WLAN Konzept erstellen
Um ein WLAN Konzept für die Schule zu erstellen, sollten grundsätzlich 3 Schritte zu beachten sein:
Generell muss ein WLAN für Schulen besonders leistungsstark und störungsfrei sein, sowie hohe Sicherheit gewährleisten. Um die komplexen Anforderungen des Schulalltags in ihrer Netzwerkinfrastruktur abzubilden, sollte die schulische Netzwerkinfrastruktur stets nach diesen individuellen Anforderungen geplant und umgesetzt werden. Grundlegend dafür ist die Trennung in ein Verwaltungs- und ein pädagogisches Netzwerk. So kann ein WLAN an Schulen für die Integration neuer pädagogischer Konzepte sorgen und Bildung digitaler gestalten.
Die Finanzierung eines Schul WLANs kann durch die Inanspruchnahme von Fördergeldern des DigitalPakts Schule erfolgen. Die jeweiligen Förderrichtlinien aller Bundesländer sind hier zusammengefasst.
WLAN-Sicherheit in 6 Schritten erhöhen | iWay
WLAN-Sicherheit in 6 Schritten erhöhen
Blog| 3. Januar 2023 | Lesezeit: 4 Minuten
WLAN-Netzwerke sind ein beliebtes Einfallstor für Hacker. Dabei lässt sich das WLAN mit wenigen Massnahmen vor Angriffen schützen. Mit diesen Tipps erhöhen Sie die WLAN-Sicherheit in 6 Schritten.
Fast alle Heimnetze beinhalten neben dem kabelgebundenen auch ein drahtloses Netz, das WLAN. Dieses verbindet drahtlose Geräte – wie Computer, Tablets, Sprachassistenten, Telefone oder Smart-TVs. Mit ein paar grundlegenden Massnahmen erhöhen Sie die Sicherheit Ihres WLAN und schützen sich gegen Hackerangriffe.
1 Netznamen (SSID) ändern
Die SSID (Service Set Identifier) ist der Name des WLAN. Viele Hersteller geben allen ihren WLAN-Routern eine Standard-SSID. In den meisten Fällen ist darin der Name des Unternehmens enthalten. Hacker können diesen jedoch problemlos identifizieren und so dessen Standardeinstellungen erraten.
Die meisten modernen Geräte ermöglichen es, die SSID zu verbergen. Weil es zahlreiche frei verfügbare Tools gibt, die versteckte Netznamen entdecken können, ist das jedoch keine wirkliche Sicherheitsmassnahme.
Deshalb sollten Sie für Ihr WLAN einen individuellen Namen setzen. Wählen Sie einen zufälligen Namen, der keine Rückschlüsse auf Sie erlaubt. Verwenden Sie also auf keinen Fall Ihren Familiennamen oder Ihre Adresse.
2 WPA2- oder WPA3-Verschlüsselung aktivieren
Ohne Verschlüsselung sind alle in einem drahtlosen Netz gesendeten Daten für jede Person einsehbar. Schliesslich ist es kaum kontrollierbar, wer die Funkaussendungen des WLAN empfangen kann.
Dank Verschlüsselung wird es für andere Personen im Idealfall unmöglich oder zumindest sehr schwierig zu sehen, was man tut, oder gar an persönliche Daten zu gelangen.
Um das WLAN zu verschlüsseln, müssen in den Sicherheitseinstellungen des Routers WPA3 oder WPA2 aktiviert sein. WPA3 ist das neueste und beste Verschlüsselungsverfahren, aber sowohl WPA2 als auch WPA3 verschlüsseln Ihre Daten genügend sicher.
Ältere Verfahren wie WEP und WPA weisen hingegen bekannte Schwachstellen auf und bieten deshalb keinen angemessenen Schutz. Geräte, die nicht mindestens über WPA2 verfügen, sind veraltet und sollten nicht mehr verwendet werden. Sie sind hinsichtlich Verschlüsselung wertlos.
Von iWay leihweise zur Verfügung gestellte Router verfügen mindestens über WPA2.
3 Sehr starkes WLAN-Passwort verwenden
Die meisten WLAN-Router werden mit einem voreingestellten Standardpasswort ausgeliefert. Dieses ist für Hacker leicht zu erraten, insbesondere wenn sie den Hersteller des Routers kennen. Es beizubehalten stellt deshalb ein grosses Sicherheitsrisiko dar. Um die WLAN-Sicherheit zu erhöhen, sollten Sie es unbedingt gleich bei Inbetriebnahme des Geräts ändern.
