Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

Größe: px

Ab Seite anzeigen:

Download "Technische Richtlinie Sicheres WLAN (TR-S-WLAN)"

Edith Fertig
vor 5 Jahren
Abrufe

1 Technische Richtlinie Sicheres WLAN (TR-S-WLAN) Teil 2: Vorgaben eines WLAN-Sicherheitskonzepts Kürzel: BSI-TR Teil 2 Version 1.0 Veröffentlichung 10/2005 SecuMedia

2 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Inhalt 1 Vorbemerkungen 13 2 IT-Strukturanalyse für den WLAN-Einsatz - Methodik Systematik Betrachtete Schutzbedarfskategorien Berücksichtigung des Lebenszyklus' Betrachtete Szenarien und Aufbau der Einzelkonzepte Zielstellung und Grundsatz der Konzipierung 20 3 Gesetzliche Vorschriften und IT-Sicherheit 23 4 Schutzbedarfsdefinition und -feststellung Vorgaben des IT-Grundschutzhandbuchs Behandlung von Verschlusssachen 28 5 Bedrohungsanalyse und Gefährdungskatalog Allgemeine Bedrohungsanalyse Schwachstellen und Gefährdungen im WLAN Funknetz und Access Points Höhere Gewalt Organisatorische oder konzeptionelle Mängel Menschliche Fehlhandlungen Technisches Versagen oder systembedingte Schwachstellen Vorsätzliche Handlungen WLAN-Clients Menschliche Fehlhandlungen Technisches Versagen oder systembedingte Schwachstellen Vorsätzliche Handlungen Distribution System Organisatorische oder konzeptionelle Mängel Vorsätzliche Handlungen Sicherheits-Infrastruktur Organisatorische oder konzeptionelle Mängel WLAN-Management 42 6 Allgemeine Maßnahmenempfehlungen Planung Organisatorische Planungsaufgaben Technische Planungsaufgaben Maßnahmen auf Funkebene Maßnahmen zum Distribution System und für Access Points Maßnahmen für WLAN-Clients Auswahl Installation und Konfiguration Maßnahmen für Access Points Maßnahmen für WLAN-Clients Maßnahmen für das Distribution System 52

3 Technische Richtlinie Sicheres WLAN Maßnahmen für die Sicherheitsinfrastruktur Organisatorische Maßnahmen Administration und Betrieb Organisatorische Betriebsmaßnahmen Technische Betriebsmaßnahmen Maßnahmen für Access Points Maßnahmen für WLAN-Clients Maßnahmen zum WLAN-Management Sicherheitsrevision Migration Außerbetriebnahme 60 7 Erweiterung des kabelgebundenen LAN - Konzeptvorgaben für eine homogene Client- Umgebung Vorgehensweise Behandlung organisatorischer Aspekte: Nutzung des Musterkonzepts Betrachtete (Beispiel-)Szenarien Anmerkungen zur Schutzbedarfsfeststellung Konzeptvorgaben für eine kleine WLAN-Installation Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen für Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Lösungsvariante 1 für Szenario 1: VPN Lösungsvariante 2 für Szenario 1: Nutzung von WPA2-Enterprise und EAP-TLS Rahmenbedingungen für Szenario 2-Hohe Verfügbarkeit Zusatzmaßnahmen für Szenario 2 -Hohe Verfügbarkeit Geschlossene Modellierung des IT-Verbunds Kleine WLAN-Installation" Konzeptvorgaben für eine große WLAN-Installation Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts 91

4 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen für Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Zusatzmaßnahmen für Szenario Rahmenbedingungen für Szenario 2 - Hohe Verfügbarkeit Zusatzmaßnahmen für Szenario 2 - Hohe Verfügbarkeit Rahmenbedingungen für Szenario 3 - Echtzeif'-Anforderungen Zusatzmaßnahmen für Szenario 3 - Echtzeif'-Anforderungen Geschlossene Modellierung des IT-Verbunds große WLAN-Installation" Konzeptvorgaben für ein SOHO-WLAN Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung des Access Point Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Erstellung eines IT-Sicherheitskonzepts Erweiterung des kabelgebundenen LAN - Konzeptvorgaben für eine heterogene Client- Umgebung Vorgehensweise Behandlung organisatorischer Aspekte: Nutzung des Musterkonzepts Betrachtete (Beispiel-)Szenarien Anmerkungen zur Schutzbedarfsfeststellung Besondere Rahmenbedingungen Güte der WLAN-Absicherung Zu betrachtende Praxisfälle Prinzipelle Ansätze zur Trennung von WLAN-Nutzern Konzeptvorgaben für eine kleine WLAN-Installation Anforderungsanalyse Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Erweiterung des Grundkonzepts für hohen Schutzbedarf Geschlossene Modellierung des IT-Verbunds Kleine WLAN-Installation" Sonderfall: Firmeninterner Hotspot Absicherung der Luftschnittstelle Absicherung der Access Points 118

