Bequem, schnell – aber unsicher. So werden WLANs oft charakterisiert. Und es stimmt tatsächlich: Die WLAN-Standards 802.11a/b/g bieten zwar einen bequemen Einstieg in die Welt der kabellosen Netze – doch um die Sicherheit ist es wahrlich schlecht bestellt. Insbesondere wenn es um sensible Daten wie Finanzen, Geschäftspläne oder persönliche Briefe geht, sollten die Sicherheitslücken im WLAN gestopft oder zumindest verkleinert werden.
Achtung: Luftlöcher und offene Scheunentore
Schuld am Image des unsicheren WLAN-Netzwerks hat pikanterweise die Datenverschlüsselung, die eigentlich alles abhörsicher machen soll. Eklatante Sicherheitslücken des im 802.11-Standard implementierten WEP-Algorithmus (Wired Equivalent Privacy) machen WLAN-Netzwerke trotz aktivierter Verschlüsselung offen für Hacker und Schnüffler.
Das Fiasko der WLAN-Verschlüsselung WEP konnte trotz der über 12-jährigen Entwicklung des IEEE-Standards 802.11 nicht verhindert werden. Zum Leidwesen aller WLAN-Nutzer hat es das IEEE-Gremium nicht geschafft, praxistaugliche Sicherheitsmechanismen im WLAN-Standard zu verankern. Das kryptografische WEP-Verfahren hat sich in der Praxis als mangelhaft und unbrauchbar erwiesen. Zwar muss der private Gelegenheitssurfer nicht gleich befürchten, dass sein Datenverkehr immer mitgehört wird, wenn er WEP einsetzt und den Schlüssel in regelmäßigen Abständen erneuert. Bei sensiblen Daten sollten jedoch nicht blind auf die WEP-Verschlüsselung vertrauen. Engagierte Hacker brauchen weniger als 30 Minuten, um die Schlüssel zu knacken und den WLAN-Verkehr dann ungehindert abhören zu können.
Gewappnet mit einfachen Werkzeugen wie einem WLAN-Notebook, Range-Extender-Antenne und entsprechender Software hat sich der Einbruch in bestehende WLAN-Netze – auch War-Driving genannt – regelrecht zum Volkssport entwickelt. Über das geknackte Funknetz steht einem Angreifer eine gefährliche Hintertür offen, die an der Firewall vorbei auf direktem Weg zu zum gesamten Netzwerk führt.
WPA – Die bessere Verschlüsselung, aber auch nicht viel sicherer
Um die Sicherheitslücke zu schließen, wurde das neue Verschlüsselungsverfahren WPA (Wi-Fi Protected Access) entwickelt. Es ist tatsächlich sicherer als das alte WEP-Verfahren. Mehr aber auch nicht: Es sicherer, aber nicht sicher.
Das Problem bei WPA: Es ist anfällig für so genannte Denial-of-Service-Attacken (DoS), da er den WLAN-Adapter für 60 Sekunden deaktiviert, sobald innerhalb von einer Sekunde mehr als ein potenzielles Angriffspaket entdeckt wird. Damit wird das Netz zwar vor Eindringlingen geschützt – allerdings zum Preis eines komplett lahm gelegten WLAN-Adapters.
Zudem: Für findige Hacker ist auch die WPA-Verschlüsselung keine große Hürde. Sie brauchen für einen Eingriff zwar wesentlich länger als beim alten WEP-Verfahren – unüberwindlich ist die WPA-Hürde aber keinesfalls.
Trotzdem sollten Sie bei der Anschaffung der WLAN-Hardware darauf achten, dass die Geräte zumindest WPA unterstützen. Dann verfügen Sie zumindest über ein gewisses Mindestmaß an Sicherheit und schrecken zumindest Gelegenheits-Hacker oder -Schnüffler ab.
Wichtig zudem: Die WPA-Verschlüsselung nutzt nur, wenn Sie sie auch aktivieren. Bei der Installation neuer Geräte ist in vielen Fällen zunächst gar keine Verschlüsselung aktiviert – sie müssen sie explizit im Access-Point/Router und(!) den Clients aktivieren. Erst dann ist das Funknetz geschützt.
Ob Ihr Funknetz mittels WPA geschützt ist, können Sie leicht herausfinden:
1. Klicken Sie in der Taskleiste in der rechten unteren Ecke (neben der Uhr) doppelt auf das Symbol für die Drahtlosverbindung ([KAP-09-ICON-Funknetz.tif]). Windows öffnet daraufhin das Dialogfenster Status von Drahtlose Netzwerkverbindung.
Sollte das Symbol in der Taskleiste fehlen, können Sie das Dialogfenster auch über die Systemsteuerung erreichen. Wählen Sie in der Systemsteuerung (Start | Systemsteuerung) das Symbol Netzwerk- und Internetverbindungen. Klicken Sie anschließend auf Netzwerkverbindungen sowie Drahtlose NEtzwerkverbindung.
2. Klicken Sie auf die Schaltfläche Eigenschaften.
3. Wechseln Sie in das Register Drahtlosnetzwerke.
4. Markieren Sie im unteren Bereich des Dialogfensters Ihr WLAN, und klicken Sie auf Eigenschaften.
5. Das Feld Netzwerkaufthentifizierung verrät Ihnen, ob ihr WLAN sicher ist oder nicht. Bei sicheren Netzwerken sind folgende Werte aktiviert:
Netzwerkauthentifizierung: WPA-PSK
Datenverschlüsselung: TKIP
Ist Ihr Netzwerk ungesichert (Netzwerkauthentifizierung: Offen) sollten Sie so schnell wie möglich die Verschlüsselung aktivieren. Hierzu müssen Sie zunächst auf dem Access-Point/Router die WPA-Verschlüsselung aktivieren und einen Netzwerkschlüssel (Kennwort) vergeben – dieses tragen Sie dann auch als Netzwerkschlüssel in das oben genannte Dialogfenster ein. Die genaue Vorgehensweise ist leider von Hersteller zu Hersteller verschieden. Im Handbuch Ihres Acess Points/Routers finden Sie weitere Informationen.
