W-Lan
 
      Wie mache ich mein W-Lan Sicher?

Wer ein Funknetzwerk (WLAN) betreibt sollte es unbedingt absichern.
Denn nur allzu leicht kommen unerwünschte Gäste ins Funknetz.

Grund: Funknetzwerke sind einfach zu installieren.
Ist der WLAN-Router erst einmal eingeschaltet,
sendet er fröhlich und regelmäßig die Kennung
„ich bin das Netzwerk ‚default’“ und wartet auf Kundschaft.
Die Funknetzkarte im Notebook muss nur noch
diese Meldung aufschnappen und schon steht die Verbindung
- sogar die IP-Adresse bekommt das Notebook vom Router.

Herrlich einfach, nicht wahr? Aber genauso einfach für jeden anderen,
der in der Funkreichweite Ihres Netzwerks liegt.
Also sichern Sie Ihr Netzwerk ab, selbst wenn es ein wenig Arbeit kostet.

WLAN-Router aufstellen und in Betrieb nehmen

Falls Sie ein Netzwerkkabel haben,
sollten Sie Ihren WLAN-Router für die erste Konfiguration
an die Netzwerkleine nehmen.
Das ist bequemer - und es gehen keine ungesicherten Funkdaten heraus.
So nehmen Sie den Router in Betrieb:

1) Schalten Sie den Router ein und danach den Computer.
Grund für diese Reihenfolge:
Der WLAN-Router ist in der Regel auch der DHCP-Server in Ihrem Netzwerk.
Startet der PC danach, holt er sich dort eine IP-Adresse ab.

2) Öffnen Sie einen Browser und geben Sie die IP-Adresse des Routers ein.
Diese Adresse steht im Handbuch.
Ebenfalls dort steht das Default-Admin-Kennwort
für den Router, sofern eins vergeben wurde.

3) Ändern Sie als erstes das Admin-Kennwort für den Router.
Meist finden Sie die entsprechende Option unter Administration,
Admin-Settings oder in der Basiskonfiguration.
Achtung: Mit dem Zugriffskennwort sichern Sie nur den Router,
nicht die Funkverbindung!

4) Schalten Sie die Verschlüsselung für das Funknetz ein.
Verwenden Sie nach Möglichkeit die WPA-Verschlüsselung
mit einem Preshared Key.
In den Optionen finden Sie den zum Beispiel als WPA-PKS.
Geben Sie zusätzlich ein gutes Kennwort ein, das aus Buchstaben,
Ziffern und Sonderzeichen besteht.

Falls Sie den WLAN-Router über ein Funknetz konfiguriert haben,
geht nach dem Speichern der Verschlüsselungs-Konfiguration
zunächst die Verbindung verloren. Aber keine Panik:
Wählen Sie bei den Einstellungen Ihrer Funknetzkarte
das entsprechende Verschlüsselungsverfahren und geben Sie das Kennwort ein.
Danach können Sie wieder das Konfigurationsprogramm Ihres WLAN-Routers öffnen.

Mehr zu Verschlüsselungsverfahren und anderen Möglichkeiten,
die Funkverbindung zu sichern, lesen Sie in den nachfolgenden Abschnitten.

5) Geben Sie schließlich die Verbindungsdaten für Ihren Internet-Zugang ein.
Danach können Sie im Internet loslegen.

Datenverkehr verschlüsseln und absichern :

Der gängigste Weg, das Funknetz abzusichern,
ist die Verschlüsselung der übertragenen Daten.
Außenstehende bekommen nichts mit vom Funkverkehr
und können sich ohne Kennwort nicht einklinken.
Das Problem dabei ist allerdings der aktuell verbreitete Verschlüsselungsstandard WEP.

WEP-Risiko: Initialisierungsvektor :

In den meisten Funknetzen kommt die WEP-Verschlüsselung (Wired Equivalent Privacy)
zum Einsatz.
Ein per WEP übertragenes Datenpaket setzt sich zusammen
aus einem so genannten Initialisierungsvektor (IV)
und den mit dem RC4-Algorithmus verschlüsselten Daten.
Die enthalten ihrerseits noch eine Checksumme, um Manipulationen zu verhindern.

Hauptschwachpunkt von WEP ist der Initialisierungsvektor.
Er ist immer 24 Bit lang.
Aus dem IV und dem WEP-Schlüssel errechnet ,
der RC4-Algorithmus den verschlüsselten Code.
Dann geht es ab in den Äther. Aus dem dabei im Original übertragenen IV
und dem WEP-Schlüssel ermittelt die Gegenstelle wieder die Original-Daten.

Das Problem: Zwar empfiehlt der WEP-Standard,
dass jedes übertragene Paket einen anderen IV hat.
Aber erstens hält sich nicht jeder Hersteller daran und zweitens steht nirgends,
wie der IV erzeugt wird.
Die Folge: Früher oder später wiederholt sich der IV - in den meisten Fällen früher.
Ein Papier des Bundesamts für Sicherheit in der Informationstechnik rechnet damit,
dass nach etwa 4000 versandten Datenpaketen ein identischer IV auftaucht,
die Universität von Berkeley spricht von 5000 Paketen.
Fängt ein Hacker zwei Datenpakete mit identischem IV ab,
so kann er daraus den WEP-Schlüssel ermitteln.
Und schon haben Sie einen ungebetenen Gast im Netzwerk.
Der kann Daten mitschneiden, sich beim Access Provider anmelden
oder sogar Checksummen fälschen und damit Daten manipulieren.
Und dafür braucht ein Angreifer nicht einmal besondere Software.
Programme, die WEP knacken, gibt es frei im Internet.
((ich mag da keine nennen -- man soll keine schlafenden Hunde wecken ))

WEP-Risiko Schlüssellänge :

Besonders einfach haben es Angreifer,
wenn für die Verschlüsselung nur 40 Bit lange Schlüssel verwendet
werden (64 Bit minus 24 Bit IV).
Denn die sind so kurz,
dass man die möglichen Kombinationen einfach durchprobieren kann
und innerhalb weniger Tage den Code geknackt hat.
Da in den meisten Fällen die Schlüssel nur sehr selten gewechselt werden,
lohnt dieser Aufwand. Danach steht das Funknetz für lange Zeit offen.
Falls Sie also WEP nutzen,
schalten Sie zumindest die Verschlüsselung mit 104 Bit ein (128 Bit minus 24 Bit IV).

Die Lösung: WPA statt WEP :

Wer wirklich sicher sein möchte, sollte die Finger von WEP lassen.
Stattdessen wählen Sie den neuen Standard WPA (Wifi Protection Access).
Der verwendet das Protokoll TKIP (Temporal Key Integrity Protocol):
Zu Beginn der Übertragung ,
vereinbaren beide Funkstationen einen individuellen Start-Schlüssel.
Hierfür muss das eigentliche Kennwort nur einmal übertragen werden.
Ausgehend vom Start-Schlüssel erhält jedes übertragene Datenpaket
dann einen individuellen Key zur Verschlüsselung.
Bei diesem Verfahren ist es praktisch unmöglich,
an den Original-Code zu kommen.
Nachteil gegenüber WEP: Es kostet etwas mehr Rechenzeit.

Wie kommt man an WPA?

Bei WLAN-Routern führt der Weg zu WPA über ein Firmware-Upgrade.
WLAN-Adapter für den Computer brauchen frische Treiber.
Beides finden Sie jeweils auf der Homepage des Herstellers.

Auch Windows XP braucht eine Auffrischung, damit es WPA unterstützt.
In jedem Fall muss das Service Pack 1 installiert sein.
Dazu kommt noch ein Patch mit dem schönen Namen
„Windows XP-Supportpatch für Wireless Protected Access“.
Den finden Sie über das Windows-Update (http://windowsupdate.microsoft.com)
in der Rubrik Windows.
Weitere Infos zum Patch gibt es unter http://support.microsoft.com/?kbid=826942.

Nach der Installation des Patches
finden Sie in den Eigenschaften der Netzwerkverbindung
unter Drahtlose Netzwerke die SSID Ihres Netzwerks.
Mit einem Klick auf Konfigurieren kommen
Sie in ein weiteres Menü,
in dem Sie als Netzwerkauthentifizierung den Eintrag WPA-PSK wählen.
Möglicherweise steht hier auch eine andere Bezeichnung.
Sie sollte aber in jedem Fall auf WPA und „Pre-Shared Key“ schließen lassen.
Falls dieser Eintrag nicht vorhanden ist,
unterstützt die Karte kein WPA - vermutlich,
weil nicht der aktuellste Treiber installiert ist.

Besser WEP als gar nichts :

Falls es mit WPA nicht klappt,
gilt: Besser schwach verschlüsseln als gar nicht.
Schalten Sie also in jedem Fall die WEP-Verschlüsselung ein
und nutzen Sie die maximale Schlüssellänge.
Auf diese Weise verhindern Sie zumindest,
dass sich jemand einfach so in Ihr Netz einklinkt.
Für den Schlüssel verwenden Sie einen Code aus Hexadezimal-Zeichen.
Der ist zwar unbequemer einzugeben,
bietet aber mehr Variationsmöglichkeiten als ein Schlüssel,
der nur aus Buchstaben oder Zahlen besteht.
Wechseln Sie den Schlüssel regelmäßig.

SSID verschleiern

Falls Ihr WLAN-Router eine Option hat,
die Funknetz-Kennung zu verschleiern,
sollten Sie diese einschalten.
Zusätzlich müssen Sie den Namen des Netzwerks ändern ,
denn die meisten Funknetze heißen „default“.
Wählen Sie stattdessen eine nicht nahe liegende Bezeichnung,
keinesfalls Ihren Familien- oder Firmennamen. Ist die SSID versteckt,
muss am Client diese Bezeichnung von Hand eingegeben werden
- das wirkt wie ein Kennwort.
Allerdings bringt das keine Hundertprozentige Sicherheit,
da es Werkzeuge gibt, dennoch Funknetze zu entdecken.

MAC-Adressen filtern :

Eine weitere - schwache - Sicherheitsmaßnahme gegen unbefugte Eindringlinge ist,
nur bestimmte MAC-Adressen für das Netzwerk zuzulassen.
Derlei Einstellungen finden Sie in Ihrem WLAN-Router
meist unter einem Stichwort wie MAC-Filter.
Dort tragen Sie in eine Liste die MAC-Adressen Ihrer Clients ein.
Manche WLAN-Router erlauben sogar,
die Adressen der aktuell angemeldeten Clients in die Liste zu übernehmen.
Falls nicht, bekommen Sie die MAC-Adresse Ihres Funknetz-Adapters
auf der Windows-Kommandozeile mit der Eingabe von
"ipconfig /all". Nachteil: MAC-Adressen lassen sich fälschen.

DHCP abschalten :

Eine weitere Sicherungsmaßnahme ist das Abschalten des DHCP-Servers
in Ihrem WLAN-Router.
Denn der weist jedem Neuankömmling im Netz automatisch
eine IP-Adresse zu. Verwenden Sie stattdessen statische IP-Adressen,
die Sie jedem Client einzeln verpassen.
Zusätzliche Sicherheit bringt es,
statt der üblichen 192.168.0.1-255 weniger übliche IP-Adressen nutzen,
zum Beispiel 192.168.167.1-255.

Zusammen stark :

WEP ist schwach, WPA ist gut. Wer nur WEP verwendet,
sollte in jedem Fall auch die MAC-Filterung einschalten
und die SSID verschleiern.
So wird das Netz halbwegs sicher gegen gelegentliche Einbruchsversuche.
Ruhig schlafen kann aber nur,
wer statt WEP das weitaus stärkere WPA verwendet,
am besten auch in Kombination mit den anderen Sicherungen.
Das bisschen Arbeit für das Upgrade von Windows
und der Treiber lohnt in jedem Fall.

Sekundäre Sicherungen :

Trotz WPA und aller anderen Schutzmaßnahmen:
Schützen Sie auch Ihre Rechner vor unbefugtem Zugriff.
Das ist noch einmal ein zweiter Schutzwall,
falls andere Sicherungsmaßnahmen versagen. Hier gilt:

- Verwenden Sie für alle Windows-Benutzerkonten ein Kennwort,
   das schwer zu erraten ist.

- Erlauben Sie Schreibzugriffe nur dann, wenn es absolut notwendig ist.

- Besitzer von Windows XP Professionell
   entfernen bei der Freigabe unter Berechtigungen
   den Benutzer Jeder und tragen dafür die Benutzer Ihres Netzes
   samt der entsprechenden Rechte ein.

- Geben Sie niemals komplette Festplatten frei,
  sondern nur einzelne Ordner.
  Anderenfalls liegen wichtige Systemverzeichnisse offen.
  Das kann böse enden.

Das Netz entsichern :

In bestimmten Fällen muss man
das zuvor sorgsam geknüpfte Sicherheitsnetz ein wenig öffnen.
Zum Beispiel, um einen eigenen Web-Server zu exponieren
oder um Filesharing zu betreiben.
Denn solche Dienste benötigen spezielle Ports,
die von der Firewall normalerweise gesperrt werden.

Das Zauberwort, um dennoch durch die Firewall zu kommen heißt
„Port Forwarding“. In Ihrem Router finden
Sie dazu, meist unter Firewall oder Security,
einen Eintrag namens Port Settings.
Falls nicht, sehen Sie nach unter Menüpunkten
wie Applications oder Applications & Gaming.
Dort können Sie einen Port oder einen ganzen Bereich frei
schalten und an einen PC in Ihrem lokalen Netz weiterleiten.

Ein Port kann allerdings immer nur an einen lokalen PC weiter geleitet werden.
Falls also mehrere Computer in Ihrem Netz Filesharing treiben wollen,
brauchen Sie in der Filesharing-Software eine Option,
den verwendeten Port zu ändern.

Achtung: Mit jeder Port-Freigabe schaffen Sie eine Sicherheitslücke
in Ihrem Netzwerk und einen möglichen Angriffspunkt.

Mit Port Adress Translation (PAT)
und Network Adress Translation (NAT)
hat das Port Forwarding übrigens nichts zu tun. NAT sorgt dafür,

- dass ein PC aus dem lokalen Netzwerk
   im Internet mit der IP-Adresse des Routers auftritt

- dass der Router die zurück kommenden Daten aus dem Netzwerk
   auch wieder an den richtigen PC weiterleitet.

PAT erweitert dieses Verfahren für mehrere Computer
im lokalen Netz: Jeder lokale PC,
der Daten aus dem Internet anfordert,
erhält vom Router einen spezifischen Port zugewiesen,
an den der Internet-Server seine Daten schickt.
Anhand der Portnummer weiß der Router,
an welchen lokalen PC er die Daten weiterleitet.

Alles offen in der DMZ :

Wer das Risiko liebt, kann einen PC im lokalen Netz als DMZ einrichten,
zu Deutsch als Demilitarisierte Zone.
Dieser nicht ganz glücklich gewählte Begriff bezeichnet einen Computer,
der komplett gegenüber dem Internet geöffnet wird.
Die Firewall hilft diesem Computer nicht!
Die Option zum Freischalten finden Sie im Router
in den Firewall-Einstellungen unter DMZ
oder Demilitarized Zone. Dort geben Sie eine lokale IP-Adresse ein,
die dann auch im Internet zu sehen ist.

Noch eine kurze Anmerkung am Schluß W-Lan
sollte man von einem Fachmann
installieren lassen,
den ein Netzwerk soll  ja auch sicher sein.


Helmut


 

 

  
  Du bist heute der 1 Besucher Copyright by THM  
 
Diese Webseite wurde kostenlos mit Homepage-Baukasten.de erstellt. Willst du auch eine eigene Webseite?
Gratis anmelden