Sicherheitstipps für WLAN

6. Juni 2008 – 15:45

Es gibt viele Leute die sich einen Accesspoint kaufen,
ihn an den Computer dranhängen, sich freuen das beim ersten Anlauf
alles geklappt hat und sich danach nie wieder Gedanken darüber machen.

Die wenigsten lesen sich das beiliegende Handbuch durch oder befassen sich mit
den Sicherheitseinstellungen.. und genau das ist ein Fehler!

Wenn keine Verschlüsselung aktiviert wird kann zB der Nachbar falls er
eine WLAN Karte besitzt sich problemlos dazuklinken und auf das Netzwerk des
nebenan wohnenden zugreifenund zB auch auf Kosten dessen im Internet surfen.

Hier einige Möglichkeiten für mehr Sicherheit im eigenen WLAN:

[1] – WEP

Bietet begrenzten Schutz. WEP stellte sich als nicht besonders sicher herraus
und es kursieren auch einge Programme (wie zB Airsnort, WEPCrack,..)
im Internet mit denen man WEP-Keys knacken kann.

Dazu werden Datenpakete gesammelt und verglichen, Airsnort braucht dazu
ca. 5-10 Millionen solcher Pakete!
Die Dauer bis ein Angreifer diese Anzahl von Paketen hat hängt vom Traffic
im WLAN ab und kann auch mehrere Tage dauern, dem Nachbar wärs aber sicher egal ;p

WEP arbeitet mit einem Shared-Key welcher für Verschlüsselung und Authentifizierung
zuständig ist. Aus dem Shared-Key und einem Initialisierungsvektor wird ein Wert
zum verschlüsseln der Pakete gebildet. Die Initialisierungsvektoren werden
im Klartext übertragen und es werden zu schwache Schlüssel basierend
auf dem RC4-Algorithmus verwendet.

Verfügbar in der 40bit und in der 104bit Variante!
(Obwohl auf der Verpackung warscheinlich 128bit und 64bit steht..)

12 23 45 68 90
-
12 34 56 78 90 12 34 56 78 90 12 34 56

Bei grösseren Wavelans sollte der WEP-Key regelmässig geändert werden!

[2] – Default Passwörter

Standard Administrations-Passwörter des Accesspoints ändern!
Wir wollen ja nicht das jemand die Kontrolle des Accesspoints an sich reisst
und ihn totkonfiguriert.. klingt albern, ist aber möglich!

[3] – SSID

Ändere die Default-SSID!
Aber nicht in deinen Firmennamen, deine Adresse o.ä.
Je unauffälliger desto besser!
Es gibt auch Accesspoints bei welchen man die Broadcast SSID deaktivieren kann.
Das ist auch um einiges sicherer denn so können sie nicht von allen WLAN-Sniffern
erkannt werden. Netstumbler (welcher von vielen Wardrivern genutzt wird)
wird das Wavelan jetzt nicht mehr als solches erkennen
aber Tools welche im Monitormode arbeiten im Gegenteil dazu schon noch.
(zB Kismet, Airopeek,..)

[4] – MAC Filter/ Access Control List

Eine weitere Schutzmaßnahme ist es das Netzwerk nur für gewisse MAC-Adressen
zugänglich zu machen. Das wird einen Angreifer der rein will sicher nicht daran
hindern denn die MAC-Adresse der miteinander kommunizierenden Rechner kann ermittelt
und gespooft werden. Das bedeutet das sich der Angreifer seine MAC-Adresse
in die des Computers im WLAN ändert und schon hat er zutritt. Jedoch kann ein Userlimit
verwendet werden das die Anzahl der Clients festlegt welche mit dem Accesspoint
verbunden sein können und keine weiteren Verbindungen zulässt.

[5] – WEPplus, WEP2/TKIP, 802.11i, …

Update von WEP auf WEPplus(Agere),.. oder einer anderen neuen Sicherheitsmaßnahme
in welchem die oben besagten Schwachstellen beseitigt sind!
Hängt aber ganz vom gekauften Produkt ab ob der Hersteller Updates
zu den neuen Sicherheits-Verfahren zur Verfügung stellt oder nicht.
Und all diese neuen Protokolle sind meist nur mit Produkten der selben Firma
kompatibel. Das heisst man braucht also Accesspoint und Wavelan Karte
vom selben Hersteller ansonsten ist es zwecklos.
Aber am besten gleich einen Accesspoint und die dazugehörige Karte mit
der entsprechenden Schutzmaßnahme kaufen, so erspart man sich einiges..

Die Anfangs als WEP-Nachfolger geplante Sicherheitsmassnahme WPA ist wie sich
herausstellte fast genauso unbrauchbar und WEP.
Mehr Infos und einen detailierten Bericht gibts hier:
http://www.golem.de/0311/28361.html
http://wifinetnews.com/archives/002452.html

[6] – VPN

Die einzig wirklich sichere Maßnahme zum Schutz eines 802.11b Wavelans heisst VPN.
Zu empfehlen ist es sich einen VPN-Router mit IPsec anzuschaffen!
Sehr gut soll der Linksys BEFSX41 sein.
Bei einem VPN Router wird der gesamte Datenverkehr über einen VPN-Tunnel gesendet
welcher nichts nach aussen lässt und somit auch so gut wie keine Chancen für Angreifer bietet.
Weiters gibt es noch die Möglichkeit im VPN statt IPSec SSL einzusetzen
bleibt dann ganz dem Benutzer selbst überlassen.
Für genauere Auskünfte über aktuelle Produkte am besten bei einem Fachhändler nachfragen.

Post a Comment

Entries (RSS) and Comments (RSS).
Rss Feed Tweeter button Facebook button Technorati button Reddit button Myspace button Linkedin button Webonews button Delicious button Digg button Flickr button Stumbleupon button Newsvine button Youtube button