Menü: WLAN
Menü: WLAN
Wireless LAN (diese Seite) und Bluetooth (Seite 2)

Wireless-LAN ermöglicht den kabellosen und mobilen Zugriff auf ein Netzwerk, so ist es z.B. möglich, mit einem Notebook oder Handheld vom Sofa oder Garten aus im Internet zu surfen oder zwei lokale Netzwerke zu verbinden (z.B. über die Strasse). Dieser Mobilität, Freiheit und Bequemlichkeit steht jedoch ein sehr großer Nachteil gegenüber:

Funksignale sind nicht einzäunbar, d.h. Funkwellen können nicht auf ein bestimmtes Areal begrenzt werden und sind somit von jedermann zu empfangen und abhörbar.

Die derzeit erhältlichen Wireless-Access-Points (i.d.R. mit einem Router kombiniert) sind von den meisten Herstellern* leider so konfiguriert, dass man sofort, ohne Einstellungen vornehmen zu müssen, loslegen kann. D.h. es sind nicht nur sämtliche Sicherheitsfunktionen deaktiviert, sondern Ihr scheinbar privates Netzwerk ist eigentlich ein öffentlicher Hot-Spot und im Einzugsbereich des Access-Points von jedermann nutzbar, welcher ein WLAN-fähiges Gerät besitzt.

*es gibt wenige Ausnahmen, die eine vorinstallierte Verschlüsselung mitbringen. Leider sind die Keys oft leicht zu erraten, weil sie mit der Mac-Adresse (Gerätenr.), die gesniffert werden kann, verknüpft wurden.

Im gesetzlichen Sinne ist nicht einmal der Sachverhalt des “Ausspähen von Daten” erfüllt, da nach der herrschenden juristischen Auffassung die Überwindung oder Umgehung einer besonderen Schutzvorkehrung vorausgesetzt wird, wovon bei einem gänzlich ungesicherten WLAN(-Funk)-Netzwerk nicht die Rede sein kann.
Sind Sie bereits Opfer, lesen Sie bitte unser Seite zur
Computerforensik.

Natürlich können auch Schutzmassnahmen wie eine schwache Verschlüsselung überwunden werden (dazu weiter unten mehr), weshalb der Sicherung eines WLAN-Netzwerks grösste Beachtung zu schenken ist.

Denn das Ausspionieren von Wireless-LAN ist zum Sport oder sogar Geschäft geworden: Es werden von einschlägigen Szenenangehörigen Wohngegenden abgefahren und schlecht oder gar nicht geschützte Netzwerke aufgespürt und angezapft (War-Driving). Durch Kreidezeichen an Hauswänden und auf Straßen werden nachfolgende War-Driver auf die Existenz eines ungeschützten Wireless-Netzes aufmerksam gemacht (sog. War Chalking).

Den Missbrauchsmöglichkeiten sind nahezu keine Grenzen gesetzt:

  • Mitbenutzung des Internetaccounts z.B. über ein, in der Nähe* parkendes, Auto oder der Nachbar...: Herunterladen oder Bereitstellung (Hochladen) illegaler Dateien/Inhalte wie z.B. Kinderpornographie oder sonstige kriminelle Machenschaften im Internet. Die Staatsanwaltschaft wird jedoch zu Ihnen kommen ! Ihre Unschuld können Sie nicht beweisen und zudem ist Ihr Ansehen beschädigt
     
  • Daten-Spionage (e-mails, Zugangsdaten, Passwörter, Inhalt von Dateien.....): hierfür gibt es spezielle Spionage-Software wie Keylogger und Spyware, siehe Seite Malware
     
  • Fernsteuerung per Backdoorsteuersoftware, siehe Seite Malware
     
  • Einschleusen von Viren & Co., siehe Seite Malware
     
  • Zerstörung des Systems

*Anmerkung: Mittels einer starken Richtantenne sind auch mehrere hundert Meter zu überwinden (unter Idealbedingungen wurde in der Wüste von Nevada bereits eine Funkdistanz von rd. 200 km überwunden) - z.B. sitzt der Angreifer auf einem entfernten Hügel und macht sich so nicht unmittelbar verdächtig.


