Wireless-Netzwerk-Praxis
Tipps und Tricks - WLANs sicher konfigurieren
Drahtlose Netze, so prophetisch kann man heute durchaus sein, dürften über kurz oder lang in jedem Kleinbüro, Home-Office oder halbwegs technikaffinen Haushalt zu finden sein. Allein die rasante Verbreitung von drahtlosen Endgeräten wie Notebooks, Smartphones und - ganz wichtig - Tablet-PCs wird WLAN allgegenwärtig machen. Der Sicherheit der drahtlosen Zugriffsmöglichkeiten kommt damit noch mehr Bedeutung zu. Auch wenn Deutschland den Schutz der WLANs ernster nimmt als andere Länder, zeigte bereits eine lokal stark eingeschränkte Analyse im Dezember 2010, dass immer noch etwa 4 Prozent der Wireless Local Area Networks komplett ungesichert und mehr als 15 Prozent lediglich mit dem veralteten Verschlüsselungsstandard WEP geschützt waren.
Diese Werte sind deutlich besser als noch vor zwölf Monaten. Das Thema Sicherheit ist also bei den Benutzern angekommen. Trotzdem gehören ungesicherte oder nur mit WEP geschützte WLANs im Jahr 2011 aus dem Verkehr gezogen. Dafür sollte schon das Urteil des Bundesgerichtshofs vom 12.05.2010 (Az. I ZR 121/08) sorgen. Das Urteil stellte klar, dass der Betreiber eines WLANs den Anschluss vor dem unbefugten Zugriff Dritter sichern muss. Versäumt er dies und begehen Dritte über den WLAN-Anschluss Rechtsverstöße, beispielsweise durch illegale Musiktauschbörsen, dann kann man auf Unterlassung der Rechtsverstöße in Anspruch genommen und abgemahnt werden. Dem Bundesgerichtshof zufolge muss das WLAN mit den zum Zeitpunkt der Installation marktüblichen Sicherungen geschützt werden.
- Sicheres WLAN
Nur wer drin ist, darf ins WLAN: Eine Access-Control Liste bei Ruckus. - Sicheres WLAN
Schützt nur rudimentär: Keine DHCP-Funktion bei einem APC Access Point. - Sicheres WLAN
Achtung Ausrufezeichen: Unter Windows 7 sagt der PC auf diese Weise, dass die Verbindung unverschlüsselt erfolgt. - Sicheres WLAN
Auch Zyxel Access Points schützen auf Wunsch per Access Control List. - Sicheres WLAN
Bei Windows 7 lässt sich die Verbindungen mit einem WLAN auch automatisch herstellen, wenn dessen SSID verdeckt ist. Voraussetzung: Die Verbindung kam bereits einmal erfolgreich zustande. - Sicheres WLAN
Tarnmodus: Ein Klick auf diese Funktion schaltet den SSID Broadcast ab. - Sicheres WLAN
VLANs verwalten: Mehrere SSIDs werden meist in Verbindung mit VLANs genutzt. Hier legt Ruckus fest, welche Ports und SSIDs zu welcher VLAN ID gehören. - Sicheres WLAN
Schlüsselbund: Bei WEP konnte man mehrere Schlüssel eingeben, um einfacher zwischen den Einträgen wechseln zu können . - Sicheres WLAN
Abschalten hilft immer: Eine Zeitsteuerung für das WLAN spart Strom und sorgt zu den deaktivierten Zeiten für absolute Sicherheit. - Sicheres WLAN
Alles auf einen Blick: Bei Ruckus ist die WLAN-Sicherheit eine einfache Angelegenheit.
Als Privatperson ist man nicht verpflichtet, den WLAN-Schutz ständig auf den neuesten Stand zu bringen, eine einmalige gute Sicherung bei der Installation reicht aus. Doch schon um die eigenen Computer und anderen WLAN-fähigen Endgeräte zu schützen, sollte der Schutz des WLANs ernst genommen und regelmäßig nachgebessert werden. Schließlich war auch WEP noch vor nicht allzu langer Zeit ein adäquates Mittel zum Absichern des drahtlosen Datenverkehrs.
Wie üblich kann es keine absolute Sicherheit geben, ein Schlupfloch wird sich immer auftun, wenn man nur lange und ausdauernd genug sucht. Aber es ist wichtig, zum einen die rechtlichen Anforderungen zu erfüllen und zum anderen den unbedarften Drive-by-Angreifer auszusperren. Natürlich ist es schade, dass auf diese Weise harmlose Nutzer, die einfach nur einen WLAN-Zugang für einen schnellen E-Mail-Check benötigen, außen vor bleiben. Aber für die gibt es in Deutschland etwa 15.000 Hotspots.
Keine SSIDs senden
Der erste Schritt muss immer sein, sein eigenes WLAN so gut wie möglich zu verstecken. Wenn niemand weiß, dass ein Funknetzwerk existiert, wird es auch keine Angriffe geben. Dazu erlauben alle aktuellen und fast alle älteren Access Points, die Ausstrahlung des Service Set Identifiers (SSID) zu unterbinden. Zugang zum Netz gibt es dann nur, wenn man den SSID explizit in den Client einträgt. Bei einer nicht-trivialen Buchstaben- und Zahlenkombination ist das zufällige Erraten ausgeschlossen. Man sollte also auch den Default-Namen, häufig der Name des Herstellers wie "Netgear" oder "Zyxel", tunlichst verändern, um Rückschlüsse auf die verwendete Hardware und den Einsatzort wie "Charlys Cafe" zu vermeiden.
Der SSID dient bei der Anmeldung an einem WLAN und beim Handover zwischen zwei benachbarten Funkzellen dazu, den nächsten Access Point zu finden. Die maximale Länge eines SSIDs beträgt 32 Byte, seine Übertragung geschieht auf Layer-2 als Parameter in einem speziellen, in regelmäßigen Abständen übertragenen Paket, dem sogenannten Beacon Frame. Dieser Mechanismus, der SSID Broadcast, lässt sich über die Benutzeroberfläche des Access Points abstellen.
Allerdings hilft diese Maßnahme nur gegen flüchtige Beobachter. Wer sich mit drahtlosen Netzwerken auskennt und in der Lage ist, einen Protokoll-Analyzer zu bedienen, kann aus mitgeschnittenen Paketen die SSID extrahieren. Zudem sollte man sich auf mögliche Probleme mit bestimmten Endgeräten einstellen. So konnte Windows XP SP2 keine Verbindung zu WLANs aufbauen, bei denen der SSID Broadcast abgeschaltet war.