Drahtlose Netzwerke sind komfortabel, praktisch, preiswert und - unsicher. Hier soll nun keine Abhandlung der Unsicherheiten erfolgen, die in der WEP-Verschlüsselung *by Design* enthalten sind, sondern es sollen einfache und grundsätzliche Konfigurations- und Sicherheitshinweise gegeben werden.
Drahtlose Netzwerke bestehen aus einem Access-Point (nachfolgend AP) und einer Anzahl PC-Systeme (nachfolgend Clients) mit drahtlosen Netzwerkkarten. Bei vielen handelsüblichen Geräten ist der AP in einen DSL-Router integriert. Im Lieferzustand sind die Geräte bereits betriebsbereit, nach dem Einschalten können drahtlose Geräte sich bereits mit dem Accesspoint verbinden.
In diesem Betriebsmodus besteht aber keinerlei Schutz des Netzwerks gegenüber der unerwünschten *Mitbenutzung* durch andere Teilnehmer, hier ist eine Konfiguration Seitens des Netzwerkbetreibers erforderlich. Welche Maßnahmen können nun zum Schutz des Netzwerk getroffen werden?
Die SSID stellt quasi den Namen des drahtlosen Netzwerks dar, Sie sollten die SSID vom Standardname den der Hersteller gewählt hat (Wireless, Wlan, 3Com usw) auf einen eigenen, möglichst kryptischen Namen ändern. Nach der Einrichtung von WEP/WPA und MAC-Filtern sollten Sie das SSID-Broadcasting abschalten, da Ihre Clients für Ihr Netz fest eingerichtet sind und eine zyklische Bekanntgabe des Netzwerknamen (SSID-Broadcasting) für Sie nur noch ein Ssicherheitsrisiko darstellt.
Durch WEP bzw. WPA werden die Datenpakete, die zwischen AP und den Clients transferiert werden, verschlüsselt. Einerseits vermeidet diese Verschlüsselung die Klartext-Lesbarkeit der übertragenen Daten für den unerwünschten Lauscher, anderseits müssen die Clients Ihre Daten entsprechend der Festlegungen auf dem AP verschlüsseln, um überhaupt am Netzwerkbetrieb teilzunehmen. Die WEP/WPA-Schlüssel stellen also das gemeinsame Geheimnis dar, über das alle für das Netzwerk authorsierten Teilnehmer verfügen. Wer dieses Geheimnis nicht kenn, bleibt erstmal grundsätzlich draußen.
Es versteht sich von selbst, dass die gewählten Schlüssel natürlich eine gewisse Komplexität haben sollten, einfach zu erratende Werte sollten nicht verwendet werden. Im Rahmen der Einrichtung ist es zweckmäßig, einen drahtgebundenen Zugang zu dem AP zu haben, um unbeabsichtigte *Selbstaussperrungen* zu vermeiden.
Viele Geräte gestatten die Eingabe eines Schlüsseltextes (im Regelfall 13 Zeichen 0-9 / a-z) zur Erzeugung eines Schlüsselcodes. Dieses Verfahren ist jedoch zwischen den verschiedenen Geräten nicht kompatibel, bei Problemen sollte hier von vornherein auf die Verwendung eines 26-stelligen Hexadezimalcodes gesetzt werden.
| Anmerkungen: Hexadezimalzahlen dürfen die Zeichen 0-9 und A-F enthalten, ferner gehen wir hier von einer Schlüssellänge von 128 Bit (26 Hex-Zeichen) aus. Sollte Ihre Geräteausstattung nur eine geringere Schlüssellänge zulassen, dann müssen Sie sich auf diesen kleinsten gemeinsamen Nenner einigen, sollte es sich jedoch ergeben, eine größere (168 Bit) Schlüssellänge zu verwenden, dann sollte diese auch Anwendung finden. |
Diese Codes werden nun bei allen APs und alle beteiligten drahtlosen Clients eingetragen. Eine genaue Verfahrensbeschreibung dazu kann hier nicht gegeben werden, da die verwendeten Geräte und ihre entsprechenden Oberfläche dazu zu unterschiedlich sind. Nach der eintragung des Schlüssels auf dem AP werden die Clients ihre Netzwerkverbindung verlieren, bei korrekter Eingabe des Schlüssels auf den Clients sollte die Verbindung innerhalb weniger Sekunden wieder etabliert sein. Nun arbeitet das Netzwerk mit einer Verschlüsselung, die unerwünschen Lauschern oder Mitbenutzern einen problemlosen Zugriff verwehrt.
