Pietro Scherer
In physikalischen
Netzen, mit Leitungen und Kabel, setzt das Abhören der Kommunikation das
physikalische Anzapfen der Leitung voraus. Da Leitungen in der Regel durch
gesicherte Gebäude oder unterirdisch verlaufen, ist das Abhören von Anfang an
erschwert.
In einem Funknetz sieht das ganz anders aus. Hier dient der freie Raum als Übertragungsmedium. Sobald ein drahtloses Gerät seine Daten abstrahlt, benötigt ein Angreifer nur eine Antenne, um sich zumindest Zugang zum Signal zu verschaffen. Aus diesem Grund sind Sicherheitsvorkehrungen zu treffen, die das Signal für den Angreifer unbrauchbar macht.
In einem Funknetz sieht das ganz anders aus. Hier dient der freie Raum als Übertragungsmedium. Sobald ein drahtloses Gerät seine Daten abstrahlt, benötigt ein Angreifer nur eine Antenne, um sich zumindest Zugang zum Signal zu verschaffen. Aus diesem Grund sind Sicherheitsvorkehrungen zu treffen, die das Signal für den Angreifer unbrauchbar macht.
In den Anfangszeiten des
WLAN-Hypes war der IEEE-Standard 802.11 ein einziges Sicherheitsrisiko. Die
Datenübertragung war abhörbar und unverschlüsselt. In Unternehmen ist das nicht
akzeptabel. Zwar wurde mit WEP schnell ein Verschlüsselungsprotokoll
nachgeliefert. Doch genauso schnell stellte sich heraus, dass es sich schnell
knacken lässt. Das IEEE entwickelte deshalb den Standard IEEE 802.11i mit
sicheren Verschlüsselungsverfahren.
Sniffing und War-Driving
Sniffing und War-Driving
sind gängige Bezeichnungen für das Ausspionieren von WLANs. Dabei werden
spezielle WLAN-Karten verwendet, die mittels eines Treibers zum Channel Hopping
verwendet werden. So lässt sich das Frequenzspektrum nach WLANs absuchen. Über
einen Monitor-Modus hören die Karten nur mit, nehmen aber keine Verbindung auf.
War-Driving ist die
Bezeichnung für eine Tätigkeit, um Wireless-Netzwerke zu finden und mehr
Informationen über deren Aufbau in Erfahrung zu bringen. Im einfachsten Fall
ist War-Driving das Umherfahren mit einem Auto in dem sich ein Laptop mit
eingebautem WLAN-Adapter und externer Antenne befindet. In Kombination mit
einem GPS-Empfänger lässt sich der Standort eines WLANs protokollieren, um ihn
später auf einer Karte wiederzufinden. Mit einer speziellen Software, einem
Sniffer, werden alle WLANs erkannt und protokolliert. Auch ob sie offen oder
verschlüsselt sind, welches Access-Point-Equipment verwendet wird (bekannte
Sicherheitslücken?) und welche Netzwerkgeschwindigkeit vorliegt. Offene WLANs
ohne Verschlüsselung laden dann regelrecht zum Surfen im Internet ein, sofern
das Netzwerk hinter dem Access-Point über einen solchen Zugang verfügt.
War-Driving war in der
Anfangszeit der WLANs ein beliebter Sport, weil viele WLANs nicht verschlüsselt
waren. Heute ist War-Driving uninteressant, weil auch private WLANs
standardmäßig verschlüsselt sind, was den Zugang mit einfachen Mitteln
erschwert.
Sicherheitsrisiko WLAN?
IEEE 802.11i bzw. WPA2 gilt
seit einiger Zeit als hinreichend sicher. Die Technik ist inzwischen ausgereift
und vielfach im Einsatz. Wer nicht verschlüsselt oder immer noch WEP verwendet,
der handelt nach Ansicht von Sicherheitsexperten grob fahrlässig. In der Regel
gibt es auch rechtliche Probleme, wenn mit einem unverschlüsselten WLAN freier
Zugang zum Internet möglich ist.
WLAN-Komponenten sind inzwischen so günstig zu haben, dass es für den Austausch der veralteten Geräte gegen neue mit WPA2-Verschlüsselung keine Ausrede gibt.
WLAN-Komponenten sind inzwischen so günstig zu haben, dass es für den Austausch der veralteten Geräte gegen neue mit WPA2-Verschlüsselung keine Ausrede gibt.
Im kommerziellen Einsatz
sollten mit zusätzlichen Maßnahmen die übertragenen Daten geschützt werden. Mit
SSH und IPsec lässt sich die Kommunikation zwischen Anwendungen sicherer
machen. Windows-Clients lassen sich mit PPTP absichern.
Das Abhören und Entschlüsseln der Datenübertragung im WLAN ist dann nur mit unverhältnismäßig hohem Aufwand möglich. Wer ganz sicher gehen will, der lässt die Finger von WLAN und überträgt seine Daten ausschließlich über Kabelverbindungen.
Das Abhören und Entschlüsseln der Datenübertragung im WLAN ist dann nur mit unverhältnismäßig hohem Aufwand möglich. Wer ganz sicher gehen will, der lässt die Finger von WLAN und überträgt seine Daten ausschließlich über Kabelverbindungen.
