Die Installation und Konfiguration von Funknetzen ist heute dank vorkonfigurierter Hardware verhältnismäßig leicht. Bei kleinen Netzen, die meist aus nur wenigen Stationen bestehen, geschieht dies in der Regel fast automatisch. Der Nachteil dieses Luxus: fehlende Sicherheit. Denn praktisch alle Funknetze sind in der werksseitigen Voreinstellung offen für jedermann. Es reicht, dass ein WLAN-Notebook zufällig in die Funkzelle eines anderen Netzes gerät - schon bucht es sich automatisch in dies fremde Netz ein, DHCP auf Server und Client vorausgesetzt.
Manchmal mag das sogar erwünscht sein, zum Beispiel in Meetings, wenn Präsentationen ohne weitere Konfiguration auf den Notebooks der Teilnehmer erscheinen sollen, oder an kostenpflichtigen, öffentlich zugänglichen Hot Spots wie etwa Flughäfen. Für den Einsatz im Firmen-LAN oder zu Hause müssen allerdings zusätzliche Sicherungsmaßnahmen gegen unbefugtes Einloggen oder Mithören getroffen werden.
Dieser Beitrag liefert Ihnen wichtige Informationen zur Installation von WLAN-Clients und Access Points (APs) und beschreibt empfehlenswerte Verfahren zur Optimierung der Sicherheit in Funknetzen.
Client-Installation
Bei der Client-Einrichtung sind in der Regel Treiber des Herstellers sowie zusätzliche Software zur Konfiguration (Betriebsmodus, SSID, Kanalnummer) und zur Messung der Signalqualität zu installieren. Windows XP enthält die erforderlichen Treiber in den meisten Fällen, ältere Windows-Versionen benötigen zusätzliche Treiber. Bei Einsatz von DHCP muss auch der Client entsprechend konfiguriert werden.
In der werksseitigen Voreinstellung steht die SSID üblicherweise auf "Any" und WEP ist abgeschaltet. Der Client bucht sich damit automatisch in jedes Funknetz ein, das er findet, sofern das Netz dies nicht verhindert, zum Beispiel mit einer WEP-Verschlüsselung. Für einen Test auf bereits vorhandene WLANs ist das eine sinnvolle Einstellung. Wird ein fremdes WLAN gefunden, zeigt die Client-Software die SSID an, die dem Namen des Funknetzes entspricht, und die Kanalnummer. Es empfiehlt sich, die eigene Kanalnummer mit einem Abstand von vier zum fremden Netz zu wählen, damit es zu möglichst wenig Störungen kommt. Die 13 hier zu Lande in einem 802.11b-Funknetz möglichen Kanäle liegen nämlich so eng beieinander, dass nur vier Netze gleichzeitig störungsfrei betrieben werden können.
Für ein Ad-hoc-Netzwerk stellt der Anwender auf allen Clients den entsprechenden Modus ein (Ad-hoc-Modus) sowie gegebenenfalls die gleiche SSID und die gleiche Kanalnummer (1 bis 13), falls nicht sofort eine Verbindung zustande kommt. Normalerweise ist das jedoch nicht nötig. Wird ein Access Point (AP) verwendet, ist der Infrastruktur-Modus zu wählen.
Ist kein DHCP-Server vorhanden, müssen die statischen IP-Adressen aller Clients aus dem gleichen Subnetz stammen, zum Beispiel 192.168.0.1 für den ersten Client, 192.168.0.2 für den zweiten und so weiter. Mit dem Befehl "ipconfig" in der Kommandozeile von Windows XP lässt sich das leicht kontrollieren, mit dem Kommando "Ping ip-adresse" wird die Erreichbarkeit der anderen Clients geprüft. Für Hot Spots und Ad-hoc-Netzwerke ist allerdings ein DHCP-Server erste Wahl.
Treten Verbindungsprobleme auf, ist der Grund meist eine falsche SSID oder Kanalnummer oder die Stationen liegen zu weit auseinander.
