Bild vergrößern 700 805 http://img1.magnus.de/Software-WLAN-Sicherheit-WLAN-gegen-Hacker-absichern-r700x805-C-48eb5f19-6996581.jpg

Workshop: WLAN gegen Hacker sichern

Ein Viertel aller Heimanwender und knapp 15 Prozent der Unternehmen nutzen WLANs ohne jegliches Sicherheitskonzept und öffnen Angreifern so Tür und Tor zu sensiblen Informationen. Doch mit einigen Vorsichtsmaßnahmen lassen sich Hacker durchaus außer Gefecht setzen.

Hacker gehen fast immer nach dem gleichen Schema vor: Netzwerk finden, Datenpakete abfangen und eindringen. Oftmals haben sie dabei leichtes Spiel, da Administratoren und Heimanwender WLAN-fähige Router und Access-Points beziehungsweise WLAN in PCs mit werksseitigen Standardeinstellungen in Betrieb nehmen. Die Krux: Anbieter liefern ihre Geräte oft mit inaktiven Sicherheits-Features aus, damit auch ungeübte Nutzer schnell und problemlos aufs drahtlose Netz zugreifen können.

SSID-Kennung: Häufig begehen WLAN-Betreiber den Fehler, ihren Firmen-oder Privatnamen als SSID-Kennung (Netzwerknamen) für das drahtlose Netzwerk zu verwenden – ein gefundenes Fressen für Angreifer, die so wichtige Informationen erhalten. Dazu gehört beispielsweise der Standort des WLANs und welche Daten sich in dem Netzwerk befinden. Außerdem gibt eine SSID-Kennung oft Aufschluss darüber, wie das Passwort lauten könnte. Darum sollten WLAN-Betreiber eine unverfängliche SSID-Kennung wählen, die keine Rückschlüsse zulässt. Keinesfalls dürfen WLAN-Passwort und SSID identisch sein. Neben einer individuellen Default-SSID müssen Sie auch die werksseitig vordefinierten Benutzernamen und Administrationspasswörter modifizieren.

Häufig gestatten Geräte Administratoren – und Angreifern – einen einfachen Zugriff mit dem Login-Namen und Passwort admin. Die große Gefahr: Mit Zugriff auf den WLAN-Router/ Access-Point können Hacker die Konfiguration nach eigenem Gusto modifizieren und Sicherheitsfunktionen problemlos aushebeln. Für zusätzlichen Schutz sorgt hier eine Option, die die Administration des Geräts per drahtloser Verbindung vollständig unterbindet. Veränderungen an der Konfiguration lassen sich dann nur noch mit Hilfe eines verkabelten Rechners im LAN vornehmen. Gleiches gilt für das Remote Management: Funktionen, die Access-Points/WLAN-Router aus dem Internet von einem entfernten Rechner aus administrierbar machen, sollten deaktiviert werden.

Beacon Broadcasting: Auch das Beacon Broadcasting sorgt bei Angreifern für leuchtende Augen. Diese Funktion der Access-Points/WLAN-Router bezeichnet das Senden der SSID-Kennung in regelmäßigen Zeitabständen, um Clients in der Umgebung mitzuteilen, welche drahtlosen Netze im Umkreis verfügbar sind. Das Deaktivieren des Beacon Broadcasting stellt einen Hacker vor eine weitere Hürde: Er muss zunächst mit passiven Scannern wie Kismet feststellen, ob tatsächlich ein WLAN im Umkreis existiert und welche SSID es trägt. Andere Hacking-Tools wie NetStumbler, die aktiv ein Funknetz suchen, scheitern jedoch am ausgeschalteten SSID-Broadcast.

Zugangskontrolle: WLAN-Router oder Access-Points neuerer Bauart unterstützen den Zugriff nur für autorisierte Clients. Mit Access Control Lists (ACLs) lassen sich so die angeschlossenen Rechner definieren, die einen Zugriff auf das WLAN erhalten dürfen. Die Geräte akzeptieren also lediglich Verbindungsanfragen von WLAN-Karten, die manuell vom Betreiber in der MAC-Adressenliste eingetragen wurden. Hacker können nach dem Anlegen der ACL nur noch dann auf Informationen im Netz zugreifen, wenn zuvor erfolgreich eine Verbindung mit dem Netzwerk aufgebaut und dem Access-Point/Router vorgegaukelt werden konnte, dass es sich um ein autorisiertes Device handelt. Häufig scheitert das Konzept mit MAC-Filtern in größeren Unternehmensnetzen aber an der aufwändigen Pflege der ACLs.

Statische IP-Adressen: Soweit möglich, sollte die Verteilung dynamischer IP-Adressen für sämtliche Clients deaktiviert sein. Eine per DHCP zugewiesene IP-Adresse erleichtert es Angreifern, ins Netz einzudringen.

Verschlüsselung: Eine erweiterte Schutzmaßnahme ist die Verschlüsselung. Statt der veralteten WEP- Verschlüsselung sollten Sie auf neuere Methoden wie Wi-Fi Protected Access (WPA) oder in Firmen Virtual Private Networks (VPN) setzen.

Abstrahlung minimieren: Eine weitere Option, Hackern den Zugriff zu erschweren, ist die Ausrichtung des Funksignals. Im Idealfall lässt sich die WLAN-Ausleuchtung durch den Einsatz von Antennen so definieren, dass Clients außerhalb des Gebäudes kein Signal mehr empfangen. Ebenso erlauben manche Geräte, die Sendeleistung auf den kleinsten akzeptablen Wert zu reduzieren.

Um Hackern selbst nach erfolgreichem Login in das Netzwerk wenig Angriffsfläche zu bieten, sollten zudem nur unbedingt nötige Verzeichnisse und Drucker für die unternehmensweite Nutzung freigegeben werden. Außerdem ist das Betriebssystem so zu konfigurieren, dass lediglich autorisierte Benutzer auf die freigegebenen Ordner und Geräte zugreifen können.