Netzwerkadministratoren mit hohem Siherheitsbewußtsein haben neben WPA aber noch ein weiteres As im Ärmel. Das Zauberwort lautet VPN – Virtual Private Network. Solange der 802.11i-Standard noch nicht freigegeben ist, empfiehlt sich die Absicherung des WLANs per VPN und sicherem IPSec-Protokoll.
Dank VPN können Administratoren die Authentifizierung und die Verschlüsselung der übertragenen Daten so einrichten, dass sich selbst hartnäckige Hacker die Zähne daran ausbeißen. Der Clou: Virtual Private Networks setzen auf eine bestehende, unsichere Netzwerkverbindung auf. Hierüber muss sich der Client bei der Gegenstelle zunächst eindeutig identifizieren, erst danach erfolgt die verschlüsselte Datenübertragung. Auch wenn der Angreifer Zugang zum WLAN hat, kann er die Daten nicht mitlesen oder unbemerkt verändern. Ein VPN zwischen WLAN-Clients und dem Firmennetz stellt somit die optimalste Absicherung vor unerlaubtem Eindringen in das firmeninterne Netzwerk dar – erfordert allerdings auch wesentlich mehr Aufwand bei der Ersteinrichtung des VPN-Servers (12) und der VPN-Clients.
Das WLAN-VPN besteht aus einem Gateway, das den Zugang zum lokalen Netz vermittelt und den WLAN-Clients. Besonders wichtig: Der Access Point übernimmt dabei lediglich die Rolle der Übertragungsstation und gehört nicht direkt zum VPN (siehe Abbildung). Der Access Point darf also keinesfalls direkt mit dem lokalen Netz verbunden sein, sondern wird an eine separate Netzwerkkarte des VPN-Gateways angeschlossen. Das Gateway ist idealerweise gleichzeitig auch die Firewall, die nur den VPN-gesicherten Verkehr passieren lässt. Die VPN-Lösung hat sich im Praxiseinsatz bereits bestens bewährt: Zahlreiche Universitäten verwenden die VPN-Lösung bereits erfolgreich für einen sicheren WLAN-Zugang der Studenten auf das Uni-Netzwerk. (Stand: 2003)
