WPA3-Enterprise: So stellen Sie 802.1x für Wi-Fi bereit

Wi-Fi Protected Access 3 kann Authentifizierung mit erweiterter Sicherheit bereitstellen.

Wenn Ihre APs WPA3 unterstützen, werden Sie wahrscheinlich auch die Möglichkeit haben, eine von drei WPA-Optionen zu wählen (c) pixabay.com

Wi-Fi Protected Access 3 (WPA3) hat erhebliche Sicherheitsverbesserungen für Wi-Fi-Netzwerke hervorgebracht, insbesondere WPA-3Enterprise, das Optimierungen enthält, um die Authentifizierung am Netzwerk sicherer zu machen. Eine davon ist die 802.1x-Authentifizierung, die verwendet wird, um zu bestimmen, ob Wi-Fi-Clients der Zugang zum Unternehmensnetzwerk gewährt wird.

Wi-Fi-Ressourcen

Im Unternehmensmodus von WPA war es schon immer möglich, jedem Benutzer einen eindeutigen Benutzernamen/Passwort für die Anmeldung am Wi-Fi zu geben oder eindeutige digitale Zertifikate für jeden Benutzer zu verwenden, die auf den Geräten installiert werden, um noch mehr Sicherheit zu gewährleisten. Mit WPA3-Enterprise wird die Sicherheit erhöht, da die Clients nun sicherstellen müssen, dass sie mit dem echten Authentifizierungsserver kommunizieren, bevor sie Anmeldedaten senden. Diese Überprüfung war bei den beiden früheren Versionen von WPA optional.

Es gibt auch Verbesserungen bei der Verschlüsselungsstärke mit WPA3-Enterprise. In den meisten Fällen sind die Verbesserungen jedoch nicht groß genug, um Ressourcen für die Aufrüstung der gesamten Hardware auf WPA3-Unterstützung auszugeben. Daher ist WPA2-Enterprise heutzutage sicherlich immer noch eine gute und sichere Wahl.

Hier erfahren Sie, wie Sie 802.1x in WPA3-Enterprise einführen können.

RADIUS bereitstellen

Enterprise WPA 802.1x erfordert einen RADIUS-Server, um Wi-Fi-Clients zu authentifizieren, die versuchen, Zugang zum Netzwerk zu erhalten:

  • Integriert in den Wireless Controller oder Access Points (AP): Einige Controller-Plattformen, auch Cloud-basierte, und APs haben einen integrierten RADIUS-Server und Benutzerverzeichnisse, so dass sie die Authentifizierung durchführen können. Die Funktionalität ist jedoch eingeschränkt, und Sie können möglicherweise kein Benutzerverzeichnis eines Drittanbieters, wie z. B. Active Directory, für die Anmeldedaten verwenden. Aber es kann eine einfache und kostengünstige Möglichkeit sein, die Authentifizierung zu aktivieren.
  • Router, Firewall, eine Unified Threat Management-Appliance oder ein Netzwerkzugangsserver: Einige Netzwerkgeräte bieten einen integrierten RADIUS-Server. Ähnlich wie bei Wireless-Controllern oder APs bieten sie möglicherweise nicht die volle RADIUS-Funktionalität, aber einige unterstützen Benutzerverzeichnisse von Drittanbietern. Werfen Sie also einen Blick auf die vorhandenen Haupt-Netzwerkgeräte, um zu sehen, ob und welche RADIUS-Funktionen sie bieten.
  • Vorhandene Server: Sehen Sie nach, ob vorhandene Server RADIUS-Server als Funktion enthalten. Auf Windows-Servern können Sie beispielsweise über die Netzwerkrichtlinien-Server-Rolle einen RADIUS-Server erhalten und Active Directory für die Wi-Fi-Anmeldedaten nutzen.
  • Cloud-gehostete RADIUS-Dienste: Diese Option bietet eine einfache Möglichkeit, RADIUS zu nutzen, ohne eigene Hardware bereitstellen zu müssen. Dies ist auch nützlich, wenn Sie mehrere Standorte haben, an denen Sie es verwenden möchten, da Sie es nur in der Cloud und nicht an jedem Standort verwalten müssen. Außerdem können Sie bei einigen Cloud-Diensten Benutzerverzeichnisse von Drittanbietern einbinden.
  • Einen separaten RADIUS-Server einrichten: Eine letzte Option ist die Einrichtung eines separaten vollständigen RADIUS-Servers entweder auf dedizierter Hardware oder auf einer virtuellen Plattform. Es gibt kommerzielle Optionen für die RADIUS-Server-Software, aber FreeRADIUS ist Open Source und sehr beliebt.

