Einfach, schnell und kabellos: Kein Notebook oder PC wird heute ohne WLAN-Schnittstelle ausgeliefert. Doch wo Daten per Funk übertragen werden, treten auch Sicherheitsprobleme auf. ZDNet zeigt, wie man sich schützt.
Der kabellose Internetzugang über das heimische WLAN-Netz ist an Komfort kaum zu überbieten. Doch ebenso schnell wie Access Point, Notebook und PC über die Luftschnittstelle verbunden sind, werden oft die einfachsten Sicherheitsmaßnahmen außer Acht gelassen. Das belegen immer wieder entsprechende Studien diverser Sicherheitsunternehmen, denen zufolge bis zu 70 Prozent der privaten Funknetzwerke Daten unverschlüsselt und somit für jeden mitlesbar durch den Äther funken.
Wer bei seinem WLAN-Netz keine oder nur unzureichende Sicherheitsvorkehrungen trifft, setzt sich gleich mehreren Gefahren aus. Ungebetene und kriminell motivierte Gäste können aus ungeschützt übertragenen Funkpaketen persönliche Daten wie Login-Informationen und Passwörter ausspähen - mit allen bekannten Folgen.
Ferner lassen sich offene Internetzugänge über ungesicherte WLAN-Netze für beliebige Zwecke missbrauchen, etwa für das Herunterladen von illegalen Inhalten, den Massenversand von Spam oder das Ausführen von Denial-of-Service-Attacken, um nur einige Beispiele zu nennen. Sollten sich später Ermittlungsbehörden für die illegalen Vorgänge interessieren, ist selbstredend der Besitzer des Anschlusses der Hauptverdächtige, auch wenn der sich keiner Schuld bewusst ist.
Folglich ist das Abschotten von drahtlosen Heimnetzwerken vor WLAN-Piraten und sonstigen Eindringlingen von äußerster Wichtigkeit. ZDNet stellt auf den nächsten Seiten die entscheidenden Maßnahmen für die WLAN-Absicherung vor.Die Konfiguration von drahtlosen Heimnetzwerken wird grundsätzlich über einen Browser und der Administrationsoberfläche des WLAN-Access-Points getroffen. Insbesondere bei der ersten Inbetriebnahme empfiehlt es sich, das Gerät ausschließlich über eine Kabelverbindung zu verwalten. Dies verhindert, dass ein unsichtbarer Datenspion das Kennwort des Access Points über die noch ungeschützten Funkwellen abfangen kann. Sollte eine Konfiguration über Kabel nicht möglich sein, ist zumindest sicherzustellen, dass eine mit HTTPS beziehungsweise SSH verschlüsselte Funkverbindung zum Verwaltungs-Tool besteht.
Standard-Passwort ändern
WLAN-Access-Points sind im Auslieferungszustand grundsätzlich mit einem Standard-Passwort für die Administration versehen. Findige Cracker nutzen im Internet frei verfügbare, nach Hersteller und Modell sortierte Listen von werkseitig eingestellten Kennungen, um in nachlässig administrierte WLAN-Hardware einzubrechen. Aus naheliegenden Gründen sollte jeder Access Point zuallererst mit einem neuen, individuellen Passwort versehen werden.
Dabei spielt die Wahl eines qualitativ hochwertigen Passworts für die Sicherheit eine entscheidende Rolle. Im Idealfall sollte der gewählte Begriff aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen, und eine Länge von mindestens zehn Zeichen besitzen. Zudem ist es ratsam, auch solche "sicheren" Passwörter in regelmäßigen Zeitabständen zu ändern.
Hilfe bei der Erstellung guter Passwörter bieten kostenlose Programme wie Zebu's Password Generator[1] oder die Javascript-Browser-Anwendung von Security-Gui.de[2].
Fernkonfiguration deaktivieren
In diesem Zusammenhang ist auch die von manchen Access Points angebotene Möglichkeit der Fernkonfiguration (Remote Administration) erwähnenswert. Während die Funktion im Unternehmensbereich durchaus Verwendung findet, wird sie in privaten Netzwerken nur selten benötigt. Da die Fernkonfiguration eine weitere potenzielle Angriffsfläche bietet, sollte sie bei Nichtgebrauch deaktiviert werden.So gut wie keine Software ist fehlerfrei, was natürlich auch für die Firmware von Access Points und WLAN-Netzwerkkarten gilt. Um bekannte Sicherheitslücken in der Betriebssoftware der Geräte zu schließen, lohnt es sich, in regelmäßigen Zeitabständen die Support-Seiten der Hersteller zu besuchen. Nicht selten stehen bereits wenige Wochen nach der Markteinführung eines Geräts Firmware-Sicherheitsupdates zum Download bereit.
Webseiten bekannter WLAN-Gerätehersteller:
|
|
Auch Hardware-Treiber und proprietäre WLAN-Software der Gerätehersteller werden oft aktualisiert, um Sicherheitslücken zu schließen. Dies gilt sowohl für Windows als auch für den Mac.Um den Datenverkehr vor unbefugtem Zugriff zu schützen, ist der Einsatz einer effektiven Funkverschlüsselung unabdingbar. Auf Basis der in diesem Artikel beschriebenen Maßnahmen kann die Verschlüsselung als der mit Abstand wichtigste Faktor genannt werden. Anders ausgedrückt: Wenn die Verschlüsselung nicht stimmt, nutzen die anderen Tipps nur noch wenig.
