Wireless Intrusion Prevention System: Sieben Kriterien für den Kauf eines WIPS

Ein Wireless Intrusion Prevention System (WIPS) verbessert die IT-Sicherheit im Unternehmen. Der Kauf sollte allerdings gut geplant sein.

Unternehmen wollen selbstverständlich das drahtlose Netzwerk schützen. Deswegen muss man sich die Wahl des richtigen Wireless Intrusion Prevention System (WIPS) gut überlegen. Beim Kauf eines WIPS gibt es viel zu beachten. Dazu gehört zum Beispiel, ob die in die Access Points (APs) eingebauten WIPS-Funktionalitäten für ein Unternehmen ausreichen oder ob diese einfach nicht genug sind. Oftmals ist letzteres der Fall. Überstürzt man den Kauf eines dedizierten WIPS nicht, zahlt sich das aus. Als Belohnung gibt es eine Reduzierung der Risiken und verbesserte Verwaltbarkeit.

Wenn Sie am Anfang mit den Überlegungen stehen, ein Wireless Intrusion Prevention System zu kaufen, dann sollten Sie alle Kriterien für die Evaluierung genau kennen, um die WIPS-Produkte angemessen vergleichen zu können. Dazu gehören auch die Kosten und wie einfach sich ein Gerät managen lässt. Je genauer eine Firma weiß, nach was sie Ausschau hält, desto besser kann sie ein WIPS wählen, dass die Anforderungen an die Umgebung am ehesten erfüllt.

WIPS-Kriterium Nummer Eins: Management des Gerätes

Es ist schwer, wenn nicht sogar unmöglich, etwas abzusichern, das die Firma nicht managen kann. Deswegen sollte man sich unbedingt ansehen, wie gut die WIPS-Software das Management der Sensoren behandelt, sowie das drahtlose Netzwerk und die Standorte der Access Points darstellt. Außerdem ist die Update-Methode wichtig und wie man Richtlinien verändern kann. Ebenso ist entscheidend, auf welche Weise sich der Zugriff einschränken (möglicherweise nur teilweise) lässt, wenn das Netzwerk angegriffen wird. Eine gute Software für das Management sollte es erlauben, die Richtlinien sehr fein konfigurieren zu können.

Angemessenes Management der Geräte macht es nicht nur einfach, die Richtlinien festzulegen, zu ändern und zu überwachen. Es hilft auch, die IT-Sicherheit zu verbessern, da notwendigen Anpassungen schnell und unkompliziert erledigt werden können. Dieser Umstand wirkt sich natürlich auch positiv auf die Betriebskosten aus. Diesen Bereich behandeln viele Unternehmen leider sehr stiefmütterlich. Als Folge können sie die Access Points oftmals nicht zentral verwalten.

Stellen Sie also sicher, dass Sie nicht zu diesen Unternehmen gehören. Zentrales Management garantiert IT-Sicherheit und die für die Infrastruktur zuständigen Teams wissen, wo sich autorisierte APs befinden. Sie können schnell herausfinden, wenn Systeme angegriffen werden oder wenn sich so genannte Rogue Access Points im Netzwerk befinden.

WIPS-Kriterium Nummer Zwei: Angriffserkennung

Immer wenn eine Firma eine Barriere oder eine Grenze errichtet, versucht jemand, diese zu umgehen. Viel zu oft gelingt das auch. Vielleicht steckt dahinter gar keine böse Absicht. Das ist dann der Fall, wenn ein Anwender einen Rogue AP installiert, um uneingeschränkten Internetzugang im Büro genießen zu können. Aber auch böswillige DoS-Angriffe (Denial of Service) sind denkbar, die sich negativ auf die Verfügbarkeit des Netzwerks auswirken. Für Unternehmen ist es wichtig zu wissen, gegen welche Arten von Angriffen sich ein WIPS-Produkt verteidigen kann.

Dazu gehören das Erkennen und Blockieren von Angriffen wie zum Beispiel Spoofing, betrügerische Verbindungen und die bereits erwähnten DoS-Angriffe. Aber auch das Erkennen von verschlüsselten Cracking-Tools und weiteres sollten vorhanden sein.

