Robert Chapman, Geschäftsführer von Firebrand Training, hat ein kostenloses Whitepaper mit dem Titel "Das WLAN im Visier" veröffentlicht, in dem er das Vorgehen von WLAN-Hackern und mögliche Gegenmaßnahmen aufzeigt. Wir haben die wichtigsten Hinweise daraus für Sie zusammengestellt und mit eigenen Tipps angereichert. So schützen Sie Ihr WLAN gegen Gefahren von außen:
Unverfängliche Zugangsdaten verwenden
Eine häufig ausgenutzte Schwachstelle im drahtlosen Netzwerk ist die falsche Definition des SSID (Service Set Identifier), der Benutzerkennung eines Netzes. WLAN-Betreiber machen oftmals den Fehler, Firmen- oder Privatnamen als Kennung einzusetzen. Angreifer können dadurch schnell feststellen, wo genau sich ein Netz befindet, sobald sie sich in dessen Nähe aufhalten und ein Signal empfangen. Mitunter erhalten sie über einen unvorsichtigen Netznamen mitunter sogar Aufschluss über die vorhandenen Daten. Da sich 30 bis 40 Prozent der Passwörter aus der SSID-Kennung ableiten lassen (viele Betreiber wählen Namen oder Begriffe aus ihrem direkten Umfeld), besteht darüber hinaus die Gefahr, dass sich Dritte unerlaubt in das Netz einwählen. Firebrand empfiehlt eine unverfängliche SSID-Kennung, die keine Rückschlüsse auf Standort, Daten und Passwort zulässt. Wichtig: Niemals für Kennung und Passwort ein- und denselben Begriff wählen!
Des Weiteren ist es notwendig, die ab Werk eingestellten Default-Begriffe umzubenennen. Keine andere Nutzer/Passwort-Kombination wird so häufig geknackt wie "admin/admin", weil diese sehr häufig voreingestellt ist und vom Anwender nie geändert wurde. Ist ein Angreifer erst einmal im Netz, kann er nach Belieben alle Sicherheitseinstellungen und die Zugangsdaten ändern. Im schlimmsten Fall kommt der Betreiber dann selbst nicht mehr in das Netz, der unerwünschte Besucher aber schon. Um dem noch sicherer vorzubeugen, sollten WLAN-Betreiber die Remote-Management-Funktionen, die Access Points und WLAN-Router aus dem Internet von einem entfernten Rechner aus administrierbar machen, lieber gleich vollständig deaktivieren.
Beacon Broadcasting ausschalten
Die meisten Access Points und WLAN-Router versenden ihre SSID-Kennung in regelmäßigen Zeitabständen, um den Clients in der Umgebung mitzuteilen, welche drahtlosen Netze verfügbar sind. Diese Funktion nennt sich "Beacon Broadcasting" und sollte in jedem Fall ausgeschaltet werden. Potenzielle Angreifer werden dann nicht mehr allzu leicht auf ein Netz gestoßen, sondern müssen erst mit passiven Scannern/Sniffern eine Umgebung auf WLANs und deren SSID-Kennung prüfen. Diese Tools fangen Datenpakete ab, die aus Netzen heraus versendet werden, und identifizieren dadurch auch versteckte WLANs. Da das passive Scannen nach versteckten Netzen sehr aufwändig ist, setzen es viele Hacker nicht ein. Das Ausschalten des Beacon Broadcastings steigert den Netzschutz deshalb erheblich, wenn auch gezielte Angriffe auf ganz bestimmte WLANs damit nicht unterbunden werden können. Ein weiterer Nachteil: Alle Clients müssen so konfiguriert werden, dass sie auch auf das "unsichtbare" Netz zugreifen können. Darüber hinaus erschweren nicht sichtbare Netze die Fehlersuche und -analyse - besonders dann, wenn sich das Netz in einer Umgebung mit mehreren WLANs befindet.
Ordnerfreigaben beachten
Selbst wenn Angreifern der erfolgreiche Login gelingt, sollten sie nicht sofort auf alle beliebigen Dateien zugreifen können. Nur die wichtigsten Verzeichnisse und Drucker sollten für alle Clients freigegeben sein. Wichtig: Das Betriebssystem so einstellen, dass nur autorisierte Benutzer auf die freigegebenen Ordner und Geräte Zugriff erhalten.
MAC-Adressen-Autorisierung einsetzen
Router und Access Points neuerer Bauart unterstützen die Möglichkeit, über Access Control Lists (ACLs) den Zugriff nur für autorisierte Clients zu gewähren. Durch dieses Whitelist-Verfahren wird allen nicht in der Geräte-Adressenliste aufgeführten Rechnern der Netzzugang per se untersagt. Der Administrator muss die MAC-Adressen aller autorisierten WLAN-Karten manuell eintragen. Wird eine ACL erst nachträglich angelegt, lassen sich in der Regel aus dem Router die Geräte-Adressen der bereits im Netz aktiven Rechner auslesen und automatisch eintragen. Hacker können sich nur dann in ein ACL-geschütztes Netz einwählen, wenn sie vor der Listenanlegung schon einmal im Netz unterwegs waren. Das Arbeiten mit solchen Listen scheitert vor allem in größeren Unternehmensnetzen aber häufig an der aufwändigen Pflege.