Ein Passwort für ein drahtloses Netz muss besonders sorgfältig gewählt werden. Ein starkes Passwort ist lang und kompliziert. Es sollte mindestens 20, besser 24 Zeichen, lang sein und Zahlen, Buchstaben und Sonderzeichen enthalten. Je komplizierter und länger das WLAN-Passwort ist, desto schwieriger ist es für Hacker, ins Netz einzudringen.
Es mag mühsam sein, ein langes Passwort einzugeben. Da man das nur selten tun muss, ist der Sicherheitsgewinn vergleichsweise jedoch sehr hoch. Achtung: Ein WLAN-Passwort darf nirgendwo sonst verwendet werden.
4 Gäste-WLAN einrichten
Das Passwort für den Zugang zum WLAN ist geheim und soll es auch bleiben. Sobald Sie das Passwort an jemanden weitergeben, sollten Sie es ändern. Denn dann ist das Passwort nicht mehr geheim und damit kompromittiert. Ausserdem könnte das Gerät eines Gastes bereits virenverseucht sein und eine Gefahr darstellen.
Was also tun, wenn man Gästen und Besuchern Zugang zum heimischen WLAN geben möchte und die WLAN-Sicherheit dabei nicht gefährden möchte? Die Lösung: das Gäste-WLAN. Ein solches ist nichts anders als ein separates WLAN (mit eigener SSID). Es gewährt nur Zugang zum Internet und nicht auf das Heimnetz, an dem die Geräte der Bewohner angeschlossen sind.
Alle führenden WLAN-Router bieten die Möglichkeit, ein extra WLAN für Gäste einzurichten. Diese sollten Sie unbedingt nutzen.
5 Router-Firmware auf neuestem Stand halten
Wie jede andere Software weist auch die sogenannte Firmware, das Betriebssystem des Routers, manchmal Fehler auf. Diese können sich zu ernsthaften Sicherheitslücken entwickeln, wenn die Hersteller sie nicht schnell beheben.
Installieren Sie deshalb immer die neueste verfügbare Software für den Router und laden Sie neue Sicherheits-Patches umgehend herunter. Das erhöht die Wahrscheinlichkeit, dass Hacker nicht auf Ihr WLAN-Netzwerk zugreifen können.
Bei der Fritzbox hat der Hersteller standardmässig automatische Updates eingestellt. Das kann zwar geändert werden. Am praktischsten und sichersten ist es auf jeden Fall, die Grundeinstellung für automatische Updates zu belassen. Die neuen Versionen werden dann üblicherweise nachts oder wahlweise in einem selbst gewählten gewünschten Zeitraum installiert.
Die gute Nachricht für iWay-Kundinnen und -Kunden: Wenn Sie einen von uns ausgeliehenen Router verwenden, können Sie diesen Punkt ignorieren. Wir installieren die Firmware-Updates automatisch für Sie.
6 Standard-Admin-Passwort ändern
Zum Schluss sei noch etwas erwähnt, was gerne vergessen geht: Der Zugang zur Verwaltung des Routers auf einer Benutzeroberfläche, auf welcher Sie alle oben genannten Einstellungen ändern können. Wenn es einem Hacker gelingt, sich bei der Konfigurationsseite des Routers anzumelden, kann er alle Einstellungen ändern und alle Sicherheitsmassnahmen zunichte machen.
Deshalb sollen Sie unbedingt das Standardpasswort des Administratorzugangs ändern und durch ein sehr sicheres Passwort ersetzen. Wenn möglich soll auch der Zugang zur Admin-Seite von der WAN-Seite (also vom Internet her) ausgeschlossen und nur von der LAN-Seite (also vom Heimnetz her) möglich sein.
Netzwerksegmentierung. Damit sichern Sie Ihr WLAN richtig ab
Laut dem Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2022 (1) ist die Gefährdungslage im Cyber-Raum so hoch wie nie. Cyber-Kriminelle nutzen modernste Technologien für ihre Angriffe auf Unternehmen, staatliche Institutionen und auch Privatpersonen. Die Situation wird dabei immer komplexer, insbesondere mit dem scheinbar unaufhaltsamen Aufstieg von smarten Geräte in unserem Zuhause. Daher ist es wichtiger denn je, das eigene WLAN vor Angriffen auf die eigenen Geräte richtig zu sichern und private Daten effektiv zu schützen. Das geht am besten mit Netzwerksegmentierung.
