ComSafe       Computersicherheit / IT Security


Schutz für drahtlose Netze


Kabelsalat ade - Funknetze erfreuen sich auch im privaten Bereich immer größerer Beliebtheit. Da allerdings die Sicherheitsfunktionen der Geräte in den seltensten Fällen bekannt, geschweige denn aktiviert, sind werden viele Funknetzstationen zu geschwätzigen Datenschleudern. Unsichere Funknetze gefährden aber nicht nur die gespeicherten Daten. Falls Hacker in ein fremdes Funknetz (WLAN = Wireless local area network) eindringen und es dafür verwenden, um in andere Netzwerke einzudringen, kann dies auch juristische Folgen für den WLAN-Betreiber nach sich ziehen.

 

Standards
Die in Europa angebotenen WLAN Geräte basieren auf dem 1997 definierten Standard IEEE 802.11 in der Versionen a, b oder g mit dem Schlüsselprotokoll WEP. Bei diesem Protokoll wurden jedoch bald Sicherheitsmängel entdeckt, und als Weiterentwicklung entstand das WPA Protokoll. Dieses setzt auf dem Standard 802.11 auf und schließt die bekannten Sicherheitslücken bis der neue und sichere Standard WPA2 (IEEE 802.11i) sich im Markt etabliert hat.

Doch auch heute schon lassen sich die Access Points (AP) bestehender WLANs mit geringem Aufwand gegen unbefugte Lauscher absichern. Zwar ist die Sicherheit der WEP-Verschlüsselung etwas löcherig - ein professioneller Angreifer kann sie mit den entsprechenden Programmen in kurzer Zeit knacken - Jugendliche Gelegenheitshacker (Script Kids) und so genannte "War Driver", die mit Auto und Laptop auf der Suche nach offenen Funknetzen unterwegs sind, werden allemal abgehalten, da sie sich in der Regel auf die unverschlüsselten Access Points konzentrieren.

Tipp: Beim professionellen Einsatz der WLAN-Technik sollten Sie sich jedoch nicht auf die Absicherung durch WEP verlassen sondern bei der Anschaffung eines WLAN-Routers auf Sicherung nach WPA oder besser IEEE 802.11i (WPA2) bestehen!

 

WLAN Sicherheitsfunktionen
Sie sollten trotz aller Schwachstellen die Basisschutzmaßnahmen für den Accesspoint aktivieren. Die Konfiguration Ihres APs geschieht in der Regel über einen Webbrowser durch Eingabe der Standardadresse 192.168.1.1 in der Adresszeile. Ziehen Sie das Handbuch des Herstellers zu Rate.

Tipp: Nehmen Sie die Basiskonfiguration Ihres APs nicht über eine Funkverbindung vor, sondern schließen Sie Ihren PC über ein Netzwerkkabel an. So sind Sie vor dem Belauschen während der Eingabe der sicherheitsrelevanten Einstellungen bewahrt.

Hier die Einstellungen im Einzelnen (erläutert am Beispiel des verbreiteten APs Draytek Vigor 2500, der wie viele ältere Geräte nur die Verschlüsselung nach dem WEP Standard zulässt. Beachten Sie, dass - wenn es das Gerät anbietet - unbedingt die signifikant sichere Verschlüsselung nach WPA bzw. WPA2 vorzuziehen ist):

Zugangsberechtigung ändern

Ändern Sie die Zugangsberechtigung (Benutzernamen und Passwort) des Webinterfaces zur Konfiguration und Verwaltung. Verwenden Sie - soweit möglich - nicht die Vorgaben des Herstellers, denn diese sind oft über das Internet recherchierbar. Vermeiden Sie möglichst auch die bekannten Benutzernamen wie z.B. "admin", "user". Verwenden Sie ein sicheres Passwort!

Speichern Sie die Einstellungen nicht unverschlüsselt in Ihrer Passwortverwaltung ab (gilt besonders für den Internet Explorer), sondern notieren Sie sie auf einem Zettel!

Beachten Sie die Hinweise zur Verwendung von
sicheren Passwörter auf dieser Webseite.

Aktuelle Firmware verwenden

Da viele Hersteller ihre Geräte gelegentlich den neuen Sicherheitsstandards anpassen, sollten Sie die Firmware Ihres Access Points regelmäßig überprüfen. Auf den Supportseiten der Hersteller sowie in den einschlägigen Foren oder über eine Suchmaschine können Sie nach aktuellen Firmwareupdates suchen. In unserem Beispiel kann man im Eingangsmenue den aktuellen Firmwarestand ersehen.


Verschlüsselung

Verwenden Sie unbedingt die WPA Verschlüsselung. Sollte nur (vorallem bei älteren Geräten) WEP-Verschlüsselung angeboten werden, so stellen Sie diese auf mindestens 128 bit ein. Bei WEP müssen Sie ein 13-stelliges Passwort eingegeben. Achten Sie darauf ein sicheres Passwort zu verwenden. Informationen zu sicheren Passwörtern finden Sie hier.