Feste IP-Adressen bestimmen
Soweit möglich, sollten alle Clients ausschließlich feste IP-Adressen verwenden. Einer per DHCP automatisch zugewiesene dynamische IP-Adresse erleichtert es Angreifern, in das Netz einzudringen. Je größer der Bereich der zugelassenen IP-Adressen ist, desto eher finden Unbefugte ein Einfallstor. Daher sollte die Zahl der erlaubten Adressen auf die der durch eine festgelegte IP autorisierten Clients beschränkt sein.
Ad-hoc-Modus deaktivieren
Im eingeschalteten Ad-hoc-Modus werden Netze entsprechend der Anzahl der sich neu einwählenden Geräte erweitert oder verkleinert, die zugelassenen IP-Adressbereiche variieren somit ständig. Dabei spielt es keine Rolle, ob eine feste oder dynamische IP verwendet wird. Der Ad-hoc-Modus ist bei vielen WLAN-fähigen Endgeräten standardmäßig aktiviert, wird in den meisten Fällen aber nicht benötigt. Er sollte auf allen Clients ausgeschaltet sein, weil er ein oft übersehenes beliebtes Einfallstor für Unbefugte darstellt.
WPA2-Verschlüsselung einstellen
Um den Datenfluss innerhalb des WLANs abzusichern, ist eine WPA2-Verschlüsselung (Wi-Fi Protected Access) dringend zu empfehlen. Das System verwendet zur Absicherung anstelle von Passwörten (wie bei der unsicheren WEP-Verschlüsselung) vom Anwender ausgesuchte Passphrasen, aus denen es einen Schlüssel generiert. Dieser Schlüssel wird in unregelmäßigen Abständen verändert - selbst während eine Verbindung aktiv ist. Hinterlegt sind die Schlüssel auf einem zentralen Server, mit dem sie regelmäßig abgeglichen werden. Die extrem starke AES-Verschlüsselung (Advanced Encryption Standard) schützt die Informationen zusätzlich. Geknackt werden konnte WPA2 bisher nicht. Trotzdem sollten Anwender zu kurze oder leicht zu erratende Passwörter, aus denen die Passphrasen erzeugt werden, vermeiden. Prinzipiell gilt: Ein Passwort sollte mindestens 14 Zeichen lang sein, Buchstaben in Groß- und Kleinschreibung sowie Ziffern enthalten. Keinesfalls Begriffe wählen, die mit dem persönlichen oder beruflichen Umfeld zusammenhängen und erraten werden könnten.
Virtual Private Networks (VPNs) nutzen
Wer seinen Client vor der direkten Zugriffsmöglichkeit auf das Netz bewahrt, indem er ihn in ein Virtual Private Network (VPN) integriert und dieses als zwischengeschalteten Zugang nutzt, ist noch besser geschützt. Die Anmeldung im WLAN erfolgt nicht direkt auf dem Access Point oder Router, sondern über die VPN-Software. Beliebt sind VPNs vor allem dann, wenn sie den Datenverkehr mit IPsec oder PPTP (Point to Point Tunneling Protocol) verschlüsseln können. Auf diese Weise ist die Kommunikation vom Client über den Access Point bis hin zum VPN-Gateway geschützt. Gerade für Zweigstellen großer Unternehmen ist VPN eine interessante Möglichkeit, da so neben dem WLAN-Verkehr auch die Datenübertragung über das Internet in die Unternehmenszentrale abgesichert werden kann. Kosteneffizient einsetzbar ist die VPN-Technik besonders dann, wenn Außendienstmitarbeiter sicher an das interne Netz angebunden sein sollen. Bislang scheitert dieses Verfahren aber oft noch an inkompatibler Client-Software und dem fehlenden technischen Know-how in den Unternehmen.
Auf die Sendestärke aufpassen
Das Funksignal eines Drahtlosnetzes sollte nur in einen möglichst kleinen Umgebungsradius ausstrahlen. Die Sendestärke muss ausreichen, damit alle regulären Clients Zugriff erhalten, ein Angreifer von außerhalb aber kaum die Chance hat, sich mit dem Netz zu verbinden. Im Idealfall lässt sich die Ausleuchtung durch den Einsatz von Antennen so definieren, dass Clients außerhalb des Firmengebäudes kein Signal mehr empfangen. Ebenso erlauben manche Geräte, die Sendeleistung auf den kleinsten akzeptablen Wert zu reduzieren. Bereits beim Kauf der Geräte sollten Anwender daher auf ein entsprechendes Feature achten. Auch beim Aufbau können Netzbetreiber schon etwas für die Sicherheit tun, indem sie die Access Points intelligent platzieren. Ein Standort direkt am Fenster zu einer viel befahrenen Straße macht sicherlich weniger Sinn als einer in der Mitte der Büroetage. Andere, aber weitaus kostspieligere Möglichkeiten sind metallbedampfte Fenster, Wände mit funkhemmenden Materialien und Richtfunkantennen.
Vorsicht vor Honeypots!
Wer häufiger mit seinem Notebook in der Stadt unterwegs ist, wird sicherlich eine ganze Menge offener WLANs entdecken. Doch nicht immer ist das auf Gutmenschentum oder unvorsichtige Betreiber zurückzuführen. Immer mehr Kriminelle versuchen, mit scheinbar intakten offenen Access Points (Honeypots) an E-Mails, persönliche Daten oder elektronische Geschäftsunterlagen unbehelligter Anwender zu kommen. Wer hier beruflich oder privat stur nach dem Prinzip "Geiz ist geil" verfährt und darauf setzt, dass andere für den eigenen Internetkonsum aufkommen werden, kann schnell in die Falle tappen. (sh)