Jetzt umsteigen: Mobil mit 11 MBit/s ins Internet

Alles Gute hat auch etwas Schlechtes. So birgt die kabellose Freiheit einige Sicherheitsschwachstellen in sich. Besonders betroffen scheint die derzeit etablierte 802.11b-Technik. Vor allem Unternehmen halten sich daher noch bei dem Einsatz der Wifi-Technologie zurück, bis der als „sicherer“ titulierte 802.11g-Standard seinen Weg in die Regale findet. Die Sicherheitsindustrie hat längst den Braten gerochen. So offerieren die Netzwerk-Ausrüster schon jetzt eigene Lösungen und Dienstleister bieten Symposien und Schulungen an.

Betroffen ist vor allem das vom IEEE definierte Verschlüsselungsverfahren zum Schutz der übertragenen Daten, die Wired Equivalent Privacy (WEP). Anfangs noch mit einem 40 Bit-Schlüssel versehen, hat man nun den Key auf 128 Bit erweitert. Doch auch dieser kryptische Code gilt als leicht zu überwinden.

Angesichts der ganzen Meldungen um WEP, Alternativen und Nachfolger wird jedoch eine Tatsache häufig übersehen. Unabhängig davon, ob die übertragenen Daten nun per WEP oder einer anderen Verschlüsselungstechnik gesichert sind, bieten WLANs auch sonst genügend Angriffspunkte. Die meisten Lücken in drahtlosen Netzen gehen jedoch nicht auf das Konto der Technik, sondern vielmehr auf die Bequemlichkeit und mangelnde Kenntnis des Anwenders.

Basisschutzmaßnahmen, die man ergreifen sollte:

1. Passwortvorgaben ändern
2. ESSID ändern (am Access Point und sämtlichen Clients): Die ESSID sollte keine Rückschlüsse auf Firma oder Netzwerk zulassen
3. Passwort zur Access Point-Konfiguration modifizieren
4. ESSID Broadcast, falls technisch möglich, abschalten
5. Media Access Code (MAC) Adress-Filterung am Access Point einschalten, sofern es diese Option gibt
6. WEP-Verschlüsselung mit 128 Bit einschalten
7. Authentisierungsmethode „Open“ bei WEP wählen, da die Option „Shared Key“ zusätzliche Sicherheitsprobleme birgt
8. WEP-Schlüssel periodisch wechseln
9. Aufstellort und Antennencharakteristik des Access-Points so wählen, dass nur das gewünschte Gebiet funktechnisch versorgt wird. Achtung: Funkwellen strahlen sowohl horizontal als auch vertikal ab
10. Sendeleistung am Access Point, sofern möglich, reduzieren, damit nur das gewünschte Gebiet funktechnisch versorgt wird
11. DHCP (Dynamic Host Configuration Protocol)-Server im Access Point abschalten. Damit muss man statische IP-Adressen vergeben. Dabei den zulässigen IP-Adressraum möglichst klein einstellen. Der DHCP-Server wird dem Eindringling sonst automatisch eine gültige IP-Adresse zuweisen
12. Upgrade der Systemkomponenten auf einen erweiterten Sicherheitsstandard, wie WEP Plus, Fast Packet Keying oder LEAP.
13. Beim Einsatz mehrerer Access Points sind die benutzten Frequenzkanäle benachbarter Access Points möglichst überlappungsfrei zu wählen
14. Bei Nichtbenutzung der WLAN-Komponenten sollte sie deaktiviert werden.

Wie Sie sich noch wirksamer gegen Eindringlinge schützen können und welche
Einstellungen Sie genau vornehmen müssen, lesen Sie
im „TechReport: Wireless Security„.