Wie sicher ist mein wireless LAN (wLAN) ?

Das grundsätzliche Problem
wireless LAN oder wLAN zeichnet sich dadurch aus, daß es - wie der Name schon sagt - kabellos ist, also ein Funknetzwerk darstellt. Daraus ergibt sich, daß daran per se erstmal jeder dran teilnehmen kann, der in Reichweite dieses Funknetzwerkes ist und selbst mit einer wLAN-Karte ausgestattet ist.

Was bedeutet das?
Die Reichweite ist sehr unterschiedlich, grundsätzlich kann man wohl sagen, daß bei einem Netzwerk jeder, der in einem Auto vor dem Haus auf der Strasse sitzt, in Empfangsreichweite sitzt.

Solch eine Person hat also - zunächst auf Layer 1, also auf Hardware-Ebene - eine Verbindung mit Deinem Netzwerk. Bei einem Kabelnetzwerk wäre eine vergleichbare Situation, daß ein potentieller Angreifer sein Netzwerkkabel an einen freien Port in Deinem Hub gesteckt hat.

Nun kann diese Person auf Layer 2, also Verbindungs-Ebene eine Verbindung herstellen. Sie kann Daten mitlesen und Daten an andere Netzwerkknoten senden.

Zum Beispiel kann sie sich anschauen, welche IP-Adressen auf Layer 3, also der Netzwerkebene, bei Dir benutzt werden, sich eine freie aus diesem Netz (oder eine Benutzte, z.B. von Deinem Server) vergeben und fröhlich mitspielen - Deine Daten lesen, Deine Internetverbindung nutzen, Deine Rechner angreifen.

Schutzmaßnahmen
Den "Konstrukteuren" der WLAN-Standards war diese Gefahr bewusst, deshalb haben sie einige Schutzmechanismen mit eingebaut. Die folgende Liste ist ungefähr nach aufsteigender Schutzwirkung sortiert.

Von nahezu allen Geräten werden unterstützt:

• SSID
  Das ist gewissermaßen der Netzwerkname - nur wer diesen kennt, darf mitfunken. Leider wird die SSID im Klartext übertragen, kann also von jedem erlauscht werden. Man kann zwar das "in-die-Welt-schreien" der SSID durch den Access Point (SSID-Broadcast) abstellen, aber mindestens, wenn sich ein Knoten neu anmeldet, muß er sie übertragen. Außerdem sind die Standardeinstellungen der Hersteller weithin bekannt.


• MAC-Adressen-Filter
  Viele Hersteller bieten die Möglichkeit, nur ausgewählte MAC-Adressen (das sind idealerweise eindeutige Kennungen der Netzwerk-Hardware, es ist aber bei sehr vielen Geräten überhaupt kein Problem, diese zu ändern) am (sendenden!) Verkehr teilhaben zu lassen. Leider müssen diese meist mühsam von Hand in den Filter eingetragen werden, und sind ebenfalls von einem Angreifer leicht erlauschbar und damit unter Umgehung des Filters für seine eigene Karte benutzbar.


• WEP - Wired Equivalent Privacy
  WEP soll eine dem Kabelnetzwerk vergleichbare Sicherheit herstellen. Dazu werden die Daten verschlüsselt. Leider wurde diese Verschlüsselung schlecht implementiert. Auch wenn die gröbsten Schnitzer mittlerweile meist umgangen werden, ist der Schlüssel mit vergleichsweise geringem Aufwand zu ermitteln. Mittlerweile sind die Angriffe auf WEP so ausgefeilt, dass auch das regelmäßige Wechseln des Schlüssels nicht mehr ausreicht, um das Netzwerk zu schützen.

Die bis hierhin genannten Schutzmaßnahmen sind bei Weitem nicht ausreichend. Bestenfalls macht eine aktivierte WEP-Verschlüsselung das Abhören und die Mitbenutzung eines Internetzugangs über das WLAN strafbar, was aber wenig hilft, wenn man den Übeltäter überhaupt nicht kennt.

Da die Unzulänglichkeiten von WEP schon lange bekannt sind, gibt es seit einiger Zeit zusätzliche Schutzmechanismen:

• WPA - Wi-Fi Protected Access
  Das dem Standard IEEE802.11i vorausgenommene WPA beseitigt einige Schwächen von WEP und ergänzt Authentifizierungsverfahren. WPA setzt aber immer noch auf das von WEP bekannte Verschlüsselungsverfahren RC4.


• IEEE802.11i / WPA2
  Die Nachfolgestandards schließlich setzen das Verschlüsselungsverfahren AES (Advanced Encryption Standard) ein, das keine bekannten Schwächen hat. Leider ist die dafür nötige Rechenleistung höher als bei RC4, so dass ältere Hardware nicht immer durch ein Firmware-Update für den Einsatz von AES fit gemacht werden kann. Beim Kauf von Neugeräten sollte daher darauf geachtet werden, daß diese 802.11i / WPA2 unterstützen.


• VPN - virtuelle private Netze
  Wenn man ein VPN über das gesamte WLAN legt, kann man sicher den größten Teil der Risiken abfackeln, da VPNs i.d.R. funktionierende Kryptographie verwenden und sämtlichen Verkehr zuverlässig verschlüsseln. Das hat allerdings ein paar Nachteile: VPNs sind etwas schwieriger einzurichten, und alle Geräte (auch der Router!) müssen sie unterstützen.

Außerdem kann es natürlich auch herstellerspezifische Mechanismen geben, die außreichende Sicherheit bieten. Diese haben allerdings den großen Nachteil, dass alle beteiligten Komponenten von diesem Hersteller stammen müssen.

FAZIT
Die einfache, schnelle, sichere und billige Lösung gibt es nicht - kann es nicht geben. Aber es ist möglich und nicht einmal besonders schwierig, ausreichende Sicherheit auch in WLANs herzustellen.

Der wichtigste Punkt bei allen Verschlüsselungsverfahren ist aber, ein sicheres Passwort zu wählen, also möglichst lang und im Idealfall unter Einbeziehung des gesamten zur Verfügung stehenden Zeichensatzes. Außerdem sollte der Schlüssel auch (un-)regelmäßig gewechselt werden - je nach eingesetztem Verfahren mehr oder weniger häufig.

Als flankierende Maßnahmen kann es sinnvoll sein,

• eine individuelle SSID zu wählen,


• den SSID-Broadcast am Access-Point abzuschalten und


• die MAC-Adressenfilter zu verwenden.

Ganz unabhängig davon sollten natürlich Router, Server und Client-PCs so sicher als möglich konfiguriert werden.

Weiterführende Links
Website einer plattformübergreifenden VPN-Lösung
http://www.openvpn.net/

Forum für wLAN-Absicherung
http://www.sicheres-funknetz.de/

Artikel zu den Details von 802.11i / WPA2
http://www.kes.info/archiv/online/04-5-036.htm

Wikipedia-Artikel zum Thema
http://de.wikipedia.org/wiki/SSID
http://de.wikipedia.org/wiki/MAC-Adresse
http://de.wikipedia.org/wiki/Wired_Equivalent_Privacy
http://de.wikipedia.org/wiki/Wi-Fi_Protected_Access
http://de.wikipedia.org/wiki/WPA2
http://de.wikipedia.org/wiki/VPN

• ergänzt von PHvL