Bei Windows XP ist die WPA-Verschlüsselung erst seit dem Service Pack 2 an Bord. Wenn Ihr Windows XP noch nicht über das Service Pack 2 verfügt, sollten Sie es nachträglich installieren. Sie finden es auf der Windows-Updateseite von Microsoft (windowsupdate.microsoft.com).
VPN – Wirklich sicher
Es geht übrigens auch wirklich sicher: Für Profis gibt es tatsächlich eine sichere Lösung, um Hacker aus dem WLAN zu verbannen. Das Zauberwort lautet VPN – Virtual Private Network. Dank VPN können Sie die Authentifizierung und die Verschlüsselung der übertragenen Daten so einrichten, dass sich selbst hartnäckige Hacker die Zähne daran ausbeißen. Der Clou: Virtual Private Networks setzen auf eine bestehende, unsichere Netzwerkverbindung auf. Hierüber muss sich der Client bei der Gegenstelle zunächst eindeutig identifizieren, erst danach erfolgt die verschlüsselte Datenübertragung. Auch wenn der Angreifer Zugang zum WLAN hat, kann er die Daten nicht mitlesen oder unbemerkt verändern. Ein VPN zwischen WLAN-Clients und dem Firmennetz stellt somit die beste Absicherung vor unerlaubtem Eindringen in das Netzwerk dar.
Die VPN-Lösung hat sich im Praxiseinsatz bereits bestens bewährt: Zahlreiche Universitäten und Firmen mit sensiblen Daten verwenden die VPN-Lösung bereits erfolgreich für einen sicheren WLAN-Zugang der Studenten und Mitarbeiter auf das interne Netzwerk. So viel Sicherheit kostet aber viel Arbeit: Die Einrichtung eines VPN-Zugangs ist nicht trivial und sollte nur von erfahrenen Netzwerkadministratoren durchgeführt werden.
Weitere Tipps für ein (einigermaßen) sicheres WLAN
Auch wenn die WPA-Verschlüsselung aus dem eigenen Netzwerk kein Fort Knox machen kann: Die WPA-Verschlüsselung sollte trotzdem stets Verwendung finden. Daneben gibt es weitere sinnvolle Maßnahmen, um Hackern das Leben so schwer wie möglich zu machen:
– SSID nicht broadcasten
Jede WLAN verfügt über eine so genannte SSID. Das ist der persönliche Name des drahtlosen Netzwerks. Um es Hackern möglichst schwer zu machen, sollten Sie den Broadcast (das Übermitteln) des Namens im Netzwerk abschalten. Die genaue Vorgehensweise ist leider je nach Access Point/Router unterschiedlich. Die genaue Vorgehensweise steht im Handbuch Ihres Access Points/Routers. In den meisten Fällen müssen Sie auf der Konfigurationsseite des Routers die Option Broadcast des Netzwerksnamens (SSID) erlauben ausschalten.
Bei der Gelegenheit sollten Sie auch gleich den Netzwerknamen ändern. Bei den meisten Routern bleibt nach der Installation der Standardname eingetragen – ein gefundenes Fressen für Hacker und Eindringlinge. Ändern Sie ihn auf einen individuellen neuen Namen. Wichtig dabei: Auf den Clients müssen Sie den Namen ebenfalls ändern.
– Begrenzen Sie die verfügbaren DHCP-Adressen
Alle Clients im drahtlosen Netz erhalten normalerweise vom Router eine eindeutige IP-Adresse. Diese Aufgabe übernimmt der so genannte DHCP-Dienst. Üblicherweise stellt DHCP hierzu 256 Adressen oder mehr zur Verfügung. Das ist viel zu viel. Begrenzen Sie einfach die Zahl der möglichen DHCP-Adressen auf die Anzahl der Clients in Ihrem Netzwerk. Verfügen Sie beispielsweise über drei PCs (egal, ob kabelgebunden oder drahtlos), geben Sie auch nur genau drei Adressen frei. Die genaue Vorgehensweise zum Begrenzen des DHCP-Adressraums steht im Handbuch Ihres Access Points/Routers.
– Nur bekannte MAC-Adressen zulassen
Jede Netzwerkkarte verfügt über eine weltweit einmalige so genannte MAC-Adresse. Sie finden die MAC-Adresse zumeist auf einem kleinen Aufkleber auf der Netzwerkkarte oder dem Notebook. Sie ist zehnstellig und besteht aus Buchstaben und Ziffern, beispielsweise in der Form MAC: 00 04 23 65 59 B7.
Jede Netzwerkkarte hat eine weltweite eindeutige MAC-Adresse. Ein Aufkleber verrät die Buchstaben-/Ziffernfolge. Sie finden den Aufkleber meist direkt auf der Netzwerkkarte, dem Notebook oder dem PDA.
Um das Netzwerk zu schützen, lassen Sie im WLAN nur die MAC-Adressen zu, die auf den Aufklebern Ihrer Clients (Netzwerkkarten, Notebooks u.ä.) stehen. Bei den meisten WLAN-Routern können Sie hierzu die Liste der zugelassenen MAC-Adresse eintragen. Die Folge: Ab sofort dürfen nur noch die eingetragenen MAC-Adresse Ihr Netzwerk verwenden – alle anderen bleiben draußen.