Die unsichtbaren Risiken des Smart Homes
IoT-Geräte („Internet of Things“, auf deutsch „Internet der Dinge“) sind Geräte, die an ein Netz gebunden sind und Daten erfassen, analysieren und auswerten. Diese werden oft auch smarte Geräte genannt. IoT-Geräte und Smart Home Systeme bringen beispiellosen Komfort für Privatnutzer. Gleichzeitig stellen sie aber auch hohe Sicherheitsrisiken dar. Denn diese Geräte sind besonders anfällig für die ständig wachsende Bedrohung. Einige Anbieter sind darauf jedoch nicht optimal vorbereitet. Tatsächlich fehlen manchen IoT-Geräten komplette Update-Mechanismen. Doch nur ein Gerät mit der aktuellsten Software ist auch ein sicheres Gerät. Darüber hinaus stellen Hersteller den Support unweigerlich ein, wenn ein Gerät das Ende seiner Lebensdauer erreicht. Dadurch wird es noch anfälliger für Angriffe.
Ein kompromittiertes IoT-Gerät kann unbemerkt gekapert werden. So kann es Teil eines Botnetzes werden oder zur Überwachung der Lebensgewohnheiten der Besitzer dienen. Es kann sogar Geräte wie Computer, Notebooks, Tablets und NAS gefährden, die auch mit dem Heimnetzwerk verbunden sind. Dies wird als Lateral-Movement-Angriff bezeichnet und geht in der Regel von einem anfälligen NAS oder PC aus, die IoT-Geräte über ein unsicheres Netzwerk infiziert. Das können Nutzer mit Netzwerksegmentierung verhindern.
Was ist Netzwerksegmentierung?
Bei einer Netzwerksegmentierung wird das physische Local Area Network (LAN) in kleinere, isolierte Subnetzwerke, sogenannte Virtual Local Area Network (VLAN), aufgeteilt. Das soll die ungehinderte Verbreitung von Malware und anderen böswilligen Aktivitäten begrenzen und die Netzwerksicherheit verbessern. Sicherheitsmaßnahmen wie Firewalls und Zugriffskontrollen beschränken dabei den Zugriff zwischen den Subnetzwerken und verhindern, dass Angreifer sich leichten Zugang zu sensiblen Bereichen und Daten des Netzwerks verschaffen können.
Wie kann ich mein WLAN mit Netzwerksegmentierung absichern?
Ein proaktiver Ansatz ist für die Sicherheit des Heimnetzwerkes unerlässlich. Dafür empfiehlt es sich, die mit dem Internet verbundenen Geräte vorbeugend in verschiedene Netzwerke zu trennen. Für den durchschnittlichen Privatnutzer wäre dies eine Aufteilung in ein (primäres) Heimnetzwerk und ein Netzwerk für IoT-Geräte. Für manche Personen kann die Erstellung eines Gastnetzwerkes oder ggf. weitere separate VLANs, wenn eine andere Gruppe an Geräten vom Rest des Netzwerks trennen werden soll, auch nützlich sein.
Wie separate Teilnetzwerk erstellt werden können, soll folgend anhand der Router von Synology und dem integrierten Betriebssystem Synology Router Manager (kurz SRM) gezeigt werden.
1. Primäres Heimnetzwerk erstellen und sichern
Das primäre Netzwerk, das standardmäßig eingerichtet wird, ist dort, wo sich die meisten der Geräte befinden, sprich Laptops, Tablets, Smartphones, Smart-TVs, Smart-Home-Hubs und Smart-Lautsprecher. Obwohl Smart-TVs, Smart-Lautsprecher und Smart-Home-Hubs IoT-Geräte sind, erhalten sie in der Regel konsistente Sicherheitsupdates und können im primären Netzwerk verbleiben. Alternativ können diese Geräte auch in das IoT-Netzwerk verschoben und von bestimmten Geräten im Hauptnetzwerk erreichbar gemacht werden.
