Wie mache ich mein WLAN sicher?

Hallo zusammen. Einmal mehr habe ich mich dazu entschlossen meine eh schon zu große klappe weit aufzureißen und meine Meinung und Erfahrung mit euch zu teilen.

Wie schon das eine oder andere mal im Bereich Webdesign dieses Forums, habe ich mich hier dazu entschlossen, mit ein paar Fragen aufzuräumen. Diese Fragen werden nämlich immer und immer wieder diskutiert.

Da ich täglich in der Firma sowie an diversen privaten Stellen mit der Betreuung von Funknetzen betreut bin, kann ich sagen dass ich ein wenig Erfahrung habe.

Dies bedeutet aber nicht zwangsläufig das ich alle Aspekte des weiten Themas Funknetz beleuchtet habe, die Umfassende Wahrheit gepachtet hätte oder etwas anderes anmaßendes.

Deshalb gilt wie immer: ?Dieser Artikel (und somit auch ich) erhebt NICHT den Anspruch der Vollständigkeit und auch nicht den Anspruch Fehlerlos zu sein. Von daher würde ich darum bitten auf Fehler meinerseits hinzuweisen und mich eben ggf. eines besseren zu belehren.?

Achso, ich werde hier NICHT näher auf ?Speziallösungen? eingehen, welche zu 75% sowieso nur in Firmen und ähnlichen Organisationen existieren/genutzt werden. Ihr werdet hier also nur Informationen über die gängigsten Verfahren und Varianten von Funknetzen und deren Absicherung informiert.

So, aber und nun zum eigentlichen Thema.

Wie man aus der Überschrift erkennen kann, möchte ich mich heute dem Thema WLAN Sicherheit widmen.

Bevor ich aber in das Thema tiefer einsteige, hier zunächst ein paar Begriffserklärungen:

WLAN = Wireless Local Area Network zu deutsch, Kabelloses Lokales Netzwerk (http://de.wikipedia.org/wiki/WLAN). Mit dem Begriff Kabelloses Netzwerk wird heute das Funknetz im 2,4 GHz Band gleichgesetzt. Genau betrachtet ist aber auch z.B. Bluetooth oder IRDA (Infrarot) rudimentäre WLAN Techniken.

SSID = Service Set Identifier. Damit wird der Name der ?Funkblase? bezeichnet die man verwendet. (http://de.wikipedia.org/wiki/SSID) Da man Funkwellen nicht ?einsperren? oder punktgenau ausrichten kann entsteht je nach Antennentyp (Rundstrahlantennen, Richtantennen usw.) eine ?Blase? rund um den Sender. Nur innerhalb dieser ?Blase? bekommt man Verbindung zum Funknetz. Um mehrere Funknetze unterscheiden zu können benötige jedes eine eindeutige Kennung (SSID).

Ad-hoc Modus = Eine der beiden möglichen Betriebsarten eines Funknetzes. Der Ad-hoc Modus dient dazu, zwei oder mehr Endgeräte direkt miteinander zu verbinden.

Infrastruktur Modus = Die zweite der beiden möglichen Betriebsarten eines Funknetzes. Der Infrastruktur Modus dient dazu, zwei oder mehr Endgeräte über eine ?Infrastruktur? zu verbinden. Als Infrastruktur ist z.B. ein Access Point oder ein WLAN fähiger Internet Router gemeint. Dieser stellt die Verbindung zwischen zwei Mitgliedern des Funknetzes her. Somit läuft der Datenaustausch zwischen den beiden Zielrechnern nicht direkt ab, sondern über den ?Vermittler?. Durch eine solche Komponente wird auch die Reichweite des Funknetzes erhöht.

WEP = Wired Equivalent Privacy (http://de.wikipedia.org/wiki/Wired_Equivalent_Privacy) ist der mittlerweile seit 2001 als unsicher und leicht knackbare ehemalige Verschlüsselungsstandard für Funknetze. Egal ob WEP64, WEP128 oder andere WEP Verfahren, Sie alle sind aus heutiger sicht unsicher und sollten so schnell wie möglich abgelöst werden. Nähere Informationen warum WEP unsicher ist, bitte ich jeden geneigten Interessenten selbst zu recherchieren. Googel findet hierzu genügend Lektüre. Außerdem würden solche Ausführungen, den Rahmen des Artikels sprengen.

