Sicherheit
Übergeordnetes Thema: Sicherheit

Die Sicherheits-Checkliste

In der folgenden Checkliste finden Sie alle wichtigen Sicherheitseinstellungen im Überblick. Die meisten Punkte dieser Checkliste sind in einfachen Konfigurationen unbedenklich. In solchen Fällen reichen die Sicherheitseinstellungen aus, die während der Grundkonfiguration oder mit dem Sicherheits-Assistenten gesetzt werden.

Haben Sie das Funknetzwerk durch Verschlüsselung und Zugangskontrolllisten abgesichert?
Mit Hilfe von 802.11i, WPA oder WEP verschlüsseln Sie die Daten im Funknetzwerk mit verschiedenen Verschlüsselungsmethoden wie AES, TKIP oder WEP. LANCOM empfiehlt die stärkste mögliche Verschlüsselung mit 802.11i und AES. Wenn der eingesetzte WLAN-Client Adapter diese nicht unterstützt, nutzen Sie TKIP oder zumindest WEP. Stellen Sie sicher, dass in Ihrem Gerät bei aktivierter Verschlüsselungs-Funktion mindestens eine Passphrase oder ein WEP-Schlüssel eingetragen und zur Verwendung ausgewählt ist.
Wichtig: LANCOM rät aus Sicherheitsgründen von der Verwendung von WEP ab! Setzen Sie WEP nur in begründeten Ausnahmefällen ein und ergänzen Sie die WEP-Verschlüsselung nach Möglichkeit mit anderen Schutzmechanismen!
Zur Kontrolle der Einstellungen wählen Sie in LANconfig unter Wireless LAN > Verschlüsselung > WLAN-Verschlüsselungs-Einstellungen die Verschlüsselungseinstellungen für die logischen WLAN-Schnittstellen aus. Mit der Access Control List (ACL) gewähren oder untersagen Sie einzelnen Funk-LAN-Clients den Zugriff auf Ihr Funk-LAN. Die Festlegung erfolgt anhand der fest programmierten MAC-Adressen der Funk-Netzwerkkarten. Zur Konfiguration der Access Control List öffnen Sie in LANconfig die Stationsregeln unter Wireless-LAN > Stationen/LEPS > LEPS-MAC. Mit der LANCOM Enhanced Passphrase Security MAC (LEPS-MAC) ordnen Sie jeder MAC-Adresse in einer zusätzlichen Spalte der ACL eine individuelle Passphrase zu – eine beliebige Folge aus 8 bis 64 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse erlaubt die Anmeldung am Access Point und die anschließende Verschlüsselung per IEEE 802.11i oder WPA2. Siehe auch Konfiguration. Die Zugangskontrolle findet gestaffelt statt. Zuerst wird nach einem LEPS-MAC-Eintrag gesucht. Falls es den nicht gibt, dann wird bei LEPS-U nach einem passenden Eintrag gesucht. Als letztes wird die für ein WLAN unter Wireless-LAN > Verschlüsselung > WLAN-Verschlüsselungs-Einstellungen eingestellte Passphrase überprüft.
Anmerkung: Bei Verwendung von LEPS-U und / oder LEPS-MAC sollten Sie diese Passphrase geheim halten und am Besten nicht verwendet. Falls Sie einen Benutzer bzw. MAC-Adresse entfernen, dann soll dieser auch keinen Zugang über die WLAN-Passphrase erhalten.
Haben Sie ein Passwort für die Konfiguration vergeben?
Die einfachste Möglichkeit zum Schutz der Konfiguration ist die Vereinbarung eines Passworts. Solange Sie kein Passwort vereinbart haben, kann jeder die Konfiguration des Gerätes verändern. Das Feld zur Eingabe des Passworts finden Sie in LANconfig unter Management > Admin. Es ist insbesondere dann unerlässlich, ein Passwort zur Konfiguration zu vergeben, wenn Sie die Fernkonfiguration erlauben wollen!
Haben Sie die Fernkonfiguration zugelassen?
Wenn Sie die Fernkonfiguration nicht benötigen, so schalten Sie sie ab. Wenn Sie die Fernkonfiguration benötigen, so vergeben Sie unbedingt einen Passwortschutz für die Konfiguration. Das Feld zur Abschaltung der Fernkonfiguration finden Sie in LANconfig unter Management > Admin > Gerätezugriff > Zugriffseinstellungen. Wählen Sie hier im Abschnitt Konfigurations-Zugriffs-Wege Zugriffs-Rechte > Von einer WAN-Schnittstelle für alle Protokolle die Option nicht erlaubt. Zudem haben Sie die Möglichkeit, den HTTP-Port für die Web Server Dienste zu sperren. Wählen Sie hierfür im Abschnitt Zugriff auf Web-Server-Dienste unter Zugriffs-Rechte > Von einer WAN-Schnittstelle die Option Deaktiviert.
