Teil 5: WLAN abhörsicher verschlüsseln und schützen

Teil 5: WLAN abhörsicher verschlüsseln und schützen

Mit den Teilen eins bis vier unseres ausführlichen WLAN-Kochbuchs beantworten wir folgende wichtige WLAN-Fragen: Was brauche ich alles, was brauche ich eventuell sonst noch, wie plane und richte das Drahtlosnetzwerk richtig ein und was muss ich am WLAN-Router zunächst einstellen?

Teil fünf unseres ultimativen WLAN-Guides geht vor allem der Frage nach: Wie sichere ich mein Wireless LAN gegenüber Angriffen von außen ab?

Hinweis: Wir haben auf wifi-info schon in anderen Beiträgen darüber berichtet, wie sich drahtlose Netzwerke mit mehr oder weniger Aufwand vor Hackern und anderen unliebsamen Gesellen schützen lassen. Daher erfolgen hier teilweise Verweise auf bereits vorhandene Tipps und Tricks zum Thema Verschlüsselung und Authentifizierung im WLAN.

SSID verstecken

Diese Maßnahme bringt zwar kaum echte Sicherheit, stellt aber zumindest eine schnelle Möglichkeit dar, das Wireless LAN vor den Augen anderer zu verstecken. Denn: Wenn das eigene WLAN nicht sichtbar ist, kann man sich auch nicht einfach so ohne Hilfsmittel einwählen.

DCHP ausschalten: automatisch keine IP-Adressen vergeben

Ich hab es selbst schon erlebt: Ein fremder WLAN-Router war derart schwach gesichert, dass ich mühelos drauf gekommen bin und sofort ohne eigenes Zutun über diesen „Hotspot“ ins Internet gehen konnte.

Dass dies überhaupt möglich war, lag auch der eingeschalteten DHCP-Funktion des WLAN-Routers, der mein Powerbook automatisch mit einer IP-Adresse versorgt hat. Daher unser Tipp: DCHP ausschalten, dann bekommen Eindringlinge zumindest keinen automatischen Zugriff ins Web.

WEP-Verschlüsselung nutzen: keine gute Idee!

Wer noch immer glaubt, das die WEP-Verschlüsselung sicher sei, muss an dieser Stelle leider enttäuscht werden. Mit den richtigen Tools, die im Internet „for free“ zum Download angeboten werden, lässt sich jeder WEP-Key (egal, ob 64 oder 128 Bit lang), innerhalb weniger Minuten knacken.

Aber: nicht jedes Wireless LAN stellt ein potenzielles Angriffsziel heimtückischer Hacker dar. Daher ist der Einsatz eines WEP-Schlüssels besser als gar kein Schutz.

Know-how: Die WEP-Technik bietet – wie übrigens WPA und WPA2 auch – zwei Mechanismen, das eigene Wireless LAN zu schützen: Verschlüsselung und Authentifizierung. Denn zum einen werden die Daten per WEP-Key verschlüsselt über den Äther versendet und empfangen, und zum anderen kommt nur derjenige ins drahtlose Netzwerk hinein, der den entsprechenden Schlüssel kennt und nutzen kann.

Besser: WPA/2-Verschlüsselung einschalten

Leider wird immer noch WPA und WPA2 von vielen Anwendern gleich gesetzt oder zumindest verglichen. Das ist insofern unzulässig, da WPA mit der WEP-Technik vergleichbar ist, WPA2 hingegen eine ganz neue Verschlüsselungs- und Authentifizierungstechnik darstellt.

Dass WPA eher der WEP-Technik ähnelt, liegt größtenteils am IEEE-Konsortium, das sich beim Umstieg von WEP auf WPA2 aus der Sicht vieler Hersteller von WLAN-Komponenten zu viel Zeit gelassen hat. Daher entschied man sich beim WiFi-Forum für die temporäre Einführung der WPA-Technik, der in Teilen ohnehin für den neuen IEEE-Standard 802.11i vorgesehen war, dessen Bestandteil mittlerweile WPA2 ist.

Für den Einsatz von WPA bzw. WPA2 müssen diverse Voraussetzungen erfüllt sein:

WPA: Auf den WLAN-Clients sollte Windows XP mit Service Pack 1 installiert sein oder zusätzlich der zugehörige WPA-Patch für Windows XP. Außerdem müssen Sie die Treibersoftware der WLAN-Adapter auf den neuesten Stand bringen.