WPA = Wi-Fi Protected Access (http://de.wikipedia.org/wiki/Wi-Fi_Protected_Access) ist der derzeit de facto Standard für Funknetzverschlüsselung. WPA nutzt zur Verschlüsselung der Daten das Temporal Key Integrity Protocol.

WPA2 = Wi-Fi Protected Access 2 (http://de.wikipedia.org/wiki/WPA2) wird hoffentlich der kommende Standard in Bezug auf Verschlüsselung von Funknetzen. Es nutzt zur Verschlüsselung der Daten im Funknetz AES.

TKIP = Das Temporal Key Integrity Protocol (http://de.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol) nutzt wie WEP RC4 als Verschlüsselungsalgorithmus. Allerdings werden anders als bei WEP weitere Merkmale zu Bildung des Initialisierungsvektors (welcher der Angriffspunkt für das knacken von WEP war) verwendet.

AES = Advanced Encryption Standard (http://de.wikipedia.org/wiki/Advanced_Encryption_Standard) wird der Verschlüsselungsstandard der kommenden Generation von Funknetzen nach IEEE Norm 802.11i. AES ist außerdem auf verschiedenen anderen Sektoren der Standard Verschlüsselungsalgorithmus. Er ist im Funknetzbereich derzeit das absolute non plus Ultra. Bei einem ausreichend sicheren Kennwort (wozu wir später noch kommen) ist AES derzeit nicht zu dechiffrieren.

MAC-Adresse = Die MAC Adresse (http://de.wikipedia.org/wiki/MAC-Adresse) ist die nahezu einmalige physikalische Kennung einer Netzwerkkomponente ähnlich einem Fingerabdruck. Mit ihr ist es möglich einzelne Komponenten klar zu identifizieren.

DHCP = Dynamic Host Configuration Protocol (http://de.wikipedia.org/wiki/DHCP) dient dazu Clientcomputern durch einen Server dynamisch IP Adressen zuzuweisen.

So, da wir nun einige Begrifflichkeiten geklärt haben, wollen wir zur tat schreiten.

Bevor man das Funknetz einrichtet, sollte man sich darüber klar werden, welche Verschlüsselung man verwenden möchte, und vor allem warum man selbiges überhaupt Verschlüsseln möchte/sollte.

Nun, diese Frage lässt sich noch recht leicht beantworten. 3 einfache Gründe sprechen dafür dass Funknetze adäquat Verschlüsselt werden sollten.

• 
  [li]Aus Kostengründen. Wer eine Volumenbasierte Flatrate nutzt, der wird sicher nicht erfreut sein, wenn jemand in sein unverschlüsseltes Funknetz eindringt und auf seine ?Kosten? im Internet surft
  [/li]
  [li]Aus Rechtlichen Gründen. Wenn sich ein dritter über einen unverschlüsselten Zugang zugriff auf das Internet verschafft und illegale Inhalte über selbigen herunterlädt oder zur Verfügung stellt wird er schnell haarig. Denn spätestens da, sollte man zweifelsfrei belegen können, das die Inhalte nicht von einem selbst heruntergeladen bzw. zur Verfügung gestellt wurden. Das wiederum wird für die meisten Heimanwender eine unlösbare Aufgabe.
  [/li]
  [li]Der wichtigste aller Punkte. Die eigene Datensicherheit. Wer ein unverschlüsseltes Funknetz betreibt sollte sich auf jeden Fall sorgen um seine eigenen Daten machen. Denn somit sind auf die damit verbundenen Rechner greifbar nah.[/li]

Funknetze sollte also in jedem Fall Verschlüsselt werden. Hierzu bleiben für den Heimanwender eigentlich im Regelfall nur 4 Möglichkeiten übrig.

WEP64
WEP128
WPA (WPA-PSK + TKIP)
WPA2 (WPA-PSK + AES)

WEP64 und WEP128 sind hier die bekanntesten und am weitesten verbreiteten Vertreter. Leider wird auch heute noch Hardware gebaut/verkauft die ausschließlich diese Verschlüsselung beherrschen.

Da aber die WEP Verschlüsselung, egal ob mit 64, 128, 256bit Schlüssellänge, seit dem Jahr 2001 geknackt und unsicher ist, sollte man nicht auf dieser Technik aufbauen.

Nun bleiben also noch 2 Adäquate Techniken der Verschlüsselung übrig.

WPA und WPA2. Erstere findet zum Glück derzeit immer mehr Verbreitung. Leider ist Sie vom Aufbau her, bei weitem nicht so sicher wie WPA2. Zwar so sicher, das auch diese nicht in absehbarer Zeit dechiffriert werden kann, aber eben nicht so sicher wie WPA2.