So können Sie Ihr kabelloses Netzwerk schützen:

    • Ändern der, vom Hersteller vorgegebenen, SSID (Standardnamen sind hier z.B. “WLAN”, “WIRELESS” oder “DEFAULT”): wählen Sie eine Shared System ID (SSID), welche keine Rückschlüsse auf Familien-, Firmennamen oder das verwendete Modell des Routers/AccessPoints zuläßt, am besten noch mit Sonderzeichen gespickt.
       
    • Block Broadcast SSID (Shared System ID). Schalten Sie das Senden des Netzwerknamens (SSID) ab. Standard ist i.d.R., daß der Namen gesendet wird. Dies schützt zwar nicht vor WLAN-Suchwerkzeugen (z.B. “Network Stumbler”) aber Sie laden potentielle 0815-Hacker nicht geradezu ein und es muss, um Ihr Netzwerk zu finden, bereits kriminelle Energie eingesetzt werden (s. roten Text).
       
    • Ändern des Passwortes zur Konfiguration des Routers bzw. Accesspoints (voreingestellter Standard ist hier meistens “admin” oder “0000”).
       
    • Abschalten des DHCP-Servers (vergibt automatisch IP-Adressen): Richten Sie ein manuelles Netzwerk mit statischen IP-Adressen ein. So haben Sie erstens einen besseren Überblick, zweitens läßt sich eine Firewall so besser konfigurieren und drittens erfordert es für einen potentiellen Angreifer immens mehr Aufwand. Alternativ bietet sich die Verwendung von DHCP in Verbindung mit MAC-Authentifizierung für reservierte Adressen an.
       
    • Einschalten von MAC-Filter: Der Accesspoint akzeptiert dann nur noch wireless Clients mit bekannter MAC-Adresse (Gerätenummer). Leider auch kein 100 %iger Schutz, da es entsprechende Mac-Sniffer-Tools gibt, welche diesen Schutzmechanismus knacken können.
       
    • Aktivierung einer Verschlüsselungsmethode:

Bei den ersten beiden Verschlüsselungsmethoden sollten die Schlüssel (keys) in regelmäßigen Zeitabständen geändert werden ! Von ersterer Verschlüsselungmethode (WEP) ist abzusehen, es sei denn, der WLAN-Router/Access-Point unterstützt keine bessere Verschlüsselung wie WPA/WPA2.

      • WEP (Wireless Equivalent Privacy)

        Die übertragenen Daten werden zusätzlich verschlüsselt. Dies gewährt zwar keinen absoluten Schutz, denn es gibt Softwaretools (z.B. “WEPcrack” oder “aircrack”), welche WEP-Schlüssel in sehr kurzer Zeit knacken können. Mit Windows (vor XP) oder mit älteren Access-Points sind Sie leider zu dieser Methode verdonnert. Um die “Hack”-Zeit etwas zu verlängern, wählen Sie bitte die 128-bit oder 256-bit Verschlüsselung mit rotierenden (rotate) 4 Keys und ändern die Schlüssel in kurzen Zeitabständen komplett.
        Wenn möglich, sehen Sie von dieser Methode ab und verwenden WPA2/3 (siehe nächsten Punkt).
         
      • WPA / WPA2 / WPA3 (Wireless Protected Access)

        Bietet eindeutig den besseren Schutz gegenüber der WEP- Verschlüsselung, da die Passphrase (Pre Shared Key) nur zur einmaligen Authentifizierung dient und zur Aufrechterhalten der Verbindung ständig neue Session-Keys generiert werden (gem. Einstellung, zu empfehlen: Rekeying alle 60 Sekunden). Die dazugehörigen Protokolle TKIP bzw. AES werden leider von älteren Systemen nicht unterstützt. Auch bieten nicht alle Access-Points diese Methode, vor allem nicht AES, nach sicherem Wireless-Standard 802.11i. Die Passphrase bzw. der Pre-Shared-Key sollte grundsätzlich aus einer Kombination von 63 schwer erratbaren Zeichen bestehen (Zufalls-/Sonderzeichen), um einem WPA-Cracker-Programm eine Brute-Force-  bzw. Dictionary-Attack zu erschweren (siehe Passwort-Generator).
         