Access-Point-Einrichtung
Der Access Point (AP) stellt die Verbindung ins Festnetz her und die Kommunikation der Clients untereinander. Er wird normalerweise an einen vorhandenen Switch oder Hub angeschlossen. Optional ist über eine zusätzliche Netzwerkkarte die Anbindung an den Server möglich, der für die Kommunikation zuständig ist. Dieser Server kann dann auch gleich weitere Sicherheitsmaßnahmen gegen unerwünschte Eindringlinge treffen.
Die Access-Point-Konfiguration erfolgt über herstellerspezifische Software - häufig bequem über ein Web-Interface. Damit überhaupt eine Verbindung vom LAN zum AP hergestellt werden kann, muss dieser eine IP-Adresse verwenden, die im Festnetz gültig ist. Einige APs haben jedoch fest voreingestellte IP-Adressen, wie zum Beispiel 192.168.0.1, so dass der zur Konfiguration genutzte Rechner gegebenenfalls kurzfristig umzukonfigurieren ist.
Heute verfügen selbst preiswerte APs oder Kombigeräte über integrierte DHCP-Server, so dass der AP die IP-Verwaltung des LAN komplett übernehmen kann. Für kleinere Netzwerke ist dies eine praktische Lösung, da sich der Anwender nicht mehr um die TCP/IP-Einstellungen kümmern muss. Wird bereits ein DHCP-Server eingesetzt, ist der AP entsprechend zu konfigurieren, damit keine IP-Kollisionen entstehen.
Bei nur einem AP ist die gesamte Einrichtung und Konfiguration sehr einfach, bei größeren Installationen mit mehreren APs, etwa für Hot Spots in Bahnhöfen oder Flughäfen, können jedoch Schwierigkeiten auftreten. Die Größe der Funkzellen wird entscheidend von der Umgebung bestimmt. Die Dichte der APs muss durch sinnvolles Planen und Ausprobieren ermittelt werden, auch unter Berücksichtigung der geplanten Anzahl von Anwendern pro Funkzelle. Die Protokolle für die Kommunikation der APs untereinander, die das Roaming der Anwender ermöglichen, sind derzeit noch nicht standardisiert. Die Anwender sind hier also auf Produkte eines Herstellers angewiesen.
Absicherung des Access Points
Nachdem der Access Point (AP) angeschlossen und die Software auf einem Client-Rechner installiert ist, sollte der Benutzer als Erstes das Administrator-Passwort ändern. Denn der AP ist sofort online und somit auch für Fremde sichtbar. Die werksseitig voreingestellten Passwörter sind bekannt, entsprechende Listen kursieren im Internet.
Viele APs bieten die Möglichkeit, die Konfiguration nur über Clients im LAN zu erlauben. Mit dieser Einstellung verhindern Sie, dass ungebetene Besucher im Funknetz Ihren AP umkonfigurieren.
Ein betriebsbereiter AP sendet regelmäßig so genannte Beacons aus, um seine Anwesenheit bekannt zu machen. Schon allein dadurch erfährt ein potenzieller Angreifer, wo ein WLAN läuft, selbst wenn gerade kein normaler Datenverkehr stattfindet. Schalten Sie, falls möglich, diese Beacons aus und verbieten Sie gleichzeitig die Anmeldung mit der SSID "Any". Befugte Clients können sich immer noch im WLAN anmelden, weil sie auf die richtige SSID konfiguriert sind. Unerwünschte Gäste haben es schwerer: Sie müssen schon Datenverkehr belauschen, um herauszufinden, ob ein AP vorhanden ist und auf welche SSID er konfiguriert wurde.
Die SSID des APs sollten Sie auf jeden Fall ändern. Damit verhindern Sie von vornherein Probleme, so beispielsweise wenn die Nachbarfirma einen AP desselben Herstellers betreibt. Verwenden Sie allerdings dabei keine SSID, die Rückschlüsse auf Ihre Firma oder Organisationsstrukturen erlaubt. Über solche Informationen können gewiefte Hacker mittels "Social Engineering" Ansatzpunkte für den Angriff auf Ihr WLAN erhalten.
