Grundlagen der WiFi-Sicherheit

Zusammenfassung

Dieser Artikel befasst sich mit dem Schutz drahtloser Netzwerke. Er gibt praktische Informationen und Empfehlungen, wie man ein sicheres WiFi-Netzwerk einrichtet und wartet.

Vorwort

Drahtlose Netzwerke werden immer verbreiteter, und in fast jedem heute verkauften Laptop ist die Hardware zur Unterstützung drahtloser Verbindungen bereits enthalten. Online zu sein und dabei mobil zu bleiben ist ein großer Vorteil sowohl für die geschäftliche als auch für die private Internetnutzung – man ist nicht mehr durch Kabel an einen bestimmten Ort gebunden, wenn man ins Internet gehen möchte. Drahtlose „Hotspots“ in Flughäfen und Hotels sind heutzutage schon Standard, und viele Handheld-Geräte sind mit WiFi-Modulen ausgestattet, die den Internetzugang unterwegs ermöglichen. Drahtlose Signale werden durch Wände, Decken und andere Hindernisse hindurch übertragen, so dass Sie den Informationsreichtum des Internets genießen können, während Sie draußen in der Sonne liegen und Ihr drahtloser Router gleichzeitig ein Internetsignal an jeden Computer in Ihrem Haushalt sendet.

Diese Freiheit hat natürlich auch einen Nachteil: es besteht eine größere Notwendigkeit, sich der Sicherheitsrisiken im Internet bewusst zu sein und zusätzliche Maßnahmen zum Schutz der drahtlosen Verbindung zu ergreifen.

Sicherheit und öffentlicher Wireless-Zugang

Gehen wir einmal von der Voraussetzung aus, dass drahtlose Netzwerke aufgrund der Schwachstellen der Funkübertragung anfälliger für Einbrüche und Lauschangriffe sind als körperliche, kabelbasierte Netzwerke. Ein Eindringling muss tatsächlich mit dem Ziel-Kabelnetzwerk verbunden sein, um die übertragenen Daten abfangen oder überwachen zu können. Zum Einbruch in ein drahtloses Netzwerk hingegen muss er lediglich in Reichweite des Signals sein.

Öffentliche Hotspots stellen ein besonderes Risiko dar, da die Daten hier in unverschlüsselter Form weitergeleitet werden können und so für Hacker sichtbar sind. Mit den entsprechenden Werkzeugen können Hacker ganz einfach Datenpakete „ausschnüffeln“, wieder zusammensetzen und vertrauliche Informationen extrahieren. Das sind zum Beispiel Passwörter für E-Mail-Konten, private Instant-Messaging-Unterhaltungen und andere unverschlüsselte Daten, die Ihren Computer unweigerlich verlassen, wenn Sie sich mit verschiedenen Autorisierungs-Servern im Internet verbinden. Eine Technik mit der Bezeichnung VNP-Tunnelung (VPN – Virtual Private Network) kann dazu beitragen, die Sicherheitsrisiken durch unverschlüsselte Verbindungen zu senken; das würde jedoch den Rahmen dieses Artikels sprengen.

Was kann also jemand mit einem WiFi-fähigen Laptop tun, um an öffentlichen Orten sicher auf das Internet zugreifen zu können?

Zunächst einmal sollte man daran denken, alle Programme auf dem neuesten Stand zu halten: Installieren Sie die aktuellsten Patches für Betriebssystem und Anwendungen und überprüfen Sie die Hersteller-Website Ihres Wireless-Anschlusses auf die neuesten Treiber und Firmware-Aktualisierungen.

Als nächstes sollten Sie die „Freigabe von Dateien und Druckern“ für jedes öffentliche Netzwerk deaktivieren, mit dem Sie sich verbinden möchten. Das schränkt den Zugriff auf die gemeinsamen Dokumente und Einstellungen Ihres Computers über das nicht vertrauenswürdige WLAN (Wireless LAN) ein, lässt die Internetverbindung aber dennoch zu.

