Sehr gute Beratung bei der Konzeption unserer App. " Ayse
Um OSPF effizienter und skalierbarer zu machen, unterstützt OSPF hierarchisches Routing unter Verwendung von Arealen. Ein OSPF-Bereich ist eine Gruppe von Routern, die in ihren LSDBs die gleichen Link-state-Informationen gemeinsam nutzen. OSPF kann auf eine der beiden folgenden Arten implementiert werden:
Der Hauptfokus dieses Moduls liegt auf Single-Area OSPFv2.
Mit Multiarea OSPF kann eine große Routing-Domäne in kleinere Bereiche unterteilt werden, um hierarchisches Routing zu unterstützen. Das Routing erfolgt nach wie vor zwischen den Bereichen (Interarea-Routing), während viele der prozessorintensiven Routingoperationen, wie z.B. die Neuberechnung der Datenbank, in einem Bereich verbleiben.
Jedes Mal, wenn ein Router beispielsweise neue Informationen über eine Topologieänderung innerhalb des Bereichs erhält (einschließlich Hinzufügen, Löschen oder Ändern einer Verbindung), muss der Router den SPF-Algorithmus erneut ausführen, einen neuen SPF-Baum erstellen und die Routing-Tabelle aktualisieren. Der SPF-Algorithmus ist CPU-intensiv, und die für die Berechnung benötigte Zeit hängt von der Größe des Bereichs ab.
Die Router in anderen Arealen erhalten Aktualisierungen in Bezug auf Topologieänderungen, aber diese Router aktualisieren nur die Routing-Tabelle, nicht aber den SPF-Algorithmus erneut.
Zu viele Router in einem Bereich würden die LSDBs sehr groß machen und die Belastung der CPU erhöhen. Daher wird durch die Anordnung von Routern in Bereichen eine potenziell große Datenbank effektiv in kleinere und besser verwaltbare Datenbanken partitioniert.
Die hierarchisch-topologischen Gestaltungsmöglichkeiten mit Multiarea-OSPF können folgende Vorteile offerieren:
Dies würde konrekt bedeuten, wenn man sich 3 Bereiche vorstellt, einmal mit Areal 1, Areal 0 und Areal 69. welcher ein ABR für den Router zwischen Areal 0 sowie 69 ist, dass eine Topolgoieänderung in Areal 69 alle Router darin veranlassen würde, den SPF-Algorithmus erneut auszuführen, einen neuen SPF-Baum zu erstellen und ihre IP-Routing-Tabellen zu aktualisieren. Der ABR, R2, wie oben geannt und in der Tabelle aufgeführt, würde eine LSA an die Router im Bereich 0 senden, die schließlich an alle Router in der OSPF-Routing-Domäne überflutet würde. Diese Art von LSA führt nicht dazu, dass Router in anderen Bereichen den SPF-Algorithmus erneut ausführen. Sie müssen nur ihre LSDB- und Routing-Tabelle aktualisieren.
Areal 1 |
Areal 0 |
Areal 69 |
||
R1 (Router1) |
R2 (Router2) |
Als kompetenter und erfolgreicher IT-Service in München sind wir der richtige Ansprechpartner für Sie, wenn es rund um das Thema IT Fragen gibt oder Sie Hilfestellung benötigen.
Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: This email address is being protected from spambots. You need JavaScript enabled to view it..
Der englische Begriff "Five Nines" definiert eine Verfügbarkeit von 99,999 Prozent. Dies besagt, dass die Systeme und Services in 99,999 Prozent der Zeit zur Verfügung stehen. Die angedachten und unangedachten Standzeiten betragen dann zusammen weniger als 5,26 Minuten pro Jahr. Die Tabelle in der unten aufgeführten Abbildung stellt einen Vergleich der Ausfallzeit für differierende Verfügbarkeitsprozentsätze dar.
Der Begriff "Hochverfügbarkeit" nimmt Bezug auf Systeme oder Komponenten, die für eine Vorgabe bezüglich Zeit unterbrechungsfrei laufen. So schaffen Sie gute Voraussetzungen für Hochverfügbarkeit:
Nachdem Standard der Hohen Verfügbarkeit der Five Nines kann es zu einem Kostenanstieg kommen und ist mitunter ressourcenaufwendig, da die höheren Kosten auf den Kauf von obendrein zu beschaffender Hardware wie Server und Komponenten einen Rückschluss ziehen lassen. Sofern eine Organisation Komponenten hinzufügt, ist das Resulatat ein Zuwachs der Konfigurationskomplexität. Fatalerweise erhöht die Konfigurationskomplexität die Risikofaktoren, da je mehr Reibungspunkte involviert sind, desto höher ist die Wahrscheinlichkeit von Komponentenausfällen.
Verfügbarkeit |
Ausfallzeit in einem Jahr |
99% | 87 Stunden 36 Minuten |
99,5% | 43 Stunden 48 Minuten |
99,95% | 4 Stunden 23 Minuten |
99,99% | 53 Minuten |
99,999% | 5 Minuten |
Für manche Branchen amortiesiert sich Hochverfügbarkeit finanziell nicht, da sie mit hohen Kosten assoziert ist. In bestimmten Peripherien ist eine Verfügbarkeit von 99,999 Prozent jedoch unentbehrlich.
Die folgenden Bedrohungen stellen ein enormes Risiko für die Daten- und Informationsverfügbarkeit dar:
Die Kategorisierung der Auswirkungsstufe für jede Bedrohung hilft einer Organisation, den finanziellen Schaden einer Bedrohung zu realisieren.
Als kompetente und erfolgreiche App-Agentur in München sind wir der richtige Ansprechpartner für Sie, wenn es um die Entwicklung von Software mit Hochverfügbarkeit geht.
Rufen Sie uns für unverbindlich unter der Rufnummer 0176 75 19 18 18 an oder schreiben Sie uns via E-Mail: This email address is being protected from spambots. You need JavaScript enabled to view it..
