WLAN-Sicherheit

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Wechseln zu: Navigation, Suche

Security/Sicherheit

Eine Umsetzung der FAQ-Artikel erfolgt auf eigene Gefahr. Der Autor weist in seinem Artikel auf den jeweiligen Schwierigkeitsgrad und Zeitaufwand hin. Es wird ausdrücklich empfohlen, vor der Durchführung von Systemänderungen an Windows einen aktuellen Wiederherstellungspunkt anzulegen.
Siehe auch Wiki FAQ und Impressum.

Details
Bereich: Software
Kategorie: System
Gruppe: Security/Sicherheit
FAQ-Art: Tutorial

Zurück zur Übersicht


Bedingt durch diesen Beitrag auf Heise.de: Jedes zweite WLAN ist ungeschützt halte ich es für notwendig, einen kurzen Artikel über Sicherheit im WLAN zu schreiben.


Anmerkung 1:

Eine 100% Sicherheit gibt es nicht. Erst recht nicht bei einem Funk-Netzwerk, aber man kann Maßnahmen ergreifen, um sein Netzwerk sicherer zu machen! Diese werden eigentlich von allen gängigen WLAN-Routern / Access-Points unterstützt.

Anmerkung 2:

Dies ist kein sehr tiefgründiger Artikel, sondern beschreibt lediglich die Möglichkeiten, sein WLAN-Netzwerk mit "Bordmitteln" abzusichern.


Hintergrundinfo

Wenn man heutzutage in ein Geschäft geht, einen WLAN-Router/AccessPoint und eine WLAN-Karte kauft, diese zuhause anschließt, ist man verwundert, wie schnell sich das ganze installieren und in Betrieb nehmen lässt. Sehr viele Leute übersehen aber den wichtigsten Punkt: Sicherheit.

Standardmäßig sind WLAN-Produkte so eingestellt, das sie von jedem User problemlos angeschlossen und genutzt werden können. Soweit so gut, ABER: Wenn ich ohne irgendeine Art von Authentifikation auf dieses WLAN zugreifen kann, kann das jeder andere auch.

Also der Nachbar, der Herr, der vor dem Haus mit Notebook auf der Bank sitzt, der Student, der durch die Stadt fährt und systematisch ein offenes WLAN sucht, um seine E-Mail kostenlos abrufen zu können und nebenbei noch nach freigegebenen Verzeichnissen auf meinen Festplatten sucht...

Die folgenden Punkte zeigen, wie man genau das mit einfachen Mitteln verhindern, bzw. für den "Angreifer" sehr erschweren kann. Die Konfiguration eines WLAN-Routers oder AccessPoints erfolgt meistens über einen Web-Browser (z.B. Internet Explorer oder Firefox) oder über die mitgelieferte Konfig-Software.


SSID ändern und Broadcast unterbinden

SSID (Shared System ID, manchmal auch als Shared Key bezeichnet) ist der Name des Netzwerkes. Dieser wird benötigt, um eine Verbindung mit dem Netzwerk aufzubauen. Es wird zwischen Groß- und Kleinschreibung unterschieden ("wlannetz" ist also etwas anderes als "WlAnNeTz")

Die standardmäßig eingetragene SSID sollte man auf jeden Fall ändern. Dabei kreativ sein und nicht "WLAN" oder seinen Nachnamen dort eintragen. Denn das ganze ist wie ein Passwort, um Zugriff auf das Netz zu bekommen.

Standardmäßig wird dieses "Passwort" auch als Broadcast an alle WLAN-Netzwerkkarten weitergegeben, damit man das nicht selbst eintragen muss. Genau deshalb muss man diesen SSID-Broadcast deaktivieren und die SSID per Hand in jedes WLAN-Gerät eintragen, denn ein Kennwort sollte man nicht "durch die Gegend schreien" und nichts anderes ist ein Broadcast!


WEP/WPA/WPA2-Verschlüsselung aktivieren (und den Schlüssel regelmäßig ändern)

Sämtliche Datenpakete sollten vor dem Versenden verschlüsselt werden und beim Empfang wieder entschlüsselt werden können, damit nicht jeder "mitlesen" kann. Dafür wird ein Schlüssel benötigt, der auf dem AccessPoint und jeder WLAN-Karte eingetragen muss.