Hier stellt sich nun die Frage: Wie sicher soll es sein?

Ist man bereit die geringere Verfügbarkeit an Hardware welche WPA2 unterstützt für mehr Sicherheit (welche derzeit nicht voll ausgenutzt wird) in Kauf zu nehmen?

Ich persönlich sage JA. Dies muss aber jeder mit sich selbst ausmachen.

Wer sich für WPA2 entscheidet und Windows XP verwendet, der muss vor der Installation des Funknetzen bzw. der Verschlüsselung folgenden Artikel durchlesen und den dort genannten Patch installieren. Erst nach der Installation ist Windows XP in der Lage mit WPA2 etwas anzufangen.

http://support.microsoft.com/?id=893357


Sobald man sich nun für eine Verschlüsselung entschieden hat, steht man vor einem weiteren Problem. Dem Passwort.

Zu einem gut verschlüsselten Funknetz, gehört neben einer adäquaten Art der Verschlüsselung auch ein ordentliches uns sicheres Passwort.

Also eines, das man nicht mit einem Wörterbuch herausfinden kann.

Ein so genanntes sprechendes Passwort ist/wäre hier also fehl am Platz.
Folgende kurze Regeln helfen bei der Erstellung eines sicheren Passworts.

• 
  [li]Nach Möglichkeit Groß- und Kleinschreibung mischen.[/li]
  [li]Zahlen im Passwort nutzen[/li]
  [li]Sonderzeichen im Passwort verwenden (wenn möglich)[/li]
  [li]die maximale Zeichenanzahl für ein Passwort ausnutzen. (bei WEP 5 bzw. 13 Zeichen im ASCII Modus bei WPA und WPA2 sind dies 64 Zeichen im ASCII Modus)[/li]
  [li]Passwort NUR für die Verschlüsselung des Funknetzes nutzen und nicht noch für den Server oder ähnliches.[/li]
  [li]Passwort nicht aufschreiben und/oder weitergeben.[/li]

Wer diese Regeln beherrscht sollte eigentlich keine Probleme durch das Passwort bekommen.

Sobald nun die Verschlüsselung des Funknetzes mit einer sicheren Technik (WPA oder WPA2) und einem sicheren Passwort abgeschlossen ist, ist das schwerste Kapitel abgeschlossen.

Wer diesen Punkt abgehackt hat, der kann sich eigentlich getrost zurücklehnen und beruhigt der Dinge harren die da kommen.

Aber wir sind noch nicht am Ende. Denn noch gibt es auch für den Heimanwender noch ein wenig Optimierungspotential und noch den ein oder anderen Mythos den ich versprach auszuräumen.

Was also kann man noch tun, um sein Funknetz weiter abzusichern?

Viele werden nun mit dem Argument aufwarten, das man doch z.B. die SSID ausblenden könnte. Schließlich haben die meisten handelsüblichen Router eine solche Option, und oft wird sogar damit geworben.

Was soll ich sagen? Recht haben Sie. Natürlich hat man diese Option, doch muss ich mittlerweile den Sinn und Zweck des ganzen anzweifeln.

Zunächst einmal ist dies nach meinem Wissensstand so nicht im IEEE Standard vorgesehen und somit eine Verletzung des selbigen. Dies kann ich aber nicht 100% bestätigen.

Außerdem wird die SSID nicht wirklich unterdrückt. Denn es gibt Tools, welche die SSID nach wie vor auslesen können. Desweiteren gibt es Tools welche einem zumindest anhand des ?Verkehrs? im 2,4 Ghz Frequezband aufzeigen können ob und wo sich in etwa eine Funkblase befindet.

Diese Option ist also kein probates Mittel die Sicherheit wirklich zu erhöhen. Sie erhöht nur die Hemmschwelle für den Angreifer. Ein solches Vorgehen nennt sich im Fachjargon:

Security by obscurity oder zu deutsch, Sicherheit durch Unklarheit.

Wer möchte, kann diese Möglichkeit aber gerne nutzen. Schaden tut es nicht wirklich.

So, und wieder sind wir bei der Frage angelangt: Wie kann ich mein WLAN sicherer machen?

Wer aufmerksam in der Begriffserklärung gelesen hat, und ein wenig logisch kombiniert hat, der wird jetzt fragen:

Warum schließe ich nicht anhand einer Liste von MAC Adressen einige Komponenten ein bzw. aus?