Schwachstelle |
Beschreibung |
---|---|
Schwäche des TCP/IP-Protokolls |
|
Schwäche des Betriebssystems |
|
Schwäche der Netzwerkausrüstung |
|
Schwachstelle |
Beschreibung |
---|---|
Ungesicherte Benutzerkonten |
Informationen über Benutzerkonten können auf unsichere Weise über das Netzwerk übertragen werden, wodurch Benutzernamen und Passwörter für Angreifer zugänglich werden. |
Systemkonten mit leicht zu erratenden Passwörtern |
Dieses häufige Problem ist das Resultat unzureichender Benutzerpasswörter. |
Fehlkonfigurierte Internet-Dienste |
Das Einschalten von JavaScript in Web-Browsern ermöglicht Angriffe mittels JavaScript, die beim Zugriff auf nicht vertrauenswürdige Sites von Angreifern kontrolliert werden. Andere potenzielle Schwachstellenquellen sind falsch konfigurierte Terminaldienste, FTP oder Webserver (z.B. Microsoft Internet Information Services (IIS) und Apache HTTP Server. |
Ungesicherte Standardeinstellungen innerhalb von Produkten |
Viele Produkte haben Standardeinstellungen, die Sicherheitslücken erzeugen oder aktivieren. |
Fehlkonfigurierte Netzwerkausrüstung |
Fehlkonfigurationen der Ausrüstung selbst können erhebliche Sicherheitsprobleme verursachen. Beispielsweise können falsch konfigurierte Zugriffslisten, Routing-Protokolle oder SNMP-Community-Strings Sicherheitslücken schaffen oder ermöglichen. |
Schwachstelle |
Beschreibung |
---|---|
Fehlen einer schriftlichen Sicherheitsrichtlinie |
Eine Sicherheitsrichtlinie kann nicht konsequent angewendet oder durchgesetzt werden, wenn sie nicht schriftlich niedergelegt ist. |
Politik |
Politische Kämpfe und Revierkämpfe können die Umsetzung einer konsequenten Sicherheitsstrategie erschweren. |
Mangelnde Kontinuität der Authentifizierung |
Schlecht gewählte, leicht zu knackende oder Standardpasswörter können unbefugten Zugriff auf das Netzwerk ermöglichen. |
Keine Anwendung logischer Zugriffskontrollen |
Unzulängliche Überwachung und Rechnungsprüfung ermöglichen es, dass Angriffe und unbefugte Nutzung fortgesetzt werden können, wodurch Unternehmensressourcen verschwendet werden. Dies könnte zu rechtlichen Schritten oder zur Kündigung gegen IT-Techniker, das IT-Management oder sogar die Unternehmensleitung führen, die es zulässt, dass diese unsicheren Bedingungen fortbestehen. |
Software- und Hardware-Installationen und -Änderungen folgen nicht der Richtlinie |
Unbefugte Änderungen an der Netzwerktopologie oder die Installation nicht genehmigter Anwendungen verursachen oder ermöglichen Sicherheitslücken. |
Katastrophen-Wiederherstellungsplan ist nicht existent |
Das Fehlen eines Notfallwiederherstellungsplans lässt Chaos, Panik und Verwirrung entstehen, wenn eine Katastrophe eintritt oder ein Akteur das Unternehmen angreift. |
Als etablierte App Agentur bieten wir ihnen die Entwicklung von Software für mobile Endgeräte an. Vielleicht wünschen Sie sich eine App, welche mit ihrem Unternehmensnetzwerk eine Verbindung herstellt und Sie so jederzeit zu ihren Unternehmensressourcen zugreifen können?
Wir helfen ihnen bei der Realisierung von komplexen Netzwerk-Anwendungen für die Betriebssysteme iOS, iPadOS und Android. Schicken Sie uns ihre Projekt Anfrage via This email address is being protected from spambots. You need JavaScript enabled to view it. oder Rufen Sie uns direkt unter 0176 75191818 an!
Drahtgebundene und drahtlose Computernetzwerke sind für alltägliche Aktivitäten unerlässlich. Einzelpersonen und Organisationen sind von ihren Computern und Netzwerken abhängig. Das Eindringen einer nicht autorisierten Person kann zu kostspieligen Netzwerkausfällen und Arbeitsausfällen führen. Angriffe auf ein Netzwerk können verheerend sein und zu Zeit- und Geldverlusten durch Beschädigung oder Diebstahl wichtiger Informationen oder Vermögenswerte führen.
Eindringlinge können sich durch Software-Schwachstellen, Hardware-Angriffe oder durch das Erraten des Benutzernamens und Passworts einer Person Zugang zu einem Netzwerk verschaffen. Eindringlinge, die sich Zugang verschaffen, indem sie Software modifizieren oder Software-Schwachstellen ausnutzen, werden als Bedrohungsakteure bezeichnet.
Nachdem der Bedrohungsakteur Zugang zum Netzwerk erlangt hat, können vier Arten von Bedrohungen auftreten.
Informationsdiebstahl ist Einbruch in einen Computer, um an vertrauliche Informationen zu gelangen. Informationen können für verschiedene Zwecke verwendet oder verkauft werden. Beispiel: Diebstahl von proprietären Informationen einer Organisation, wie z.B. Forschungs- und Entwicklungsdaten.
Datenverlust und -manipulation ist das Eindringen in einen Computer, um Datensätze zu zerstören oder zu verändern. Ein Beispiel für Datenverlust ist ein Bedrohungsakteur, der einen Virus sendet, der eine Computerfestplatte neu formatiert. Ein Beispiel für Datenmanipulation ist der Einbruch in ein Aufzeichnungssystem, um Informationen, wie z.B. den Preis eines Artikels, zu ändern.
Identitätsdiebstahl ist eine Form des Informationsdiebstahls, bei der persönliche Informationen mit dem Ziel gestohlen werden, die Identität einer Person zu übernehmen. Mit Hilfe dieser Informationen kann sich ein Bedrohungsakteur legale Dokumente beschaffen, einen Kredit beantragen und nicht autorisierte Online-Käufe tätigen. Der Identitätsdiebstahl ist ein wachsendes Problem, das jedes Jahr Milliarden von Dollar kostet.
Die Unterbrechung des Dienstes hindert rechtmäßige Nutzer daran, auf die ihnen zustehenden Dienste zuzugreifen. Beispiele: Denial-of-Service (DoS)-Angriffe auf Server, Netzwerkgeräte oder Netzwerkkommunikationsverbindungen.
Verwundbarkeit ist der Grad der Schwäche in einem Netzwerk oder einem Gerät. Ein gewisses Maß an Verwundbarkeit ist Routern, Switches, Desktops, Servern und sogar Sicherheitsgeräten inhärent. In der Regel handelt es sich bei den angegriffenen Netzwerkgeräten um die Endpunkte, wie z.B. Server und Desktop-Computer.
Es gibt drei primäre Schwachstellen oder Schwächen: Technologie, Konfiguration und Sicherheitsrichtlinien. Alle drei dieser Quellen von Schwachstellen können ein Netzwerk oder Gerät für verschiedene Angriffe offen lassen, einschließlich Angriffe mit bösartigem Code und Netzwerkangriffe.
Haben Sie Fragen zum Thema Sicherheit in Ihrem Netzwerk?
Als professionelles und bekanntes IT Unternehmen in München sind wir genau der richtige Ansprechpartner für Sie, wenn es um das Thema IT im Allgemeinen sowie im Speziellen geht.
Langjährige Erfahrung und ausgezeichnete Expertise zeichnen unser IT-Systemhaus in München aus.
Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: This email address is being protected from spambots. You need JavaScript enabled to view it..
Ein WLAN steht allen Personen offen, die sich innerhalb der Reichweite eines APs befinden und über die entsprechenden Berechtigungsnachweise verfügen, um sich mit ihm zu verbinden. Mit einer drahtlosen Netzwerkkarte und Kenntnissen über Knackverfahren muss ein Angreifer möglicherweise nicht physisch den Arbeitsplatz betreten, um Zugang zu einem WLAN zu erhalten.
