Archiv der Kategorie: WLAN

Airsnort

HTTP/1.1 301 TLS Redirect
Date: Sat, 04 Aug 2018 15:47:01 GMT
Server: Varnish
X-Varnish: 895997517
X-Cache: cp3040 int
X-Cache-Status: int-front
Set-Cookie: WMF-Last-Access=04-Aug-2018;Path=/;HttpOnly;secure;Expires=Wed, 05 Sep 2018 12:00:00 GMT
Set-Cookie: WMF-Last-Access-Global=04-Aug-2018;Path=/;Domain=.wikipedia.org;HttpOnly;secure;Expires=Wed, 05 Sep 2018 12:00:00 GMT
X-Client-IP: 212.227.119.138
Location: https://de.wikipedia.orghttp://de.wikipedia.org/wiki/Airsnort
Content-Length: 0
Connection: close

© This material from Wikipedia is licensed under the GFDL.

Absicherung von Funknetzwerken

Die Funknetzwerkstandards 802.11b (11 Mbit) und 802.11g (54 MBit) beinhalten einige Maßnahmen zur Absicherung der damit aufgebauten Netzwerke. Um einen grundlegenden Schutz zu erreichen, sollten diese aktiviert werden. Durch die folgenden Maßnahmen kann die Sicherheit deutlich verbessert werden.

SSID sinnvoll wählen

Die SSID eines WLANs ist ein eindeutiger Netzwerkname. Nur Netzwerkkomponenten mit der selben SSID können miteinander kommunizieren. Allerdings kann die verwendete SSID von Dritten durch einfaches Mithören des Verbindungsaufbaus herausgefunden werden. Wird die SSID auf ihrem Standardwert „Any“ belassen, so werden beliebige Stationen akzeptiert. Die Standard SSID sollte daher in jedem Fall geändert werden. Dabei sollte kein Rückschluss auf Name oder Adresse des Netzwerkinhabers möglich sein. Zusätzlich sollte der SSID-Broadcast der verwendeten Accesspoints deaktiviert werden.

Sinnvolle Passwörter verwenden

Auf keinen Fall sollten die Standard-Passwörter der Accesspoints verwendet werden. Stattdessen sollten schwer zu erratende Passwörter gesetzt werden. Dies sollte zudem nur drahtgebunden, und nicht über das Funknetzwerk erfolgen.

MAC-Address-Filterung aktivieren

Jede Netzwerkkarte besitzt eine weltweit eindeutige Nummer, die sogenannte MAC-Adresse. Zur Absicherung kann einem Accesspoint in der Regel eine Liste von MAC-Adressen eingegeben werden. Der Accesspoint lässt dann ausschließlich Verbindungen zu den Netzwerkkarten zu, deren MAC-Adresse er gespeichert hat.

Eine Schwäche dieser Absicherung ist, dass MAC-Adressen durch sogenanntes MAC-Spoofing gefälscht werden können. Ein Angreifer kann seine Netzwerkkarte so konfigurieren, dass sie mit einer MAC-Adresse aus der Liste des Accesspoints erscheint und dieser so eine Verbindung zulässt.

Da der Aufwand für die Verwaltung der MAC-Adressen mit der Anzahl der in einem Netzwerk verwendeten Komponenten schnell zunimmt, ist diese Art der Absicherung zudem nur für kleine Netze sinnvoll. Professionelle WLANs von Unternehmen müssen auf andere Sicherungsmaßnahmen zurückgreifen.

WEP-Verschlüsselung verwenden

Durch WEP soll die Vertraulichkeit der Daten mit Hilfe von Verschlüsselung gewährleistet werden. Allerdings gelten heute weder die dabei verwendeten Schlüssellängen noch der Verschlüsselungsalgorithmus als sicher.

Die WEP-Verschlüsselung kann durch verschiedene Techniken ausgehebelt werden. So können z.B. die verwendeten Schlüssel relativ leicht durch Belauschen und statistisches Auswerten des Datenstroms ermittelt werden. Da kein Schlüsselmanagement vorhanden ist, müssen die verwendeten Schlüssel manuell auf allen Komponenten des Funknetzes abgeglichen werden. Dieser Aufwand führt in den meisten Fällen dazu, dass die WEP-Schlüssel selten oder nie getauscht werden.

Existiert keine bessere Möglichkeit der Verschlüsselung, wie z.B. WEP+ oder ein VPN, so sollte WEP trotz der Schwächen auf jeden Fall verwendet werden. Dabei sollte immer der längste mögliche Schlüssel benutzt und dieser regelmäßig geändert werden.

WPA-Verschlüsselung verwenden

Neuere WLAN-Komponenten bieten das gegenüber WEP deutlich verbesserte Verschlüsselungs- und Authentisierungssystem WPA. Wenn möglich sollte dieses verwendet werden.

DHCP-Server deaktivieren

WLAN-Accesspoints können in der Regel als DHCP-Server verwendet werden, d.h. der Accesspoint teilt allen Clients, die sich mit dem Netzwerk verbinden wollen, automatisch eine IP-Adresse zu. Um zu vermeiden, dass auch eventuelle Angreifer automatisch eine gültige Netzwerkadresse zugeteilt bekommen, sollte die DHCP-Server-Funktionalität des verwendeten Accesspoints deaktiviert und stattdessen statische IP-Adressen verwendet werden.

Erreichbarkeit der WLAN-Komponenten einschränken

Aufstellort, Antennencharakteristik und wenn möglich die Sendeleistung der WLAN-Komponenten sollten so gewählt werden, dass nur das gewünschte Gebiet abgedeckt wird. Zur weiteren Optimierung der Sicherheit sollten die WLAN-Komponenten nur bei Gebrauch eingeschaltet sein.

Software aktualisieren

Um bekannte Sicherheitslücken der WLAN-Software zu schließen, sollten immer die aktuellen Versionen verwendet werden. Dies gilt ebenfalls für die Firmware der Accesspoints und Netzwerkkarten.

Verwendung zusätzlicher Sicherheitssysteme

Keine der integrierten Techniken zur Absicherung erlaubt eine wirklich lückenlose Absicherung von Funknetzwerken. Für privat genutzte Netze mit geringen Sicherheitsanforderungen sind sie aber in der Regel ausreichend und sollten hier immer verwendet werden.

Für Funknetzwerke mit höheren Anforderungen an die Sicherheit müssen aber weiterführende Maßnahmen ergriffen werden. Möglich sind hier die Verwendung einer zusätzlichen Verschlüsselung über einen VPN-Tunnel und eine ergänzende Authentisierung über externe Protokolle wie EAP oder RADIUS. Weiterhin sollte auch ein eventuell am Funknetz angeschlossenes drahtgebundenes Netz durch eine Firewall von diesem getrennt werden.