Hallo,
[FAQ:1349]
Hast Du Lust, die FAQ um zwei kurze Absätze zu WPA und WPA2 zu
ergänzen?
ich mache mal einen Vorschlag für den entsprechenden Abschnitt:
*****
Schutzmaßnahmen
Den „Konstrukteuren“ der WLAN-Standards war diese Gefahr bewusst, deshalb haben sie einige Schutzmechanismen mit eingebaut. Die folgende Liste ist ungefähr nach aufsteigender Schutzwirkung sortiert.
Von nahezu allen Geräten werden unterstützt:
SSID
Das ist gewissermaßen der Netzwerkname - nur wer diesen kennt, darf mitfunken. Leider wird die SSID im Klartext übertragen, kann also von jedem erlauscht werden. Man kann zwar das „in-die-Welt-schreien“ der SSID durch den Access Point (SSID-Broadcast) abstellen, aber mindestens, wenn sich ein Knoten neu anmeldet, muß er sie übertragen. Außerdem sind die Standardeinstellungen der Hersteller weithin bekannt.
MAC-Adressen-Filter
Viele Hersteller bieten die Möglichkeit, nur ausgewählte MAC-Adressen (das sind idealerweise eindeutige Kennungen der Netzwerk-Hardware, es ist aber bei sehr vielen Geräten überhaupt kein Problem, diese zu ändern) am (sendenden!) Verkehr teilhaben zu lassen. Leider müssen diese meist mühsam von Hand in den Filter eingetragen werden, und sind ebenfalls von einem Angreifer leicht erlauschbar und damit unter Umgehung des Filters für seine eigene Karte benutzbar.
WEP - Wire Equivalent Privacy
WEP soll eine dem Kabelnetzwerk vergleichbare Sicherheit herstellen. Dazu werden die Daten verschlüsselt. Leider wurde diese Verschlüsselung schlecht implementiert. Auch wenn die gröbsten Schnitzer mittlerweile meist umgangen werden, ist der Schlüssel mit vergleichsweise geringem Aufwand zu ermitteln. Mittlerweile sind die Angriffe auf WEP so ausgefeilt, dass auch das regelmäßige Wechseln des Schlüssels nicht mehr ausreicht, um das Netzwerk zu schützen.
FAZIT
Die bis hierhin genannten Schutzmaßnahmen sind bei Weitem nicht ausreichend. Bestenfalls macht eine aktivierte WEP-Verschlüsselung das Abhören und die Mitbenutzung eines Internetzugangs über das WLAN strafbar, was aber wenig hilft, wenn man den Übeltäter überhaupt nicht kennt.
Da die Unzulänglichkeiten von WEP schon lange bekannt sind, gibt es längst Alternativen:
WPA - Wi-Fi Protected Access
Das aus dem Standard IEEE802.11i vorausgenommene WPA beseitigt einige Schwächen von WEP und ergänzt Authentifizierungsverfahren. WPA setzt aber immer noch auf das von WEP bekannte Verschlüsselungsverfahren RC4.
IEEE802.11i / WPA2
Die Nachfolgestandards schließlich setzen das Verschlüsselungsverfahren AES (Advanced Encryption Standard) ein, das keine bekannten Schwächen hat. Leider ist die dafür nötige Rechenleistung höher als bei RC4, so dass ältere Hardware nicht immer durch ein Firmware-Update für den Einsatz von AES fit gemacht werden kann.
VPN - virtuelle private Netze
Wenn man ein VPN (z.B. OpenVPN http://www.openvpn.net/) über das gesamte WLAN legt, kann man sicher den größten Teil der Risiken abfackeln, da VPNs i.d.R. funktionierende Kryptographie verwenden und sämtlichen Verkehr zuverlässig verschlüsseln. Das hat allerdings ein paar Nachteile: VPNs sind etwas schwieriger einzurichten, und alle Geräte (auch der Router!) müssen sie unterstützen.
Außerdem kann es natürlich auch herstellerspezifische Mechanismen geben, die außreichende Sicherheit bieten. Diese haben allerdings den großen Nachteil, dass alle beteiligten Komponenten von diesem Hersteller stammen müssen.
FAZIT
Die einfache, schnelle, sichere und billige Lösung gibt es nicht – kann es nicht geben. Aber es ist möglich und nicht einmal besonders schwierig ausreichende Sicherheit auch in WLANs herzustellen.
Der wichtigste Punkt bei allen Verschlüsselungsverfahren ist aber, ein sicheres Passwort zu wählen, also möglichst lang und im Idealfall unter Einbeziehung des gesamten zur Verfügung stehenden Zeichensatzes. Außerdem sollte der Schlüssel auch (un-)regelmäßig gewechselt werden – je nach eingesetztem Verfahren mehr oder weniger häufig.
Als flankierende Maßnahmen kann es sinnvoll sein,
-
eine individuelle SSID zu wählen,
-
den SSID-Broadcast am Access-Point abzuschalten und
-
die MAC-Adressenfilter zu verwenden.
Ganz unabhängig davon sollten natürlich Router, Server und Client-PCs so sicher als möglich konfiguriert werden.
*****
–
PHvL