Angriffe können von Außenstehenden, verärgerten Mitarbeitern und sogar unbeabsichtigt von Mitarbeitern ausgehen. Drahtlose Netzwerke sind besonders anfällig für verschiedene Bedrohungen, darunter
Drahtlose DoS-Angriffe können die Folge davon sein:
Ein Rogue-AP ist ein AP oder drahtloser Router, der ohne ausdrückliche Genehmigung und entgegen den Unternehmensrichtlinien mit einem Unternehmensnetzwerk verbunden wurde. Jeder, der Zugang zu den Räumlichkeiten hat, kann (böswillig oder nicht böswillig) einen kostengünstigen drahtlosen Router installieren, der möglicherweise den Zugang zu einer sicheren Netzwerkressource ermöglicht.
Sobald die Verbindung hergestellt ist, kann der Rogue-AP von einem Angreifer dazu benutzt werden, MAC-Adressen zu erfassen, Datenpakete zu sammeln, Zugang zu Netzwerkressourcen zu erlangen oder einen Man-in-the-Middle-Angriff zu starten.
Ein persönlicher Netzwerk-Hotspot könnte auch als Rogue-AP genutzt werden. Beispielsweise ermöglicht ein Benutzer mit sicherem Netzwerkzugang seinem autorisierten Windows-Host, ein Wi-Fi-AP zu werden. Auf diese Weise werden die Sicherheitsmaßnahmen umgangen, und andere nicht autorisierte Geräte können nun als gemeinsam genutztes Gerät auf Netzwerkressourcen zugreifen.
Um die Installation von Rogue-APs zu verhindern, müssen Organisationen WLCs mit Rogue-AP-Richtlinien konfigurieren und Überwachungssoftware verwenden, um das Funkspektrum aktiv auf nicht autorisierte APs zu überwachen.
Bei einem Man-in-the-Middle-Angriff (MITM-Angriff) befindet sich der Hacker zwischen zwei legitimen Einheiten, um die Daten, die zwischen den beiden Parteien ausgetauscht werden, zu lesen oder zu verändern. Es gibt viele Möglichkeiten, einen MITM-Angriff durchzuführen.
Ein beliebter drahtloser MITM-Angriff wird als "evil twin AP"-Angriff bezeichnet, bei dem ein Angreifer einen betrügerischen AP einführt und ihn mit derselben SSID wie einen legitimen AP konfiguriert. Standorte mit kostenlosem Wi-Fi, wie Flughäfen, Cafés und Restaurants, sind aufgrund der offenen Authentifizierung besonders beliebte Orte für diese Art von Angriffen.
Drahtlose Clients, die versuchen, sich mit einem WLAN zu verbinden, würden zwei APs mit derselben SSID sehen, die drahtlosen Zugang bieten. Diejenigen, die sich in der Nähe des betrügerischen AP befinden, sehen das stärkere Signal und assoziieren sich höchstwahrscheinlich mit ihm. Der Nutzerverkehr wird nun an den Rogue-AP gesendet, der wiederum die Daten erfasst und an den legitimen AP weiterleitet. Der Datenverkehr, welcher zurückfließt, wird vom legitimen AP an den Rogue-AP gesendet, erfasst und dann an den ahnungslosen User weitergeleitet. Der Angreifer kann die Passwörter und persönlichen Daten des Benutzers stehlen, sich Zugang zu seinem Gerät verschaffen und das System kompromittieren.
Als etablierte App Agentur bieten wir ihnen die Entwicklung von Software für mobile Endgeräte an. Vielleicht wünschen Sie sich eine App, welche mit ihrem Unternehmensnetzwerk eine Verbindung herstellt und Sie so jederzeit zu ihren Unternehmensressourcen zugreifen können?
Wir helfen ihnen bei der Realisierung von komplexen Netzwerk-Anwendungen für die Betriebssysteme iOS, iPadOS und Android. Schicken Sie uns ihre Projekt Anfrage via This email address is being protected from spambots. You need JavaScript enabled to view it. oder Rufen Sie uns direkt unter 0176 75191818 an!
Site-to-Site-VPNs werden verwendet, um Netzwerke über ein anderes, nicht vertrauenswürdiges Netzwerk wie das Internet zu verbinden. In einem Site-to-Site-VPN senden und empfangen die End-Hosts normalen unverschlüsselten TCP/IP-Verkehr über ein VPN-Endgerät. Das VPN-Abschlussgerät wird normalerweise als VPN-Gateway bezeichnet. Ein VPN-Gateway-Gerät könnte ein Router oder eine Firewall sein.
Das VPN-Gateway kapselt und verschlüsselt den ausgehenden Datenverkehr für den gesamten Verkehr von einem bestimmten Standort. Anschließend sendet es den Datenverkehr durch einen VPN-Tunnel über das Internet zu einem VPN-Gateway am Zielstandort. Beim Empfang entfernt das empfangende VPN-Gateway die Header, entschlüsselt den Inhalt und leitet das Paket an den Zielhost innerhalb seines privaten Netzwerks weiter.
Site-to-Site-VPNs werden in der Regel mit IP-Sicherheit (IPsec) erstellt und gesichert.
Generic Routing Encapsulation (GRE) ist ein nicht sicheres Site-to-Site VPN-Tunneling-Protokoll. Es kann verschiedene Netzwerkschichtprotokolle kapseln. Es unterstützt auch Multicast- und Broadcast-Verkehr, was erforderlich sein kann, wenn die Organisation Routing-Protokolle für den Betrieb über ein VPN benötigt. GRE unterstützt jedoch standardmäßig keine Verschlüsselung und bietet daher keinen sicheren VPN-Tunnel.
Ein Standard-IPsec-VPN (Nicht-GRE) kann nur sichere Tunnel für Unicast-Verkehr erstellen. Daher werden Routing-Protokolle keine Routing-Informationen über ein IPsec-VPN austauschen.
Um dieses Problem zu lösen, können Sie den Verkehr des Routing-Protokolls mit einem GRE-Paket einkapseln und dann das GRE-Paket in ein IPsec-Paket einkapseln, um es sicher an das Ziel-VPN-Gateway weiterzuleiten.
Die zur Beschreibung der Einkapselung von GRE über einen IPsec-Tunnel verwendeten Begriffe sind Passagierprotokoll, Trägerprotokoll und Transportprotokoll.
Beispielsweise möchten eine Topologie, eine Zweigstelle und ein Hauptquartier OSPF-Routing-Informationen über ein IPsec-VPN austauschen. IPsec unterstützt jedoch keinen Multicast-Verkehr. Daher wird GRE über IPsec verwendet, um den Routing-Protokollverkehr über das IPsec-VPN zu unterstützen. Konkret würden die OSPF-Pakete (d.h. das Passagierprotokoll) durch GRE (d.h. das Trägerprotokoll) eingekapselt und anschließend in einem IPsec-VPN-Tunnel eingekapselt werden.
Eine Topologie, ein Branch-Router und ein HQ-Router tauschen daher OSPF-Routing-Informationen über ein IPsec-VPN aus. Ein Switch ist mit dem Branch-Router verbunden und derBranch-Router ist über das Internet über einen IPsec-VPN-GRE-Tunnel mit dem HQ-Router verbunden. Der HQ-Router ist mit einem Switch und der Switch ist mit einem E-Mail-Server verbunden.
Um das ganze Geschehen und die Komplexität dieses Vorgangs zu erfassen, empfiehlt es sich Wireshark zu benutzen, um den Netzwerkverkehr nachzuverfolgen und zu verstehen.
Site-to-Site-IPsec-VPNs und GRE über IPsec sind ausreichend, wenn es nur wenige Standorte gibt, die sicher miteinander verbunden werden können. Sie sind jedoch nicht ausreichend, wenn das Unternehmen viele weitere Standorte hinzufügt. Dies liegt daran, dass jeder Standort statische Konfigurationen zu allen anderen Standorten oder zu einem zentralen Standort erfordern würde.
Dynamic Multipoint VPN (DMVPN) ist eine Softwarelösung von Cisco für den Aufbau mehrerer VPNs auf einfache, dynamische und skalierbare Weise. Wie andere VPN-Typen basiert DMVPN auf IPsec, um einen sicheren Transport über öffentliche Netzwerke, wie z. B. das Internet, zu gewährleisten.
DMVPN vereinfacht die Konfiguration des VPN-Tunnels und bietet eine flexible Möglichkeit, einen zentralen Standort mit Zweigstellen zu verbinden. Es verwendet eine Hub-and-Spoke-Konfiguration zum Aufbau einer vollständigen Mesh-Topologie. Spoke-Standorte bauen sichere VPN-Tunnel mit dem Hub-Standort auf.
Im vorherigen Thema haben Sie die Grundlagen eines VPN kennengelernt, hier erfahren Sie etwas über die Arten von VPNs.
VPNs haben sich aus vielen Gründen zur logischen Lösung für Remote-Access-Verbindungen entwickelt. Fernzugriffs-VPNs ermöglichen entfernten und mobilen Benutzern eine sichere Verbindung mit dem Unternehmen, indem sie einen verschlüsselten Tunnel erstellen. Remote-Benutzer können ihren Sicherheitszugang zum Unternehmen einschließlich E-Mail und Netzwerkanwendungen sicher replizieren. VPNs mit Fernzugriff ermöglichen es Auftragnehmern und Partnern auch, je nach Bedarf einen begrenzten Zugriff auf bestimmte Server, Webseiten oder Dateien zu erhalten. Das bedeutet, dass diese Benutzer zur Unternehmensproduktivität beitragen können, ohne die Netzwerksicherheit zu beeinträchtigen.
VPNs mit Fernzugriff werden in der Regel bei Bedarf dynamisch vom Benutzer aktiviert.VPNs für den Fernzugriff können entweder über IPsec oder SSL erstellt werden. Ein Remote-Benutzer muss eine Fernzugriffs-VPN-Verbindung initiieren.
Es gibt zwei Möglichkeiten, wie ein Remote-Benutzer eine Fernzugriffs-VPN-Verbindung initiieren kann: clientloses VPN und clientbasiertes VPN.
Sobald ein Client eine SSL-VPN-Verbindung mit dem VPN-Gateway herstellt, verbindet er sich tatsächlich über Transport Layer Security (TLS). TLS ist die neuere Version von SSL und wird manchmal als SSL/TLS ausgedrückt. Beide Begriffe werden jedoch häufig synonym verwendet.
SSL verwendet die Public-Key-Infrastruktur und digitale Zertifikate zur Authentifizierung von Peers. Sowohl die IPsec- als auch die SSL-VPN-Technologie bieten Zugang zu praktisch jeder Netzwerkanwendung oder Ressource. Doch wenn es um Sicherheit geht, ist IPsec die bessere Wahl. Stehen Support und einfache Implementierung im Vordergrund, sollten Sie SSL in Betracht ziehen. Die Art der implementierten VPN-Methode richtet sich nach den Zugriffsanforderungen der Benutzer und den IT-Prozessen der Organisation. Die Tabelle vergleicht IPsec- und SSL-Fernzugriffsimplementierungen.
Feature | IPsec | SSL |
---|---|---|
Unterstützte Anwendungen | Umfassend - Alle IP-basierten Anwendungen werden unterstützt. | Eingeschränkt - Nur webbasierte Anwendungen und Dateifreigabe werden unterstützt. |
Stärke der Authentifizierung | Stark - Verwendet Zweiwege-Authentifizierung mit gemeinsam genutzten Schlüsseln oder digitalen Zertifikaten. | Moderat - Verwendung von Einweg- oder Zweiwege-Authentifizierung. |
Verschlüsselungsstärke | Stark - Verwendet Schlüssellängen von 56 Bit bis 256 Bit. | Mäßig bis stark - Mit Schlüssellängen von 40 Bit bis 256 Bit. |
Komplexität der Verbindung | Mittel - Weil es einen VPN-Client erfordert, der auf einem Host vorinstalliert ist. | Niedrig - Es wird nur ein Webbrowser auf einem Host benötigt. |
Anschlussmöglichkeit | Begrenzt - Nur bestimmte Geräte mit bestimmten Konfigurationen können angeschlossen werden. | Umfangreich - Jedes Gerät mit einem Webbrowser kann eine Verbindung herstellen. |
Es ist jedoch wichtig zu realisieren, dass sich IPsec und SSL-VPNs nicht gegenseitig exkludieren. Stattdessen sind sie komplementär; beide Technologien lösen unterschiedliche Probleme, und eine Organisation kann IPsec, SSL oder beide implementieren, je nach den Bedürfnissen ihrer Telearbeiter.
Sie benötigen professionelle Hilfe rund um das Thema IT?
Wir bieten Ihnen als IT-Systemhaus in München, rund um das Thema IT, professionelle sowie individuelle Lösungen kostengünstig an. Lassen Sie sich von unseren IT-Experten unverbindlich beraten und überzeugen Sie sich von der Expertise und langjähriger Erfahrung unserer fachlich kompetenten Mitarbeiter. Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: This email address is being protected from spambots. You need JavaScript enabled to view it.. Ihr IT-Systemhaus in München.
Um den Netzwerkverkehr zwischen Standorten und Anwendern zu sichern, verwenden Organisationen virtuelle private Netzwerke (VPNs), um private End-to-End-Netzwerkverbindungen herzustellen. Ein VPN ist insofern virtuell, als dass es Informationen innerhalb eines privaten Netzwerks überträgt, diese Informationen jedoch tatsächlich über ein öffentliches Netzwerk transportiert werden. Ein VPN ist insofern privat, als der Datenverkehr verschlüsselt wird, um die Daten während des Transports über das öffentliche Netzwerk vertraulich zu halten.
Der Tunnel ermöglicht entfernten Standorten und Benutzern den sicheren Zugriff auf die Netzwerkressourcen des Hauptstandorts.
Die ersten Arten von VPNs waren reine IP-Tunnel, die keine Authentifizierung oder Verschlüsselung der Daten beinhalteten. Zum Beispiel ist die Generic Routing Encapsulation (GRE) ein von Cisco entwickeltes Tunneling-Protokoll, das keine Verschlüsselungsdienste beinhaltet. Es wird zur Einkapselung von IPv4- und IPv6-Verkehr innerhalb eines IP-Tunnels verwendet, um eine virtuelle Punkt-zu-Punkt-Verbindung herzustellen.
