Sicherheit im WLAN

Immer häufiger liest man von Usern, deren Passwörter oder Accounts missbraucht wurden, um z.B. bei Ebay für horrende Summen einzukaufen. Was jedoch oft nicht erwähnt wird, ist, dass ein Großteil der geschädigten User selber Schuld am Missbrauch der Daten ist.

Wer sich zum Beispiel an einem Schul-PC mit seinem Ebay-Account einloggt und das Passwort speichert, der sorgt dafür, dass jeder nachfolgende User den Account ebenfalls nutzen kann. Eine andere beliebte Methode ist es Passwörter und empfindliche, persönliche Daten auf dem Rechner zu Hause abzulegen, denn der ist ja schließlich durch ein Passwort gesichert. Letzter Fall ist insbesondere dann gefährlich, wenn man zu Hause via WLAN ein kleines Netzwerk aufgebaut hat, weil man beim DSL-Anschluss einen WLAN-Router gleich mitgeliefert bekommen hat. So lange das WLAN gut abgesichert ist, ist das alles kein Problem und niemand kann an die Daten heran. Wenn man das WLAN aber nicht oder nur schlecht absichert, dann könnte sich im ungünstigsten Fall jeder mit seinem Laptop vor die Tür stellen und die Daten abrufen. Ein weiterer ärgerlicher aber nicht ganz so tragischer Fall ist, wenn man seinen DSL-Anschluss über WLAN in der Wohnung oder im Haus verteilt und der Nachbar nutzt den Anschluss gleich mit und raubt einem die Bandbreite. Um zu helfen solche Zwischenfälle zu vermeiden, möchten wir uns in diesem Artikel mit der Absicherung eines WLAN-Netzwerks beschäftigen.

Ändern der Default-Einstellungen

Jeder Hersteller liefert seine WLAN-Komponenten mit einem Default-Setup aus, bei dem zum Beispiel ein Administrator festgelegt ist, der sich ohne Eingabe eines Kennworts in die Konfigurations- und Sicherheitseinstellungen einloggen kann und dort alles ändern kann. Der erste Schritt sein Netzwerk also richtig sicher zu machen wäre diese Daten so zu ändern, dass hier kein Unbefugter Zugang erlangen kann ohne das Passwort zu kennen, denn sonst sind alle im weiteren Verlauf dieses Artikels beschriebenen Sicherheitsmaßnahmen umsonst.

Verschlüsselte Datenübertragung

Es gibt viele Möglichkeiten das WLAN-Netzwerk abzusichern. Zum einen wäre da die Verwendung einer Datenübertragung. Dazu muss sowohl der Access-Point oder WLAN-Router sowie die WLAN-Karte im PC / Notebook den selben Verschlüsselungsmechanismus unterstützen. Alle modernen Geräte sollten WEP (Wired Equivalent Privacy – dem Kabel gleichende Sicherheit) unterstützen. Doch auch hier gibt es Unterschiede. Zum einen gibt es in Abhängigkeit vom WLAN-Standard (a/b/g) verschiedene Stufen der Verschlüsselung. Die Standards “b” und “g” kommen mit Schlüsseln bis zu 128 Bit zurecht, während beim, mittlerweile schon zum alten Eisen gehörenden Standard “a” bis zu 152 bittige Schlüssel verwendet werden können. Generell bleibt hier zu sagen, dass man auf jeden Fall immer die höchstmögliche Verschlüsselung verwenden sollte, da sie die maximal mögliche Sicherheit bietet und, da sie durch die Netzwerkhardware ver- bzw. entschlüsselt wird keinerlei Geschwindigkeitseinbußen mit sich bringt. Warum also auf höhere Sicherheit verzichten?
Letzten Endes bleibt hier noch zu sagen, dass man seiner Netzwerkhardware immer wieder die neuesten Treiber und Firmware-Updates spendieren sollte, da immer wieder Fehler (auch die Sicherheit betreffend) behoben werden. Bestes Beispiel dafür sind die “unsicheren” Pakete, die bei einigen Geräten mit alter Firmware übertragen werden können. Ca 0,1 % aller gesendeten Pakete enthalten bei diesen Geräten für die Verschlüsselung kritische Daten ungeschützt. Sie können mit speziellen Tools von jedem mitgehört und dann verwendet werden.

Begrenzung der Hardware-Adressen

Eine weitere Möglichkeit sein WLAN sicherer zu machen ist die Einschränkung der Hardware, die auf den Access-Point zugreifen darf. Jede WLAN-Karte und jedes andere WLAN-Produkt besitzt eine Hardware-Adresse, die so genannte MAC-Adresse. Diese besteht aus 6 hexadezimalen Zahlenpaaren und sollte eigentlich jede Netzwerkkomponente in einem Netzwerk eindeutig identifizieren. Allerdings besteht hier bei manchen Geräten die Möglichkeit die MAC-Adresse per Hand zu ändern und sich somit als “jemand anders” auszugeben. Allerdings müsste man um dies “sinnvoll” betreiben zu können schon die gewünschte MAC-Adresse kennen, da man ansonsten 12¹⁶ Adressen ausprobieren müsste, um die passende zu finden. Viele Access-Points bieten hier die Möglichkeit MAC-Adressen einzutragen, welchen die Erlaubnis erteilt werden soll sich auf dem Access-Point einloggen zu dürfen. Diese Einschränkung macht allerdings nur in kleineren Netzwerken Sinn. Man stelle sich hier einmal den Aufwand vor, dies bei Netzwerken mit mehreren hundert Rechnern zu verwalten.