Internet: Sicherheit: WLAN

Aus Wikibooks

WLAN-Verschlüsselung[Bearbeiten]

Aktuelle Verfahren[Bearbeiten]

WEP (Wired Equivalent Privacy) war der erste Verschlüsselungsstandard für WLAN. Es stellte sich heraus, dass das Verfahren Schwachstellen hat und mit heutiger Hard- und Software in wenigen Minuten entschlüsselt werden kann. Deshalb wurde WPA (Wi-Fi-Protected Access) 2003 als verbesserte Verschlüsselung eingeführt. Im Jahr 2004 wurde WPA zu WPA-2 weiterentwickelt. 2008 wurden Methoden gefunden, um die WPA-Verschlüsselung zu brechen. WPA-2 gilt gegenwärtig als sicher, wenn ein ausreichend langes und kompliziertes Passwort gewählt wird.

Alle Geräte im Funknetz müssen dasselbe Verschlüsselungsverfahren benutzen. Ältere Geräte unterstützen eventuell WPA und WPA-2 nicht. In diesem Fall haben Sie zwei Möglichkeiten: für das gesamte Netzwerk eine unsichere Verschlüsselung wählen oder die alten Geräte entsorgen.

Sicherheitsmaßnahmen[Bearbeiten]

  • Ändern Sie die vom Hersteller voreingestellte SSID Ihres Routers. Aus der SSID sollte man weder Eigentümer noch Standort oder Typ des Geräts erkennen können.
  • Falls Ihr Router ein Standardpasswort hat („Admin“, „0000“ oder ähnlich), ändern Sie es.
  • Konfigurieren Sie Ihren Router nur über Kabelverbindung und deaktivieren Sie die Möglichkeit, den Router über das Internet zu konfigurieren.
  • Bei manchen Routern kann man die Sendeleistung verringern. Das ist sinnvoll, wenn nur eine kurze Entfernung zu überbrücken ist. Passanten und Nachbarn haben keinen Empfang, und der Elektrosmog wird verringert.
  • Ein „DHCP“ genanntes Verfahren teilt jedem PC, der darum bittet, eine IP-Adresse zu, auch den PCs ungebetener Besucher. Es ist sicherer, den DHCP-Mechanismus auszuschalten und jedem PC manuell eine feste IP-Adresse zuzuordnen. Wie das geht, ist weiter unten beschrieben. Damit ein Hacker die IP-Adresse des Routers nicht erraten kann, sollten Sie nicht den Standard-Bereich 192.168.1.x nehmen. Für das dritte Oktett können Sie statt der „1“ jede Zahl bis zur 254 nehmen.
  • Jedes Netzwerkgerät hat eine weltweit einmalige Adresse, die „MAC-Adresse“. Bei manchen Routern kann man eine „Access Control List“ mit den MAC-Nummern derjenigen Geräte aufstellen, die Zugang erhalten dürfen. Fremde WLAN-Geräte, die nicht in der Liste stehen, werden vom Router ignoriert. Suchen Sie in den Menüs nach „MAC Address Filter“. Allerdings lässt sich die MAC-Nummer fälschen.
  • Bei vielen Routern lässt sich die Aussendung der SSID deaktivieren. Dadurch wird Ihr Router für die Nachbarschaft unsichtbar. Das scheint die Sicherheit zu erhöhen, doch tatsächlich entsteht dadurch eine Sicherheitslücke. Microsoft rät deshalb von der Deaktivierung der SSID ab.

Den WLAN-Schlüssel schützen[Bearbeiten]

Sie wollen ein neues Notebook mit dem WLAN verbinden, aber Sie können sich nicht an das Passwort erinnern? Windows 7 auf dem alten Notebook kann das WLAN-Passwort anzeigen.

  • Klicken Sie in der Taskleiste auf das WLAN-Symbol, dann mit der rechten Maustaste auf den Eintrag Ihres eigenen Netzwerks und im Kontextmenü auf „Status“. Oder: Rechtsklick auf das Windows-Symbol, Netzwerkverbindungen, Rechtsklick auf „Wifi“, Status.
  • Im Status-Fenster klicken Sie auf „Drahtloseigenschaften“ und weiter zur Registerkarte „Sicherheit“.
  • Aktivieren Sie die Option „Zeichen anzeigen“, um das Passwort zu sehen.

