Wireless-LAN Sicherheit

Im Wireless-LAN ist es möglich, dass der Datenverkehr mit wenig Aufwand aufgezeichnet oder auch abgefangen werden kann. Praktisch jeder, der sich im gleichen Teilnetz befindet und die Wireless-LAN Adapter im so genannten "promiscuous mode" betreibt, kann den Verkehr von Daten, die gerade versendet oder empfangen werden auch abhören/abfangen. Unter "promiscuous mode" versteht man, dass der Wireless-LAN Adapter mit einem fähigem Treiber den gesamten Datenverkehr aufnimmt und an ein Programm wie zum Beispiel LAN-Analyzer weiterleitet.

Wie kann ich mein Wireless-LAN schützen?

 
Ein Wireless-Netzwerk ist niemals so sicher wie ein Kabel-Netzwerk, weil es nicht so einfach anzuzapfen ist. Aber Sie können verschiedene Änderungen an der Konfiguration Ihres Wireless-LANs vornehmen, um es sicherer zu stellen. Als Beispiel haben wir hier einen SMC Barricade 2804WBR V.2 genommen.

Als erstes können Sie den Netzwerknamen SSID (SSID ist der Name eines drahtlosen Netzwerkes) ändern, also eigenen Namen für das Wireless-LAN vergeben. Der Name wird immer standardmäßig von einen Access Point oder Router  vergeben. Das heißt, jeder der sich in der Reichweite aufhält, kann sehen welches WLAN-Netzwerk sich in seiner Nähe befindet. Wenn Sie diesen Broadcast abschalten, kann sich nur die Person, die den Namen weiß in das Netzwerk einwählen. Für jemanden der die SSID nicht kennt, ist das Netzwerk nicht sichtbar.

Eine große Sicherheit bringt es, wenn man den DHCP abschaltet. Damit erschweren Sie einem unbefugtem Wireless-Client sich in das Netzwerk einzuwählen. Das heißt, dass er keine IP-Adresse von einem Access Point oder Router automatisch zugeordnet bekommt. Die IP-Adresse muss dann praktisch manuell eingetragen werden um ein WLAN-Verbindung zu erhalten.

Sie können zusätzlich den WEP (Verschlüsselungsstandard) aktivieren. Das heißt, dass jedem Wireless-Client ein WEP-Schlüssel bekannt sein muss, um sich in das Wireless-Netzwerk einzuwählen. Es gibt verschiedene Grade der Verschlüsselung was auch zum Hardwareproblemen führen kann. Den WEP-Schlüssel können Sie sich selber auswählen oder bei manchen Geräten einfach generieren lassen. Wenn Sie den Schlüssel selbs vergeben, können Sie diesen mit einer belibigen Zeichenkette (0-9 und a-f) eintragen. Wichtig ist, dass Sie sich den WEP-Schlüssel notieren, weil er eventuell später bei anderem Wireless-Client gebraucht wird!

Was wir noch empfehlen können, ist dass Sie den MAC-Adressen-Filter aktivieren und dauerhaft einsetzen. Jede Netzwerkkarte erhält vom Hersteller eine s.g. Hardwareadresse. Diese MAC-Adresse ist auf der Netzwerkkarte fest gespeichert und dient zu deren Identifikation im lokalen Netzwerk. Sie können mit Hilfe von dem MAC-Adressen dem Access Point oder Router befehlen, welche Wireless-Clienten sich in das Netzwerk einbuchen, bzw. verbinden können. Es gibt aber eine Möglichkeit die MAC-Adresse temporär zu ändern. Wie Sie diese MAC-Adresse herausbekommen erfahren Sie auf folgender Seite unter Pkt. 62. 

Ändern Sie unbedingt das Standardpasswort Ihres Routers oder Access Point, weil es durchaus möglich ist, dass ein ungebetener Gast sich mit Hilfe der Kenntnis des Standardpassworts vom Hersteller des Routers oder Access Point ungehindert einloggen kann.

Wi-Fi Protected Access (WPA und WPA2)

Wi-Fi Protected Access (WPA) ist eine Verschlüsselungsmethode für ein Wireless-LAN. Um die Sicherheit des WLAN-Datenaustausches zu erhöhen, bietet heute jeder Access-Point oder Router eine WPA-Verschlüsselung. Ältere WLAN-Geräte lassen sich über ein Software-Update oder ein Firmware-Upgrade oft auf den neuesten Sicherheitsstandard bringen. 

WPA (Wifi Protection Access) verwendet das Protokoll TKIP (Temporal Key Integrity Protocol). Alle Funkstationen die eine WPA-Verschlüsselungsmethode verwenden, übertragen (nur einmal) zu Beginn der Übertragung einen individuellen Start-Schlüssel. Danach erhält jedes übertragene Datenpaket einen individuellen Key zur Verschlüsselung.

So konfigurieren Sie manuell die WPA-WLAN-Einstellungen unter Windows XP

Klicken Sie auf "Start/Systemsteuerung/Netzwerkverbindungen" und dann klicken Sie mit der rechten Maustaste die "Drahtlose Netzverbindung" an und wählen "Eigenschaften" aus. Danach wechseln Sie zu der Karteikarte "Drahtlosnetzwerke" und markieren Sie die Option "Windows zum Konfigurieren der Einstellungen verwenden". Unter "Bevorzugte Netzwerke" klicken Sie auf 'Hinzufügen".

Unter SSID tragen Sie zum Beispiel "WLAN" ein. Der Service Set Identifier (SSID) ist die Kennung eines Funknetzwerkes, das auf dem Standard IEEE 802.1x basiert. Als "Netzwerkauthentisierung" wählen Sie: "WPA" (nicht WPA PSK) und als Datenverschlüsselung wählen Sie "TKIP". 

Hinweis: Sollten WPA/TKIP nicht zur Verfügung stehen, aktualisieren Sie bitte den WLAN-Treiber. Informationen dazu erhalten Sie vom Hersteller der Hardware.

Klicken Sie auf die Registerkarte IEEE 802.1x, und wählen Sie in der Dropdownliste EAP-Typ Protected EAP (PEAP) aus. 

Klicken Sie auf die Schaltfläche "Einstellungen..." um die PEAP-Einstellungen zu ändern... 

Mehr Informationen finden Sie auch in dieser Dokumentation beschriebene WLAN-Lösung für dynamischen WEP (Wired Equivalent Privacy)- als auch den WPA (Wi-Fi Protected Access)-WLAN-Schutz. Lesen Sie auch Infos über WPA auf der Microsoft Seite: Wi-Fi-geschützter Zugriff (Wi-Fi Protected Access oder WPA) - Übersicht

WPA2-Verschlüsselung unter Windows XP

Microsoft hat ein Update veröffentlicht und zum Download freigegeben, mit dem Windows XP nun auch WPA2 beherrscht. Dieses Update wird nicht über das automatische Windows Update verteilt, sondern muss manuell installiert werden. Das Update mit der Bezeichnung KB893357 kann auf der Homepage von Microsoft heruntergeladen werden. Voraussetzung für die Installation des Updates ist ein installiertes Service Pack 2 für Windows XP.

Weitere Informationen zu den WPA2-Sicherheitsfunktionen finden Sie unter "Wi-Fi Protected Access 2 (WPA2) Overview" auf folgender Microsoft-Website: http://www.microsoft.com/germany/technet/datenbank/articles/600761.mspx