AVANTEC Know-how

Wie Hacker vorgehen, Teil 4

WLAN Security

WLAN, WiFi, IEEE 802.11 und ähnliche Begriffe im Zusammenhang mit Funknetzwerken kursieren seit längerer Zeit in allen Medien. Kein Wunder ist dieses Thema in aller Munde, denn drahtlose Netzwerke haben zweifellos viele Vorteile: Der Heimanwender kann bequem vom Sofa aus im Internet surfen, der Leiter eines KMU kann sich die Kosten für die Netzwerkverkabelung seiner Büroräume sparen und im Warenhaus profitiert man von der grossen Flexibilität von mobilen Waagen, Barcodelesern und Kassensystemen.

Dennoch gilt es einiges zu beachten, wenn man Funknetzwerke einsetzt. Denn grundsätzlich sind solche Netze für jedermann zugänglich, der sich im Empfangsbereich eines WLAN (Wireless LAN) Access-Point befindet. Trotzt der geringen Sendeleistung von maximal 100mW ist der Empfang der Funkwellen nicht auf die Räumlichkeiten des Betreibers beschränkt. Mit einer guten Richtantenne sind die übertragenen Daten auch über Distanzen von mehreren Kilometern empfangbar.

Für einen Heimanwender mag es kein Problem sein, wenn die Nachbarn über seine Infrastruktur im Web surfen. Die wenige benötigte Bandbreite fällt heutzutage kaum mehr ins Gewicht. Viele betreiben ihre Zugangspunkte ganz bewusst offen, so wie die Initianten des Vereins luftnetz.ch, die ein flächendeckendes offenes Funknetz aufbauen wollen und mit drahtloser Telefonie experimentieren, die unabhängig vom GSM-Netz ist. Allerdings wird dies in den meisten Firmennetzwerken anders aussehen: Hier hat kein Aussenstehender etwas im internen Netzwerk verloren.

Im letzten Herbst organisierte die Swiss Internet User Group (www.siug.ch) eine Veranstaltung unter dem Titel Warshopping. Ein kleiner Rundgang in der Nähe eines grossen Einkaufszentrum zeigte ein erschreckendes Bild: Dutzende ungeschützte Funknetzwerke wurden gefunden, die meisten davon unverschlüsselt, Netzwerkdrucker waren frei zugänglich, einige Access-Points waren bloss durch das vom Hersteller vorgegebene Standardpasswort geschützt.

Schutzmassnahmen

Die meisten Funknetzwerke wachsen nach und nach: Für einen Test wird vorübergehend ein Access-Point in Betrieb genommen, aus dem kleinen Test wird ein Dauerzustand, und mit der Zeit kommen weitere Zugangsstationen dazu. Leider werden nur in den wenigsten Fällen Funknetzwerkumgebungen gut geplant eingeführt.

Damit keine Daten unerwünschterweise Ihre Firma verlassen und die Kommunikation berechtigter Nutzer nicht abgehört werden kann, gilt es, einige Punkte sicherzustellen:

1. Standardpasswort ändern:

So banal es klingt, ändern Sie unbedingt das Standardpasswort Ihres Access-Points. Sonst ist es jedermann möglich, Ihren Access-Point umzukonfigurieren.

2. Zugangsbeschränkung per MAC-Adresse:

Konfigurieren Sie den Access-Point so, dass er Verbindungen nur von ihm bekannten Netzwerkkarten entgegennimmt. Diese kann er anhand der MAC (Media Access Control) Adressen identifizieren.

3. SSID verstecken:

Konfigurieren Sie Ihren Access-Point so, dass dieser die Service Set Identity (SSID) nicht mehr ganz so offensichtlich verbreitet.

Diese Massnahmen sind alle mit den Bordmitteln der gängigen Access-Points umsetzbar und können auch schon einige Leute aus Ihrem Netzwerk fernhalten. Gegen etwas ambitioniertere Angreifer hilft dies alles allerdings nur wenig. Denn alle diese Massnahmen lassen sich mit relativ geringem Aufwand überwinden. Darum hier die zwei wichtigsten Punkte, die es zu beachten gilt:

4. Kein Access-Point im internen Netz:

Access-Points müssen in einem physikalisch getrennten Netz betrieben werden (z.B. DMZ). Zugang zum internen Netzwerk durch die Firewall gibt es nur nach einer sicheren Authentifizierung. Zudem muss sichergestellt werden, dass kein Mitarbeiter einen eigenen Access-Point mitbringt und ins interne Netz hängt (ebenso wie kein interner ans Netzwerk angeschlossene PC ein Modem eingebaut haben sollte).

5. Kommunikation nur verschlüsselt:

Die meisten Access-Points unterstützen das Verschlüsselungsverfahren WEP (Wired Equivalent Privacy). Dieses wurde mit dem Ziel entwickelt, eine mit drahtgebundenen Netzwerken vergleichbare Sicherheit zu bieten. Allerdings wurden in den letzten Jahren gravierende Sicherheitsmängel entdeckt , so dass heute WEP vielleicht noch den Surfer im Strassenkaffe gegenüber abhalten mag. Es bietet aber keinen sicheren Schutz Ihrer Kommunikationsdaten. Verwenden sie auf der Funkstrecke eine starke Verschlüsselung wie zum Beispiel SSH, SSL/TLS oder ein IPSec-VPN.

Die oben kurz angetönten Sicherheitsmassnahmen gelten sowohl für Heiminstallationen wie auch für grössere Umgebungen. Allerdings gilt es bei letzteren auch einige weitere Punkte zu beachten zum Beispiel auch in bezug auf die Managebarkeit der Hardware und Software wie auch der Zugriffsberechtigungen der User auf die im Rahmen dieses Artikels leider nicht eingegangen werden kann. Nehmen Sie diesbezüglich Kontakt mit einem Fachmann auf.

Lesen Sie weitere Artikel zum Vorgehen von Hackern im Bereich Know-how.