Das ist recht praktisch. Doch wenn Ihr Nachbarn (beim Blumengießen während Ihres Urlaubs) die Möglichkeit hat, Ihren PC zu starten oder die Rückseite Ihres Router zu betrachten (wo meist das vom Hersteller voreingestellte Passwort aufgedruckt ist), kann er sein DSL abbestellen und zukünftig über Ihr WLAN surfen.

Einem Firmen-Netzwerkadministrator würde ich raten, das WLAN-Passwort über eine Gruppenrichtlinie regelmäßig, z. B. monatlich zu ändern. Microsoft hat in https://technet.microsoft.com/en-us/magazine/gg266419.aspx und https://technet.microsoft.com/en-us/magazine/gg266419.aspx beschrieben, wie das geht (englisch). Dann brauchen die Mitarbeiter das WLAN-Passwort nicht kennen.

Ist Ihr Netzwerk nun sicher?[Bearbeiten]

Selbst wenn Sie alle beschriebenen Sicherheitsmaßnahmen einsetzen, bleibt ein Restrisiko. Ihre Datenpakete können von jedem mit geeigneten Geräten aufgefangen werden. Wenn ein Auto mit einem Hacker auf dem Beifahrersitz die Straße entlangfährt und dabei nach WLAN sucht, nennt man das „Wardriving“. Mit einem WLAN-Sniffer (deutsch: „WLAN-Schnüffler“) kann er die Verschlüsselungsmethode und die MAC-Adresse Ihres WLAN-Routers ermitteln. Das dauert nicht einmal eine Minute. Doch die WPA2-Verschlüsselung kann er nicht mit mathematischen Methoden knacken. Doch das ist kein Problem: Er muss nur warten, bis jemand einen PC einschaltet. Der PC schickt ein Datenpaket mit Benutzernamen und Passwort ab, um sich am Router anzumelden. Diese Anmeldedaten sind leider unzureichend verschlüsselt.

Und wenn der Hacker nicht so lange warten will, bis Sie endlich Ihren PC einschalten? Er sendet Störsignale und versucht damit, „Ihren PC aus dem Netz zu werfen“. Wenn das gelingt, meldet sich der PC automatisch wieder an – und der Hacker schneidet die Zugangsdaten mit! Sie meinen, das ist zu kompliziert für einen Amateur-Hacker? Auf YouTube gibt es Schritt-für-Schritt-Anleitungen, wie man mit Gratis-Programmen ein WLAN-Netzwerk knackt … Dagegen hilft wohl nur, die oben genannte Liste der erlaubten MAC-Adressen einzurichten.

Ein Hacker könnte ein Firmennetz knacken, indem er einen WLAN-Router in Firmennähe betreibt, mit dem gleichen SSID-Namen wie der Firmen-Router. Mit Störsignalen zwingt er die Firmen-PCs, sich neu anzumelden. Ein Teil von ihnen wird versuchen, sich am Hacker-Router anzumelden. Dabei wird der Benutzer aufgefordert, das WLAN-Passwort erneut einzugeben. Würde es Sie stutzig machen, wenn Sie ohne erkennbaren Anlass aufgefordert werden, Ihr Passwort erneut einzugeben? Das sollte es aber. Der Hacker-Router analysiert die Daten der auf ihn „hereingefallenen“ PCs und leitet den Datenverkehr zum Firmenrouter weiter (das nennt man einen Angriff „man-in-the-middle“ (Mann in der Mitte)). Der Firmenrouter merkt davon nichts.

Der Bundesgerichtshof hat im Mai 2010 geurteilt, dass Betreiber von ungenügend gesicherten WLAN-Netzen als „Störer“ kostenpflichtig abgemahnt werden dürfen. Die Begründung lautete: Wer ein unverschlüsseltes WLAN betreibt, begünstigt Straftaten im Internet. Bisher ist es den Abmahnanwälten wohl noch zu mühsam, durch die Straßen zu fahren und sich die unverschlüsselten Netzwerke zu notieren.

Wirkliche WLAN-Sicherheit haben Sie nur, wenn Sie alle PCs mit Kabeln verbinden und das WLAN abschalten.