Um die Sicherheit des Netzwerkes zu gewährleisten bietet Synology ein Paket namens Safe Access an. Das umfasst Webfilterung, integriertes Google Safe Browsing und andere externe Datenbanken, um Domains zu identifizieren und zu blockieren, die unerwünschte Inhalte wie Malware, Social Engineering, potenziell schädliche Anwendungen und Phishing enthalten. Das Haupt-Dashboard von Safe Access bietet einen hilfreichen Überblick über die Netzwerknutzung. Darüber hinaus bietet Safe Access eine robuste Kindersicherung. Ohne Aufpreis erhalten Nutzer damit erweiterte Funktionen wie Zeitbegrenzungen für die Internetnutzung, Inhaltsfilter und Überwachung der Internetnutzung sowie die Möglichkeit, benutzerdefinierte Richtlinien für jedes Gerät zu erstellen. Weitere Informationen zu Safe Access gibt es hier.
Neben Safe Access bieten Synology Router ein weiteres Paket, um die Sicherheit des Netzwerkes zu gewährleisten: Threat Prevention. Dieses untersucht ein- und ausgehenden Internet-Traffic und verhindert diesen, wenn er bösartig ist. Weitere Informationen zu Threat Prevention gibt es hier.
2. IoT-Netzwerk einrichten
IoT-Geräte haben den Markt im Sturm erobert. Kühlschränke und Kaffeemaschinen bis hin zu Luftentfeuchtern und Garagentoröffnern. Während sie zweifellos Annehmlichkeiten bringen, können sie alle ein potenzielles Sicherheitsrisiko darstellen.
Nutzer von Synology Routern können dank SRM diese entweder in einem eigenen Netzwerk isolieren und/oder über Firewall-Regeln eine unidirektionale Kommunikation mit Geräten in anderen Netzwerken zulassen. Beispielsweise können Firewall-Regeln so eingestellt werden, dass nur Verbindungen, die von einem NAS initiierte wurden, mit IP-Kameras kommunizieren können, aber nicht umgekehrt. Dadurch wird verhindert, dass die IP-Kamera, wenn sie infizierten werden sollten, auch andere Geräte mit sensiblen Daten, wie z.B. das NAS oder den PC, infiziert.
Die Technologie hinter Threat Prevention, genannt Intrusion Prevention System (IPS), ist ein integraler Bestandteil der Sicherheitsmaßnahmen vieler Unternehmen. Diese Technologie ist auch auf allen Routern von Synology verfügbar. Damit werden Nutzer benachrichtigt, wenn eines ihrer Geräte kompromittiert wurde, um umgehend Maßnahmen ergreifen zu können. Wie Nutzer genau ein IoT-Netzwerk mit VLAN-Funktionalität einrichten, erfahren sie hier in der Quick-Start-Anleitung für die VLAN-Bereitstellung .
3. Gast-Netzwerk einrichten
Die Einrichtung eines Gastnetzwerks ist eine gute Möglichkeit, Besuchern Internetzugang bereitzustellen und gleichzeitig das eigene Netzwerk und die eigenen Geräte zu schützen. Wie bei den anderen Netzwerken, ist es auch hier wichtig, die Sicherheits- und Zugriffseinstellungen sorgfältig zu prüfen, z.B. durch die Vergabe eines eigenen sicheren Passwortes und eben durch die vom Heimnetzwerk isolierte Errichtung.
Zudem sollten Nutzer überlegen, welche Zugriffsebene für Gäste im Netzwerk zugelassen werden soll. Beispielsweise kann der Zugriff auf das Internet beschränkt werden oder Gästen auch Zugriff auf bestimmte freigegebene Dateien und Geräte in Netzwerk erlauben. Dies hängt von den persönlichen Bedürfnissen und Vorlieben ab. Auch kann es Sinn machen, die Geschwindigkeit des Gastnetzwerks zu limitieren. Das kann helfen, die Last auf das gesamte Netzwerk einzugrenzen bzw. verhindert, dass das Netz dauerhaft (ob aus Versehen oder absichtlich) ausgereizt wird, z.B. wenn jemand über ein Gastnetzwerk illegale Inhalte o. ä. herunterlädt.
Mit Synology Routern können Nutzer mit nur wenigen Klicks ein Gastnetzwerk erstellen. Zudem stehen Nutzern erweiterte Funktionen zur Verfügung. Dazu zählt z. B. die Passwortrotation, die in regelmäßigen Abständen automatisch neue Gastnetzwerkpasswörter generiert. Auch können Nutzer ein Gastnetzwerkportal erstellen, das Benutzern eine anpassbare Landing-Webseite anzeigt, bevor sie auf das Gastnetzwerk zugreifen können.