Einrichten von RADIUS

Der Schwierigkeitsgrad der Einrichtung eines RADIUS-Servers hängt von der gewählten Lösung ab und ist in der Regel einfacher, wenn Sie einen Wireless Controller oder APs verwenden. Bei Verwendung eines externen Servers müssen Sie in der Regel die IP-Adresse des Wireless Controllers oder jedes APs eingeben und ein gemeinsames Geheimnis festlegen, das Sie später in den Einstellungen des Controllers oder jedes APs eingeben. Bei herkömmlichen RADIUS-Servern werden diese in der Regel in der Liste Network Access Server (NAS) eingetragen.

Auf dem RADIUS-Server müssen Sie auch die Benutzer-Anmeldeinformationen konfigurieren, entweder mit Benutzernamen und Passwörtern in einer lokalen Datenbank oder einer externen Datenbank/einem externen Verzeichnis, oder durch die Generierung digitaler Zertifikate, die Sie später auf den Geräten installieren.

Einige RADIUS-Server unterstützen optionale Attribute, die Sie auf einzelne Benutzer oder Benutzergruppen anwenden können und die Teil der Richtlinie werden, die auf einzelne Clients angewendet wird. Gängige Attribute, die RADIUS-Server unterstützen, sind: Login-Zeit, mit der Sie die genauen Tage und Uhrzeiten festlegen können, an denen sich die Benutzer anmelden können; Calling-Station-ID, um festzulegen, über welche APs sie sich verbinden können; und Calling-Station-ID, um festzulegen, von welchen Client-Geräten aus sie sich verbinden können.

Einige RADIUS-Server unterstützen optional auch dynamische VLAN-Zuweisungen. Anstatt eine SSID einem einzelnen VLAN zuzuweisen, können Sie die VLAN-Zuweisungen im RADIUS-Server auf Basis des Benutzers definieren lassen, und seine spezielle VLAN-ID wird bei der Verbindung zum Wi-Fi während der 802.1x-Authentifizierung angewendet.

APs für die Unternehmenssicherheit konfigurieren

Bei der Konfiguration von WLAN-APs geben Sie die IP-Adresse und den Port des RADIUS-Servers sowie das zuvor festgelegte gemeinsame Geheimnis ein, wenn Sie einen externen RADIUS-Server verwenden. Wenn die APs mehrere Enterprise-Authentifizierungsprotokolle (EAP) unterstützen, müssen Sie auch auswählen, welches Sie verwenden, wie z. B. geschütztes EAP (PEAP) für Benutzernamen/Passwörter oder EAP-TLS für digitale Zertifikate. EAP ermöglicht die Konversation zwischen dem Client und dem RADIUS-Server als Proxy durch den AP.

Wenn Ihre APs WPA3 unterstützen, werden Sie wahrscheinlich auch die Möglichkeit haben, eine von drei WPA-Optionen zu wählen: Nur WPA2-Enterprise, Nur WPA3-Enterprise, oder WPA2/WPA3-Enterprise. Die dritte Option ist die wahrscheinlichste Wahl, bis alle Ihre Client-Geräte auf die Unterstützung von WPA3 aufgerüstet sind.

Die meisten Wireless-Controller und APs unterstützen auch RADIUS-Accounting, wobei sie Nutzungsdetails an den RADIUS-Server zurücksenden, damit Sie Verbindungsprotokolle führen können. Bei externen RADIUS-Servern müssen Sie die IP-Adresse und den Accounting-Port des RADIUS-Servers sowie das zuvor festgelegte gemeinsame Geheimnis eingeben.

Verbinden mit der Unternehmenssicherheit

Wenn Sie sich für die Verwendung von Benutzernamen und Kennwörtern entschieden haben, wie bei PEAP, wählen die Benutzer einfach die SSID auf ihren Geräten aus und werden zur Anmeldung aufgefordert. Oder Sie können vordefinierte Einstellungen auf die Geräte übertragen und eine Single-Sign-On-Funktion verwenden, bei der der Benutzer keine Anmeldedaten eingeben muss.