Moderne VPNs unterstützen jetzt Verschlüsselungsfunktionen wie IPsec (Internet Protocol Security) und SSL (Secure Sockets Layer) VPNs, um den Netzwerkverkehr zwischen den Standorten zu sichern.
Die wichtigsten Vorteile von VPNs sind in der Tabelle aufgeführt:
Vorteile | Beschreibung |
---|---|
Kosteneinsparungen | Mit dem Aufkommen kostengünstiger Technologien mit hoher Bandbreite können Unternehmen mit VPNs ihre Konnektivitätskosten senken und gleichzeitig die Bandbreite von Remoteverbindungen erhöhen. |
Sicherheit | VPNs bieten das höchste verfügbare Sicherheitsniveau, da sie fortschrittliche Verschlüsselungs- und Authentifizierungsprotokolle verwenden, die Daten vor unbefugtem Zugriff schützen. |
Skalierbarkeit | VPNs ermöglichen es Unternehmen, das Internet zu nutzen, so dass es einfach ist, neue Benutzer hinzuzufügen, ohne dass zusätzliche Infrastruktur erforderlich ist. |
Kompatibilität | VPNs können über eine Vielzahl von WAN-Verbindungsoptionen implementiert werden, einschließlich aller gängigen Breitbandtechnologien. Remote-Mitarbeiter können diese Hochgeschwindigkeitsverbindungen nutzen, um sicheren Zugang zu ihren Unternehmensnetzwerken zu erhalten. |
VPNs werden häufig in einer der folgenden Konfigurationen eingesetzt: Site-to-Site oder Remote-Zugriff.
Ein Site-to-Site-VPN entsteht, wenn VPN-Endgeräte, auch VPN-Gateways genannt, mit Informationen vorkonfiguriert werden, um einen sicheren Tunnel aufzubauen. Der VPN-Verkehr wird nur zwischen diesen Geräten verschlüsselt. Interne Hosts haben keine Kenntnis davon, dass ein VPN verwendet wird.
Ein Remote-Zugriffs-VPN wird dynamisch erstellt, um eine sichere Verbindung zwischen einem Client und einem VPN-Endgerät herzustellen. Ein Fernzugriffs-SSL-VPN wird beispielsweise verwendet, wenn Sie Ihre Bankinformationen online überprüfen.
Es gibt viele Optionen zur Sicherung des Unternehmensverkehrs. Diese Lösungen variieren je nachdem, wer das VPN verwaltet.
VPNs können wie verwaltet und bereitgestellt werden:
Hier sind die verschiedenen Arten von VPN-Bereitstellungen aufgelitstet, die von Unternehmen und Dienstanbietern verwaltet werden und die in diesem Artikel ausführlicher beschrieben werden.
Site-to-Site VPNs:
Remote Access VPNs:
Veraltete Lösungen:
Als etablierte App Agentur bieten wir ihnen die Entwicklung von Software für mobile Endgeräte an. Vielleicht wünschen Sie sich eine App, welche mit ihrem Unternehmensnetzwerk eine Verbindung herstellt und Sie so jederzeit zu ihren Unternehmensressourcen zugreifen können?
Wir helfen ihnen bei der Realisierung von komplexen Netzwerk-Anwendungen für die Betriebssysteme iOS, iPadOS und Android. Schicken Sie uns ihre Projekt Anfrage via This email address is being protected from spambots. You need JavaScript enabled to view it. oder Rufen Sie uns direkt unter 0176 75191818 an!
Wi-Fi Easy Connect, wie die Wi-Fi Alliance es nennt, macht es bequemer, kabellose Gerätschaften, die keinen (oder ausschließlich einen begrenzten) Display oder Eingabemechanismus haben, in Ihr Netzwerk zu integrieren. Wenn diese Funktion aktiviert ist, scannen Sie einfach mit Ihrem Smartphone einen QR-Code auf Ihrem Router, dann scannen Sie einen QR-Code auf Ihrem Drucker oder Lautsprecher oder einem anderen IoT-Gerät, und schon sind Sie bereit - Sie sind sicher verbunden. Mit der QR-Code-Methode verwenden Sie eine auf öffentlichen Schlüsseln basierende Verschlüsselung für Onboard-Geräte, die derzeit noch keine einfache und sichere Methode dafür haben.
Dieser Trend zeigt sich auch bei Wi-Fi Enhanced Open, das die Wi-Fi Alliance zuvor ausführlich beschrieben hat. Wahrscheinlich haben Sie schon gehört, dass Sie es vermeiden sollten, in öffentlichen Wi-Fi-Netzwerken sensibles Browsen oder Dateneingabe zu betreiben. Denn mit WPA2 kann jeder, der sich im gleichen öffentlichen Netz wie Sie befindet, Ihre Aktivitäten beobachten und Sie mit Eindringlingen wie Man-in-the-Middle-Angriffen oder Netzwerkverkehrsschnüffeln ins Visier nehmen. Und wie steht es in Bezug auf WPA3? Jedenfalls nicht mehr in diesem Ausmaß.
Wenn Sie sich mit einem WPA3-Gerät in das WPA3-Wi-Fi eines Coffeeshops einloggen, wird Ihre Verbindung automatisch verschlüsselt, ohne dass zusätzliche Anmeldedaten erforderlich sind. Dabei wird ein etablierter Standard namens Opportunistic Wireless Encryption verwendet.
Wie bei den Passwortschutzmechanismen hält auch die erweiterte Verschlüsselung von WPA3 für öffentliche Netzwerke Wi-Fi-Benutzer vor einer Schwachstelle sicher, von der sie vielleicht gar nicht wissen, dass sie überhaupt nicht existiert. Tatsächlich könnte sich der Wi-Fi-Benutzer dadurch eher zu sicher fühlen, dabei gilt zu beachten, dass eine 100% Sicherheit nicht existent ist!
Selbst mit den zusätzlichen technischen Details fühlt es sich fast verfrüht an, über WPA3 zu sprechen. Zwar haben sich große Hersteller wie Qualcomm bereits zu seiner Implementierung verpflichtet, um die vielen Upgrades von WPA3 voll auszuschöpfen, doch muss die gesamte Struktur diese Technologie nutzen. Das wird sicherlich mit der Zeit geschehen, ebenso wie es bei WPA2 der Fall war.
Sobald sämtliche Gerätschaften WPA3 assistieren, könnten Sie die WPA2-Konnektivität auf Ihrem Router abschalten, um die Sicherheit zu steigern, ebenfalls wie Sie die WPA- und WEP-Konnektivität abschalten und ausschließlich WPA2-Verbindungen auf Ihrem Router zulassen könnten.
Es wird zwar eine Weile dauern, bis WPA3 vollständig eingeführt ist, aber wichtig ist, dass der Übergangsprozess 2018 begonnen hat. Das bedeutet sicherere Wi-Fi-Netzwerke in der Zukunft. Jedoch gab es bereits Meldungen, die auf Sicherheitslücken von WPA3 hingewiesen haben, welche eine Überarbeitung der Protokolle und Implementierungen nach sich ziehen werden. Auch das Problem in Bezug auf Kompatibilität ist sicher ein Aspekt, weshalb WPA3 sich auf dem breiten Markt noch nicht durchgesetzt hat.
