Wireless LANs optimieren
Absicherung des Access Points
Nachdem der Access Point (AP) angeschlossen und die Software auf einem Client-Rechner installiert ist, sollte der Benutzer als Erstes das Administrator-Passwort ändern. Denn der AP ist sofort online und somit auch für Fremde sichtbar. Die werksseitig voreingestellten Passwörter sind bekannt, entsprechende Listen kursieren im Internet.
Viele APs bieten die Möglichkeit, die Konfiguration nur über Clients im LAN zu erlauben. Mit dieser Einstellung verhindern Sie, dass ungebetene Besucher im Funknetz Ihren AP umkonfigurieren.
Ein betriebsbereiter AP sendet regelmäßig so genannte Beacons aus, um seine Anwesenheit bekannt zu machen. Schon allein dadurch erfährt ein potenzieller Angreifer, wo ein WLAN läuft, selbst wenn gerade kein normaler Datenverkehr stattfindet. Schalten Sie, falls möglich, diese Beacons aus und verbieten Sie gleichzeitig die Anmeldung mit der SSID "Any". Befugte Clients können sich immer noch im WLAN anmelden, weil sie auf die richtige SSID konfiguriert sind. Unerwünschte Gäste haben es schwerer: Sie müssen schon Datenverkehr belauschen, um herauszufinden, ob ein AP vorhanden ist und auf welche SSID er konfiguriert wurde.
Die SSID des APs sollten Sie auf jeden Fall ändern. Damit verhindern Sie von vornherein Probleme, so beispielsweise wenn die Nachbarfirma einen AP desselben Herstellers betreibt. Verwenden Sie allerdings dabei keine SSID, die Rückschlüsse auf Ihre Firma oder Organisationsstrukturen erlaubt. Über solche Informationen können gewiefte Hacker mittels "Social Engineering" Ansatzpunkte für den Angriff auf Ihr WLAN erhalten.
Viele APs erlauben das Festlegen autorisierter MAC-Adressen, die mehr oder weniger eindeutige Seriennummern der Netzwerkkarten darstellen. Wird diese Funktion geboten, sollte sie eingesetzt werden. Vor allem in kleineren Funknetzen ist die Konfiguration nicht allzu aufwendig und dürfte die meisten Gelegenheitshacker bereits abhalten.
Bei großen WLAN-Installationen sind jedoch weiter gehende Funktionen zur MAC-Verwaltung erforderlich, zum Beispiel Import von MAC-Listen, sonst wird die Administration sehr kompliziert. Absoluten Schutz bietet diese Funktion allerdings auch nicht. Ein Angreifer muss nur den Netzwerkverkehr belauschen, um benutzte MAC-Adressen herauszufinden. Auf diese konfiguriert er dann seine eigene Karte und kann auf das WLAN zugreifen.