Wenn Sie digitale Zertifikate verwenden (wie bei EAP-TLS), muss das Zertifikat eines jeden Benutzers auf jedem Endgerät installiert werden. Neben der manuellen Durchführung dieses Vorgangs gibt es viele Lösungen zur Bereitstellung dieser Zertifikate, um den Prozess zu automatisieren. Erkundigen Sie sich bei Ihrem RADIUS-Server oder Cloud-Dienst, was sie anbieten.

FAQ: Zum Support-Ende von Adobes Flash Player

Zum Jahreswechsel ist es so weit: Adobe stellte den Support für seinen Flash Player ein. Was Sie beachten müssen und wie Sie Flash-Inhalte weiterhin abspielen.

Adobe

Nun ist Schluss: Adobe stellte den Support für seinen Flash Player ein. Damit ist nun endgültig das Aus für Flash gekommen. Mit der Beendigung des Supports von Adobe kommen einige Fragen auf, die wir für Sie beantworten.

Ich bekomme immer den Hinweis, dass der Flash Player ab dem 31.12.2020 nicht mehr gepflegt wird. Was bedeutet das und was soll ich tun?

Am besten deinstallieren Sie den Flash Player sofort. Theoretisch könnten Sie ihn zwar noch weiterhin nutzen. Da er aber keine Updates mehr erhält, wird er zu einem immer größeren Sicherheitsrisiko auf Ihrem System, weil Sicherheitslücken nicht mehr geschlossen werden.

Wenn Sie den Flash Player unbedingt behalten möchten, betreiben Sie ihn sicherheitshalber nur auf einem System, das nicht mit dem Internet verbunden ist und nutzen nur Flash-Dateien aus Quellen, von deren Seriosität Sie restlos überzeugt sind.

Adobe entwickelt den Flash Player nicht mehr weiter und stellt den Support ein. Seit Mitte 2020 taucht bei Nutzern ein Warnhinweis auf.

Adobe hat zudem angekündigt, dass der Player ab dem 12. Januar 2021 die Ausführung Flash-basierter Inhalte blockiert.


Kann ich Videos von Mediatheken und anderen Plattformen trotzdem noch problemlos abspielen?

Adobe kündigte bereits im Jahr 2017 an, dass Ende 2020 mit dem Flash Player Schluss sein wird, weil sich wichtige System- und Browser-Hersteller wie Apple und Google schon frühzeitig vom Flash-Format abgewandt hatten. Seitdem haben Browser- und Betriebssystemhersteller daran gearbeitet, Web- und Spieleentwickler zum Umstieg auf moderne Alternativen wie WebAssembly und HTML5 zu bewegen.ANZEIGE

Auf iOS-Geräten wurde Flash nie unterstützt und YouTube stieg bereits 2015 von Flash auf HTML5 um, womit sich der Niedergang des Formats stark beschleunigte. Auch die Öffentlich-Rechtlichen haben sich mittlerweile von Flash verabschiedet, das ZDF etwa im Jahr 2018.


Was ist mit schönen, interaktiven Websites und Flash-Spielen?

Wenn die Flash-Plug-ins aus den Browsern verschwunden sind, können Sie Flash-Inhalte noch mit anderen Playern wiedergeben. So gibt es zum Beispiel für den Bildbetrachter IrfanView einen Flash-Player als Erweiterung . Auch die Spiele-Seite Newsgrounds hat einen eigenen Player herausgebracht. Mit Ruffle gibt es sogar einen Flash-Emulator für den Browser.

Für diese Programme sind uns keine Sicherheitsprobleme bekannt. Insbesondere und auf den ersten Blick paradoxerweise ist auch Ruffle sicherer als das Original: Ruffle ist in WebAssembly realisiert, einer Technik, die alle modernen Browser beherrschen. Er läuft anders als das Flash-Plug-in in der Browser-Sandbox, wo emulierte Flash-Inhalte keinen Schaden anrichten können.

