Drahtlose Netzwerke und Sicherheit: Kein Widerspruch

Die tatsächlichen zur Behebung der WLAN-Schwachstellen erforderlichen Sanierungsmaßnahmen waren recht unkompliziert. Wir stellten dem Kunden einige sehr grundlegende Richtlinien für den optimalen Einsatz eines WLAN zur Verfügung.

Neupositionierung des Zugriffspunkts bzw. Nutzung einer Richtantenne: Der Zugriffspunkt war zur südöstlichen Ecke des Gebäudes hin ausgerichtet, von wo er ein klares Signal zur Autobahn und zu einem benachbarten Bürogebäude ausstrahlte. Abhängig von der baulichen Struktur des Gebäudes können zusätzliche Wände die Ausstrahlung des Zugriffspunkts über das Gebäude hinaus beträchtlich einschränken. Richtantennen können zusätzlich am Zugriffspunkt zur weiteren Einschränkung der Ausstrahlung eingesetzt werden.

Installation eines zusätzlichen einfachen Firewalls zwischen dem Zugriffspunkt und dem Netz: Ein Firewall kann WLAN-Anwendern grundlegende Authentifizierung bieten.

Testen des Umkreises: Identifizierung von Stellen und deren Abstand vom Zugriffspunkt, an denen jemand auf das Netz zugreifen kann. Hierbei ist eine 150 Meter entfernte Stelle in einem Maisfeld einer nur 30 Meter entfernten Stelle in einem benachbarten Bürogebäude vorzuziehen. Im Fall der Firma NZSDBG AG brachte das Verlegen des Zugriffspunkts zwar den Erfolg, dass das Netz nun nicht mehr von dem benachbarten Bürogebäude aus zugänglich war, doch reduzierte es die Distanz, von der jemand auf der Autobahn Zugriff hatte, nur minimal.

Aktivierung der Sicherheitsarchitektur WEP (Wired Equivalent Privacy): WEP ist ein Mechanismus, der WLAN-Verkehr verschlüsselt, um unberechtigte Benutzer vom Lesen der während des Transports aufgefangenen Daten abzuhalten. WEP kann zwar geknackt werden, doch erfordert dies wesentlich mehr Know-how und Entschlossenheit, als sie der Durchschnittscracker mitbringt. Die meisten der WEP-Crack-Tools wie z.B. Airsnort laufen unter Linux und erfordern, dass der Benutzer ungefähr 4.000 Pakete mit schwachen Schlüsseln (Schlüssel sind die für die Erstellung des verschlüsselten Texts benutzten Geheimschlüssel) aus den Datenpaketen des Netzverkehrs sammelt. Üblicherweise hat das eine ausreichend abschreckende Wirkung, um ein anderes Ziel auszusuchen (von denen es etliche gibt).

Änderung der Standardeinstellungen des Zugriffspunkts: Die Standardeinstellungen der Zugriffspunkte – Service Set ID (SSID), SNMP Community String, Administrator-Passwort – sind Crackern weitgehend geläufig, und ein Cracker mit Know-how kann sich ziemlich leicht mit dem Netz verbinden und mit Standard-Passwörtern die Kontrolle über den Zugriffspunkt erlangen. (Leider sind Standard-Passwörter nicht ungewöhnlich.)

Einschränkung des Zugangs zu Key-Anlagen und Schlüsseldaten: Sperren des WLAN-Zugangs zum Intranet-Server und anderen Schlüsseldaten.

Deaktivieren des Sendens der Service Set ID: Um zu verhindern, dass der Zugriffspunkt den Namen des Networks ausstrahlt und sich mit Knoten verbindet, die nicht mit der eindeutig definierten Service Set ID des WLAN konfiguriert sind, sollte das Ausstrahlen der Service Set ID deaktiviert werden. Dadurch wird nicht nur das Netz vor Schurken geschützt; die Anwendung von WLAN wird dadurch eine wesentlich intensivere Erfahrung, da WLAN-Clients verlangen, dass der Name des Netzes manuell konfiguriert wird.