WLAN-Sicherheit auf dem Prüfstand – Teil 3

WLAN-Router sicher konfigurieren und private Hotspots deaktivieren

01.04.2010 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Wer Fremdzugriffe aufs Funknetz verhindern will, muss die Konfiguration des WLAN-Routers ändern.
Wer Fremdzugriffe aufs Funknetz verhindern will, muss die Konfiguration des WLAN-Routers ändern.

Ob teuer oder billig: Fast jeder aktuelle Router lässt sich als WLAN Access Point nutzen. Doch mit den Werkseinstellungen erhält man nur selten echte Sicherheit. Schlecht konfigurierte Geräte gefährden die eigenen Daten und können von Hackern für weitere Straftaten missbraucht werden. Security-Insider.de erläutert in diesem Artikel Maßnahmen zum Schutz von WLANs und zeigt wo versteckte Gefahren lauern.

Hinter dem unscheinbaren Aktenzeichen 12 O 195/08 verbirgt sich ein Urteil, das WLAN-Betreiber seit Juli 2008 stark verunsichert. Die Richter des Landgerichts Düsseldorf hatten entschieden, dass jeder die Pflicht habe das eigene Funknetz angemessen zu sichern.

Wer dies versäumt, haftet anschließend auch für Straftaten, die Dritte mit Hilfe des eigenen WLANs begehen. Daher gilt es schon beim Kauf des WLAN-Routers darauf zu achten, dass dieser neben WEP-Verschlüsselung auch die sichereren Alternativen WPA und WPA2 unterstützt. Gerade Internetanbieter liefern oft kostenlose Geräte, die nur unzureichende Sicherheit bieten.

Ebenso wichtig ist es, dass der Router individuell konfiguriert werden kann. Beispielsweise über ein Web-Interface, das durch ein Passwort geschützt werden sollte. Einige der meist Linux-basierten Geräte erlauben auch einen direkten Shell-Zugriff über Telnet oder SSH. Mithilfe von IPTables lassen sich dann sogar komplexe Firewall-Regeln realisieren.

Vor allem in größeren Unternehmen gerät die meist schwache Hardware jedoch schnell an ihre Grenzen. Daher sollte neben dem Gebrauch mehrerer Access Points als WLAN-Repeater auch eine zusätzliche Firewall eingesetzt werden. In besonders sensiblen Bereichen sollte auf WLAN komplett verzichtet werden.

MAC-Filterung alleine bietet nur unzureichenden Schutz

Neben starker Verschlüsselung durch WPA und WPA2 erlauben die meisten modernen Router zusätzlich eine Filterung anhand der MAC-Adresse. Diese ist bei jeder WLAN-Karte einzigartig und muss vorher in einer Whitelist hinterlegt werden. Verbindet sich ein Client zwar mit richtigem Passwort, aber falscher MAC-Adresse, wird die Verbindung augenblicklich verworfen.

Diese zusätzliche Hürde bringt bei genauer Betrachtung jedoch kaum mehr als „Security by Obscurity“ (z.dt.: Sicherheit durch Unklarheit). Das Erraten einer richtigen MAC-Adresse ist zwar sehr unwahrscheinlich – doch auch gar nicht nötig. Passive Sniffer wie Kismet können alle mit einem Access Point assoziierten Clients anzeigen – zuzüglich ihrer MAC-Adressen.

Anschließend kann ein Angreifer die Informationen der eigenen WLAN-Karte entsprechend anpassen und sich erfolgreich verbinden. Die Manipulation einer solchen Hardware-Adresse lässt sich etwa mit dem Linux-Kommando ifconfig in kürzester Zeit realisieren. Der Log-Eintrag wird ihn zwar letztlich verraten, jedoch nicht an einem Verbindungsaufbau hindern.

Seite 2: SSID-Broadcast unterbinden und Kennung ändern

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2044203 / Wireless Security)