Standard ist zur Zeit die 64, 128 oder 152-Bit Verschlüsselung. Ein 128-Bit Schlüssel besteht idR. aus 26 Hexadezimalzeichen (Bsp.: "be4a689db5cba1fc4689abcdef").

Einige Geräte bieten die Möglichkeit, ein bestimmtes Wort, oder einen kurzen Satz einzugeben und daraus diesen Schlüsel zu erstellen, denn ein Wort kann man sich besser merken als so einen Schlüssel.

Dieser WEP/WPA/WPA2-Schlüssel sollte regelmäßig geändert werden. Da das aber jedes Mal eine ziemliche Arbeit ist, diesen bei dem AccessPoint und JEDEM WLAN-Gerät zu ändern, wird das nicht immer gemacht. Man sollte zumindest regelmäßig seine Log-Dateien nach fehlgeschlagenen Verbindungs-Versuchen durchforsten und wenn das häufiger auftritt, auf jeden Fall den Schlüssel ändern!

Es ist immer die höchstmöglich Stufe der Verschlüsselung zu wählen, die beide Geräte ( Router und PC ) kennen ! WLAN-Karten, welche nur WEP beherrschen, können nicht mit WPA verschlüsseln.


Mac-Adressen eintragen / Zugriff für alle Anderen unterbinden

" AccessPoints bieten die Möglichkeit, den Zugriff nur von bestimmten WLAN-Karten zu erlauben. Die Identifikation geschieht dabei durch die MAC-Adresse (auch "Physikalische Adresse" genannt).

Diese steht auf den meisten WLAN-Karten drauf und muss in den AccessPoint / Router eingetragen werden (Bsp: "00-B0-F8-DA-02-47" oder auch "00B0F8DA0247").


PS: Nicht vergessen, diese Funktion zu aktivieren! (meistens durch ein extra Häkchen)


Standard-Konfigurations Kennwort ändern (wenn möglich auch den Benutzer)

Das Standard-Kennwort für die Konfiguration des AccessPoints/Routers sollte man auf jeden Fall ändern !!!

Wenn die Möglichkeit besteht, den Standard-"Admin"-User zu verändern, sollte man auch dies tun.


Konfiguration nur durch Kabel zulassen (bzw. nur von einer oder 2 bestimmten festen IPs aus dem Netz)

Die Konfiguration des AccessPonts/Routers sollte man nur bestimmten PCs mit festen IP-Adressen erlauben. Man sollte auch die Möglichkeit verbieten, den Access-Point über Funk zu konfigurieren, sondern nur über Computer, die via Kabel angeschlossen sind.


Hardware-Firewall zusätzlich zur Software-Firewall

Heutige Router bieten eigentlich immer eine Hardware-Firewall. Diese sollte man auch nutzen, denn für einen Trojaner ist es sehr schwierig, eine HW-Firewall (Hardware-Firewall) abzuschalten und somit Angriffe von aussen zuzulassen.

Allerdings blockt diese Firewall i.d.R. nur Verbindungen ab, die von aussen kommen. Anfragen von innen werden dadurch nicht wirklich kontrolliert. Also ist es für einen Trojaner (o.ä.) möglich, eine Verbindung nach aussen zu öffnen. Genau aus diesem Grund sollte man, auch wenn man eine Hardware-Firewall hat, nicht auf eine Software-Firewall verzichten. Software-Firewalls sind meistens "Anwendungsgesteuert", d.h. dass alle Programme, die ins Internet kommunizieren wollen, durch ein Pop-Up-Fenster gemeldet werden (sofern die Firewall richtig konfiguriert ist!!).


DHCP-Server abschalten / IPs im Netz per Hand vergeben

Ein DHCP-Server ist schon eine schöne Sache. Wenn sich jemand mit dem Netz verbindet, bekommt er sofort eine IP-Adresse im richtigen Netz und kann auf's Internet zugreifen (nur bei Router).

Das gilt natürlich auch für Angreifer. Ohne einen DHCP-Server muss er erst noch scannen, in welchem Netz (IP-Kreis) er sich befinden muss.

Allerdings, wenn der Angreifer die anderen Sicherheitsmaßnahmen alle umgehen konnte, ist das für ihn auch kein Problem, nur ein kleines Erschwernis, deshalb ist die Priorität dieses Tipps sehr niedrig.