WIPS-Kriterium Nummer Drei: Richtlinienkonformität

Zusätzliche zu den Security-Risiken ist es auch wichtig, dass die für die Access Points und die drahtlosen Netzwerke geltenden Rechtsvorschriften vom WIPS gemanagt werden. In der Regel sind diese Kontrollmechanismen eine Erweiterung der Security-Anstrengungen. Je genauer das WIPS allerdings über die Einstellungen und Konfigurationen der im Unternehmen eingesetzten APs Bericht erstatten kann, desto besser ist das. Das gilt auch für die sich im Einsatz befindlichen Richtlinien für die Kontrolle. Ein Beispiel dieser Berichte wäre, auf was Administratoren Zugriff auf welchem AP haben und wo Anwender auf das drahtlose Netzwerk zugreifen.

WIPS-Kriterium Nummer Vier: Forensische Daten

Wie alle Security-Geräte liefern auch WIPS-Produkte Unmengen an Daten, die man analysieren muss. Zu diesen Daten gehören unter anderem Zugriffs-Logs, Zeiten der Zugriffe und wer auf das drahtlose Netzwerk zugegriffen hat.

Evaluieren Sie sorgfältig, welche Management-Software für WIPS hilft, diese Daten übersichtlich darzustellen. Wie werden all diese Berichte aufbereitet und kann man sie maßschneidern? Welche Analyse-Tools stehen zur Verfügung?

WIPS-Kriterium Nimmer Fünf: Verteidigung gegen Angriffe

Genau wie bei gewöhnlichen Prevention- und Detection-Systemen gibt es viele Anwendungsfälle, wann ein WIPS im Monitor-Modus betrieben wird. Damit ist gemeint, dass das Gerät lediglich erkennt und alarmiert, die Angriffe aber nicht direkt blockiert. Wie gut die Geräte die Angriffe erkennen und einen Alarm auslösen, muss man bei der Evaluierung von WIPS-Geräten genau untersuchen. Beispiele wären wenige False Positives oder False Negatives. Ersteres sind falsche Alarme für Angriffe, die gar keine sind, und Letzteres sind übersehene Angriffe.

Da wir über die Beschaffung von WIPS-Geräten sprechen, wäre es natürlich besser, wenn ein WIPS Angriffe proaktiv stoppen kann, ohne den legitimen Traffic zu stören. Dieser Umstand macht den Prevention-Aspekt (Vorbeugen) eines WIPS essenziell.

Wenn zum Beispiel ein Wurm anfängt, das Netzwerk eines Unternehmens zu scannen, könnte ein Wireless Intrusion Prevention System die Trennung infizierter Endpunkte veranlassen. Wäre ein gesamtes Subnetz betroffen, könnte ein WIPS dieses vom restlichen Netzwerk abkoppeln, bis die Malware-Infizierungen von den kompromittierten Systemen entfernt sind. Stellen Sie sicher, dass Sie diese Funktionalität für alle in Frage kommenden WIPS in nicht produktiven Netzwerkumgebungen testen.

WIPS-Kriterium Nummer Sechs: Performance

Bei großen und speziell bei wichtigen Netzwerken, sind Skalierbarkeit und Hochverfügbarkeit entscheidend. Stellen Sie deswegen sicher, dass das WIPS mit Funktionen für Hochverfügbarkeit ausgestattet ist. Wächst das Geschäft im Laufe der Zeit, dann sollten mit Sicherheit auch die Verteidigungsmöglichkeiten hinsichtlich WIPS entsprechend skalieren können. 

Wenn es zu einem Ausfall bei einem Gerät kommt, möchten Sie sicher reibungslos und sofort ein sogenanntes Failover einleiten und zu einem redundanten Netzwerk mit einem redundanten WIPS-Gerät umschalten. So garantieren Sie, dass die WLAN-Systeme zu jeder Zeit geschützt sind. Fragen Sie bei den WIPS-Anbietern nach, wie Failover und der Verlust von Netzwerkzugriffen gemanagt werden.

WIPS-Kriterium Nummer Sieben: Preis

In der Regel kauft man ein dediziertes Wireless Intrusion Prevention System als Server oder Appliance. Zusätzlich gehören zu jeder WIPS-Installation drahtlose Netzwerksensoren, Installationsservices und Wartung.

Die Kosten können stark variieren. Ein Server oder eine WIPS-Appliance kann mit 5.000 Euro oder mehr zu Buche schlagen und die Preise für die Sensoren ändern sich laufend. Rufen Sie deshalb bei den WIPS-Anbietern an und fragen Sie nach den aktuellen Preisen. Mengenrabatte werden natürlich wahrscheinlicher, je mehr Server und Sensoren Sie kaufen.