Ein versierter Angreifer kann jedes WEP Passwort innerhalb kurzer Zeit durch Belauschen der über Funk ausgetauschten Datenpakete knacken! Sofern Sie allerdings ein unsicheres Passwort verwenden, kann es auch mit einer Wörterbuchattacke innerhalb von Minuten geknackt werden. Verwenden Sie deshalb - sofern vorhanden - bei der Verschlüsselung den WPA bzw. WPA2-Standard!


Funktion 802.1x abschalten

Diese Funktion, oft auch automatic key distribution genannt, versorgt die angeschlossenen Computer eines Netzwerkes mit dem WEP-Schlüssel. Diese Funktion stellt eine potentielle Angriffsmöglichkeit dar und ist für kleinere und Heimnetze entbehrlich.


SSID Broadcast ausschalten

Der SSID (Service Set Identifier) ist der Name eines Funknetzwerks, das auf IEEE 802.11 basiert und kann bis zu 32 Zeichen lang sein. Die SSID wird allen Datenpaketen unverschlüsselt vorangestellt. Durch das Aktivieren von Hide SSID wird der Name des Senders (Access-Points) nicht mehr aktiv ausgestrahlt.

Ändern Sie den Namen Ihres Funknetzwerks. Er sollte weder Hinweise auf Standort oder Betreiber der Geräte enthalten noch Rückschlüsse auf den Gerätetyp des Access Points zulassen

MAC Filter einschalten

Die MAC-Adressen (Media Access Control) sind vom Hersteller vorgegebene, in der Regel unveränderbare Identifizierungsnummer von Netzwerkkarten. Durch Eingabe der MAC- Adressen Ihrer Netzwerkkarten bzw. WLAN-Karten schränken Sie den Zugang zum AP auf diesen Kreis ein. Leider ist dieser Schutz nicht sehr stark, da sich MACs von routinierten Angreifern aus abgehörten Datenpaketen herausfiltern und für eigene Zwecke mißbrauchen lassen (spoofing).

Unterbinden Sie den Remotezugriff

Viele APs sind werkseitig für den Remotezugriff freigegeben. Zusammen mit einem Standardpasswort ist dies geradezu eine Einladung an alle Hacker. Deaktivieren Sie, sofern Sie ihn nicht für eine spezielle Betreuung Ihres APs über das Internet benötigen, den Remotezugriff ("remote mangagement" oder "management from internet") und die Remoteupdatefunktion.


Backup Ihrer Einstellungen

Legen Sie ein Backup Ihrer Veränderungen an. Speichern Sie diese Datei nicht auf Ihrer Festplatte, sondern auf einem externen Datenträger. Dadurch sind sie vor Ausspähung durch Trojanerprogramme sicher. Schreiben Sie sich die durchgeführten Änderungen und Zugriffsberechtigungen auf, oder drucken Sie sie aus. Sie werden zur Konfiguration der Clients benötigt.



  Weitere wichtige Schutzmaßnahmen

Wechseln Sie regelmäßig die zur Verschlüsselung verwendeten Schlüssel.

Optimieren Sie Aufstellort, Antennenausrichtung und gegebenenfalls die Sendeleistung des Access-Points um Abstrahlung in ungewünschte Richtungen zu verhindern.

Deaktivieren Sie den Accesspoint bei Nichtbenutzung.

Verwenden Sie weitere Schutzmechanismen des APs und richten Sie ihn als Firewall ein. Hinweise hierzu finden Sie im Benutzerhandbuch.

Überprüfen Sie die Log-Dateien regelmäßig auf unbekannte MAC-Adressen, um eventuelle Eindringversuche zu entdecken.

Tauschen Sie Ihren Accesspoint gegen ein neueres Modell mit Verschlüsselung nach dem WPA oder IEEE 802.11i Standard (WPA2) aus.



Absicherung muss sein!

Fazit

Setzen Sie die oben aufgeführten Schutzmaßnahmen möglichst alle ein, um einen optimalen Schutz Ihres WLANs zu erreichen.

Zwar sind Maßnahmen, wie das Ausschalten der 802.1x-Funktion und des SSID-Broadcasts, das Einschalten des MAC-Filters sowie die Verwendung der alten WEP-Verschlüsslung nur eine schwacher Schutz gegen professionelle Angreifer, aber sie hindern zumindest den jugendlichen Gelegenheitshacker aus der Nachbarschaft daran seinen pubertären Spieltrieb auszuleben.

Bei einer fehlenden, effektiven Absicherung Ihres WLANs können Sie, wie jüngste Gerichtsurteile belegen, für Straftaten, die über diese Internetverbindung begangen werden, haftbar gemacht werden!


Unsere Empfehlung!
Wir haben seit Jahren das Antivirusprogramm von Kaspersky im Einsatz und können die zahlreichen guten Testergebnisse der Fachpresse nur bestätigen. Für nur 29,95 € und mit der "Geld-zurück Garantie" sind Sie mit Kaspersky auf der sicheren Seite. Den Download starten Sie durch einen Klick auf den folgenden Banner.

Sie suchen ein verlässliches Antivirenprogramm? Nehmen Sie den Testsieger!
Testen Sie das neue Kaspersky Anti-Virus!

www.kaspersky.de
Kaspersky Online-Shop



Stand: 1.8.2013

© 2004-2013
Carl Klüter		  
Web-Design & Realisation by cfpk 
Diese Seite drucken