Wireless-Netzwerk-Praxis

Tipps und Tricks - WLANs sicher konfigurieren

Per WLAN surfen ist bequem, aber nur dann empfehlenswert, wenn die falschen - respektive die richtigen WLAN-Nutzer - draußen bleiben. Die korrekte Konfiguration ist nicht schwer, muss aber geplant und konsequent umgesetzt werden - wir zeigen, wie.

Drahtlose Netze, so prophetisch kann man heute durchaus sein, dürften über kurz oder lang in jedem Kleinbüro, Home-Office oder halbwegs technikaffinen Haushalt zu finden sein. Allein die rasante Verbreitung von drahtlosen Endgeräten wie Notebooks, Smartphones und - ganz wichtig - Tablet-PCs wird WLAN allgegenwärtig machen. Der Sicherheit der drahtlosen Zugriffsmöglichkeiten kommt damit noch mehr Bedeutung zu. Auch wenn Deutschland den Schutz der WLANs ernster nimmt als andere Länder, zeigte bereits eine lokal stark eingeschränkte Analyse im Dezember 2010, dass immer noch etwa 4 Prozent der Wireless Local Area Networks komplett ungesichert und mehr als 15 Prozent lediglich mit dem veralteten Verschlüsselungsstandard WEP geschützt waren.

Diese Werte sind deutlich besser als noch vor zwölf Monaten. Das Thema Sicherheit ist also bei den Benutzern angekommen. Trotzdem gehören ungesicherte oder nur mit WEP geschützte WLANs im Jahr 2011 aus dem Verkehr gezogen. Dafür sollte schon das Urteil des Bundesgerichtshofs vom 12.05.2010 (Az. I ZR 121/08) sorgen. Das Urteil stellte klar, dass der Betreiber eines WLANs den Anschluss vor dem unbefugten Zugriff Dritter sichern muss. Versäumt er dies und begehen Dritte über den WLAN-Anschluss Rechtsverstöße, beispielsweise durch illegale Musiktauschbörsen, dann kann man auf Unterlassung der Rechtsverstöße in Anspruch genommen und abgemahnt werden. Dem Bundesgerichtshof zufolge muss das WLAN mit den zum Zeitpunkt der Installation marktüblichen Sicherungen geschützt werden.

Als Privatperson ist man nicht verpflichtet, den WLAN-Schutz ständig auf den neuesten Stand zu bringen, eine einmalige gute Sicherung bei der Installation reicht aus. Doch schon um die eigenen Computer und anderen WLAN-fähigen Endgeräte zu schützen, sollte der Schutz des WLANs ernst genommen und regelmäßig nachgebessert werden. Schließlich war auch WEP noch vor nicht allzu langer Zeit ein adäquates Mittel zum Absichern des drahtlosen Datenverkehrs.

Wie üblich kann es keine absolute Sicherheit geben, ein Schlupfloch wird sich immer auftun, wenn man nur lange und ausdauernd genug sucht. Aber es ist wichtig, zum einen die rechtlichen Anforderungen zu erfüllen und zum anderen den unbedarften Drive-by-Angreifer auszusperren. Natürlich ist es schade, dass auf diese Weise harmlose Nutzer, die einfach nur einen WLAN-Zugang für einen schnellen E-Mail-Check benötigen, außen vor bleiben. Aber für die gibt es in Deutschland etwa 15.000 Hotspots.

Keine SSIDs senden

Der erste Schritt muss immer sein, sein eigenes WLAN so gut wie möglich zu verstecken. Wenn niemand weiß, dass ein Funknetzwerk existiert, wird es auch keine Angriffe geben. Dazu erlauben alle aktuellen und fast alle älteren Access Points, die Ausstrahlung des Service Set Identifiers (SSID) zu unterbinden. Zugang zum Netz gibt es dann nur, wenn man den SSID explizit in den Client einträgt. Bei einer nicht-trivialen Buchstaben- und Zahlenkombination ist das zufällige Erraten ausgeschlossen. Man sollte also auch den Default-Namen, häufig der Name des Herstellers wie "Netgear" oder "Zyxel", tunlichst verändern, um Rückschlüsse auf die verwendete Hardware und den Einsatzort wie "Charlys Cafe" zu vermeiden.

Tarnmodus: Ein Klick auf diese Funktion schaltet den SSID Broadcast ab.
Tarnmodus: Ein Klick auf diese Funktion schaltet den SSID Broadcast ab.

Der SSID dient bei der Anmeldung an einem WLAN und beim Handover zwischen zwei benachbarten Funkzellen dazu, den nächsten Access Point zu finden. Die maximale Länge eines SSIDs beträgt 32 Byte, seine Übertragung geschieht auf Layer-2 als Parameter in einem speziellen, in regelmäßigen Abständen übertragenen Paket, dem sogenannten Beacon Frame. Dieser Mechanismus, der SSID Broadcast, lässt sich über die Benutzeroberfläche des Access Points abstellen.

Allerdings hilft diese Maßnahme nur gegen flüchtige Beobachter. Wer sich mit drahtlosen Netzwerken auskennt und in der Lage ist, einen Protokoll-Analyzer zu bedienen, kann aus mitgeschnittenen Paketen die SSID extrahieren. Zudem sollte man sich auf mögliche Probleme mit bestimmten Endgeräten einstellen. So konnte Windows XP SP2 keine Verbindung zu WLANs aufbauen, bei denen der SSID Broadcast abgeschaltet war.