Aus DIGITUS - Wiki

WirelessLAN bietet den Komfort, dass man weiträumig und Kabellos auf das Internet oder heimische Netzwerk zugreifen.

Aber genau das können andere auch, sofern das drahtlose Netzwerk falsch oder gar nicht konfiguriert ist.

Oftmals werden von Internet Providern auch Router mit WirelessLAN Funktion Ausgeliefert bei der diese auf den ersten Blick gar nicht zu erkennen ist. Als Folge daraus wird der Router über ein Netzwerkkabel mit dem Computer Verbunden und eine Internet Verbindung darüber aufgebaut, was dem Nachbarn neben an freut denn ab jetzt kann er bequem und „Kostenlos“ über ihre Internet Verbindung Surfen und Daten downloaden.

Nach dt. Gesetz haftet jeder für seinen Internetanschluss und kann zur Rechenschaft gezogen werden. Dies betrifft nicht nur das Runterladen von Urheberrechtlich-geschützter Musik oder Filme, sondern vor allem auch Straftaten wie z. B. Betrug, Diebstall, Spionage etc.

WirelessLAN Verschlüsselung

Wichtig für die Sicherheit ist ein Netzwerkschlüssel der für die nötige Verschlüsselung sorgt.

Folgende Typen stehen zur Verfügung

• WEP (Wireless Equifalent Privacy)
• WPA (Wi-Fi Protected Access)
  • WPA-PSK (Wi-Fi Protected Access - Pre-ShardKey)
• WPA2 (Wi-Fi Protected Access 2)
  • WPA2-PSK (Wi-Fi Protected Access 2 - Pre-ShardKey)

Wir empfehlen zumindest WEP mit einer Schlüssellänge von mindestens 128Bit zu verwenden da dieser bereits einen guten Basisschutz bietet und für die meisten Heim und Firmen Anwender ausreichend sein sollte.

WirelessLAN Verstecken / SSID Ausblenden

Die meisten WirelessLAN AccessPoint und Router bieten die Möglichkeit die SSID (Service Set Identifier) also der Name der angezeigt wird wenn sie nach einem WirelessLAN in Reichweite ihres Computers suchen, aus zu schalten. Dies wird irrtümlich oftmals als „WirelessLAN Verstecken“ falsch interpretiert. Das Funknetz kann nach wie vor gefunden werden nur dessen Bezeichnung wird nicht mit gesendet. Ein Schutz vor Missbrauch der WirelessLAN Verbindung kann diese Funktion allerdings nicht bieten.

• Die richtige SSID

Die SSID sollte so gewählt werden das ein Rückschluss auf den Besitzer nicht oder nur schwer möglich ist. Außerdem sollte die im Router oder Access Point als Standard eingerichtete SSID nicht verwendet werden da ansonsten ein Rückschluss auf das Verwendete Gerät gezogen werden könnte und dadurch eventuelle Schwachstellen direkt angegriffen werden könnten.

Windows sucht generell bevorzugt nach Netzwerken mit eingeschalteter SSID. Versteckt man diese, so kann ein Angreifer von Außerhalb einen eigenen Access Point aufsetzen, der eben die SSID aussendet, die im eigenen Netzwerk versteckt wird. Dadurch aber verbindet sich Windows automatisch im nächsten Scan-Durchlauf mit dem Fake-AP und somit können die Logindaten (WPA-Passwort zum Beispiel) ohne großen Aufwand ausgelesen und anschließend verwendet werden.

Deswegen ist es nur ratsam, die SSID eingeschaltet zu lassen.

MAC – Filtering

Bei der MAC Adresse (Wikipedia)handelt es sich um eine Weltweit einmalige Nummer die auf ihrer Netzwerkkarte (egal ob Kabel oder Funk basierend) „eingeprägt“ ist. Da diese Nummer nur einmal vorkommt kann dies wie ein Fingerabdruck als Zugangskontrolle verwendet werden. In Verbindung mit einer WirelessLAN Verschlüsselung kann die Sicherheit in einem WirelessLAN stark erhöht werden da es nicht ausreicht den richtigen Schlüssel zu besitzen wenn der „Daumenabdruck“ nicht akzeptiert wird.

Zusätzliche Sicherheit bietet außerdem ein MAC-Filter. Die MAC-Adresse (Wikipedia) ist eine einmalige Adresse. Diese gibt es nur einmal auf der ganzen Welt. Mit Hilfe dieser Adressen kann der Filter im Router eingerichtet werden und weitere Adressen, die nicht eingetragen sind wird der Zugriff auf Netzwerk verweigert.

Weitere Informationen zur MAC-Adresse und wie man diese herausfindet gibt es hier IP Config Wikipedia

Key-Renewal

Der Key-Renewal Intervall ist die Zeit in Millisekunden, in der ein neuer Schlüssel mit den verbundenen Clients erzeugt wird. Je geringer der Wert, desto öfter wird ein neuer Schlüssel vereinbart.
Daraus folgt, dass Angreifer nicht so schnell den Algorythmus "sniffen" können.

In vielen Routern ist dieser Wert auf 3600ms gesetzt und kann entweder auf diesem Wert gelassen, oder gar erhöht werden.br> Sniffer wie Aircrack-ng setzen zum Beispiel eben auf diesen Key-Renewal Intervall, da hierdurch der Handshake neu ausgehandelt und der Passwort-Algorythmus verschlüsselt übersendet wird.

Die folgenden Artikel sind extern und beziehen sich lediglich auf WPA-TKIP. Die Verschlüsselung WPA2-AES bleibt weiterhin die sicherste.

• www.heise.de
  • Sicherheitsexperten geben Details zum WPA-Hack bekannt
  • WPA angeblich in weniger als 15 Minuten knackbar

Weiterführende Artikel

• Oberbegriff Sicherheit
• Bluetooth Sicherheit
• Router Firewall
• Phishing und Sozialengineering
• Anonymes surfen und andere Lügen

Externe Artikel

• Wikipedia
  • Wireless Equifalent Privacy
  • Wi-Fi Protected Access
  • Wi-Fi Protected Access 2
  • SSID (Service Set Identifier)
  • Wireless Access Point
  • MAC-Filter