06 November 2006

W-Lan? Aber sicher (doch)!

Jeder will es haben, aber kaum einer weiss, wie man es wirklich gut absichert. In den Medien hört und liest man ja in sehr vielen Schauergeschichten, was "Hacker" mit einem Notebook vor der Haustür, so alles anstellen können.
Sie können ins lokale Netzwerk einsehen und eventuell auf die persönlichen Daten zugreifen. Sie können über die Leitung des W-Lan-Besitzers surfen, was ja zu Zeiten von DSL-Flatrates ja nicht mehr so dass Problem wäre, aber da der Besitzer des Anschlusses für die über ihn gesendeten Daten verantwortlich ist, muss er haften, wenn damit Schindluder getrieben wird.

Glücklicherweise sind die Zeiten vorbei, in denen W-Lan-Geräte mit einem unverschlüsselten Standart-Setup versehen wurden, aber dennoch sollte man sich Gedanken darüber machen, wie man sein W-Lan am besten absichert.
Das kabellose Netzwerk mit einem starken Schlüssel zu versehen ist schonmal ein sehr guter Anfang und sollte die meissten Möchtegern-Hacker davon abhalten, das Netzwerk anzuzapfen, aber manchmal ist es leider nicht möglich die bestmögliche Verschlüsselung zu wählen, da es einige Geräte im Netzwerk gibt, die das nicht unterstützen. Es gibt glücklicherweise, neben der Verschlüsselung, noch einige andere Steine, die man einem Angreifer in den Weg legen kann, um ihm das Surfvergnügen gehörig zu verderben. Ich möchte an Hand meines eigenen W-Lans, welches ich dieses Wochenende eingerichtet habe, erleutern, wie man das bewerkstelligen kann.

Die jetzige W-Lan-Karte meines Notebooks und der Nintendo DS können beide leider keine WPA-Verschlüsselung, die eigentlich die stärkste ist, die man derzeit nehmen kann. Schlimmer noch, die Notebook-Karte kann nur 64-Bit-WEP-Schlüssel verwenden, was es einem potentiellen Angreifer noch leichter macht ins Netzwerk einzubrechen. Deswegen habe ich mir ein Konzept überlegt, mit dem ich es dem Angreifer auf andere Weise erschwere ins W-Lan einzubrechen.

Der erste Stein ist die Unterdrückung der SSID. Damit ein Angreifer auf mein Netzwerk zugreifen kann, muss er erstmal wissen, wie es heisst. Normalerweise wird diese Information einfach so gesendet, aber nahezu alle Router bzw. Access-Points sollten in der Lage sein dies zu unterbinden.

Der zweite Stein ist die Verschlüsselung selbst, die in meinem Fall etwas dürftig ausfällt. Lediglich eine 64-Bit WEP-Verschlüsselung habe ich aktiviert, die zwar besser ist, als gar nichts, aber dennoch für spezielle Programme innerhalb weniger Minuten geknackt sein sollte.

Der dritte Stein ist der Mac-Adressen-Filter. Von allen Netzwerk-Geräten (sowohl kabelgebundene, als auch die W-Lan Geräte) die in meinem Netzwerk sind, habe ich auf meinem Router die Mac-Adresse registriert, zu allen anderen Mac-Adressen verweigert der Router die Verbindung! Beim Mac-Filter sollte man sehr vorsichtig sein, weil man sich bei einer falschen Konfiguration schnell selber aussperrt. Es ist dem Angreifer zwar möglich seine Mac-Adresse zu verändern, aber dazu muss er erstmal eine meiner Mac-Adressen kennen.

Diese drei Steine sind zwar nicht unüberwindbar, aber ich habe dafür gesorgt, dass ein potentieller Hacker, wenn er sie denn überwinden sollte, trotzdem nicht unbedingt Freude haben wird. Der Grund ist Stein Nummer 4. Ich habe die Firewall des Routers so eingestellt, dass nur speziellen IPs im LAN eine Internet-Verbindung gestattet werden darf. Alle anderen werden blockiert.

Das bedeutet, dass ein Angreifer zusätzlich noch eine IP raten muss, um wirklich eine Internetverbindung zu erhalten.

Zusätzlich könnte man jetzt z.B. den WEP-Schlüssel öfter mal ändern, die SSID öfter mal ändern und das W-LAN nur dann aktivieren, wenn es wirklich benötigt wird.
100%tigen Schutz bietet das alles natürlich nicht, aber wenn ich mich in die Lage eines Surf-Hungrigen Hacker versetze, würde ich mir ein leichteres Ziel aussuchen, derer es leider (oder zum Glück) viel zu viele gibt. In meiner Nachbarschaft hat z.B. jemand bis vor kurzem ein unverschlüsseltes W-Lan betrieben.

Kommentare:

DeX hat gesagt…

Interessanter Eintrag..
..ABER:

1. meinst du doch sicher WPA und nicht WPS, oder? ;)

2. IP Adressen raten ist gar nicht nötig.. es gibt etwas das sich ARP nennt :)

Für ein halbwegs sicheres WEP WLAN brauchst du VPN
Das geht mit allen Karten, setzt aber einen etwas besseren Router vorraus.

snoopy1alpha hat gesagt…

1. ja, danke (fixed)

2. Da hab ich eh nen kleinen Fehler gemacht (den ich aber so lassen werde). Wenn jemand die Mac-Adresse geraten hat, und DHCP an hat, dann kriegt er automatisch eine "gute" IP. Aber wenn er es nicht an hat, dann nicht. Ich müsste jetzt wieder auf statische IPs umsteigen, was ich aber nicht machen werde (mal wieder ein gutes Beispiel für Sicherheit vs. Komfort)

VPN in nem privaten Netzwerk finde ich persönlich mit Kanonen auf Spatzen geschossen. Ich vermute auch mal, dass mein Router das nicht packt.

Um es nochmal zu sagen, ich habe nicht behauptet, dass das hier die perfekte Sicherheitslösung ist, ich wollte nur zeigen, dass man, auch wenn einem die Hände gebunden sind, trotzdem ein sichereres W-LAN haben kann, als nur die Verschlüsselung.
Diese Dinge kann man allerdings auch verwenden, wenn man bereits ein sicheres hat, um dessen Sicherheit noch zu verschärfen.