Hiermit schließt diese Serie ab und verabschiedet sich von Ihnen und hofft, einen guten Überblick sowie tiefe Einblicke in die Geschichte der verschiedenen Standards in Bezug auf WLAN, gegeben zu haben.
Als IT Service in München bieten wir unseren B2B Kunden und privaten Kunden den Aufbau eines sicheren Netzwerks über W-LAN aber auch über Kabel. Lassen Sie sich von unseren Netzwerk-Spezialisten unverbindlich beraten. Wir prüfen bei Ihnen vor Ort, ob eine Vernetzung mittels Kabel oder mit Funk am geeignetsten ist und finden für Sie die kostengünstigste und beste Lösung maßgeschneidert für ihre Anforderungen. Wir freuen uns auf ihren Anruf unter unserer Rufnummer 0176 75 19 18 18 oder via E-Mail an This email address is being protected from spambots. You need JavaScript enabled to view it.
Während WPA2 mehr Schutz als WPA und damit noch mehr Schutz als WEP bietet, hängt die Sicherheit Ihres Routers stark von dem von Ihnen festgelegten Passwort ab. Mit WPA und WPA2 können Sie Passwörter in Länge von (2^6)-1, ergo max. 63 Zeichen verwenden.
Verwenden Sie daher eine Vielzahl an unterschiedlichen Zeichen in Ihrem WiFi-Netzwerk-Passwort. Hacker sind an leichteren Zielen interessiert, machen Sie es ihnen daher so schwer wie möglich und kreieren ein gutes Passwort, um einen Angriff abzuwehren oder zu erschweren. Je leichter Sie es einem Hackerr machen, desto höher ist die Wahrscheinlichkeit, ein Angriffsziel zu sein.
WPA3 ist das Non plus ultra in der WiFi-Sicherheit - zumindest nach heutigem Standard.
Der Schutz von Wi-Fi vor Hackern ist eine der primären Aufgaben in der Cybersicherheit. Deshalb verdient die Einführung des drahtlosen Sicherheitsprotokolls der nächsten Generation, WPA3, Ihr Interesse: Es wird nicht nur die Sicherheit von Wi-Fi-Verbindungen erhöhen, sondern auch dazu beitragen, Sie vor Ihren eigenen Sicherheitsmängeln - menschlichem Versagen - zu bewahren.
Der neue Aspekt, den es sich als Prämisse auf die Fahen geschrieben hat, ist folgender:
Eine grundlegende Schwachstelle von WPA2, dem aktuellen Wireless-Sicherheitsprotokoll aus dem Jahr 2004, besteht darin, dass es Hackern erlaubt, einen so genannten Offline-Wörterbuch-Angriff durchzuführen - ein Brute-Force-Angrff - um Ihr Passwort zu erraten, bzw. zu cracken. Ein Angreifer kann beliebig viele Versuche unternehmen, Ihre Anmeldeinformationen zu erraten, ohne sich im selben Netzwerk zu befinden, und dabei das gesamte Wörterbuch - und darüber hinaus mit Rainbowtables als Beispiel - in relativ kurzer Zeit durchlaufen.
WPA3 schützt vor Wörterbuchangriffen durch die Implementierung eines neuen Schlüsselaustauschprotokolls. WPA2 verwendete einen unvollkommenen Vier-Wege-Handshake zwischen Clients und Zugangspunkten, um verschlüsselte Verbindungen zu ermöglichen; das war es, was hinter der berühmt-berüchtigten Crack-Schwachstelle steckte, die im Grunde jedes angeschlossene Gerät betraf. WPA3 wird dies zu Gunsten der sichereren - und weithin überprüften - gleichzeitigen Authentifizierung durch einen gleichen Handshake aufgeben.
Der alternative Mehrwert ergibt sich für den Fall, dass Ihr Passwort kompromittiert wird. Mit diesem innovativen Handshake unterstützt WPA3 die Vorwärtsgeheimhaltung, was bedeutet, dass jedweder Datenverkehr, der über Ihre Leitung kam, bevor ein Außenstehender Zugang erhielt, verschlüsselt bleibt. Mit WPA2 können sie auch alten Datenverkehr entschlüsseln. Dies ist aufgrund des Verschlüsselungsverfahren möglich.
Als WPA2 anno 2004 aufkam, war das World Wide Web noch nicht zu dem alles verzehrenden Sicherheitshorror geworden, der sein heutiges Markenzeichen ist. Kein Wunder also, dass WPA2 keine rationelle Möglichkeit bot, ebendiese Geräte in jedem Fall in ein bestehendes Wi-Fi-Netzwerk einzubinden. Und gewissermaßen hat die vorherrschende Methode, mit der jener Prozess heute abläuft - das Wi-Fi Protected Setup - seit 2011 prominente Achillesfersen. WPA3 offeriert eine Problemlösung.
Dies wird Gegenstand im 4.Teil der Serie und schließt diese somit ab.
Das auf dem Wireless-Sicherheitsstandard 802.11i basierende Protokoll wurde 2004 eingeführt. Die wichtigste Verbesserung von WPA2 gegenüber WPA war die Verwendung des Advanced Encryption Standard (AES). AES ist von der US-Regierung für die Verschlüsselung von als streng geheim eingestuften Informationen zugelassen, so dass es gut genug sein muss, um Heimnetzwerke zu schützen. Für die genauere Funktionsweise und für Details, können Sie auf unserer Homepage unter #Sicherheit und #Verschlüsselung danach suchen und fündig werden.
Zu diesem Zeitpunkt ist die Hauptanfälligkeit eines WPA2-Systems dann gegeben, wenn der Angreifer bereits Zugang zu einem gesicherten WiFi-Netzwerk hat und sich Zugang zu bestimmten Schlüsseln verschaffen kann, um einen Angriff auf andere Geräte im Netzwerk durchzuführen. Abgesehen davon sind die Sicherheitsvorschläge für die bekannten WPA2-Schwachstellen vor allem für Netzwerke auf Unternehmensebene von Bedeutung und für kleine Heimnetzwerke nicht wirklich relevant. Leider ist die Möglichkeit von Angriffen über das Wi-Fi Protected Setup (WPS) in den aktuellen WPA2-fähigen Zugangspunkten immer noch hoch, was auch das Problem mit WPA darstellt. Und obwohl das Eindringen in ein WPA/WPA2-gesichertes Netzwerk durch diese Lücke etwa 2 bis 14 Stunden dauern wird, ist es immer noch ein echtes Sicherheitsproblem, daher sollte WPS deaktiviert werden, und es wäre gut, wenn die Firmware des Access Points auf eine Distribution zurückgesetzt werden könnte, die WPS nicht unterstützt, um diesen Angriffsvektor völlig auszuschließen.
Eine Empfehlung in Bezug auf WiFi-Sicherheitsmethoden, jedoch auf Routern, welche nach 2006 verfügbar sind:
WPA2 + AES-(256)
WPA + AES-(256)
Am besten deaktiviert man die Wi-Fi Protected Setup (WPS) und stellt den Router auf WPA2 + AES-(256) ein.