Haben Sie die Konfiguration vom Funk-Netzwerk aus zugelassen?
Wenn Sie die Konfiguration vom Funk-Netzwerk aus nicht benötigen, so schalten Sie sie ab. Das Feld zur Abschaltung der Konfiguration vom Funk-Netzwerk aus finden Sie ebenfalls in LANconfig unter Management > Admin > Gerätezugriff > Zugriffseinstellungen. Wählen Sie hier im Abschnitt Konfigurations-Zugriffs-Wege Zugriffs-Rechte > Von einer WLAN-Schnittstelle für alle Protokolle die Option nicht erlaubt. Zudem haben Sie die Möglichkeit, den HTTP-Port für die Web Server Dienste zu sperren. Wählen Sie hierfür im Abschnitt Zugriff auf Web-Server-Dienste unter Zugriffs-Rechte > Von einer WLAN-Schnittstelle die Option Deaktiviert.
Haben Sie die SNMP-Konfiguration mit einem Passwort versehen?
Schützen Sie auch die SNMP-Konfiguration mit einem Passwort. Das Feld zum Schutz der SNMP-Konfiguration mit einem Passwort finden Sie ebenfalls in LANconfig unter Management > Admin.
Haben Sie die Firewall aktiviert?
Die Stateful-Inspection Firewall der Geräte sorgt dafür, dass Ihr lokales Netzwerk von außen nicht angegriffen werden kann, wenn Ihr WLAN-Controller als Public Spot eingesetzt wird. Die Firewall können Sie in LANconfig unter Firewall/Qos > Allgemein einschalten.
Wichtig: Beachten Sie, dass alle Sicherheitsaspekte der Firewall (inkl. IP-Masquerading, Port-Filter und Zugriffs-Liste) nur für Datenverbindungen aktiv sind, die über den IP-Router geführt werden. Direkte Datenverbindungen über die Bridge werden nicht von der Firewall geschützt!
Verwenden Sie eine "Deny-All" Firewall-Strategie?
Für maximale Sicherheit und Kontrolle unterbinden Sie zunächst jeglichen Datentransfer durch die Firewall. Nur die Verbindungen, die explizit gestattet sein sollen, sind in die Firewall einzutragen. Damit wird "Trojanern" und bestimmten E‑Mail-Viren der Kommunikations-Rückweg entzogen. Die Firewall-Regeln finden Sie in LANconfig unter Firewall/QoS > IPv4-Regeln > Regeln und Firewall/QoS > IPv6-Regeln > IPv6-Inbound-Regeln oder Firewall/QoS > IPv6-Regeln > IPv6-Forwarding-Regeln. Die Stateful-Inspection Firewall der Geräte sorgt dafür, dass Ihr lokales Netzwerk von außen nicht angegriffen werden kann, wenn Ihr WLAN-Controller als Public Spot eingesetzt wird. Die Firewall können Sie in LANconfig unter Firewall/Qos > Allgemein einschalten.
Wichtig: Beachten Sie, dass alle Sicherheitsaspekte der Firewall (inkl. IP-Masquerading, Port-Filter und Zugriffs-Liste) nur für Datenverbindungen aktiv sind, die über den IP-Router geführt werden. Direkte Datenverbindungen über die Bridge werden nicht von der Firewall geschützt!
Haben Sie IP-Masquerading aktiviert?
"IP-Masquerading" heißt das Versteck für alle lokalen Rechner beim Zugang ins Internet. Dabei wird nur das Router-Modul des Geräts mit seiner IP-Adresse im Internet bekannt gemacht. Die IP-Adresse kann fest vergeben sein oder vom Provider dynamisch zugewiesen werden. Die Rechner im LAN nutzen den Router dann als Gateway und können selbst nicht erkannt werden. Der Router trennt Internet und Intranet wie eine Wand. Die Verwendung von IP-Masquerading wird für jede Route in der Routing-Tabelle einzeln festgelegt. Die Routing-Tabellen für IPv4 und IPv6 finden Sie in LANconfig unter IP-Router > Routing.
Haben Sie kritische Ports über Filter geschlossen?
Die Firewall-Filter des Geräts bieten Filterfunktionen für einzelne Rechner oder ganze Netze. Es ist möglich, Quell- und Ziel-Filter für einzelne Ports oder auch Portbereiche aufzusetzen. Zudem können einzelne Protokolle oder beliebige Protokollkombinationen (ICMP) gefiltert werden. Besonders komfortabel ist die Einrichtung der Filter mit Hilfe von LANconfig. Unter Firewall/QoS > IPv4-Regeln > Regeln und Firewall/QoS > IPv6-Regeln > IPv6-Inbound-Regeln oder Firewall/QoS > IPv6-Regeln > IPv6-Forwarding-Regeln können Sie Filterregeln definieren und verändern.
