ComSafe       Computersicherheit / IT Security


Checkliste WLAN Sicherheit


Dies ist eine Checkliste zur Überprüfung der Sicherheit Ihres Funk-Netzwerkes (Wireless LAN). Eine ausführliche Version der Sicherheitsanleitung finden sie hier.

Zugangsberechtigung ändern
Ändern Sie die Zugangsberechtigung (Benutzernamen und Passwort) des Webinterfaces zur Konfiguration und Verwaltung ihres WLAN Routers. Verwenden Sie, wenn möglich, nicht die Vorgaben des Herstellers, denn diese sind oft über das Internet recherchierbar. Vermeiden Sie möglichst auch "admin", "user".

Verwenden Sie starke Passwörter!!
Viele Passwörter lassen sich aus dem sozialen Umfeld des Anwenders erraten. Kurze und einfache Passwörter sind mit Brute-force Angriffen und Wörterbuchvergleichen einfach heraus zu finden.
Weitere Informationen zu starken Passwörtern finden sie hier.

Aktuelle Firmware verwenden
Da viele Hersteller ihre Geräte gelegentlich den neuen Sicherheitsstandards anpassen, sollten Sie die Firmware Ihres Access Points regelmäßig überprüfen. Auf den Supportseiten der Hersteller sowie in den einschlägigen Foren oder über eine Suchmaschine können Sie nach aktuellen Firmwareupdates suchen.

Verschlüsselung
Verwenden Sie - sofern vorhanden - die leistungsfähigere WPA oder WPA2-Verschlüsselung. Sollten Sie nur WEP verwenden können, dann stellen Sie die Verschlüsselung auf mindestens 128 bit ein. Beachten Sie, dass die WEP Verschlüsselung von erfahrenen Angreifern innerhalb von Minuten durch Belauschen des Datenverkehrs geknackt werden kann! Achten Sie darauf, ein sicheres Passwort zu verwenden. Informationen zu sicheren Passwörtern finden Sie hier.

Funktion 802.1x abschalten
Diese Funktion, oft auch automatic key distribution genannt, versorgt die angeschlossenen Computer eines Netzwerkes mit dem WEP-Schlüssel. Diese Funktion stellt eine potentielle Angriffsmöglichkeit dar und ist für kleinere und Heimnetze entbehrlich.

SSID ändern und SSID Broadcast ausschalten
Ändern Sie den voreingestellten SSID. Der SSID (Service Set Identifier) ist der Name eines Funknetzwerks, das auf IEEE 802.11 basiert und kann bis zu 32 Zeichen lang sein. Die SSID wird allen Datenpaketen unverschlüsselt vorangestellt. Der Name des Funknetzwerks sollte weder Hinweise auf Standort oder Betreiber der Geräte enthalten noch Rückschlüsse auf den Gerätetyp des Access Points zulassen.

Durch das Aktivieren von Hide SSID wird der Name des Senders (Access-Points) nicht mehr aktiv ausgestrahlt. Wenn Sie diese Einstellung deaktivieren, dann müssen Sie bei den WLAN-Klienten, die sich mit dem Access Point verbinden wollen, den Namen des Funknetzes manuell eingeben. Achten Sie bei der manuellen Eingabe auf die exakte Schreibweise des Namens (Groß- und Kleinschreibung ist relevant).

MAC Filter einschalten
Die MAC-Adressen (Media Access Control) sind vom Hersteller vorgegebene, in der Regel unveränderbare Identifizierungsnummer von Netzwerkkarten. Durch Eingabe der MAC- Adressen Ihrer Netzwerkkarten bzw. WLAN-Karten schränken Sie den Zugang zum AP auf diesen Kreis ein. Die MACs lassen sich allerdings von Angreifern aus abgehörten Datenpaketen herausfiltern und für eigene Zwecke mißbrauchen (spoofing).

Unterbinden Sie den Remotezugriff
Viele APs sind werkseitig für den Remotezugriff freigegeben. Zusammen mit einem Standardpasswort ist dies geradezu eine Einladung an alle Hacker. Deaktivieren Sie, sofern Sie ihn nicht für eine spezielle Betreuung Ihres APs über das Internet benötigen, den Remotezugriff ("remote mangagement" oder "management from internet") und die Remoteupdatefunktion.

Backup Ihrer Einstellungen
Machen Sie ein Backup Ihrer Veränderungen. Speichern Sie diese Datei nicht auf Ihrer Festplatte, sondern auf einem externen Datenträger. Dadurch sind sie vor Ausspähung durch Trojanerprogramme sicher. Schreiben Sie sich die durchgeführten Änderungen und Zugriffsberechtigungen auf, oder drucken Sie sie aus, sie werden zur Konfiguration der Clients benötigen.

Weitere wichtige Schutzmaßnahmen
  1. Wechseln Sie regelmäßig die zur Verschlüsselung verwendeten Schlüssel.

  2. Optimieren Sie Aufstellort, Antennenausrichtung und gegebenenfalls die Sendeleistung des Access-Points um Abstrahlung in ungewünschte Richtungen zu verhindern.

  3. Deaktivieren Sie den Accesspoint bei Nichtbenutzung.

  4. Verwenden Sie weitere Schutzmechanismen des APs und richten Sie ihn als Firewall ein. Hinweise hierzu finden Sie im Benutzerhandbuch.

  5. Überprüfen Sie die Log-Dateien regelmäßig auf unbekannte MAC-Adressen, um eventuelle Eindringversuche zu entdecken.

  6. Tauschen Sie Ihren Accesspoint gegen ein neueres Modell mit Verschlüsselung nach dem WPA oder IEEE 802.11i Standard (WPA2) aus.




Detaillierte Beschreibungen zu den einzelnen Maßnahmen und Hinweise, wie Sie Viren, Würmer, Trojaner, Hijacker, Spyware und andere ungebetene Gäste erfolgreich bekämpfen und beseitigen, erhalten Sie unter

www.ComSafe.de

Die Webseite für Computersicherheit




Stand: 1.8.2013


© 2004-2013
Carl Klüter
 
Web-Design & Realisation by cfpk 
Diese Seite drucken