Viele APs erlauben das Festlegen autorisierter MAC-Adressen, die mehr oder weniger eindeutige Seriennummern der Netzwerkkarten darstellen. Wird diese Funktion geboten, sollte sie eingesetzt werden. Vor allem in kleineren Funknetzen ist die Konfiguration nicht allzu aufwendig und dürfte die meisten Gelegenheitshacker bereits abhalten.
Bei großen WLAN-Installationen sind jedoch weiter gehende Funktionen zur MAC-Verwaltung erforderlich, zum Beispiel Import von MAC-Listen, sonst wird die Administration sehr kompliziert. Absoluten Schutz bietet diese Funktion allerdings auch nicht. Ein Angreifer muss nur den Netzwerkverkehr belauschen, um benutzte MAC-Adressen herauszufinden. Auf diese konfiguriert er dann seine eigene Karte und kann auf das WLAN zugreifen.
Verschlüsselung
Um Funknetze halbwegs sicher zu betreiben, sollten die nach dem 802.11b-Standard zur Verfügung stehenden Schutzmaßnahmen angewendet werden. Dazu gehören vor allem die Beschränkung des Zugriffs anhand der Client-Adressen sowie eine WEP-Verschlüsselung der übertragenen Daten.
Die derzeit effektivste Methode zur Absicherung von Funknetzen ist die Verwendung von WEP. Die Vor- und Nachteile dieser Verschlüsselungsart schildert Ihnen ausführlich der Beitrag "Sicherheit in Wireless LANs" unseres WLAN-Specials. Alle modernen WLANs bieten eine 128- beziehungsweise 104-Bit-Verschlüsselung, wobei jedes einzelne Paket mit einem eigenen Schlüssel verschlüsselt wird. Das Knacken dieses so genannten Shared Keys ist zwar für erfahrene Angreifer möglich, aber äußerst aufwendig.
Der Shared Key ist allen Clients und dem Access Point bekannt. Damit der Anwender ihn nicht umständlich eintippen muss, finden sich häufig Phrasen-Generatoren, die aus einer Zeichenkette den Key berechnen. Der Shared Key oder die Passwort-Phrase funktioniert genau wie ein Passwort, dementsprechend gelten die gleichen Anforderungen hinsichtlich Auswahl und Schutz.
WEP hält zuverlässig Gelegenheitshacker oder zufällig vorbeikommende Funker fern. Auch der Nachbar, der auf fremde Kosten surfen möchte, wird sich schwer tun damit - einen uneinnehmbaren Schutzwall bietet WEP indes nicht.
Erweiterte Sicherheit
Die beschriebenen Verfahren sichern ein WLAN nur bedingt ab. Für kleine Firmen oder Heimbüros mögen diese Methoden angemessen sein, mittelständische Betriebe oder große Firmen haben zumeist ein erheblich größeres Sicherheitsbedürfnis. Hier reichen die Standardverfahren zur Absicherung drahtloser Netzwerke nicht aus. Stattdessen wird mit virtuellen privaten Netzwerken (VPN) gearbeitet. Der Access Point (AP) verbindet dabei die drahtlosen Clients mit einem Security Gateway, über das ein verschlüsselter Tunnel ins eigentliche Netz erzeugt wird.
Bei dem Gateway kann es sich um einen Rechner unter Windows oder Linux handeln oder um eine so genannte Appliance. Das ist eine auf genau diesen Einsatzzweck zugeschnittene Hardware-Lösung, die lediglich ins Netz integriert werden muss. Der Vorteil: Das Betriebssystem dieser Lösung ist weit weniger anfällig für Hackerangriffe.
Die Verschlüsselung bei VPNs ist deutlich effektiver als mit WEP und also sicherer. Zudem bietet das Security Gateway, unabhängig von der Anzahl der eingesetzten APs, eine zentrale und somit leicht zu verwaltende Stelle im LAN. (kmo)