Offen oder nicht ganz dicht!? - Zur Sicherheit in drahtlosen Netzwerken (Wireless LAN)

von Jürgen Neumann und Karim Pedersen 21.12.2004

Deshalb gilt es zu allererst eine Entscheidung zu treffen: Soll das Netzwerk für andere zur Verfügung stehen oder nicht?

Viele Gründe sprechen dafür, einen vorhandenen Internetanschluss (z.B. eine DSL-Flatrate) mit anderen zu teilen. So können beispielsweise die individuellen Kosten gesenkt werden. Menschen, die sich sonst keinen schnellen Internetanschluss leisten können oder keinen erhalten können, bietet sich per WLAN die Möglichkeit dennoch in den Genuß von Breitbandinternet zu kommen. Das ist gut so und wird ja bereits auch vielerorts derart praktiziert.

Einige Punkte sollten aber in jedem Fall beachten werden:

Wenn andere das Netz mitbenutzen dürfen, dann müssen Sie auch davon erfahren. Denn nicht jeder offene Accespoint ist automtisch auch für die Mitnutzung bestimmt. Oft wird einfach nur vergessen, die eingebauten Sicherheitsmechanismen zu aktivieren.

Standardeinstellungen ändern

In jedem Fall sollte der erste Schritt bei der Installation eines Accesspoint darin bestehen, das voreingestellte Administrator-Passwort zu ändern. Im Internet befinden sich Listen, die die Standard-Passwörter der meisten Geräte enthalten. So können sich ungebetene Gäste leicht Zugang zu dem Netzwerk verschaffen, wenn das Passwort nicht geändert wird (Passwörter sollten außerdem komplex sein und regelmässig geändert werden).

Aber nicht nur das Passwort sollte verändert werden. Die Basisstation (Accesspoint) versendet regelmäßig einen voreingestellten Standard-Namen, genannt SSID (Service Set Identifier). Die SSID dient der eindeutigen Identifikation des Netzwerks. Die Meldungen enthalten nicht nur den Namen, sondern auch Informationen über die eingestellte Geschwindigkeit und eine etwaigeVerschlüsselung.

alex.freifunk.net

Wer sein Netz absichtlich offen betreiben möchte, sollte daher eine SSID wählen, die diese Absicht auch für andere erkennbar macht. Unser Vorschlag:

Gebt Eurem Accesspoint eine SSID vom Schema: name.freifunk.net, also z.B. alex.freifunk.net. So ist für andere sofort erkennbar, dass es sich um ein willentlich offenes Netzwerk handelt. Ausserdem bieten wir Euch die Möglichkeit, eine Weiterleitung im Internet für Euch einzurichten. Wer dann in seinem Web-Browser http://name.freifunk.net eingibt, landet wahlweise auf Deiner eigenen Webseite oder auf Deiner Wikiseite im freifunk.wiki oder Deiner freifkarte in der freifunk.community und kann so leicht mit Dir Kontakt aufnehmen (siehe auch http://essid.freifunk.net).

Wer sein Netz hingegen schützen möchte, sollte den Standard-Namen (oftmals ”any”) auswechseln und einen Namen wählen, der nicht leicht zu erraten ist. Außerdem sollte man die automatische Aussendung des Standard-Namens durch die sogenannten SSID-Broadcast-Meldungen (auch Broadcast Associations genannt) ausschalten.

Mit Werkzeugen wie Netstumbler kann die SSID ohne große Mühe angezeigt werden. Auch wenn es nicht in jedem Fall möglich ist, sich nur anhand der SSID einen Zugang zu beschaffen, kann der Name der Basisstation beispielsweise für einen Denial-of-Service-Angriff verwendet werden.