5 Technische Richtlinie Sicheres WLAN Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Hotspot-Architektur Kon^eptvorgaben für eine große WLAN-Installation Anforderungsanalyse Nutzergruppen mit unterschiedlichen Sicherheitsanforderungen Kein einheitliches Sicherheitsniveau bzw. Migrationsbetrieb Grundkonzept für mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen für Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Zusatzmaßnahmen für Szenario Szenario 2 - Hohe Verfügbarkeit Szenario 3 - Echtzeif'-Anforderungen Geschlossene Modellierung des IT-Verbunds große WLAN-Installation" Konzeptvorgaben für ein SOHO-WLAN Anforderungsanalyse Grundkonzept für mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung des Access Point Absicherung der WLAN-Clients Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf. 132 Sicherheitskonzept für die WLAN-Nutzung im Hotspot Anforderungsanalyse Abfrage von s Transparente LAN-Anbindung Grundkonzept für mittleren Schutzbedarf Rahmenbedingungen Absicherung der Luftschnittstelle Absicherung der Access Points Absicherung der WLAN-Clients Technische Maßnahmen

6 Teil 2: Vorgaben eines WLAN Sicherheitskonzepts Inhalte einer Benutzerrichtlinie zur Hotspot-Nutzung Auswahl eines Hotspot-Providers Architektur und Absicherung des Distribution System Benötigte Sicherheitsinfrastruktur Anmerkung zum WLAN-Management Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen und Ermittlung der relevanten Gefährdungen Lösungsvariante 1: Verbot der Hotspot-Nutzung Lösungsvariante 2: Einschränkung der Hotspot-Nutzung Geschlossene Darstellung notwendiger Maßnahmen Sicherheitskonzept für die WLAN-Nutzung im Ad-hoc-Modus Anforderungsanalyse Grundkonzept für mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der WLAN-Clients Erweiterung des Grundkonzepts für hohen Schutzbedarf Rahmenbedingungen und Ermittlung der relevante Gefährdungen Lösungsvariante 1: Software zur Dateiverschlüsselung Lösungsvariante 2: Nutzungsverbot Zusammenfassung Sicherheitskonzept für eine LAN-Kopplung Anforderungsanalyse Behandlung organisatorischer Aspekte Grundkonzept für niedrigen bis mittleren Schutzbedarf Absicherung der Luftschnittstelle Absicherung der Wireless Bridges Absicherung der LAN-Anbindung Anmerkungen zum WLAN-Management Architektur des Grundkonzepts Erweiterung des Grundkonzepts für hohen Schutzbedarf Szenario 1 - Hoher Vertraulichkeits- und Integritätsschutz Rahmenbedingungen Lösungsvariante 1: VPN Lösungsvariante 2: Nutzung von WPA2-Enterprise und EAP-TLS Szenario 2: Hohe Verfügbarkeit Rahmenbedingungen Zusatzmaßnahmen Modellierung der LAN-Kopplung Zusammenfassung Anhang Details zum Bundesdatenschutzgesetz Beispiel für die Definition von Schutzbedarfskategorien im WLAN Kreuzreferenztabelle Mustervorlage für ein WLAN-Sicherheitskonzept

7 Technische Richtlinie Sicheres WLAN 13.5 Checkliste für ein SOHO-WLAN Glossar Literatur Abkürzungen Index Abbildufhgsverzeichnis Tabellenverzeichnis

Ähnliche Dokumente

Technische Richtlinie Sicheres WLAN TR-S-WLAN

Technische Richtlinie Sicheres WLAN TR-S-WLAN Berthold Ternes Bundesamt für Sicherheit in der Informationstechnik SYSTEMS München 28.10.2005 Agenda ❺ Was sind Technische Richtlinien des BSI? ❺ Technische