Um eine Flash-Datei mit einem Player oder Ruffle zu nutzen, müssen Sie die Flash-Datei aus der Webseite herausprokeln: Sie finden die URL der Flash-Inhalte, indem Sie den HTML-Code der Seite aufrufen. Mit Firefox und Chrome wählen Sie dazu im Kontextmenü „Seitenquelltext anzeigen“ oder die Tastenkombination Strg+U. Suchen Sie im Quelltext nach dem Link zu einer Datei mit der Endung .swf.,

Falls ein kompletter Pfad angegeben ist, also etwa in der Form www.[domain].de/[irgendwas]/[dateiname].swf, können Sie diesen direkt in die Adresszeile eingeben. Ist ein relativer Pfad angegeben, findet sich also wie zum Beispiel bei der Site des Designers Jonathan Yuen ein Verweis auf main.swf, dann müssen Sie den vollständigen Pfad zusammensetzen: http://www.jonathanyuen.com/main.swf.LESEN SIE AUCHEin Rückblick auf Flash

Wenn Sie eine SWF-Datei direkt aufrufen, bietet Ihnen Chrome an, sie auf dem PC zu speichern. Firefox zeigt die Flash-Datei meistens als eine lange, wirre Zeichenfolge an. Speichern Sie sie über das Menü „Datei/Seite speichern unter …“. Flash-Dateien herunterzuladen und mit einem Player auszuführen, hat bei uns in den meisten Fällen funktioniert, aber nicht immer. Die Methode stößt bei Flash-Dateien an ihre Grenzen, die Inhalte nachladen wollen.

Vielleicht haben Sie ja Glück und müssen gar nicht von Hand herumbasteln, um Ihr Lieblingsspiel oder Ihre Lieblingsanimation nutzen zu können. Das Internet Archive hat sich nämlich dem Erhalt von Flash-Inhalten verschrieben. In seiner Sammlung finden sich rund 2000 handverlesene Flash-Inhalte, die es mit dem Emulator Ruffle auch für moderne Browser ohne Flash Player abspielbar macht. Autoren oder Sammler von Flash-Dateien sind aufgerufen, der Sammlung weitere Ausstellungsstücke hinzuzufügen.


Was ist mit meinen privaten Dateien?

Wenn Sie Flash-Videos besitzen, konvertieren Sie diese am besten in ein modernes Format mit kostenlosen Konvertern wie etwa Movavi. Auch in PDF-Dokumenten können sich Flash-Videos und interaktive Elemente auf Flash-Basis verbergen: Beispiele hierfür sind interaktive Übergänge in älteren PDF-Präsentationen sowie die Navigation in älteren PDF-Portfolios, die mehrere Einzeldokumente enthalten. Eingebettete Videos sind ohne Flash-Player nicht mehr abspielbar. Die Navigation im PDF ist weniger schick, funktioniert aber nach wie vor. Neuere PDF-Dokumente mit interaktiven Elementen nutzen JavaScript statt Flash.

Warum Kryptographie im Jahr 2021 die Grundlage für IT-Sicherheit sein wird

Wie kryptografische Keys und digitale Zertifikate im Jahr 2021 und darüber hinaus verwendet (und missbraucht) werden.

In Bezug auf die Netzwerksicherheit hat das Jahr 2020 die Bedeutung von Krypto-Agilität deutlich gemacht (c) pixabay.com

Das aktuelle Tempo der digitalen Innovation bedeutet, dass alles, was nach heutigen Maßstäben als sicher gilt, in Zukunft unsicher sein wird, wenn es um Sicherheit geht. Die Praxis der Kryptografie gibt es schon seit Hunderten von Jahren, und heute bildet sie die Grundlage für viele alltägliche Aktivitäten, von Banktransaktionen und Videostreaming bis hin zu Passwörtern und digitalen Währungen. Die Entwicklung der Kryptografie (und wie sie verwendet und verwaltet wird) wird die Art und Weise, wie wir jetzt und in Zukunft Geschäfte machen, weiterhin prägen. Viele Unternehmen haben begonnen, sich mit dem Krypto-Management zu befassen, müssen aber noch kryptoagile Best Practices in ihren Umgebungen vollständig umsetzen.

