Check von außen
Schritt 1 - Broadcast-Pakete und SSID
Damit Der (WLAN-)Router nicht zum Einfallstor wird, ist es wichtig, ihn einigen Checks zu unterziehen und abzusichern. Testen Sie deshalb, was Ihr Router über sich und das Netzwerk preisgibt. Von außen, ohne Teilnehmer im Netzwerk zu sein, sowie von innen aus dem eigenen (W)LAN. Beginnen Sie mit den Broadcast-Datenpakete ("Beacons"): Sie informieren alle Geräte in Reichweite über Geschwindigkeit, MAC-Adresse des Routers, Kanal und Verschlüsselung.
Der Router schickt diese Pakete etwa zehnmal pro Sekunde heraus. Um das Netzwerk sicherer zu machen, greifen viele Nutzer immer noch auf einen alten Trick zurück: Die SSID, also der Netzwerkname, wird im Router abgeschaltet und das WLAN damit vermeintlich unsichtbar. Abgesehen von einem höheren Konfigurationsaufwand bringt dieser Schritt aber nichts. Denn eine versteckte SSID verhindert nur, dass der Router in den Broadcast-Paketen den Netzwerknamen öffentlich bekannt macht, die Pakete werden jedoch trotzdem verschickt und identifizieren das WLAN. Das Tool Inssider zeigt verfügbare WLANs in der Umgebung an, egal ob die SSID aktiviert ist oder nicht. Bei der SSID ist lediglich darauf zu achten, dass damit keine internen Infos über das Routermodell oder das Kennwort preisgegeben werden.
Schritt 2 - MAC-Adresse entschlüsseln
Eine weitere Info, die der Router in den Broadcast-Paketen mitteilt, ist die eigene MAC-Adresse. Sie steht auch bei WLANs, die über eine Verschlüsselung verfügen, im Klartext in den Netzwerkpaketen und wird hier auch BSSID genannt. Diese Adresse ist für jedes Gerät einmalig und enthält in den ersten sechs Stellen den Herstellernamen des Routers oder des Netzwerkchips. Die MAC-Adresse des Routers lässt sich auch mit Inssider anzeigen. In der Übersicht der Netzwerke klicken Sie zu diesem Zweck mithilfe der rechten Maustaste die Tabellenüberschrift an und wählen im Anschluss daran im Menü "Vendor". Auf eigene Faust können Sie die MAC-Adresse eines Geräts auf der englischsprachigen Webseite www.coffer.com/mac_find entschlüsseln.
Schritt 3 - Sicherheitslücken in der Router-Firmware
Die Kombination aus MAC und den verfügbaren WLAN-Standards (a/b/g/n) ist immer ein Hinweis auf das Router-Modell. Eine übersehene Gefahr sind die Router selbst. Hier schlummern in der Firmware oft Sicherheitslücken, die nie durch Hersteller-Updates behoben wurden. Eine umfangreiche, recht aktuelle Datenbank mit bekannten Schwachstellen bietet die englischsprachige Open Source Vulnerability Database unter http://osvdb.org. Hier können Sie im Feld "General Search" mit einer Volltextsuche nach Sicherheitslücken von Routern forschen - etwa, indem Sie den Herstellernamen eingeben.
Schritt 4 - Tückische WPS-Lücke
Ein hartnäckiges Problem ist die oft unsichere Implementierung von WPS (Wi-Fi Protected Setup) in Routern. WPS möchte die Konfiguration der WLAN-Clients über ein PIN-Verfahren vereinfachen. Seit Anfang 2012 sind aber bereits Sicherheitslücken bekannt: Oft lässt sich die PIN von WPS einfach per Ausprobieren knacken. Durch die verräterischen Antworten vieler Router reichen bereits 11.000 Anmeldeversuche aus, um eine PIN zu erraten und darüber ins WLAN zu kommen. Bei den meisten Routern ist WPS außerdem standardmäßig eingeschaltet. Das Ausnutzen dieser Sicherheitslücke ist derzeit noch versierten Linux-Anwendern vorbehalten, denn das dazu nötige Tool Reaver-WPS lässt sich nur unter Linux kompilieren. Mit dem Live-System Kali Linux (Download der ISO-Datei unter www.kali.org, englischsprachig, 2,3 GB) kann man sich den Aufwand sparen, denn hier ist Reaver bereits einsatzfertig vorinstalliert. Bevor Reaver-WPS in Aktion treten kann, müssen Sie allerdings noch den WLAN-Chip in den Monitormodus umschalten. Dies gelingt am einfachsten mit dem Programm Aircrackng. In Kali Linux schalten Sie in einem Terminal-Fenster mit dem Kommando
airmon-ng start wlan0 |
die Netzwerkkarte um. Anschließend steht die WLAN-Schnittstelle unter einer neuen Kennung bereit, in den meisten Fällen lautet diese mon0. Wenn Sie den Namen der eigenen WLAN-Schnittstelle und die MAC-Adresse des Routers haben, können Sie Reaver-WPS nach folgendem Schema einsetzen:
reaver -i mon0 -b [Router-MAC] -vv |
Da es sich hierbei jedoch um einen Brute-Force-Angriff handelt, kann der Check bis zu mehreren Stunden dauern. Für den Fall, dass der Angriff gelingt, erhalten Sie im Terminal die Ausgabe mit dem gefundenen WPA-Schlüssel. Auch wenn der Angriff für Sie wegen mangelndem Linux-Know-how nicht in Frage kommen sollte: Schalten Sie die WPS-Funktionalität im Router vorsichtshalber ab, wenn Sie sich nicht absolut sicher sind, dass der Hersteller diese weit verbreitete Sicherheitslücke behoben hat. Anwender, die AVM-Geräte im Einsatz haben, können dagegen beruhigt sein, denn die Fritzbox ist nicht verwundbar.