Die AES-256 bit Verschlüsselung ist mittlerweile ein goldener Standard und gilt nach heutigem Stand sowie im Rahmen der menschlichen Lebenserwartung als "unknackbar".
Sowohl WPA als auch WPA2 sollen drahtlose Internet-Netzwerke vor unberechtigtem Zugriff schützen. Sollten Sie Ihren Router unverschlüsselt oder ohne Sicherheitsmaßnahmen zu treffen, nutzen, ist es ein Leichtes, illegale Aktonen über Ihre Verbindung und in Ihrem Namen durchzufühen, die Bandbreite zu stehlen, Ihre Surfgewohnheiten mitzusniffen (überwachen, mitschneiden) und zusätzlich Schadsoftware, bzw. schädliche Anwendungen in Ihrem Netzwerk zu installieren.
WiFi-Router unterstützen eine Vielzahl von Sicherheitsprotokollen zur Absicherung von drahtlosen Netzwerken: WEP, WPA und WPA2. WPA2 wird jedoch gegenüber seinem Vorgänger WPA (Wi-Fi Protected Access) empfohlen.
Der einzige Nachteil von WPA2 ist die erforderliche Rechenleistung zum Schutz Ihres Netzwerks. Das bedeutet, dass eine leistungsfähigere Hardware erforderlich ist, um eine geringere Netzwerkleistung zu vermeiden. Dieses Problem betrifft ältere Access Points, die vor WPA2 implementiert wurden und WPA2 nur über ein Firmware-Upgrade unterstützen. Die meisten der aktuellen Access Points wurden mit leistungsfähigerer Hardware geliefert.
Verwenden Sie auf jeden Fall WPA2, wenn Sie WPA2 verwenden können, und nur dann, wenn es keine Möglichkeit gibt, dass Ihr Access Point WPA2 unterstützt. Die Verwendung von WPA ist auch eine Möglichkeit, wenn Ihr Access Point regelmäßig hohe Lasten erfährt und die Netzwerkgeschwindigkeit unter der WPA2-Nutzung leidet. Wenn die Sicherheit an erster Stelle steht, dann ist ein Rollback keine Option, sondern man sollte ernsthaft darüber nachdenken, bessere Access Points zu integrieren.
Je nachdem, welche Sicherheitsprotokolle Sie verwenden, kann die Datengeschwindigkeit beeinträchtigt werden. WPA2 ist das schnellste der Verschlüsselungsprotokolle, während WEP das langsamste ist.
Die WiFi-Sicherheitsalgorithmen haben seit den 1990er Jahren viele Änderungen und Upgrades durchlaufen, um sicherer und effektiver zu werden. Für den Schutz von drahtlosen Heimnetzwerken wurden verschiedene Arten von drahtlosen Sicherheitsprotokollen entwickelt. Bei den drahtlosen Sicherheitsprotokollen handelt es sich um WEP, WPA und WPA2, die den gleichen Zweck erfüllen, aber gleichzeitig unterschiedlich sind.
Die drahtlosen Sicherheitsprotokolle verhindern nicht nur, dass sich unerwünschte Personen mit Ihrem drahtlosen Netzwerk verbinden, sondern verschlüsseln auch Ihre privaten Daten, die über das Medium Luft gesendet werden. Unabhängig davon, wie geschützt und verschlüsselt sie sind, drahtlose Netzwerke können nicht mit der Sicherheit von kabelgebundenen Netzwerken mithalten. Letztere übertragen auf ihrer einfachsten Ebene Daten zwischen zwei Punkten, A und B, die durch ein Netzwerkkabel verbunden sind. Um Daten von A nach B zu senden, übermitteln drahtlose Netzwerke diese innerhalb ihrer Reichweite in jede Richtung an jedes angeschlossene Gerät, das gerade empfängt.Schauen wir uns daher die drahtlosen Sicherheitsprotokolle WEP, WPA, WPA2 und WPA3 genauer an.
WEP wurde für drahtlose Netzwerke entwickelt und im September 1999 als Wi-Fi-Sicherheitsstandard freigegeben. WEP sollte das gleiche Sicherheitsniveau bieten wie kabelgebundene Netzwerke, jedoch gibt es eine Menge bekannter Sicherheitsprobleme im WEP, das zudem leicht zu hacken und schwer zu konfigurieren ist.
Trotz all der Arbeit, die zur Verbesserung des WEP-Systems geleistet wurde, stellt es immer noch eine sehr anfällige Lösung dar. WEP wurde 2004 offiziell von der Wi-Fi-Allianz aufgegeben und ist somit obsolet, bzw. nicht mehr im Einsatz -zumindest sollte es nicht mehr im Einsatz sein, da es zu große Sicherheitslücken aufweist!
Für die Zeit, in der sich der 802.11i-Wireless-Sicherheitsstandard in der Entwicklung befand, wurde WPA als vorübergehende Sicherheitserweiterung für WEP verwendet. Ein Jahr, bevor WEP offiziell aufgegeben wurde, erhielt WPA eine formelle Verabschiedung. Die meisten modernen WPA-Anwendungen verwenden einen Pre-Shared Key (PSK), der meist als WPA Personal bezeichnet wird, und das Temporal Key Integrity Protocol oder TKIP zur Verschlüsselung. WPA Enterprise verwendet einen Authentifizierungsserver für die Erzeugung von Schlüsseln und Zertifikaten.
WPA war eine bedeutende Verbesserung gegenüber WEP, aber da die Kernkomponenten so hergestellt wurden, dass sie durch Firmware-Upgrades auf WEP-fähigen Geräten eingeführt werden konnten, stützten sie sich immer noch auf Elemente, welche ein Ausnutzen von Sicherheitslücken möglich machte.
Wie WEP erwies sich auch WPA, nachdem es den Proof-of-Concept und öffentliche Demonstrationen durchlaufen hatte, als ziemlich anfällig für Einbrüche. Die Angriffe, die die größte Bedrohung für das Protokoll darstellten, waren jedoch nicht die direkten, sondern die Angriffe auf Wi-Fi Protected Setup (WPS) - ein Hilfssystem, das entwickelt wurde, um die Verbindung von Geräten mit modernen Zugangspunkten zu vereinfachen.
Auch wir legen sehr viel Wert auf eine gut geschützte Kommunikation zwischen zwei und mehr Endpunkten. Eine Netzwerk über W-LAN birgt immer Risiken mit sich und sollte deshalb von einem professionellen IT Service vorgenommen werden. Als IT Systemhaus in München bieten wir unseren Kunden den Aufbau von Mesh-Netzwerken, sodass Sie von allen Ecken in ihrem Haus oder Büro die bestmögliche Bandbreite erhalten. Lassen Sie sich von uns unverbindlich beraten unter unserer Rufnummer 0176 / 75 19 18 18 oder schreiben Sie uns ganz einfach eine E-Mail an This email address is being protected from spambots. You need JavaScript enabled to view it.
Auf Basis IEEE 802.11 WLAN ist es mit minimalem Aufwand möglich, schnell eine drahtlose Verbindung aufzubauen und bietet zusätzlich eine hohe Flexibilität in der Administration und Konfiguration.