Wenn festgelegt ist, dass die in den APs integrierten IDS / IDS ausreichend sind, berücksichtigen Sie einen jährlichen Betrag, um die WIPS-Funktionalität in jedem Access Point zu aktivieren. Um die Kosten für eine WIPS-Installation zu kalkulieren, rechnen Sie die Anzahl der Server und Sensoren ein, die Ihr Unternehmen benötigt. Das variiert immer etwas, aber als Daumenregel können Sie annehmen, dass auf jeden WIPS-Sensor fünf Access Points fallen. Auch die Kosten für die Installation und die Wartung fließen in die Kalkulation ein.

Tipps für die WIPS-Recherche

Der erste Schritt für die WIPS-Recherche ist herauszufinden, welche Funktionen und Leistungsmerkmale für Ihr Unternehmen am wichtigsten sind. Security, Kosten, Verwaltbarkeit, bevorzugte Anbieter und so weiter. Bewerten Sie im Anschluss jedes WIPS-Produkt und beachten Sie dabei die Kriterien, die in diesem Artikel dargelegt sind.

Die WIPS-Recherche fangen Sie am besten an, indem Sie die Websites der führenden Anbieter besuchen und Berichte von Analysten lesen. Am wichtigsten ist allerdings, dass Sie Kollegen fragen, welche Produkte sie im Einsatz haben und wie sie damit zufrieden sind. Befragen Sie die Mitstreiter zu den Kosten, wie einfach sich das jeweilige WIPS benutzen lässt, wie man die Daten aus den Log-Dateien bekommt, über Support und Performance und einfach hinsichtlich aller Kriterien, die für Ihr Unternehmen relevant sind. Machen Sie sich am besten umfangreiche Notizen.

Eine weitere sehr gute Quelle sind Community-Foren. Dort kann sich ein Unternehmen bei anderen erkundigen, die zuvor ein gleiches WIPS gekauft haben. Bitten Sie dort um Ratschläge und wie man am besten mit den jeweiligen Anbietern verhandelt. Außerdem erfahren Sie so zum Beispiel, wie gut die Produkte funktionieren und wie zuverlässig der Support antwortet.

Testen Sie ein in Frage kommendes Produkt für Endpunkt-Security

Experten schlagen vor, dass man ein Wireless Intrusion Prevention System in einem Testnetzwerk innerhalb des Unternehmens testet. Auch ein kleines Subnetz kommt dafür in Frage. Betreiben Sie das WIPS zum Test besser im Monitor- sowie „nicht Blockieren“-Modus und untersuchen Sie, wie die Performance in der Umgebung des Unternehmens ist.

Scheuen Sie sich nicht, den Anbieter nach Ausrüstung für ein Pilotprojekt zu fragen. Somit sammeln Sie Erfahrung aus erster Hand, wie das WIPS installiert, gemanagt und betrieben wird. Befindet sich das Produkt in einem Testnetzwerk über das die Firma die Kontrolle hat, dann starten Sie dort einige Angriffe. So überprüfen Sie die Performance des WIPS.

Steht aus irgendwelchen Gründen keine Testausrüstung zur Verfügung, fragen Sie nach Möglichkeit Kunden, die das gleiche WIPS im Einsatz haben. Am besten sind solche, die Sie unabhängig vom WIPS-Anbieter aufspüren. Der Hersteller wird Ihnen sehr wahrscheinlich nur die zufriedensten Kunden nennen. Egal, wie Sie die Kunden finden – sie können so oder so eine hilfreiche Quelle sein, um Fragen hinsichtlich Produkt und Support zu beantworten.

Recherche ist ein Muss bei der Suche nach einem WIPS

Die Entscheidung wird nicht über Nacht fallen, welches Wireless Intrusion Prevention System Sie kaufen. Macht ein Unternehmen seine Hausaufgaben und folgt den Tipps, die in diesem Artikel dargelegt sind, dann kann es die Auswahl in Sachen WIPS schon sehr einschränken. Im Endeffekt finden Sie das Produkt, das die Anforderungen Ihrer Firma am ehesten erfüllt.

Zum Thema Intrusion Detection und Prevention haben wir ein kostenloses E-Handbook zusammengestellt, das Sie hier downloaden können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Erfahren Sie mehr über WLAN-Sicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close