Jede Netzwerkkarte ein eine weltweit eindeutige Kennung, die MAc-Adresse. Bei jedem uns bekannten AP ist es möglich, eine Zugriffsbeschränkung auf Ebene der MAC-Adresse(n) zu aktivieren. Damit besteht eine weitere Möglichkeit, unerwünschte Lauscher und Mitbenutzer auszusperren, der AP redet nur mit MAC-Adressen, die in sein Filterwerk eingetragen wurden. Auch hier können keine allgemeingültigen Aussagen zur Konfiguration gegeben werden, da die Einrichtungsoberflächen der APs zu unterschiedlich sind. Eine reine Filterung anhand der MAC-Adressen stellt keine ernstzunehmende Sicherheitsfunktion dar, da bei der Funkübertragung die MAC-Adressen aus den Datenpaketen ausgelesen werden können und der Eindringling eine einfach zu bewerkstelligende Adressanpassung auf seinem System durchführen kann. Erst in Kombination mit einer Verschlüsselung stellt diese Maßnahme eine weitere Steigerung der Sicherheit dar.
| Die MAC-Adresse eine Windows-Clients können Sie durch Eingabe von ipconfig /all an der Eingabeaufforderung ermitteln.
|
Ein drahtloses Netzwerk stellt - in welcher Konfiguration auch immer - eine Sicherheitslücke dar. Überlegenswert ist es hier, die physikalischen Bedingungen in das Sicherheitskonzept mit einzubeziehen. Bei der Abdeckung eines Geländes oder eines Beriches ist durch Auswahl der AP-Standorte, der Antennen und der Sendeleistung eine Einschränkung der Abdeckung auf den erwünschten Bereich möglich. So kann beispielsweise die Anordnung der Antennen in den Kellerräumen alleinstehender Gebäude eine Abdeckung des Gebäudes und des naheliegenden Bereiches bringen, jedoch eine Absrahlung auf öffentliches Straßenland oder auf angrenzende Grundstücke wirkungsvoll vermieden werden.
Speziell die Verwendung von Antennen mit bestimmter Abstrahlungscharakteristik kann hier auch bei komplexen Umgebungen einen deutlichen Sicherheitsgewinn bringen.
Ein drahtloses Netzwerk, nach den oben angegebenen Richtlinien geschützt, ist für vielen Bereiche als ausreichend sicher zu bezeichnen.
| Bedenken Sie aber bitte, im Ernstfall ist die Aufzeichnung und die Analyse von ca. 25 GB Datenverkehr ausreichend, um eine WEP-basierende Verschlüsselung zu knacken und erfolgreich über ein drahtloses Netzwerk in die Gesamtstruktur eines Unternehmensnetzweks einzudringen. |
Natürlich gibt es weitere Sicherungsmöglichkeiten, die ein Eindringen in ein drahtloses Netzwerk absolut unwahrscheinlich machen. Hierbei sein die Verschlüsselung auf VPN-Plattformen oder die IPsec-End-to-End-Verschlüsselung zu erwähnen. Innerhalb von Unternehmensnetzwerken werden drahtlose Netzwerke auf VPN-Plattform über eine DMZ geführt, um maximale Sicherheit zu gewährleisten. Gern sind wir bereit, uns mit der Einrichtung und Sicherung Ihres Netzwerks auf Ihre detailierte Anforderung hin zu befassen.