Verschlüsselung schützt den Datenverkehr

Wer seine Daten unverschlüsselt über ein Funknetz überträgt, muss sich darüber im klaren sein, dass diese ohne jede Mühe von allen, die das Funksignal empfangen, mitgelesen werden können (z.B. Webinhalte, E-Mails, Passwörter etc.). Zwar sind die Daten im Internet auch nicht sicherer, jedoch ist das Abhören in kabelgebundenen Netzen mindestens daran gebunden, den physischen Zugriff auf die Kabel oder Computer zu haben oder es ist wesentlich aufwendiger – im Funknetz kommen die Daten dagegen einfach durch die Luft.

WEP, WPA

Die meisten Accesspoints bieten eine einfache Verschlüsselungsmethode an, um die Daten beispielsweise zwischen dem Laptop und dem Accesspoint zu verschlüsseln. Normalerweise ist die Verschlüsselung als Standardeinstellung deaktiviert.

Wer sein Netz nicht mit anderen teilen möchte, sollte die eingebaute Verschlüsselung sofort nach der Installation aktivieren, um den Datenverkehr zwischen der Basisstation und den Klienten wenigstens minimal zu schützen.

Die erste Generation von Funknetzen benutzt einen Verschlüsselungsstandard namens WEP (Wired Equivalent Privacy). WEP existiert in zwei Varianten, mit 64-Bit- und 128-Bit-Verschlüsselung. Aber der verwendete RC4-Algorithmus in WEP ist relativ leicht zu knacken und bietet deshalb nicht wirklich Sicherheit. Außerdem sind die verschiednen Netznutzer bei gleichem WEP-Schlüssel auch nicht voreinander geschützt. Jeder, der den WEP-Schlüssel kennt, kann die Daten des anderen mitschneiden.

Die Wi-Fi Alliance hat einen neuen Standard entwickelt, WPA (Wireless Protected Access), der ein wesentlich höheres Sicherheits-Niveau bieten soll. Bevor man WPA verwenden kann müssen aber alle Geräte und Clients mit entsprechenden Treibern ausgestattet werden, die den Standard unterstützen.

Die nächste Generation, WPA2, ist schon fertiggestellt und arbeitet mit AES (Advanced Encryption Standard) mit 128-Bit, 192-Bit und 256-Bit Schlüsseln. Das verspricht einiges mehr an Sicherheit. Wann dieser Standard jedoch flächendeckend implemetiert sein wird bleibt abzuwarten.

https://...

Manche Internetseiten (z.B. beim electronic banking) werden bereits zwischen dem Webserver und dem Webclient verschlüsselt, müssen also nicht zusätzlich verschlüsselt werden. Es handelt sich um ein public-private-key-Verfahren, das auf SSL (secure socket layer) basiert. Immer mehr Internetseiten werden alternativ auch verschlüsselt angeboten.
Webseiten mit verschlüsselter Übertragung sind unter https://... zu erreichen.

Viele Internetprovider bieten mittlerweile auch an, die Passwörter für SMTP und POP3 per SSL verschlüsselt zu übertragen. Davon sollte in jedem Fall gebrauch gemacht werden.

SSL ist unabhängig vom Übertragungsmedium und verschlüsselt die Daten zwischen den Endpunkten (also z.B. Deinem Labtop und dem Bankrechner). Die Methode ist einigermaßen sicher und ist für viele kritischen Transaktionen mittlerweile zum Standard geworden.

VPN (Tunnel)

VPNs (Virtuelle Private Netzwerke) sind verschlüsselte Verbindungen zwischen zwei Computern, unabhängig vom jeweiligen Dienst (also egal ob http, pop3, smtp, etc.). Dabei werden einfach alle zu übertragenden Daten vor dem Versenden eingepackt und verschlüsselt und am anderen Ende wieder entpackt und entschlüsselt, egal um welche Art von Daten es sich handelt. Voraussetzung ist jedoch, dass beide Seiten die gleiche VPN-Methode benutzen. Bekannte VPN-Methoden sind z.B. PPTP, IPsec und SSL.

OpenVPN ist freie OpenSource-Software, die auf SSL basiert und für fast alle Betriebssysteme erhältlich ist. (siehe http://openvpn.freifunk.net). Sie ist leicht zu installieren und deshalb auch im WLAN-Bereich sehr gut einsetzbar.