Dies geht jedoch mit der Möglichkeit der Angreifbarkeit des Systems einher, da die Übertragung der Daten via Luftschnittstellen erfolgt. Hiesige Schnittstelle wird auch als "shared medium" bezeichnet (geteiltes Medium) und eröffnet Angreifern die Gelegenheit, diese zu attackieren. Manipulationen bzw. Angriffsversuche dieser Systeme lassen sich mit relativ einfachen Mitteln realisieren. Dies bringt uns zum Thema der WLAN-Sicherheit und die damit verbundenen Schutzmaßnahmen sowie Gefährdungen, welche auf unterschiedlichen Ebenen vorgenommen werden können bzw. existent sind.
Um Missbrauch durch Unbekannte zu verhindern, ist die Absicherung des WLANs durch die deutsche Rechtssprechung, in Bezug auf Authentifizierung und Verschlüsselung, zwingend vorgeschrieben.
Unter Anwendung diverser Maßnahmen kann dies - u.a. in Abhängigkeit der Größe eines Netzwerkes - realisiert werden.
Wesentliche Maßnahmen für ein SOHO-WLAN (Small Office Home Office) sind:
Hierbei sei nochmal der Artikel der Schutzziele in der Informationssicherheit erwähnt, bei dem CIA einge tragende Rolle einnimmt.
Exkurs: wesentliche Sicherheitsmechanismen, die Anwendung durch Verfahren und Kommunikationsprotokollen erfahren, sind der Garant bzw. die Sicherstellung der:
Vertraulichkeit (Confidentiallity)
Integrität (Integrity)
Authentizität (Authenticity)
und somit der Daten im WLAN.
Vertraulichkeit im Kontext WLAN: Informationen (Daten) nur für Berechtigte zugänglich machen!
Integrität in Bezug auf WLAN: Datensicherheit (Schutz vor Verlust) und Erkennen von Manipulation!
Authentizität im Kontext WLAN: Eindeutige Zuordnung einer Information zum Absender!
WEP und WPA sind ungenügend und nicht mehr sicher, deshalb werden diese hier nicht genauer beschrieben.
Sichere Verfahren hierfür sind:
Die Daten und Systeme dürfen nur für berechtigte Personen zugänglich sein, daher ist es wichtig, zu verschlüsseln und Zugangskontrollen durchzuführen.
Die Daten dürfen nicht manipuliert worden sein. Dies impliziert, dass man die Manipulation oder Veränderung von Daten bemerkt, daher verwendet man sogenannte digitale Signaturen.
Die Daten und Systeme müssen zu definierten Zeiten verfügbar bzw. abrufbar sein, daher ist es notwendig, diese mit Backups zu sichern, eine USV (Unterbrechungsfreie Stromversorgung) zu besitzen und Systeme regelmäßig zu warten. Dies sind nur ein paar der Beispiele, um dieses Ziel zu erreichen.
Die Authentizität besagt, dass die Quelle der Daten verifizierbar sein muss. Ergo, ob der Gegenüber wirklich jener ist, wofür er sich ausgibt.
Um dieses Schutzziel zu erreichen, ist der Gebrauch von digitalen Zertifikaten im Einsatz.
Was heißt verschlüsseln?
Eine Datenmenge wird unter Anwendung eines Schlüssels und eines Algorithmus so in eine andere Datenmenge überführt, dass nur von berechtigten Personen die Ursprungsmenge hergestellt werden kann.
Bei der symmetrischen Verschlüsselung ist ein Schlüssel bzw. “gemeinsames Geheimnis” existent, um Klartext in ein Chiffrat zu überführen und somit zu verschlüsseln sowie zu entschlüsseln.
Somit wird ein Algorithmus verwendet, eine Art Werkzeug, ein Verfahren, mit einer eindeutigen Vorschrift, um ein Problem zu lösen bzw. Klassen davon.
Klartext -> Schlüssel/Algorithmus -> Chiffrat
Chiffrat -> Schlüssel/Algorithmus -> Klartext
Schlüssel = Daten / Algorithmus ist die Rechenregel, die mit dem Klartext verknüpft wird und das Chiffrat entsteht
Key/Schlüssel = binäre Datei, ergo: Bits
Schlüssellänge = Quantität der Bits im Schlüssel
Auguste Kerckhoffs von Nieuwenhof (1835-1903)
Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Verfahrens abhängig sein, sie gründet allein auf der Geheimhaltung des Schlüssels.
Es ist einfacher, einen Schlüssel geheim zu halten als einen Algorithmus.
Hängt die Sicherheit von der Geheimhaltung des Algorithmus ab und wird dieser bekannt, ist das gesamte System korrumpiert.
Hängt die Sicherheit von der Geheimhaltung des Schlüssels ab, ist nur die mit diesem Schlüssel verschlüsselte Kommunikation betroffen.
Es ist sehr viel einfacher, einen Schlüssel zu tauschen als einen Algorithmus.
"Peer Review": Der Algorithmus wird öffentlich diskutiert, Fehler fallen schneller und zuverlässiger auf.
Verfahren bzw. Beispiele für symmetrische Verschlüsselung sind:
AES (Advanced Encryption Standard)
AES-256 bit gilt bisher als “unknackbar bzw. sicher" und findet bei Militär sowie Geheimdiensten mit einer hohen Sicherheitsstufe und Geheimhaltung aber auch als Standard eine tragende Rolle bei der symmetrischen Verschlüsselung.
Mit “unknackbar bzw. sicher" ist gemeint, dass es mit einem Brute-Force-Angriff (das Ausprobieren aller Möglichkeiten) mehrere hundert Jahre brauchen würde, um auf den Schlüssel zu kommen. Da AES-256 bit = 2^256= 1.15792E+77 mögliche Schlüssel impliziert und ein handelsüblicher Computer als Beispiel 16.8 Milliarden Versuche pro Sekunde schafft, würde dies dementsprechend 2.18556E+59 Jahre benötigen.
DES (Data Encryption Standard)
Entwickelt: Mitte der 70er Jahre (IBM)
ab 1977 offizieller Standard in den USA
blockbasiert, 64 Bit (Schlüssel: 56 Bit)
erster erfolgreicher Angriff: Ende der 90er
Juli 1998: EFF baut Supercomputer, knackte
DES in 56 Stunden
Januar 1999: DES in 22 Stunden geknackt
Der wohl größte Vorteil der symmetrischen Verschlüsselung liegt in der Tatsache begründet, dass diese sehr schnell und daher auch in Echtzeit möglich ist. Des Weiteren bedient sich die symmetrische Verschlüsselung eines einfachen Schlüsselmanagement, da lediglich ein Schlüssel (gemeinsames Geheimnis) für das Ver- und Entschlüsseln benötig wird.
Der größte Nachteil ist, dass der Schlüssel nicht in unbefugte Hände geraten darf, da man sonst alles, was damit verschlüsselt wurde, lesen bzw. entschlüsseln kann.
Auch die Quantität der Schlüssel, bezogen auf die Teilnehmer, wächst quadratisch.
Letztendlich ist ein sicherer Transportweg notwendig.