Natürlich haben Sie sicherlich auch eine Firewall wie etwa Outpost Firewall Pro installiert, um Ihre Verbindungen gegen „Mittelsmann“-Angriffe zu schützen, bei denen die Angreifer versuchen, entweder einen Zugriffspunkt (Access Point = AP) zu kriminellen Zwecken einzurichten und Sie dazu zu bringen, über diesen eine Verbindung herzustellen oder durch die oben erwähnten Schnüffeltechniken Datenpakete während der Übertragung abzufangen.

Als nächstes konfigurieren Sie die Software für Ihren drahtlosen Anschluss oder den Installationsassistenten für Drahtlos-Netzwerke in Windows so, dass NICHT automatisch eine Verbindung zu jedem neu gefundenen Drahtlos-Netzwerk hergestellt wird. Wenn es an Ihrem Standort mehr als ein drahtloses Netzwerk gibt, errichten Sie einen nach Prioritäten, die der Stufe der Vertrauenswürdigkeit entsprechen, geordneten Satz von Netzwerken. Achten Sie darauf, den drahtlosen Anschluss an Ihrem Laptop zu deaktivieren, wenn Sie den Internetzugang nicht verwenden.

Machen Sie es sich zur Gewohnheit, die verfügbaren WiFi-Netzwerke um sich herum in Erfahrung zu bringen, wenn Sie unterwegs sind - welche in Betrieb sind und wer das jeweilige Netzwerk betreibt. Falls möglich, verbinden Sie sich mit einem Netzwerk, das von Ihrem derzeitigen Standort (Hotel, Flughafen-Informationsstand, Café usw.) betrieben wird.

Einer der Hauptpunkte, an die Sie denken sollten, ist es, dass Sie alle Aktivitäten vermeiden sollten, die die Übertragung von Passwörtern und anderen vertraulichen Daten über ein drahtloses Netzwerk ohne WPA2-Verschlüsselung erfordern. Das umfasst das Senden und Empfangen von E-Mails, das Einloggen in Nicht-HTTPS-Webseiten, das Durchführen von finanziellen Transaktionen. Das Surfen im Internet und Ansehen von Wetterberichten, Sportergebnissen oder anderen frei verfügbaren Nachrichten ist vermutlich kein allzu großes Risiko, jedoch sollte man während unverschlüsselter Surf-Sitzungen alle Aktivitäten vermeiden, die eine persönliche Identifizierung erfordern.

Ein abschließender Punkt: Zwei drahtlose Geräte können sich über die Ätherwellen direkt miteinander verbinden und ein Ad-hoc-Netzwerk einrichten. Einige übersehene Konfigurationseinstellungen in einigen Wireless-Anschlüssen ermöglichen die automatische Einrichtung eines Ad-hoc-Netzwerks, ohne dass die Zustimmung der Anwender erforderlich wäre. Achten Sie darauf, dass Ihr System so konfiguriert ist, dass das nicht möglich ist.

Einrichten eines persönlichen WiFi-Netzwerks und sicheres Herstellen einer Verbindung

Verschlüsselung ist in drahtlosen Netzwerken der Schlüssel zur Datensicherheit. Um Ihr eigenes WiFi-Netzwerk sicher einzurichten, benötigen Sie einen Router oder Accesspoint, der die WPA2-Verschlüsselung unterstützt. Selbst dann sollten Sie eine starke Passphrase wählen, die sowohl Brute Force (Durchprobieren aller möglichen Kombinationen) als auch Wörterbuchattacken standhalten kann. Verwenden Sie einen dieser Passwort-Generatoren. Schwächere Verschlüsselungsalgorithmen wie WPA (mit kurzer Passphrase) oder WEP können innerhalb von Minuten geknackt werden, also empfehlen wir Ihnen, die WPA2-Verschlüsselung zu verwenden. Einige Router bieten ein Upgrade von früheren Algorithmen auf WPA2 durch einen Firmware-Wechsel.