In Bezug auf die Netzwerksicherheit hat das Jahr 2020 die Bedeutung von Krypto-Agilität deutlich gemacht, die sowohl vertrauenswürdige Initiativen zur digitalen Transformation unterstützt als auch als erste Verteidigungslinie gegen zunehmende kryptobasierte Sicherheitsverletzungen fungiert. In diesem Jahr waren viele Unternehmen gezwungen, Initiativen zur Unterstützung neuer und einzigartiger Anwendungsfälle für Remote Workforce und dezentrale Netzwerke voranzutreiben. Diese Anwendungsfälle haben fünf kryptografiebasierte Trends aufgezeigt, die die IT-, Netzwerk- und IoT-Sicherheit im nächsten Jahr und darüber hinaus beeinflussen werden.

  1. Public Key Infrastructure (PKI) als grundlegendes Sicherheitstool – PKI wird von Unternehmen schon seit Jahrzehnten zum Schutz und zur Verwaltung von Geheimnissen eingesetzt. In jüngerer Zeit haben Unternehmen die Fähigkeit von PKI erkannt, Entwicklung und Sicherheit zu verbinden, insbesondere bei IoT- und DevOps-Implementierungen. Ihre Fähigkeit, eine Vertrauensbasis zu schaffen und sich nahtlos in Programmierprozesse und Entwicklungs-Toolkits einzufügen, hat dieses bewährte, grundlegende Sicherheitstool für digitale Identitäten verändert. PKI wird dank ihrer Skalierbarkeit und den Optionen für eine automatisierte Lifecycle-Management-Plattform weiter an Beliebtheit gewinnen.
  2. Ablauf von Root-CAs – Wenn Root-CAs ablaufen, wird den von ihnen verwendeten Zertifikaten nicht mehr vertraut, was zu Geräteausfällen führen kann, wie z. B. bei der abgelaufenen AddTrust Root-CA, die mehrere Ausfälle bei verbundenen Geräten wie Smart-TVs verursacht hat. Root-Stores werden in der Regel nicht effektiv verwaltet, da die Root-Verwaltung über Software-Updates erfolgt und wenn diese Updates nicht rechtzeitig durchgeführt werden, wird das Zertifikat vertrauenswürdig und das Update schlägt fehl. Wenn Sie Ihre Legacy-Roots nicht aktualisieren, können Sie keine Updates einspielen, was zu einem möglichen Geräteausfall führt. Während dies für Verbrauchergeräte eine Unannehmlichkeit ist, könnte dieses Szenario bei Maschinen wie autonomen Autos oder medizinischen Geräten lebensbedrohliche Folgen haben. Die gute Nachricht ist, dass das Ablaufen von Root-CAs ein zeitlich festgelegtes Ereignis ist, was es vorhersehbar und mit vorausschauender Planung handhabbar macht.
  3. Verkürzte Lebenszyklen von digitalen Zertifikaten – In diesem Jahr kündigten die großen Browser an, dass die Lebensdauer von Zertifikaten auf 13 Monate verkürzt werden soll. Die Änderung trat im September dieses Jahres in Kraft, aber IT-Administratoren werden die wahren Auswirkungen der Änderung erst 2021 spüren, wenn sie mit der Verwaltung des plötzlichen Zertifikats-Rollovers konfrontiert werden. Eine besondere Herausforderung wird es für Teams sein, die keine Tools oder Automatisierungsmöglichkeiten haben, um den Prozess zu verwalten. Für viele bedeutet diese Änderung, dass die Arbeitsbelastung der Teams um 100 % gestiegen ist, ihr Budget und ihre Mitarbeiterzahl jedoch gleich bleiben. Dies bedeutet eine zusätzliche Belastung für die Mitarbeiter, die bereits mit der Verwaltung und Erneuerung aller öffentlich verwurzelten SSL-Zertifikate von Drittanbietern zu kämpfen haben.
  4. Krypto-basierte Exploits und Cyber-Attacken, die Code Signing, SSH-Schlüssel und TLS-Zertifikate nutzen – Administratoren generieren in der Regel ihre eigenen Schlüssel, anstatt sie von einer vertrauenswürdigen Stelle zu erwerben, was die Risiken für Missbrauch und Sichtbarkeit erhöht. Wir beobachten einen Aufwärtstrend bei SSH-Schlüssel-, TLS-Zertifikat- und Code-Signing-basierten Angriffen, und während wir alle immer besser darin werden, diese Angriffe zu erkennen, nimmt die Trendlinie und die Tragweite dieser Angriffe zu. Krypto-basierte Angriffe können auf allen Ebenen des Stacks stattfinden; Code Signing und SSH-Schlüssel sind allgegenwärtig und Teams haben oft keine einfache Möglichkeit, zu verfolgen, wo sie sich innerhalb der Organisation befinden. SSH-Schlüssel mögen harmlos erscheinen, aber wenn sie in die falschen Hände geraten, bieten sie leichten Zugang zum Netzwerk.
  5. Die Einführung neuer quantensicherer Kryptografie und Standards – Es gibt noch viele Unbekannte, wenn es um Quanten und ihre möglichen Auswirkungen auf die Technologie geht. Das Quantencomputing steckt noch in den Kinderschuhen und Forscher arbeiten daran, zu verstehen, wie seine skalierbare Architektur die von ihnen entworfenen Algorithmen ausnutzen könnte. Regierungs- und Aufsichtsbehörden wie das NIST arbeiten an Standardentwürfen, die erweitert und als Spezifikationen branchenübergreifend angewendet werden können. Mit der Zeit wird es eine quantensichere Kryptografie geben, aber wie bei allen bedeutenden Veränderungen in der Industrie wird es Zeit brauchen, bis Kunden und Endanwender die Auswirkungen erkennen.