Zudem muss der WLAN-Router WPA unterstützen. Bei manchen Modellen, die standardmäßig nur WEP beherrschen, implementiert ein Firmware-Update die WPA-Funktion nachträglich auf dem Access Point.

WPA2: Da die WPA2-Technik rechenintensiver ist als WPA, ist ein Umstellen des Routers von WPA auf WPA2 per Firmware-Update meist nicht möglich. Falls der WLAN-Router WPA2 beherrscht, müssen für die störungsfreie Nutzung auf allen WLAN-Clients Windows XP mit Service Pack 2 oder der entsprechenden Patch installiert sein. Außerdem muss der aktuelle Treiber eingebunden sein, der WPA2 unterstützt.

Praxistipp: Falls sich ein Wireless LAN nicht ausschließlich per WPA oder WPA2 absichern lässt, unterstützen manche WLAN-Router ein gemischtes Drahtlosnetzwerk, das aus WEP-, WPA- und WPA2-Clients besteht. Dann wird ein und derselbe Key für die Verschlüsselung genutzt.

MAC-Adressen-Filtering nutzen

Jeder Netzwerkadapter besitzt eine fest vergebene Nummer, die MAC-Adresse genannt wird. Mit dieser Kennziffer lässt sich jeder WLAN-Client innerhalb eines Drahtlosnetzwerks eindeutig zuordnen. Die Funktion MAC-Adressen-Filtering erlaubt somit den Zugang zu einem Wireless LAN, falls der betreffende Client in der entsprechenden Liste eingetragen ist – oder verwährt den Zutritt.

Routerfunktionen ausschalten (UPnP, Remote Management)

Sie werden selten benötigt, sind aber in vielen Fällen standardmäßig eingeschaltet: Routerfunktionen wie UPnP oder Remote Management. Mit UPnP lassen sich WLAN-Router besonders einfach von jedem Windows-XP-Client aus verwalten, was zwar sehr komfortabel ist, aber auch einfachsten Zutritt für jeden auf den Access Point darstellt.

Remote Management wurde für die Fernwartung via Internet oder Telnet konzipiert. Diese Funktion ist wirklich nur was für erfahrene Profis und ist für kleinere Drahtlosnetzwerke, speziell im privaten Umfeld, nicht notwendig.

Daher gilt für beide Funktionen: Aus Sicherheitsgründen am besten ausschalten!

RADIUS-Authentifizierung nutzen

Nur wenige WLAN-Router wie viele der ZyXEL-Modelle bieten eine eigene RADIUS-Funktion, mit der sich im Access Point WLAN-Clients per Benutzerkennung und Kennwort eintragen lassen. Diese Daten können dann in einigen Fällen gleichzeitig für die WPA/2-basierte Authentifizierung genutzt werden.

VPN-Verbindungen verwenden

Die Einwahl via Internet ins eigene Wireless LAN ist zwar möglich, erfordert allerdings einen abhörsicheren Zugang, der sich entweder mit Windows-Bordmitteln oder spezieller Software einrichten lässt.

Das Zauberwort lautet VPN (Virtual Private Network) und stellt eine Art Tunnel dar, der zwischen Einwahlpunkt wie einem Hotspot und dem WLAN-Router aufgebaut wird. Aufgrund der abhörsicheren Protokolle wie IPsec, die bei VPN-Verbindungen eingesetzt werden, ist die Verbindung nahezu unknackbar.

Der WLAN-Router muss dies Funktion natürlich auch unterstützen: Entweder hardwarebeschleunigt wie der Netgear FVG318 oder per Software, was sich dann im Router hinter der Bezeichnung „VPN pass through“ versteckt.

Published by Michael Hülskötter

Ich bin Blogger, IT-Journalist, (Buch-)Autor, Videotrainer, Content Manager - und das alles in einer Person. Ich gehöre seit 1999 der schreibenden Zunft an, und es macht mir immer noch sehr viel Spaß. Lebe seit 1977 in München und habe drei wundervolle Kinder.

%d Bloggern gefällt das: