In drei Schritten zu effektiver Sicherheit für Wi-Fi-Netzwerke

Von Rik Ferguson, Director Security Research & Communication EMEA

Wer sich zu Hause die große weite Welt des Medien-Streamings erschließen will, hat bestimmt schon die erforderliche drahtlose Technik gekauft. Drahtlose Netzwerke ersparen dem Anwender das Bohren von Löchern in den Fußboden oder die Zimmerdecke, und auch Kabel müssen nicht durch die Wände gejagt werden.

Andererseits bereiten drahtlose Netze eher Sicherheitsprobleme als festverdrahtete. Das liegt daran, dass die Datenübertragung per Funk anfälliger für das Ausspionieren von persönlichen Daten ist oder auch dafür, dass Dritte in dieses Netzwerk eindringen und illegale Dateien herunterladen. Es gibt viele gute und weniger gute Empfehlungen, wie drahtlose Netze zu sichern sind. Zu den nützlichen Ratschlägen gehören drei Schritte zur Sicherheit:

  • Als Erstes meldet sich der Anwender beim drahtlosen Router oder Zugriffspunkt an und ändert den voreingestellten Benutzernamen und das Kennwort des Administrators. Das ist wichtig, weil diese Voreinstellungen leicht herauszufinden sind und ein Eindringling die vollständige Kontrolle über die Netzwerkkonfiguration erhält.
  • Danach sollte der Anwender die SSID (Service Set ID), also  den Namen des drahtlosen Netzwerks, ändern. Der Namen sollte in keiner Verbindung mit dem physischen Standort des Netzwerkes oder dem Hersteller des Routers stehen. Jede zusätzliche Information spielt einem möglichen Eindringling in die Hände!
  • Nun sollte die Verschlüsselung für das Netzwerk eingestellt werden. Dies ist der wichtigste Schritt hin zur Sicherheit und dem Schutz vor unerwünschten Lauschern. Dabei ist es sinnvoll, zwei bis drei Verschlüsselungsmethoden verfügbar zu haben – WEP; WPA und WPA2. WPA2 ist die stärkste, und jedes neue Gerät muss diesen Standard unterstützen, um das Wi-Fi Certified Logo zu erhalten. Der Anwender muss auch darauf achten, dass der für WPA oder WPA2 gewählte Schlüssel ausreichend zufällig und komplex ist, sodass er Versuchen von Brute-Force-Angriffen standhält. Ein Schlüssel mit einer Länge von acht Zeichen, die eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen darstellen, reicht aus. Bei älteren Geräten, die WPA2 noch nicht unterstützen, ist WPA die Methode der Wahl. Doch Hände weg von WEP, denn diese Methode lässt sich einfach knacken, und es gibt viele Tools, die das sogar für Anfänger anbieten. Übrigens, das einzige Unterhaltungsgerät, das WPA2 nicht unterstützt, ist dem Autor zufolge Sony PSP. Aber auch dieses Gerät kann WPA.

Zu den weniger sinnvollen Empfehlungen gehören die folgenden:

1 – Verstecken der SSID: Befolgt der Anwender diesen Ratschlag, so bewirkt das nichts anderes, als dass der Anwender sie am „Senden“ hindert. Jeder, der versucht an dem unbenannten Netzwerk zu lauschen, kann auch in Sekunden die SSID herausfinden, denn der Namen wird jedes Mal im Klartext mit jedem drahtlosen Zugangspunkt ausgetauscht. Die SSID ist bloß der Name des Netzwerks und keine Sicherheitsfunktion. Auch sieht die ursprüngliche 802.11-Standardspezifikation das Senden der SSID vor.

2 – Filtern der MAC-Adresse: Der Ratschlag, eine “Whitelist” der MAC-Adressen (Hardware-Adresse eines Netzwerkgeräts) anzulegen und nur diesen eine Verbindung zu erlauben, ist reine Zeitverschwendung. Jeder Lauscher kann sehen, welche MAC-Adressen eine Verbindung zum Netzwerk aufnehmen dürfen. In ein paar Sekunden kann eine Netzwerkschnittstelle konfiguriert werden, die eine der „guten“ MAC-Adressen hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*