Eine gute Frage wie ich finde.

Das ist natürlich Problemlos möglich. Viele Router bieten diese Möglichkeit ja sogar von Haus aus an.

Man trägt in eine Liste sämtliche zugelassene Geräte ein, und schon ist man auf der sicheren Seite. Schöne Theorie, leider ein wenig an der Praxis vorbei.

Dieser Ansatz ist gut, taugt aber in der Praxis nur, um in einem überschaubaren kleinen Netz angewendet zu werden. Außerdem taugt Sie nur dann etwas, wenn andere Techniken bereits eingesetzt werden die die Grundsicherheit des Funknetzes gewährleisten. Als alleiniger Schutz ist dies also ungeeignet.

MAC Adressen können nämlich leicht durch Software fingiert werden. Somit muss man nur wissen welche MAC Adresse z.B. im Funknetz XY zugelassen ist, und schon hat man die gleiche MAC Adresse.

Hört sich einfach an? Ist es auch.

So, langsam wird es dünn mit den Möglichkeiten der Optimierung.

Bevor ich aber diesen kurzen Artikel schon beende, möchte ich noch von einem Vorschlag berichten der mir kürzlich unterbereitet wurde.

Kürzlich hat man mir jemand den Vorschlag unterbreitet, ich könne doch einfach den DHCP Server auf dem Router bzw. Access Point abzuschalten.

Wie dies zu Erhöhung der Sicherheit beitragen würde, wurde so begründet.

Wenn der Angreifer alle Barrieren genommen hat, und ins Funknetz eingedrungen ist, bekommt er vom DHCP Server keine IP Adresse. Ohne IP Adresse kann er weder im Internet Surfen noch sonst irgendwelche IP basierten Dienste ausführen.

Dass diese Begründung nun wirklich sehr hanebüchen ist, kann jeder der ein wenig Ahnung von Netzwerken hat bestätigen.

Dies ist nun ein typischer Fall von Security by Obscurity.

Wenn der DHCP Server abgeschaltet ist, muss ich mir nur selbst eine IP Adresse aussuchen und in meine TCP/IP Einstellungen eintragen.

Natürlich gäbe es ein paar Möglichkeiten, es auch hier dem Angreifer noch etwas schwerer zu machen, aber das ist eher Spielerei. Wirklich sicherer wird das Funknetz auch dadurch nicht.

Fakt ist, diese Option zählt nun wirklich zu den schlechtesten Varianten. Zumal die Abschaltung eines vorhanden DHCP Servers sowieso nur bei kleinen Netzwerken interessant ist. In einem kleinen bzw. mittelständischen Unternehmen wäre allein der händische Pflegeaufwand schon größer als der nutzen der aus dieser Maßnahme resultiert.

Dies sind so die gängigsten Ratschläge die rund um das Thema WLAN in Zusammenhang mit Sicherheit kursieren. Falls ich einen vergessen haben sollte, so bitte ich mich per PN darüber zu informieren. Ich sehe ihn mir gerne an, und schreibe dann eine kleine Bewertung dazu.

Ich persönlich gebe folgende Empfehlung aus:

WLAN am besten mit WPA2 Verschlüsseln und MAC Filter aktivieren. Nicht mehr und nicht weniger. Das Passwort sollte natürlich auch nach oben genannten ?Ratschlägen? erstellt worden sein.

Von der Möglichkeit die SSID auszublenden gehe ich mittlerweile ab. Ich habe in letzter Zeit einige Probleme gehabt neue Clients in Funknetzwerke aufzunehmen welche die SSID ausgeblendet haben.

Was ich von der oben genannten Option, den DHCP Server zu deaktivieren halte, habe ich ja schon gesagt. Nämlich Nix.

Den DHCP Server deaktiviere ich im Netzwerk grundsätzlich nur dann, wenn es andere Gründe erforderlich machen. Z.B. Wenn einige Computer/Netzwerkgeräte eine feste IP Adresse zwingend benötigen.

So, das war meine Meinung zum Thema: Wie mache ich mein WLAN sicher?

Ich hoffe es hat dem ein oder anderen geholfen ein wenig mehr Licht ins Dunkel zu bringen. Ich hoffe auch das es hilft, in Zukunft den ein oder anderen Vorschlag zu diesem Thema besser zu bewerten.

Für Kritik und Anregung stehe ich wie immer zur Verfügung.