So funktionieren Gastnetzwerke und aus diesem Grund sind sie nötig

Beitragsbild Gastnetzwerke

Die meisten Unternehmen haben heutzutage ein eigenes Netzwerk. Bei Restaurants mit Kundenkontakt, wie beispielsweise Gastronomien, Einzelhandel oder Fitnessstudios handelt es sich hierbei überwiegend um WLAN-Netzwerke, die auch von den Kunden genutzt werden können. In anderen Unternehmen sind es im Gegensatz dazu eher interne Netzwerke, die zum Datenaustausch zwischen den Mitarbeitern dienen. Beide dieser Netzwerkarten bieten diverse Vorteile, ermöglichen aber auch einige Risiken, vor allem im Bereich Sicherheit und Datenschutz.
Durch die Aufteilung von Netzwerken können Sie diese Sicherheitslücken schließen und darüber hinaus noch andere Probleme beheben, die in Verbindung mit Unternehmensnetzwerken auftreten können.
Wie genau diese Teilung von Netzwerken funktioniert und warum Sie diese in Betracht ziehen sollten, erfahren Sie im Folgenden.

VLAN bzw. virtuelle Netzwerke

Große Unternehmen haben in den meisten Fällen ein internes Netzwerk, welches den Datenaustausch zwischen den Mitarbeitern ermöglicht. Die Computer der Mitarbeiter sind dann häufig per LAN miteinander oder mit einem zentralen Server verbunden und bei vielen Mitarbeitern entsteht schnell ein unübersichtlicher Netzwerkaufbau. Um diesen Aufbau besser zu organisieren, bietet es sich an, das Gesamtnetzwerk in virtuelle Netzwerke, also isolierte, logische Teilnetze zu unterteilen. Bei einem solchen Netzwerk wird die Trennung als VLAN (Virtual Local Area Network) bezeichnet.
Der Grund dafür, dass man als Administrator den Einsatz von VLAN bedenken sollte, ist, dass dadurch ermöglicht wird, die Organisationsstruktur des Netzwerks von der physischen Beschaffenheit des Unternehmens zu trennen. So können Mitarbeiter einer Abteilung, egal wo im Gebäude sie sich befinden, im gleichen isolierten Netzwerk arbeiten. Gleichzeitig werden Anpassungen innerhalb des Netzwerks wesentlich einfacher. Sollte ein Mitarbeiter die Abteilung im Unternehmen wechseln, aber am gleichen physischen Arbeitsplatz bleiben, so kann ihn der Administrator in ein anderes isoliertes Netzwerk einfügen, ohne dass dafür Kabel umgesteckt oder verlegt werden müssen.
Abgesehen von der optimierten Organisation kann VLAN noch weitere Vorteile bieten: Zum einen kann man Teilsysteme erstellen, die einen öffentlich zugänglichen Webserver von Systemen trennen, die sensible Geschäftsdaten enthalten, wodurch das Netzwerk insgesamt sicherer wird. Zudem entsteht eine stabilere Performance, da bei einer Störung oder einem Ausfall nur Teilnetzwerke betroffen sind und nicht das gesamte Netz. Ebenso können bestimmte Teilnetze priorisiert werden, um eine optimale Funktionalität zu gewährleisten.

Kunden-WLAN-Netzwerk

Der Einsatz von Kunden- oder Gäste-WLAN ist ein weit verbreitetes Mittel, um potenziellen Kunden einen Anreiz zu geben, den eigenen Laden zu besuchen und gleichzeitig Kundendaten zu sammeln, die später für Marketing verwendet werden können. Bei einem Netzwerk, das tagtäglich von verschiedenen Kunden genutzt wird, wie zum Beispiel das Gast-WLAN einer Gastronomie oder eines Geschäfts, ist die Nutzung von getrennten Netzwerken mindestens genauso wichtig wie bei einem internen Netzwerk. Vor allem im Hinblick auf die Sicherheit und den Datenschutz im Netzwerk ist die Trennung besonders sinnvoll.
Nutzen Kunden und interne Systeme dasselbe WLAN-Netzwerk, so kann es schnell passieren, dass Unbefugte böswillig Zugang zu internen Daten erhalten könnten. Um dies nicht zu ermöglichen, sollte das WLAN in ein internes und ein Gast-Netzwerk unterteilt werden. Da diese beiden Zugänge zum Router völlig getrennt funktionieren, haben Kunden keinen Zugriff auf interne Vorgänge, wodurch eine bessere Sicherheit gewährleistet ist. Bei einem professionellen Anbieter für Gast-WLAN, wie MeinHotspot, ist das Gast-Netzwerk durch spezielle Firewalls noch zusätzlich geschützt und ist durch eine externe Haftung bei Missbrauch des Kunden-WLAN versichert. Durch eine Trennung von Gast- und internen WLAN-Netzen kann man den Kunden also extra Vorteile im Geschäft bieten, bewahrt aber die größtmögliche Sicherheit der internen Daten.

DHCP (Dynamic Host Configuration Protocol)

Egal ob man ein firmeninternes oder ein Gast-WLAN-Netzwerk betrachtet, muss für jedes Gerät, das sich im Netzwerk bewegt, eine eigene IP-Adresse vergeben werden. Durch diese IP-Adresse werden die Geräte identifiziert und ohne eine solche Adresse kann man nicht auf das Netzwerk zugreifen. Vor der Einführung von DHCP mussten alle IP-Adressen mühsam händisch vergeben werden, wodurch ein enormer Aufwand für den Administrator eines Netzwerks entstand. Damit dieser Vorgang automatisch ablaufen konnte, wurde das Dynamic Host Configuration Protocol eingeführt. Durch dieses Protokoll hat ein Server die Möglichkeit, IP-Adressen an alle Geräte im Netzwerk zu vergeben, ohne dass ein Mensch damit etwas zu tun hat.
In VLAN-basierten Netzwerken ermöglicht DHCP, dass beim Verschieben von Nutzern zwischen den Teilnetzen die neuen IPs automatisch vergeben werden, ohne dass etwas manuell neu konfiguriert werden muss.
Bei einem Gast-WLAN hat DHCP einen ähnlichen Nutzen. Denn auch hier braucht jeder Kunde, der das WLAN nutzen will, um im Internet zu surfen, eine eigene IP-Adresse. Damit auch hier der Administrator nicht seine ganze Zeit mit dieser Vergabe verbringt, wird der Vorgang durch DHCP automatisiert.

Fazit

Jede Art von Netzwerken in Unternehmen benötigt eine ordentliche Organisation und einige Vorkehrungen im Bereich der Sicherheit, damit alles so funktioniert wie gewünscht. Eine Einteilung des Gesamtnetzes in unabhängige Teilnetzwerke kann genau hier Abhilfe schaffen, entweder in Form von VLAN oder Kunden-WLAN, je nach Anwendungsbereich. Durch die Einführung von DHCP konnte in allen Arten von Netzwerken ein wichtiger Schritt – die Vergabe von IP-Adressen – automatisiert werden, um unnötigen Aufwand zu umgehen.

Technik

Erneut Angriffe auf Gast-Geräte in Hotel-Netzen

Wenn es um öffentliches WLAN geht, steht meist nur ein Thema im Vordergrund: die Haftungsfrage. Doch dass es bei öffentlichen WLAN-Netzen weit mehr zu beachten gilt zeigt die zunehmende Berichterstattung über Angriffe auf Geräte von Gästen über offene Hotel-Hotspots.

Der Blog „golem.de“ berichtete am 27.3.2015 erneut über das gezielte Ausnutzen einer Sicherheitslücke in Hotel-Hotspots um Gast-Geräte anzugreifen. Diesmal betrifft es Geräte des Herstellers „Antlabs“ bzw. Firewalls deren Rsync-Port 873 nicht geschlossen ist. Bei allen MeinHotspot-Systemen ist eine Firewall integriert deren Port 873 von jeher geschlossen ist.

Netzwerke von MeinHotspot sind daher nicht betroffen. Seit geraumer Zeit ist das Thema Netzwerksicherheit ein Schwerpunkt bei der Weiterentwicklung unseres Systems. So erkennt das MeinHotspot-System etliche Angriffsversuche automatisch und blockt die entsprechende IP-Adresse.

Artikel bei golem.de
Allgemein