Eine andere Möglichkeit zur Erhöhung der grundlegenden WiFi-Netzwerksicherheit ist es, das Standard-Login für den Fernzugriff auf die Konfigurationsseite Ihres Accesspoints zu ändern. Wenn Ihr Gerät mit der werksmäßig zugewiesenen Standard-Kombination „Admin“ / „Admin“ für Benutzername und Passwort geliefert wird, sollten Sie das so schnell wie möglich in unverwechselbarere und schwerer zu erratende Daten ändern. So verhindern Sie, dass potenzielle Eindringlinge die Sicherheitseinstellungen Ihres Routers verändern und sich selbst durch eigene Berechtigungen Zugriff auf Ihr persönliches Netzwerk gewähren.

Weitere empfohlene Sicherheitsmaßnahmen sind unter anderem:

• Weisen Sie Ihrem Netzwerk eine einmalige SSID (Accesspoint–Identifikation) zu – das ist der Name Ihres Netzwerkes, der veröffentlicht wird und für diejenigen sichtbar ist, die nach verfügbaren WiFi-Netzwerken suchen. Übermitteln Sie die WPA2-Passphrase auf sichere Art und Weise an autorisierte Personen, die sich mit Ihrem Netzwerk verbinden (Netzwerk-Clients), oder konfigurieren Sie die Zugriffseinstellungen dieser Clients manuell und weisen Sie sie an, sich nur mit dem Netzwerk mit dem festgelegten Namen zu verbinden.



• Achten Sie auf das Auftauchen neuer Accesspoints in Ihrer Nähe und erinnern Sie Ihre mobilen Clients an die Gefahren, die die Verbindung mit einem falschen oder bösartigen Zugangspunkt mit sich bringt. Das können unter anderem Hacker sein, die den Datenverkehr von und zu den Clients mitlesen und sogar ein Kabelnetzwerk übernehmen können, wenn der Client gleichzeitig mit einem Ethernet-LAN verbunden ist.



• Aktivieren Sie in Ihren Router-Einstellungen die IP- und MAC-Filter. Der MAC-Filter ermöglicht Ihnen die manuelle Freigabe von Netzwerk-Anschlüssen mit bestimmten Hardware-Nummern, so dass Geräten ohne die entsprechende Nummer der Zugriff auf das Netzwerk nicht gestattet wird. Der IP–Filter verwendet dasselbe Prinzip – nur Clients mit IP-Nummern, die Sie als vertrauenswürdig festlegen, dürfen die Verbindung herstellen. Das erfordert jedoch das Deaktivieren des DHCP-Servers in Ihrer Router-Konfiguration und die manuelle Zuweisung zulässiger IP-Nummern. Darüber hinaus ist es für Sie vielleicht sinnvoll, die Anzahl der Clients einzuschränken, die sich mit dem Router verbinden dürfen (durch Beschränkung der Subnet-Zahlen auf den notwendigen Wert) und Zeitintervalle festzulegen, in denen der Router Ihnen den Netzwerkzugang erlaubt (diese Funktion ist nicht bei allen Geräten verfügbar).



• Begrenzen Sie die Sendereichweite, so dass der Zugriff nur auf eine bestimmte Entfernung möglich ist. Das Signal wird dann unterdrückt, wenn eine bestimmte Reichweite überschritten wird.



• Denken Sie darüber nach, die SSID zu verbergen - eine Option, auf die Sie von der Konfigurationsseite Ihres Routers aus zugreifen können – so wird Ihr Netzwerk nicht mehr unter den verfügbaren Netzwerken aufgelistet, wenn Clients eine neue Suche durchführen. Alle bereits vorher konfigurierten Einstellungen des Clients werden angewendet, und Computer, die bereits mit dem SSID verbunden wurden, werden diese Station auch weiterhin erkennen können.

Schlussfolgerungen

Drahtlose Netzwerke erweitern Mobilität und Internetzugriff, was sich in vielen Situationen als nützlich erweist. Leider bieten die Standardeinstellungen meistens keinen ausreichenden Schutz, so dass zusätzliche Anstrengungen des Anwenders nötig sind, um die Einstellungen sicher zu machen. Wenn Sie die hier gegebenen Ratschläge befolgen, sind Sie auf Weg zu einer risikofreien drahtlosen Kommunikation ein ganzes Stück weitergekommen.