        • WPA mit TKIP (Temporal Key Integrity Protocol) und PSK (PreSharedKey): basiert auf dem RC4-Algorithmus wie WEP
          --> WPA mit TKIP-Protokoll ist geknackt, weshalb wenn möglich WPA2 (siehe nächsten Punkt) zu verwenden ist.
           
        • WPA2 mit AES (Advanced Encryption Standard) und PSK (PreSharedKey): basiert auf dem CCMP-Algorithmus nach Standard 802.11i (WPA2) und deshalb WPA mit TKIP oder gar WEP eindeutig vorzuziehen! Wenn möglich aber WPA3 nutzen.

        • WPA3 mit AES (Advanced Encryption Standard) UND SAE (Simultaneous Authentication of Equals): stellt seit Januar 2018 den Nachfolger von WPA2 dar und ersetzt das PSK-Verfahren mit der modernen Verschlüsselungsmethode SAE, die Offline-Wörterbuchattacken verhindert.
          Mittels Protected Management Frames (PMF) wird für einen sicheren Austausch von Daten während der Anmeldephase zwischen WLAN-Gerät und der WLAN-Basis (Access-Point/WLAN-Router) gesorgt.

          WPA3 wird von Windows 10 ab Version 1903, von macOS ab Version 10.15 und iOS/iPadOS ab Version 13 sowie Android ab Version 10 unterstützt.

           
    • WPA(2 oder 3) - AES mit Radius-Server (Enterprise-Modus nach Standard 802.1X)

      Die sicherste aber auch komplizierteste Methode, da hier noch ein zusätzlicher Rechner benötigt wird. Der Authentifizierungsschlüssel ist hier kein PSK (vordefinierter Schlüssel), sondern ein temporärer Schlüssel, welcher von einem Radius-Server bereitgestellt wird, d.h. der Access-Point dient hier nur als Supplicant (Vermittler zwischen Client und Server). Die Authentication kann z.B. über Zertifikate erfolgen (Radius-Server prüft vom Supplicant übermitteltes Zertifikat beim Authenticator und lässt entweder den Zugriff auf angebotene Dienste des Authenticator (z.B. WLAN) zu oder weist diesen ab). WPA im Enterprise-Modus (802.1X) kann deshalb NICHT über eine Wörterbuchattacke geknackt werden.
       
  • Deaktivierung von Setupverfahren wie z.B. WPS (WiFi Protected Setup) auf dem Router bzw. Access-Point. Neue Teilnehmer sollten ausschliesslich über die Bekanntgabe/Eingabe der SSID und des PSK (Verschlüsselungs-Kennwort) in ein kabelloses Netzwerk aufgenommen werden und keinesfalls über eine Setup-PIN. Denn diese besteht meist nur aus 4-8 Stellen und ist deshalb per Brute-Force-Attack leicht von aussen ermittelbar. Ein eigentlich sicheres Verschlüsselungsverfahren wie WPA2/3 wird durch die Aktivierung von WPS zur Makulatur.
     
  • Deaktivierung der “Wireless-Administration” und/oder “Remote- Administration (z.B. über das Internet)Ihres Routers/AccessPoints: d.h. eine Konfiguration ist nur über eine Kabelverbindung im heimischen LAN (Local Area Network) möglich. Der Zugriff über das Internet oder WLAN (Wireless Local Area Network) ist somit geblockt. Wünschen Sie dennoch einen solchen Zugriff (über das LAN hinaus), sollten Sie das Webinterface des WLAN-Routers mit einem wirklich sicheren Passwort schützen und zusätzlich über ein VPN-Tunnel sichern. Siehe auch Gefahren des Google-Hacking.
     
  • Log.dateien des Routers/AccessPoints bzw. der (Wireless)Firewall auf einen Datenträger im Netzwerk auslagern und dort speichern: So können Sie nachträglich feststellen, ob ein Intruder in Ihr System eingedrungen ist oder es versucht hat und dies anhand der gespeicherten Daten auch beweisen (z.B. um im Mißbrauchsfalle Ihre Unschuld nachweisen oder selbst Anzeige erstatten zu können, siehe dazu auch Seite Computerforensik).
     