Haben Sie bestimmte Stationen von dem Zugriff auf das Gerät ausgeschlossen?
Mit einer speziellen Filter-Liste kann der Zugriff auf die internen Funktionen der Geräte über TCP/IP eingeschränkt werden. Mit den internen Funktionen werden hierbei Konfigurationssitzungen über LANconfig, WEBconfig, Telnet oder TFTP bezeichnet. Standardmäßig enthält diese Tabelle keine Einträge, damit kann also von Rechnern mit beliebigen IP-Adressen aus über TCP/IP mit TFTP ein Zugriff auf das Gerät gestartet werden. Mit dem ersten Eintrag einer IP-Adresse sowie der zugehörigen Netzmaske wird der Filter aktiviert, und nur noch die in diesem Eintrag enthaltenen IP-Adressen sind berechtigt, die internen Funktionen zu nutzen. Mit weiteren Einträgen kann der Kreis der Berechtigten erweitert werden. Die Filter-Einträge können sowohl einzelne Rechner als auch ganze Netze bezeichnen. Die Zugangsliste finden Sie in LANconfig unter Firewall/QoS > IPv4-Regeln und Firewall/QoS > IPv6-Regeln.
Lagern Sie Ihre abgespeicherte Konfiguration an einem sicheren Ort?
Schützen Sie abgespeicherte Konfigurationen an einem sicheren Ort vor unberechtigtem Zugriff. Eine abgespeicherte Konfiguration könnte sonst von einer unberechtigten Person in ein anderes Gerät geladen werden, wodurch z. B. Ihre Internet-Zugänge auf Ihre Kosten benutzt werden können.
Haben Sie für besonders sensiblen Datenaustausch auf dem Funknetzwerk die Funktionen von IEEE 802.1X eingerichtet?
Wenn Sie auf Ihrem Funk-LAN besonders sensible Daten austauschen, können Sie zur weiteren Absicherung die IEEE-802.1X-Technologie verwenden. Die IEEE-802.1X-Einstellungen konfigurieren Sie in LANconfig unter Wireless-LAN > 802.1X.
Haben Sie die Möglichkeiten zum Schutz der WAN-Zugänge bei einem Diebstahl des Gerätes aktiviert?
Nach einem Diebstahl kann ein Gerät theoretisch von Unbefugten an einem anderen Ort betrieben werden. Auch bei einer passwortgeschützten Geräte-Konfiguration könnten so die im Gerät konfigurierten RAS-Zugänge, LAN-Kopplungen oder VPN-Verbindungen unerlaubt genutzt werden, ein Dieb könnte sich Zugang zu geschützten Netzwerken verschaffen. Der Betrieb des Gerätes kann jedoch mit verschiedenen Mitteln so geschützt werden, dass es nach dem Wiedereinschalten oder beim Einschalten an einem anderen Ort nicht mehr verwendet werden kann. Für die GPS-Standort-Verifikation können Sie im Gerät eine erlaubte geografische Position definieren. Nach dem Einschalten prüft das Gerät, ob es sich an der "richtigen" Position befindet – nur bei einer positiven Prüfung wird das Router-Modul eingeschaltet. Mit den Funktionen des Scripting kann die gesamte Konfiguration des Gerätes nur im RAM gespeichert werden, der beim Booten des Gerätes gelöscht wird. Die Konfiguration wird dabei gezielt nicht in den bootresistenten Flash-Speicher geschrieben. Mit dem Trennen von der Stromversorgung und dem Aufstellen an einem anderen Ort wird damit die gesamte Konfiguration des Gerätes gelöscht.
Haben Sie die Speicherung der Konfigurationsdaten Ihren Sicherheitsanforderungen angepasst?
Mit der Funktion des "Autarken Weiterbetriebs" wird die Konfiguration für ein WLAN-Interface, das von einem WLAN-Controller verwaltet wird, nur für eine bestimmte Zeit im Flash bzw. ausschließlich im RAM gespeichert. Die Konfiguration des Geräts wird gelöscht, wenn der Kontakt zum WLAN-Controller oder die Stromversorgung länger als die eingestellte Zeit unterbrochen wird.
Haben Sie den Reset-Taster gegen das unbeabsichtigte Zurücksetzen der Konfiguration gesichert?
Manche Geräte können nicht unter Verschluss aufgestellt werden. Hier besteht die Gefahr, dass die Konfiguration versehentlich gelöscht wird, wenn ein Mitarbeiter den Reset-Taster zu lange gedrückt hält. Mit einer entsprechenden Einstellung kann das Verhalten des Reset-Buttons gesteuert werden, der Reset-Taster wird dann entweder ignoriert oder es wird nur ein Neustart ausgelöst, unabhängig von der gedrückten Dauer.
Übergeordnetes Thema: Sicherheit

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo