WLAN Kabellose Sicherheit
Eine der komfortabelsten Netzwerklösungen ist das WLAN. Dieser Begriff steht für Wireless Local Area Network, also: kabellose Netzwerkarbeit. Kaum jemand bedenkt aber die Sicherheitsrisiken, die damit verbunden sind. Nutzen wir ein Kabel fürs Netzwerk, muss dieses schon durchschnitten werden, damit Informationen ausspioniert werden können. Funkwellen breiten sich jedoch frei aus und können von jedem abgefangen werden. Es kommt also darauf an, diese Technik zu schützen.
Es muss nicht gleich zu einer speziellen Software gegriffen werden, um das WLAN für den normalen Gebrauch schützen zu können. Stattdessen sind nur einige wenige Schritte notwendig, die hier erklärt werden: Viele Nutzer sind sich nicht bewusst, dass ihr WLAN auch von anderen benutzt wird. Oftmals freuen sich Nachbarn über die Möglichkeit,kostenlos ins Internet zu kommen.
Es ist technisch kein Problem, dass Laptop-Nutzer im Auto an der Straße sitzen und eventuell über ihren DSL-Zugang surfen. Untersuchungen haben ergeben, dass über 50 Prozent aller Funknetzwerke ungeschützt betrieben werden. Diese Nachlässigkeit machen sich so genannte Wardriver zu Nutze. Sie fahren mit ihrem Auto durch die Stadt und suchen mit Hilfe von bestimmten Tools offene WLANs. Werden sie fündig, surfen die Wardriver auf Kosten derer, die ihr WLAN nicht gesichert haben.
Funknetzwerke
Funknetzwerke können auf unterschiedliche Weise eingerichtet werden. Im Ad-hoc-Modus werden zwei oder mehrere mobile Endgeräte direkt miteinander verbunden. Voraussetzung ist lediglich jeweils eine Funknetzwerkkarte. Meist werden Funknetzwerke aber im Infrastruktur-Modus betrieben. Für diesen Modus existiert ein zentraler Access-Point, der als Funkbrücke dient und zum Beispiel eine Verbindung zu einem kabelgebundenen Netzwerk besitzt.
Wichtige Access-Points
Beginnen wir bei der wichtigsten Hardware, dem Access-Point. Sicherheit beginnt hier, denn schon beim Kauf muss geklärt werden, ob der Access-Point überhaupt die nötigen Funktionen mitbringt. Dabei sollte die Wahl nicht auf ein billiges No-Name-Produkt fallen. Denn ist ein WLAN erst einmal eingerichtet, heißt das nicht automatisch, dass es für alle Zeiten sicher ist.
Oft treten Sicherheitslöcher auf, die gestopft werden müssen. Das Konfigurations-Passwort zum Access-Point sollte geändert werden. Einige Access-Points sind sogar so freundlich und zeigen das Standardpasswort in der Anmeldemaske zur Konfiguration an. Bedenken Sie auch, dass Sie unter Umständen sensible Daten, wie Internetzugangsdaten, im Access- Point hinterlegen.
Ein gutes Passwort sollte aus mindestens sieben Zeichen, aus Buchstaben (am besten mit Großund Kleinschreibung) und Zahlen bestehen. Um ganz sicher zu gehen, sollte zur Konfiguration eine kabelgebundene Verbindung genutzt werden. Jedes WLAN identifiziert sich durch eine SSID. Der Service Set Identifier ist der Name, der für Ihr Funknetzwerk vergeben wird. Um sich am Netz anmelden zu können, benötigt jeder diesen Namen.
Der Broadcast der SSID sollte deaktiviert werden. Das heißt, der Name soll nicht regelmäßig in die weite Welt übertragen werden. Zusätzlich sollte der Standardname bei jedem Access-Point geändert werden. Oftmals werden Namen wie „default“ oder „wlan“ benutzt. Dadurch wird es natürlich für einen Angreifer einfach, eine Verbindung herzustellen. Jeder Access-Point bietet die Funktion, eine IP-Adresse (anhand der ein Rechner identifiziert wird) automatisch zu vergeben.
Eine solche Funktion wird DHCP (Dynamic Host Configuration Protocol) genannt. Auf Komfort sollte generell verzichtet werden,denn alles was für einen selber einfach ist, ist für andere selbstverständlich auch nicht schwer. Aus dem Grund sollten die IP-Adressen manuell vergeben werden.