10 Maßnahmen zur WLAN-Sicherheit
- Eigene SSID vergeben
- Eigenes Admin-Passwort für den Access Point vergeben
- SSID-Broadcast abstellen (nicht empfehlenswert)
- WPA2-Verschlüsselung einschalten
- MAC-Adressfilter einsetzen
- VPN einsetzen
- WLANs von anderen Netzwerk-Segmenten logisch trennen
- Firewall zwischen WLAN und LAN installieren
- IDS im WLAN aufstellen
- regelmäßige Audits mit aktuellen Hacker-Tools
Warum ein MAC-Adressfilter als alleiniges Sicherheits-Tool nichts taugt
Ein MAC-Adressfilter
verschlüsselt die Daten nicht. Das Abhören der Verbindungen ist jederzeit
möglich. Er verhindert nur, dass fremde Stationen so einfach das WLAN
mitbenutzen dürfen. Weil die Verbindung nicht verschlüsselt ist, kann ein
Angreifer die verwendeten MAC-Adressen mitlesen und übernehmen. MAC-Adressen
können überschrieben werden. Das bedeutet, auf der MAC-Adressen-Ebene können
Stationen sich für andere Stationen ausgeben. Und somit wäre der
MAC-Adressfilter umgangen.
WLAN: Abschalten der SSID?
Das Abschalten oder
Ausschalten der SSID im Access-Point gilt als Maßnahme zur Erhöhung der
WLAN-Sicherheit. Diese Ansicht ist weit verbreitet. Es wird auf allerlei
Internet-Seiten, so genannten Fachzeitschriften und auch in Büchern empfohlen.
Tatsächlich handelt es sich dabei um einen Irrglaube.
Das Verstecken oder Abschalten der SSID ist ein Leistungsmerkmal, das nicht offiziell der Norm entspricht. Es wird nicht von jeder WLAN-Hardware unterstützt. Wenn die SSID im Access Point trotzdem abgeschaltet wird, kann es passieren, dass andere WLAN-Stationen den Access Point nicht mehr sehen und sich deshalb gar nicht erst dort anmelden.
Problematisch ist es auch, wenn ein Betreiber eines neuen WLAN-Access-Points ein bereits fremdes installiertes WLAN nicht sehen kann und dummerweise den gleichen Funkkanal belegt. Dann funken zwei WLANs auf dem gleichen Kanal und können sich gegenseitig stören. Der Betreiber des neuen Access Points wundert sich dann, warum sein WLAN nicht richtig funktioniert. Den Fehler wird er ohne umfangreiches Know-how nicht finden. Und der Betreiber des bereits bestehenden WLANs wird sich wundern, warum sein WLAN auf einmal ständig Probleme macht. Das können niedrige Datenraten sein und sogar Totalausfälle.
Das Argument, dass versteckte WLANs von Wardrivern nicht gefunden werden ist falsch. Ein WLAN-Hacker oder Wardriver wird sich von der versteckten SSID nicht stören lassen. Mit den richtigen Tools kann man auch WLANs mit abgeschalteter SSID sichtbar machen.
Das Verstecken oder Abschalten der SSID ist ein Leistungsmerkmal, das nicht offiziell der Norm entspricht. Es wird nicht von jeder WLAN-Hardware unterstützt. Wenn die SSID im Access Point trotzdem abgeschaltet wird, kann es passieren, dass andere WLAN-Stationen den Access Point nicht mehr sehen und sich deshalb gar nicht erst dort anmelden.
Problematisch ist es auch, wenn ein Betreiber eines neuen WLAN-Access-Points ein bereits fremdes installiertes WLAN nicht sehen kann und dummerweise den gleichen Funkkanal belegt. Dann funken zwei WLANs auf dem gleichen Kanal und können sich gegenseitig stören. Der Betreiber des neuen Access Points wundert sich dann, warum sein WLAN nicht richtig funktioniert. Den Fehler wird er ohne umfangreiches Know-how nicht finden. Und der Betreiber des bereits bestehenden WLANs wird sich wundern, warum sein WLAN auf einmal ständig Probleme macht. Das können niedrige Datenraten sein und sogar Totalausfälle.
Das Argument, dass versteckte WLANs von Wardrivern nicht gefunden werden ist falsch. Ein WLAN-Hacker oder Wardriver wird sich von der versteckten SSID nicht stören lassen. Mit den richtigen Tools kann man auch WLANs mit abgeschalteter SSID sichtbar machen.
Rechtliche Bedeutung eines unverschlüsselten WLANs
Ein offenes WLAN stellt
sich wie ein offenes Scheunentor dar. Beim Surfen über das offene WLAN
hinterlässt die IP-Adresse des WLAN-Betreibers eine Spur im Netz. Diese
IP-Adresse kann im Nachhinein dem Anschlussinhaber zugeordnet werden. Der
Anschlussinhaber wird daher im Rahmen einer Rechtsverletzung als erster
Verdächtiger ermittelt. Schnell kann es vorkommen, dass man eine Straftat
angehängt bekommt, obwohl Fremde den unverschlüsselten WLAN-Zugang missbraucht
haben. Da hilft es dann auch nicht zu erklären, man habe nur seinen Nachbar ins
Netz gelassen oder versehentlich die Verschlüsselung abgeschaltet.
Keine Kommentare:
Kommentar veröffentlichen