Zusammenfassung: Maximale Sicherheit gewährleisten[Bearbeiten]

  • Automatische Updates aktivieren − für Windows und alle anderen Programme.
  • Regelmäßig kontrollieren, ob man bei allen installierten Anwendungen mit der jeweils neuesten Programmversion arbeitet. „Avast! Free Antivirus“ beispielsweise kann unter „Werkzeuge“ für viele installierte Programme die Versionsnummer mit den Angeboten im Internet vergleichen.
  • Surfen Sie nicht als Administrator.
  • Eines der Haupteinfallstore für Schadsoftware ist der Browser und seine Plug-ins. Firefox sammelt Ihre Daten nicht (zumindest nicht in dem Maße wie IE und Chrome) und funktioniert sogar noch mit Windows XP. Der Firefox-Browser überprüft automatisch die installierten Plug-ins und schaltet sie ab, wenn Sicherheitsrisiken bekannt sind.
  • Bei Firefox und Chrome kann man das sogenannte „Click-To-Play“ aktivieren. Zukünftig erscheint am rechten Ende der Adresszeile ein „Puzzle-Symbol“, wenn ein Plug-in wie z. B. der Flash-Player etwas abspielen will. Sie müssen dazu Ihre (einmalige oder dauerhafte) Zustimmung geben.
  • Installieren Sie NoScript, das die Ausführung von JavaScript verhindert bzw. kontrolliert.

Die meisten Angriffe erfolgen auf Sicherheitslücken in Browser-Plug-ins wie Java, Flash und PDF Reader. Deshalb ist es ein großer Sicherheitsgewinn, Plug-ins dauerhaft und individuell blockieren zu können.

Vergessen Sie nie: Das größte Sicherheitsproblem eines jeden Betriebssystems sitzt vor dem Bildschirm.

Feste IP-Adressen vergeben - am Beispiel der Fritz!Box[Bearbeiten]

  • Melden Sie sich an Ihrer Fritz!Box an. Klicken Sie am unteren Fensterrand auf „Ansicht: Standard“, damit die Anzeige zu „Ansicht: Erweitert“ wechselt. Auch bei einigen anderen Routern muss man erst in einen „Expertenmodus“ o. Ä. wechseln, damit die Menüpunkte zur Änderung der IP-Adresse angezeigt werden.
  • „Heimnetz“ → „Netzwerk“ → „Netzwerkeinstellungen“. Scrollen Sie zu „IP-Adressen“ und klicken Sie auf „IPv4-Adressen“.
  • Vom Standardwert 192.168.178.1 ändern Sie die Netzwerknummer „178“ in eine beliebige Zahl zwischen 2 und 254, empfehlenswert ist eine schwer zu erratende Zahl zwischen 101 und 199, z. B. die 131.
  • Deaktivieren Sie den DHCP-Server, dann „OK“. Nach einer Sicherheitsabfrage werden die Einstellungen übernommen. Viele Router führen jetzt einen Neustart durch, der ein bis drei Minuten dauern kann.
  • Während eines Router-Neustarts verlieren alle PC den Kontakt, und wegen der Adressänderung des Routers können sie die Verbindung nach dem Neustart des Routers nicht automatisch wiederstellen.
  • Ändern Sie jetzt an jedem PC dessen IP-Adresse. Die ersten drei Oktette müssen mit der IP des Routers übereinstimmen, also 192.168. gefolgt von der neuen Netzwerknummer (im Beispiel wurde die 131 verwendet). Das vierte Oktett muss an jedem PC ein anderes sein. Jede Zahl zwischen 2 und 254 ist möglich (die „1“ oder die „100“ wird meist vom Router verwendet). Wählen Sie Nummern, die nicht leicht zu erraten sind.
  • Klicken Sie auf „Start“ → „Einstellungen“ → „Netzwerk und Internet“ → „Netzwerk- und Freigabecenter“, dann in der linken Spalte auf „Adaptereinstellungen ändern“. Im Kontextmenü des WLAN-Adapters gehen Sie auf „Eigenschaften“.
  • Markieren Sie „Internetprotokoll 4“ und klicken Sie auf „Eigenschaften“.
  • Markieren Sie „Folgende IP-Adresse verwenden“. Tragen Sie die IP-Adressen ein. An der dritten Position tragen Sie die „131“ ein (die Beispiel-Netzwerkadresse).