ITK-Steffens
ITK-Steffens

10 Punkte für mehr Sicherheit im WLAN

1. Infrastruktur - statt Ad-hoc-Netzwerk

In einem Ad-hoc-Netzwerk dürfen alle Netzwerkgeräte mit anderen kommunizieren. Baut man hingegen ein Infrastruktur-Netzwerk auf läuft die Kommunikation über einen WLAN-Accesspoint.

Um ein Infrastruktur-Netzwerk aufzubauen benötigt man einen WLAN-Accesspoint (z.B. einen WLAN-DSL-Router). Diesen stellt man so ein, dass er die Kommunikation der Netzwerkgeräte untereinander verbietet. Den WLAN-Geräten sagt man in den Einstellungen, dass sie nicht im Ad-hoc-Modus arbeiten sollen.

2. Verschlüsselung aktivieren

Es bestehen mehrere Möglichkeiten seine Daten vor unberechtigten Zugriff zu schützen. Was verwendet werden kann hängt natürlich auch von den Geräten im Netzwerk ab.

2.1 WEP - Wired Equivalent Privacy

Entgegen der versprochenen "Wired Equivalent Privacy" gilt WEP als leicht zu knacken. Es existieren drei Schlüssellängen:

  • 64 Bit - 40 Bit Schlüssel + 24 Bit IV (Initialization Vector)
  • 128 Bit - 104 Bit Schlüssel + 24 Bit IV (Initialization Vector)
  • 256 Bit - 232 Bit Schlüssel + 24 Bit IV (Initialization Vector)

Für WEP wird das lineare Verschlüsselungsverfahren RC4 (Ron's Cipher 4) verwendet. Bei diesem Verfahren wird jedes Byte per XOR mit einem einmaligen Schlüssel verknüpft. Das Verfahren gilt normalerweise als sicher, da der Schlüssel pseudo-zufällig per Hash-Verfahren bestimmt wird. Beim WEP-Standard wird als einmaliger Schlüssel der WEP-Schlüssel zusammen mit einem Initialisierungsvektor (IV) verwendet. Aus genügend gesammelten Daten lässt sich der geheime Schlüssel herleiten.

Da der IV nur 24 Bit lang ist existieren folglich nur 224 verschiedene IVs. Spätestens nach 16.777.216 Paketen wiederholt sich der IV somit zwangsläufig. Aus zwei Paketen mit gleichen IV lässt sich jedoch der geheime Schlüssel berechnen. Mit diesem Verfahren spielt die Länge des Schlüssels eine untergeordnete Rolle, da der Schwachpunkt der IV ist. Da zum Herausfinden des Schlüssels eine gewisse Anzahl Datenpakete benötigt wird hängt die benötigte Dauer von dem Datenaufkommen in dem WLAN ab.

Wurde nur ein 40 Bit Schlüssel verwendet, kann dieser sogar durch ausprobieren (senden aller möglichen Schlüsselkombinationen) innerhalb weniger Tage herausgefunden werden.

2.2 WPA - WiFi Protected Access

Um die größten Schwachstellen von WEP zu beseitigen wurde WPA entwickelt. Die Authentifizierung erfolgt mit einem vorher definierten Passwort (PSK = Pre-Shared Key), das zwischen 8 und 63 Zeichen enthält. Zur Verschlüsselung wird ein individueller 128 Bit-Schlüssel verwendet. Um den Angriff über den IV (Initialization Vector) zu erschweren, wurde dieser auf 48 Bit erweitert.

Es stehen zwei Verschlüsselungsmethoden zur Verfügung: (Temporal Key Integrity Protocol) und AES (Advanced Encryption Standard). TKIP basiert wie die WEP-Verschlüsselung auf RC4. TKIP ist trotzdem wesentlich schwerer zu knacken. Zum einem ist der IV 24 Bit länger, wodurch eine Wiederholung um den Faktor 16 Millionen herausgezögert wird. Des weiteren wird der Schlüssel automatisch in bestimmten Zeitintervallen, z.B. jede Stunde, geändert. Die Option AES ist gegenüber der Option TKIP aus Performance-Gründen vorzuziehen.

Als Angriffsform sind nur Passwortattacken bekannt. Es empfiehlt sich folglich ein langes Passwort (mindestens 20 Zeichen) mit Sonderzeichen, Zahlen, Groß- und Kleinschreibung zu verwenden.

2.3 WPA2

In WPA2 ist AES als Verschlüsselung definiert. Die Erweiterung CCMP (Counter-Mode/CBC-Mac Protocol), auch AES-CCM genannt, erlaubt die Verschlüsselung auch im Ad-hoc-Modus einzusetzen.

2.4 IEEE 802.11i

Dieser Standard ist WPA2 sehr ähnlich. Die neue Schlüsselvergabe ist auf typisch einen Tag festgelegt.

2.5 VPN (PPTP, IPSEC, OpenVPN)

Statt der Verschlüsselungsarten, die für WLAN definiert sind kann man auch VPN-Tunnel (VPN = Virtual Private Network) verwenden. Diese lassen sich auch aufbauen, wenn bereits eine WLAN-Verschlüsselung eingesetzt wird. Unterstützt der Client z.B. nur WEP kann man zusätzlich die Verbindung mit einer VPN-Art absichern.

