Suchen

WLAN-Sicherheit auf dem Prüfstand – Teil 3

WLAN-Router sicher konfigurieren und private Hotspots deaktivieren

Seite: 2/3

Firmen zum Thema

SSID-Broadcast unterbinden und Kennung ändern

Ähnlich der Hostnamen von Computern dient die SSID (Service Set Identifier) der einfachen und eindeutigen Erkennung von kabellosen Netzwerken. Bei Angabe der gleichen SSID können auch mehrere Access Points miteinander verbunden werden. Vollkommen transparent für den Nutzer, lassen sich auf diese Weise große Bereiche durch ein einziges WLAN abdecken.

In allen gängigen SOHO-Routern ist der Broadcast dieser Kennung stets aktiviert. Dies macht es vor allem Laien einfach, welche nur aktive WLAN-Scanner wie Netstumbler einsetzen. Es empfiehlt sich daher den Broadcast zu unterbinden, was oft als „versteckte SSID“ bezeichnet wird.

Da es mit passiven Sniffern immer noch möglich ist, die Kennung zu ermitteln, sollte diese anschließend noch verändert werden. Viele Geräte enthalten in der SSID Informationen über den Hersteller und die Firmware oder lassen zumindest Rückschlüsse darauf zu. Bei Erscheinen eines Zero-Day-Exploits kann eine zu aussagekräftige SSID schnell zum Verhängnis werden.

Intrusion-Detection-Systeme zur Früherkennung nutzen

Viele der Angriffe, welche zum Knacken von WLANs entwickelt wurden, lassen sich durch ein IDS gut erkennen. Steigt etwa die Zahl der ARP-Pakete in einem Netzwerk drastisch an, so ist das ein verlässliches Indiz für einen laufenden Replay-Angriff. Aktive WLAN-Scanner lassen sich ebenso schnell durch passive WLAN-Sniffer entdecken.

Damit die mitgeschnittenen Daten auch von anderen Programmen gelesen werden können, braucht es jedoch eine Form der Inter-Process Communication (IPC). Um diese zu realisieren bietet etwa Kismet eine Named Pipe an, auch FIFO genannt. Diese Datei dient einem IDS wie Snort anschließend als Input und „enthält“ die gesammelten WLAN-Pakete.

Einen recht exotischen und eher experimentellen Weg, geht das freie Projekt „Fake AP“. Die Entwickler des Tools hatten es sich zum Ziel gesetzt, Wardrivern und Script Kiddies das Leben schwer zu machen.

Fake AP verfügt nur über eine einzige Funktion: Das Erzeugen künstlicher Access Points. Von diesen täuscht es gleich mehrere zehntausend vor - mit gleicher SSID, aber unterschiedlicher MAC. Das kann zwar abschreckend wirken, wird jedoch auch jede andere Person im Umkreis extrem stören.

Seite 3: Gebrauch von Smartphones in WLAN-Hotspots vermeiden

(ID:2044203)