Während diese Vorhersagen alle individuelle Zeit, Aufmerksamkeit und Investitionen erfordern, läuft die wichtigste Erkenntnis für Teams darauf hinaus, die Entwicklung eines einzigartigen Plans zur Inventarisierung der digitalen Identitäten (Schlüssel und Zertifikate) des Unternehmens sicherzustellen und Best Practices im Bereich Krypto abzubilden, die in der gesamten IT-Infrastruktur angewendet werden.

Das heiß begehrte Thema der Speichermedien

Einigung in Streit über Festplattenabgabe

Hinsichtlich der seit dem Vorjahr geltenden Speichermedienabgabe, auch als Festplattenabgabe bekannt, haben Wirtschaftskammer und Verwertungsgesellschaften eine außergerichtliche Einigung erzielt.

Nur bis 2012 zurück

Es ging um die Frage, bis zu welchem Zeitpunkt Nachzahlungen notwendig seien. Ein Rahmenvertrag schreibe dafür nun 2012 fest, berichtete der „Kurier“ heute. Keine Zahlungen leistet Amazon.

Die Speichermedienabgabe, die beim Kauf von Festplatten, Smartphones und anderen Geräten anfällt und durch die Urheber für Privatkopien von geschütztem und legal erworbenem Material einen gerechten Ausgleich erhalten, war Teil der Novelle des Urheberrechtsgesetzes im Vorjahr.

Vergleich mit vielen, aber nicht mit Amazon

Insgesamt haben den bereits im Sommer erzielten Vergleich bezüglich der Rückzahlungen rund hundert Unternehmen angenommen – allerdings nicht Amazon. Eine von der Austro Mechana schon 2007 eingebrachte Klage liegt nach dem Europäischen Gerichtshof derzeit wieder bei österreichischen Gerichten. Mit einer Entscheidung sei „in den kommenden Monaten“ zu rechnen, sagte Paul Fischer von der Verwertungsgesellschaft.

Was wiederum die Gesamtvertragstarife der Speichermedienabgabe betrifft, so wollen sich Wirtschaftskammer und Verwertungsgesellschaften Ende des Jahres zusammensetzen. Zwar gelten die Tarife laut Fischer grundsätzlich auf unbestimmte Zeit, allerdings habe man bis dato keine Erfahrungswerte und wolle sich die Menge der betroffenen Medien ansehen.

Dann könne man diskutieren, ob die Tarife angemessen seien. Prinzipiell ist vorgesehen, dass die Speichermedienabgabe inklusive Reprografievergütung jährlich maximal 29 Mio. Euro beträgt, zudem soll die Abgabe sechs Prozent des „typischen Preisniveaus“ nicht überschreiten.

Quelle: http://orf.at/stories/2358337/