3. MAC-Filter

Fast jeder WLAN-Accesspoint erlaubt die Definition von erlaubten MAC-Adressen (MAC = Media Access Control). Jede WLAN-Netzwerkkarte hat wie Ethernet- und Bluetooth-Netzwerkkarten auch eine eindeutige eingebrannte 6 Byte große Nummer, die sie eindeutig im Netzwerk identifiziert.

Dieser Schutz klingt zuverlässig. Jedoch erlaubt es fast jeder Netzwerkkarten-Treiber die eingebrannte Adresse der Karte zu überschreiben. Somit kann man ohne zusätzliche Software diesen Schutz leicht umgehen.

4. Accesspoint-Einstellungen schützen

Damit nicht jeder die Sicherheits-Einstellungen ändern kann müssen diese zumindest durch ein Passwort geschützt sein. Wenn möglich sollte der Accesspoint so eingestellt sein, dass nur ein Computer der über ein serielles Kabel angeschlossen ist die Einstellungen ändern kann. Da dies nicht immer möglich ist, sollte man die Computer soweit wie möglich einschränken, die die Einstellungen lesen/ändern dürfen (MAC-Filter, keine Einstellungsänderung aus dem Internet).

Auch nicht auf den ersten Blick sichtbare Dienste können Angriffspunkte bieten. UPnP und SNMP können Sicherheitseinstellungen ändern. Per TFTP, das häufig für Firmwareupdatres verwendet wird kann evtl. die Konfigurationsdatei heruntergeladen bzw. sogar eine neue eingespielt werden.

5. WLAN abschalten wenn es nicht benötigt wird

Nutzt man die WLAN-Funktionalität nicht, sollte man es abschalten. Ist dies nicht möglich kann man notfalls die Antenne abschrauben. Auch wenn WLAN häfiger verwendet wird kann man es temporär deaktivieren. So lässt z.B. die Fritzbox-Serie von AVM zu, dass man eine Nachtschaltung aktiviert. So kann man z.B. WLAN-Neuanmeldungen zwischen Mitternacht und 7 Uhr morgens verbieten. Alternativ kann bei diesen Routern WLAN per Telefon aktiviert und deaktiviert werden. #96*1* aktiviert das WLAN, während #96*0* das WLAN wieder deaktiviert. Am komfortabelsten lässt sich diese Funktion nutzen, wenn sie auf Kurzwahltasten gelegt wird.

6. Zugriffseinschränkungen durch verwendete Techniken

Befinden sich in dem WLAN-Netzwerk nur Netzwerkkarten, die den gleichen Standard (z.B. 802.11ah oder 802.11b oder 802.11g) unterstützen kann man die anderen Standards am WLAN-Accesspoint deaktivieren. Neben einer Performance-Verbesserung schließt man dadurch Angriffsversuche von Netzwerkkarten, die mit anderen Standards arbeiten, aus.

Optionale Funktionalitäten eines Standards können für weitere Eischränkungen verwendet werden. Beim Standard 802.11b sind folgende Features als optional definiert:

  • Short Preamble
  • PBCC-Modulation

7. Sendeleistung herabsetzen

Setzt man die Sendeleistung herunter sinkt die Reichweite des WLAN-Netzwerks. Ein potentieller Angreifer findet das Netzwerk also nicht mehr so schnell. Sendet ein WLAN-Accesspoint mit 6 mW statt 100 mW, sinkt die abgedeckte Umgebung auf 0,4 % der ursprünglich versorgten Umgebung. Um optimalen Empfang in meiner Wohnung (ca. 100 m2) zu gewährleisten reichen 12 mW. Die abgedeckte Umgebung sinkt dadurch auf 1,4 % der normalen WLAN-Reichweite.

8. SSID nicht senden

Mit der Option "SSID nicht senden" gibt der WLAN-Accesspoint den Netzwerknamen des WLANs nicht per Broadcast bekannt, sondern reagiert nur auf Anfragen von WLAN-Stationen, die ihn mit diesem Namen ansprechen.

Mit einer versteckten SSID taucht das Netzwerk nicht in der Windows-Liste der verfügbaren Netzwerke auf, sofern es dort nicht explizit eingetragen wird. Durch den aktiven Verkehr können Programme die Existenz eines WLAN-Netzwerks und dessen Name aber feststellen.

9. Nicht-deskriptive SSID verwenden

Bei der Wahl der SSID sollte man von beschreibenden Namen absehen. Verrät man mit der SSID seinen Namen/Firmennamen, werden gezielte Angriffe leichter. Wird die Typbezeichnung des WLAN-Accesspoints verwendet kann der Angreifer gezielt Schwachpunkte des Accesspoints ausnutzen.

Von SSIDs wie "WLAN", "Wireless" oder "Any" kann ich hingegen auch nur abraten, da diese häufig verwendet werden und es somit zu versehentlichen Einwahlversuchen kommen kann.

10. Authentifizierung per Shared Authentication

Bei "Shared Authentication" geschieht die Anmeldung bereits verschlüsselt. Deshalb ist diese Authentifizierung etwas sicherer als die "Open Authentication".  







Website by Pamil-Visions

Valid HTML 4.01 Transitional