  • Aktivierung einer “Wireless-Firewall”: Manche Accesspoints/Router (der besseren Sorte) haben eine solche bereits (neben einer Internet-Firewall) eingebaut, welche als Filter zwischen den - dann getrennten - Subnets (LAN und WLAN) im lokalen Netzwerk über definierte Regeln agiert und den Verkehr zudem aufzeichnet, siehe Grafik:
    Beispiel getrennter Subnets für WLAN und LAN


    Besitzt Ihr WLAN-Router keine solche Funktion (2 Subnets für LAN und WLAN mit Firewallfunktion), sollten Sie zwei Geräte verwenden, sprich einen Router (für das LAN) und einen Access-Point bzw. WLAN-Router (für das WLAN) in verschiedenen Subnets betreiben (Grafik). Die Firewallfunktion übernimmt dann z.B. der WLAN-Router (zwischen seinem “LAN” [in diesem Fall das WLAN-Subnet] und und seinem WAN [in diesem Fall das LAN-Subnet des angeschlossen Routers], siehe meinen Kommentar unten zur Vorgehensweise) oder ein dazwischenhängender Rechner als Proxy-Server oder Router konfiguriert Linuxdistribution und 2 Netzwerkkarten bestückt) bzw. eine andere zwischenhängende Hardware-Firewall-Lösung.

    Will man noch einen drauf setzen, richtet man ein “VPN (Virtual Private Network) over Wireless LAN” ein. Dies beinhaltet weitere Verschlüsselung und strenge Authentication-Methoden sowie Mechanismen, um Informationen über die Topologie des Netzwerks vor potentiellen Hackern zu verstecken (Maskierung).

  • Abschalten der Wireless-Funktion des Access-Points, wenn diese gerade nicht benötigt wird (nachts, im Urlaub etc.): I.d.R. kann dies über die Administration des Routers/AccessPoints (Web-Interface) geschehen. Manche Router unterstützen auch “Scheduling” (zeitliche Planung).
     
  • Lassen Sie nur den Standard (b,g,n...) zu, den Sie selbst verwenden. Sie ehaben dann vor allen anderen Ruhe.
     
  • Clienteinstellungen: Deaktivierung der Funktion “Automatisch mit nicht bevorzugten Netzwerken verbinden” sowie Aktivierung der Funktion “Nur Zugriffspunktnetzwerke (Infrastruktur)”.
     
  • Clienteinstellungen: Installation und Konfiguration einer zusätzlichen Firewall auf dem Client
     
  • Firmen (unbedingt!) oder sicherheitsbewusste Privatanwender sollten das WLAN und LAN in zwei verschiedenen Subnets betreiben (siehe oben) und zusätzlich ein VPN (Virtual Private Network) over Wireless LAN” aufsetzen, welches eine Kommunikation zwischen den PCs, Notebooks, Handhelds und dem Wireless-Access-Point über einen sicheren VPN-Tunnel ermöglicht. Dies beinhaltet weitere Verschlüsselung und strenge Authentication-Methoden sowie Mechanismen, um Informationen über die Topologie des Netzwerks vor potentiellen Hackern zu verstecken (Maskierung).

Zusammengefasst kann man sagen, daß absolute Sicherheit im Wireless-LAN nicht erreicht werden kann. Für die Heimanwendung erscheint jedoch die Kombination aus “Block Send SSID + MAC-Filter + WPA2/3 (mit AES)-Verschlüsselung” ein akzeptables Maß an Wireless-Sicherheit zu sein. Firmen sollten allerdings die Investition in einen Radius-Server für die Verschlüsselung mit WPA2/3 und Authentifizierung über temporären Schlüssel (anstatt PSK) nicht scheuen, um sich (und Ihre Kunden!) vor Angriffen bestmöglich zu schützen.

Wer ganz sicher gehen will, muss sein Netzwerk mit dem guten, alten Kabel aufbauen und auf “heikle” Applikationen wie Online-Banking kabellos verzichten.

Bluetooth Seite 2

Kommentare (3) zu dieser Seite