Die drei gängigen Verschlüsselungsverfahren für drahtlose Netzwerke sind
- WEP[13] (Wired Equivalent Privacy)
- WPA[14] (Wi-Fi Protected Access)
- WPA2[15] (Wi-Fi Protected Access 2)
Die WEP-Verschlüsselung ist die älteste und aufgrund diverser Schwachstellen die unsicherste der drei Standards. WEP gilt schon seit längerem als geknackt, und stellt für einen Cracker, der mit Bestimmtheit in das Funknetz eindringen möchte, kein echtes Hindernis dar. Bei älterer WLAN-Hardware wird oft nur WEP unterstützt. In diesem Fall ist es dringend anzuraten, die veralteten Geräte durch neuere zu ersetzen, die mit den moderneren und deutlich verbesserten Standards WPA und WPA2 zurechtkommen. Bis dahin gilt: Ist WEP die einzige verfügbare Verschlüsselungsoption, legt das Verfahren nach dem "besser als gar nichts"-Prinzip potenziellen Einbrechern zumindest einen Stolperstein in den Weg.
Der Verschlüsselungsstandard WPA bietet deutlich mehr Sicherheit. Der WEP-Nachfolger ergänzt den alten Standard um dynamische Schlüssel, die es einem potenziellen Angreifer erheblich erschweren, den Datenverkehr zu dechiffrieren. Da aber seit Ende 2004 Wörterbuchangriffe auf WPA mittels Cracker-Tools gang und gäbe sind, ist der von WPA gebotene Schutzgrad stark von der verwendeten Passphrase abhängig. So sollte auch für den WPA-Key ein Passwort mit mindestens zehn Stellen gewählt werden, das aus zufälligen Zahlen, Buchstaben und Sonderzeichen besteht. Je länger das Passwort, desto besser.
WPA2 bietet von den drei Verfahren derzeit den besten Schutz. Der in der Weiterentwicklung von WPA verwendete Verschlüsselungsalgorithmus basiert auf dem Advanced Encryption Standard[16] (AES), der sich auch im VPN-Bereich fest etabliert hat.
Es ist wichtig, darauf zu achten, dass auch alle Geräte das gewählte Verschlüsselungsverfahren unterstützen. Beherrscht nur ein Modell im WLAN ausschließlich das unsichere WEP, stuft der Router möglicherweise die Verschlüsselung für alle angeschlossenen Einheiten herunter.Der so genannte Service Set Identifier (SSID) ist der Name des einzurichtenden drahtlosen Netzwerks. Im Auslieferungszustand ist die SSID auf einen Standardnamen eingestellt, der sich je nach Access-Point-Hersteller oder -Modell unterscheidet.
Aus Sicherheitsgründen sollte die voreingestellte SSID geändert werden, wobei der neue Netzwerkname keine Rückschlüsse auf den Betreiber, Nutzungszweck oder Standort des WLANs erlauben sollte.
Zudem ist die "SSID-Broadcast"-Option zu deaktivieren. Diese Einstellung verhindert, dass der Access Point den Namen des WLAN-Netzes andauernd, oftmals bis zu zehn Mal pro Sekunde, in den Äther aussendet.
Beide Maßnahmen erschweren die Erkennung dieses ersten Angriffspunkts für etwaige Übeltäter. Mit speziellen Tools lässt sich die SSID zwar leicht ausspähen, leichtherzig verschenken sollte man die Information aber dennoch nicht.Wenn die Sendeleistung des Access Points über die räumlichen Grenzen des geplanten Nutzungsbereichs hinausgeht, ist das nur für diejenigen gut, die nichts im Netz zu suchen haben. Kann der Hacker kein Signal empfangen, kommt er auch nicht in die Versuchung, den Zugang zu knacken.
Die Stärke des WLAN-Funksignals lässt sich oft mit dem Administrations-Tool einstellen. Bei Access Points mit Richtfunkantennen kann der abgedeckte Sendebereich zusätzlich durch gezielte Positionierung maßgeblich beeinflusst werden.Eine weitere Möglichkeit, den unbefugten Zugriff auf das WLAN zu erschweren, bietet der MAC[17]-Filter. Hier geht es nicht darum, Apple-Systeme auszusperren, sondern nur ausgewählten Rechnern mit bestimmten Netzwerk-Hardware-Adressen die Anmeldung im Netz zu erlauben.
Auch diese Maßnahme stellt kein größeres Hindernis für versierte Angreifer dar, da aus abgefangenen Datenpaketen die im WLAN versendeten MAC-Adressen herausgelesen und anschließend fingiert werden können. Für Gelegenheitshacker bedeutet der MAC-Filter aber zumindest einen weiteren Arbeitsschritt, der sie womöglich dazu bewegt, ein einfacheres Ziel ins Visier zu nehmen.
Darüber hinaus sollte die automatische Zuweisung von IP-Adressen per DHCP[18] deaktiviert werden. Nur Rechner mit Netzwerkkarten, die in der MAC-Filtertabelle eingetragen sind, sollten eine IP-Adresse erhalten.Die Mehrzahl der heute erhältlichen Access Points hat eine Firewall und Paketfilter an Bord. Wenn vorhanden, sind beide unbedingt zu aktivieren, um das Schutzniveau des Netzwerks anzuheben. Typische Funktionen sind die Abwehr von Denial-of-Service-Attacken, Ping-Anfragen, RIP-Requests und fragmentierten Datenpaketen.
Logbücher regelmäßig auswerten
Auch wer die Grundsätze eines sicheren drahtlosen Heimnetzwerks befolgt, sollte sich nicht allzu sehr in Sicherheit wiegen. Es lohnt sich, die Speicherung von Statusinformationen (Logs) zu aktivieren und die erstellten Berichte regelmäßig auszuwerten. Geben die Log-Dateien Aufschluss über häufige Einbruchsversuche oder gar erfolgreiche Netzwerkanmeldungen von unbefugten Nutzern, ist es an der Zeit, strengere Sicherheitsvorkehrungen zu treffen.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/