MAC-Filter
Die Zuordnung der IP-Adressen erfolgt über die eindeutige MAC-Adresse (Media Access Control, auch LAN-Adresse genannt). Sie ist die Hardware-Adresse der Netzwerkkarte. Einige Access-Points bieten die Funktion eines MACFilters (auch Access Control List, ACL), um nur registrierte MAC-Adressen für das WLAN zuzulassen. Diese Funktion sollte ein wesentliches Kaufkriterium bei einem neuen Access-Point sein. Zwar ist es möglich, MAC-Adressen zu „fälschen“, jedoch ist damit ein höhererAufwand verbunden beziehungsweise muss erst eine MAC-Adresse gefunden werden, die zur Kommunikation zur Verfügung steht.
Verschlüsseln
Zu guter Letzt muss die Verbindung verschlüsselt werden. Dabei gibt es mehrere Verfahren, wobei dies die bekanntesten Verfahren sind:
- Wired Equivalent Privacy (WEP)
- Wi-Fi Protected Access (WPA)
Die WEP-Verschlüsselung ist der ältere Standard, bei dem es möglich ist, durch einen Fehler an den WEPSchlüssel zu gelangen. Sollte Ihr Access- Point nur diese Verschlüsselung zulassen, aktivieren Sie diese jedoch auf jeden Fall. Der Angreifer braucht Zeit, um an den Schlüssel zu gelangen. Zum Berechnen des Schlüssels benötigt der Spion Datenpakete. Diese werden mit Hilfe einer speziellen Software aufgezeichnet.
Nach dem Mithören einer ausreichenden Menge kann der Schlüssel berechnet werden. Unter Umständen ist der Schlüssel so schon in wenigen Minuten geknackt. Grundsätzlich sollten keine allgemeinen Wörter als Schlüssel gewählt werden. Sollte ein Angreifer ein Paket aufzeichnen, hat er alle Zeit der Welt, dieses Paket zu entschlüsseln. Dafür gibt es zum Beispiel spezielle Programme, die versuchen, ein Paket mit Hilfe von Wörterbüchern zu entschlüsseln. Darum gilt, wie schon beim Passwort für den Access-Point, ein Passwort aus Zahlen und Buchstaben mit Großund Kleinschreibung zu kombinieren. Im Internet existieren auch spezielle Tools, die Schlüssel auf Zufall basierend errechnen. Der Schlüssel muss sowohl im Access- Point als auch bei den jeweiligen Clients bekannt gemacht werden. Die meisten Access-Points werden über einen Internetbrowser konfiguriert. Dort wird der Schlüssel in einer speziellen Konfigurationsseite eingetragen. Unter einem Windows Betriebssystem finden Sie das Eingabefeld in den “Eigenschaften” unter “drahtlose Netzwerkverbindungen”.
Wie prüfen Sie, ob die Verschlüsselung funktioniert?
Ganz einfach – versuchen Sie, mit einem Computer ohne den Schlüssel auf das Netzwerk zuzugreifen. Gelingt das nicht, funktioniert die Verschlüsselung. Tragen Sie anschließend den korrekten Schlüssel in den Computer, mit dem Sie auf das Netzwerk zugreifen wollen, ein und testen Sie, ob eine Verbindung funktioniert. Zeigt Windows, dass die Verbindung hergestellt wurde und Sie im Netzwerk eingebucht sind, senden Sie einen Ping (Erklärung siehe Kasten) auf die Adresse des Access-Points. Wichtig für Sie zu wissen ist, dass das WEP keine absolute Sicherheit bringt, aber eine gute Abwehr gegen Schwarzsurfer darstellt. Wählen Sie aber nicht den kürzesten Schlüssel aus, sondern den längsten zur Verfügung stehenden WEP-Schlüssel, sofern alle Komponenten in Ihrem Funknetzwerk dies zulassen.
WPA-Verschlüsselung
Die WPA-Verschlüsselung ist das neuere Verfahren. Diese Technik räumt Schwächen der WEP-Verschlüsselung aus. Leider unterstützen die älteren WLANKomponenten diese Technik meist nicht. Sollten alle Komponenten aber in der Lage sein, damit zu arbeiten, sollte für Sie WPA die erste Wahl sein. WPA trennt die Verschlüsselung und die eigentliche Anmeldung am Netzwerk auf. Dabei kann WPA auch auf die WEP-Verschlüsselung zurückgreifen, was jedoch unsinnig ist, denn die Schwächen werden sonst damit übernommen. Für die Anmeldung wird ein Passwort benötigt. Das Passwort muss im Access-Point und in dem Client eingetragen werden. In der Fachsprache nennt man diesen Modus WPA-PSK (wobei PSK für Pre-Shared Key steht). Wie erwähnt, muss das Verschlüsselungsverfahren zusätzlich gewählt werden:
- das sicherste Verfahren ist AES (Advanced Encryption Standard) - unterstützen allerdings nicht alle Geräte.
- TKIP (Temporal Key Integrity Protocol) soll das ältere WEPProtokoll ersetzen.
- WEP (Wired Equivalent Privacy), das, wie schon erwähnt, keinen Sinn macht.
Um WPA überhaupt nutzen zu können, benötigen Sie unter Windows XP das Service Pack 2. Auch bei WPA gilt es, die Verschlüsselung zu testen. Probieren Sie eine Verbindung ohne und eine mit Verschlüsselung. Ohne Verschlüsselung darf der Zugriff natürlich nicht gelingen. Leider gibt es manchmal trotz richtiger Konfiguration Probleme bei der Kommunikation, was wohl damit zusammenhängt, dass einige Hersteller die Spezifikationen nicht einhalten. Um sicher zu gehen, sollten Sie bei einer Neuanschaffung auf einen bekannten Hersteller zurückgreifen. Dadurch ist eventuell für einen nicht so erfahrenen Benutzer die Konfiguration einfacher, auch weil Bedingungsanleitungen aufeinander abgestimmt sind. Aber auch die WPA-Verschlüsselung bleibt gegen Wörterbuch-Attacken (Erklärung siehe Kasten) oder das Ausprobieren aller Schlüssel anfällig.
Langsamer?
Viele WLAN-Nutzer denken, die Geschwindigkeit nimmt mit einer Verschlüsselung ab. Wer darüber nachdenkt, müsste aber schnell merken, dass es egal ist, ob ein Paket verschlüsselt ist oder nicht, denn es werden genau so viele Daten übertragen. Lediglich durch das Kodieren beziehungsweise Dekodieren könnten geringe, aber vermutlich kaum messbare Geschwindigkeitseinbußen oder Verzögerungen auftreten.
802.1x abschalten
Über dieses Protokoll versorgt der Access-Point die Clients automatisch mit dem WEP- oder WPA-Schlüssel –normalerweise nachdem eine Authentifizierung stattgefunden hat. Diese Funktion, oft auch „automatic key distribution“ genannt, ist eine Einladung für jeden Eindringling, kann aber in bestimmten Netzwerken mit entsprechenden Sicherheitsmechanismen durchaus sinnvoll sein. Für den Heimbedarf oder das kleine Office ist die Funktion ein Sicherheitsrisiko.
Vorsicht im Netzwerk
Einige Billig-Access-Points geben den Schlüssel ohne eine Authentifizierung heraus. Dadurch gelangt jeder Schwarzsurfer schnell und einfach ins Netzwerk. Wobei jeder WLAN Nutzer sich glücklich schätzen darf, wenn „nur“ über seinen Zugang im Internet gesurft wird. Denn damit erhält der Angreifer auch Zugriff auf entsprechende Computer in dem Netzwerk. Aus dem Grund denken Sie auch an eine Firewall für Ihre Computer im Netzwerk. Zudem sollten Sie die Passwörter und die Konfiguration für den Access-Point nicht auf der Festplatte des Computers ablegen, sondern sicher auf einem Medium wie einem USB-Stick oder einer CD.
Testen können Sie, ob die Funktion deaktiviert ist, indem Sie in den Eigenschaften der „Drahtlosen Netzwerkverbindung“ den Haken setzen bei „Schlüssel wird automatisch bereitgestellt“.
Anschließend darf die Verbindung nicht mehr zu Stande kommen.
Unter Umständen bietet Ihr Access- Point auch die Funktion, die Sendeleistung einzustellen. Wenn Sie nur kurze Strecken überwinden wollen, lohnt es sich, die Leistung zu reduzieren, um so die Gefahr zusätzlich zu minimieren.
Fassen wir also noch einmal zusammen, welche Punkte Sie unbedingt einhalten sollten:
- Access-Point sichern (Passwort ändern)
- DHCP deaktivieren
- Nur bekannte MAC-Adressen zulassen
- Broadcast für SSID deaktivieren
- WEP/WPA-Verschlüsselung einschalten
- 802.1x abschalten
- Selber testen (Verschlüsselung)
Weitere Schutzmaßnahmen:
- Wechseln Sie regelmäßig die zur Verschlüsselung verwendeten Schlüssel.
- Deaktivieren Sie den Access-Point bei Nichtbenutzung.
- Verwenden Sie weitere eventuelle Schutzmechanismen des Access- Points und richten Sie ihn - wenn möglich - als Firewall ein.
- Tauschen Sie Ihren Access-Point gegen ein neueres Modell mit Verschlüsselung nach dem WPA aus.
Diese Lösungen sind jedoch kein professioneller Schutz, sondern die Anforderungen, die auf jeden Fall eingehalten werden sollten, um ein Funknetzwerk zu betreiben. Wer vertrauliche Daten zu schützen hat, sollte einen ITDienstleister beauftragen. Denn um ein wirklich sicheres WLAN aufzubauen, ist einiges an Erfahrung von Nöten.