Der Vorteil von VPN-Tunneln ist ganz klar: Obwohl ein Netzwerk als Infrastruktur für alle offen ist (egal ob WLAN oder Internet) können die Daten darin verschlüsselt übertragen werden. Die Verschlüsselung ist unabhängig vom Übertragungsmedium und erfolgt idealerweise zwischen dem Anfang und dem Endpunkt der Datenübertragung. Damit sind die Daten auf der gesamten Stecke verschlüsselt, und nicht etwa nur im drahtlosen Netz.

Filtrierung von MAC-Adressen

Mit dem MAC-Adressenfilter kann der Netzwerk-Besitzer am Accesspoint angeben, welche Computer sich in dem Netzwerk einloggen dürfen. Es ist eines der meistgenutzten Werkzeuge um den Zugang zum drahtlosen Netzwerk zu kontrollieren.

Um den Filter zu aktivieren muss man die MAC-Adresse von jedem Computer eingeben, der Zugang zur Basisstationen haben soll. Jede Netzwerk-Karte hat ihre eigene MAC-Adresse. Die Liste von Netzwerk-Adressen wird direkt in der Basisstation (Accesspoint) eingerrichtet und es ist nicht Notwendig, Einstellungen an den einzelnen Cleints vorzunehmen.

Man sollte aber bedenken, dass die MAC-Adressenfiltrierung den Datenverkehr keinesfalls schützt. Es ist nur eine simple Autenfizierung der Clients auf Basis der MAC-Adresse. Die MAC-Adresse ist aber leicht manipulierbar. So können ungebetene Gäste das Netz abhören, und dann einfach ihre eigene MAC-Adresse fälschen, um Zugang zu dem Netzwerk zu erhalten.

Den einzelnen Computer sichern

Ganz egal ob das eignen Funknetz ganz privat genutzt wird, oder auch anderen zur Verfügung stehen soll. In jedem Fall ist der eigene Computer angemessen zu schützen!

Insbesondere Windows-basierte PCs sollten mit Firewall- und Antivirus-Software geschützt werden. Oft wird das gleiche Notebook in einem drahtlosen Netzwerk zuhause, im Büro und unterwegs verwendet – aber das Sicherheitsniveau in den Netzen ist sehr unterschiedlich.

Für einen Hacker kann es sehr einfach sein, einen trügerischen Accesss-Point einzurichten und eine Verbindung zum Computer herzustellen. Indem er sich Zugang zum Notebook verschafft hat der Hacker dann eventuell auch gleich einen Weg in das geschützte Firmen-Netzwerk gefunden. Er kann die Netzwerkanfragen des Notebook ausspähen und einen Access-Point mit dem gleichen Namen wie die Basisstation im Heim-Netzwerk des Mitarbeiters errichten – und die Folge ist, dass der Computer sich automatisch mit dieser Basisstation verbindet. Deshalb ist es dringend notwendig eine Firewall auf dem einzelnen Computer zu installieren.

Für Betreiber größerer Netzwerke – insbesondere große Unternehmen - kann es sehr schwer sein, den Überblick über die drahtlosen Netzwerk-Aktivitäten zu behalten und herauszufinden, ob unerlaubte Klienten oder Basisstationen im Firmen-Gebäude installiert worden sind. Oft haben Mitarbeiter ohne Kenntnis der Sicherheits-Politik vom Unternehmen ihr eigenes lokales Funknetz aufgebaut.

Es ist also stark dazu zu raten, das drahtlose Netzwerk genauso wie das Internet als externes Netz zu betrachten. Die eigenen Daten und das interne Netzwerk sollten unbedingt mit geeigneten Schutzmechanismen (Firewall!) vor ungewolltem Zugriff geschützt werden.

Aber genau dann – und nur dann – ist ein offenes Netzwerk auch keine weitere Gefahr, sondern einfach die Bereitstellung eines Stücks eigener Infrastruktur für die öffentliche Nutzung.