Fünf Mythen über sichere WLAN-Netzwerke

Im Internet wurden über die Jahre viele Empfehlungen abgegeben wie Drahtlosnetzwerke (WLANs) sicher gestaltet werden können. Einige davon gilt es unbedingt zu befolgen, andere sind durch neue Standards obsolet geworden und manche haben sich als Mythen eisern gehalten:

Das Verstecken der SSID macht das WLAN unsichtbar.
MAC-Adressen-Filter machen Netzwerke sicher.
Die Beschränkung der IP-Adressen verhindert unbefugte Verbindungen.
Kleine Drahtlosnetzwerke können nicht angegriffen werden.
WPA2 mit einem leicht zu merkenden Passwort ist ausreichend.

Lesen Sie im Folgenden Details zu diesen Behauptungen und was an ihnen wahr ist oder nicht. Wir zeigen Ihnen anschließend wie Sie Ihr WLAN sicher konfigurieren können.

Das Verstecken der SSID macht das WLAN unsichtbar.

Jedes Drahtlosnetzwerk hat einen zugewiesenen Namen, die sogenannte SSID. Diese wird standardmäßig übertragen, sodass Benutzer das Wireless LAN mit ihrem Smartphone oder Computer empfangen und durch den Namen schnell zuordnen können. Wird in den WLAN-Router-Einstellungen die SSID versteckt scheint es so, als ob das Drahtlosnetzwerk getarnt wurde, weil es nicht mehr unter den empfangenen Drahtlosnetzwerken auftaucht.

Ein WLAN, das man nicht mehr empfangen kann, für angemeldete Nutzer aber trotzdem nutzbar ist? In Wirklichkeit ist das Drahtlosnetzwerk weiterhin vorhanden, lediglich die SSID wird nicht mehr mitgesendet. Wenn überhaupt, wäre dies aus Sicherheitsgründen nur sinnvoll, um das eigene WLAN vor wenig begabten Script Kiddies zu verstecken. Erfahrene Hacker können mit den richtigen Werkzeugen die SSID über einen einfachen Deauthentication-Angriff herausfinden.

Die Sicherheit eines Drahtlosnetzwerks wird also nicht effektiv verbessert, indem die SSID versteckt wird. Vielmehr werden WLAN-Clients in der Folge dazu gezwungen sogenannte Probe Requests zu senden, über die ermittelt wird, ob sich das versteckte Drahtlosnetzwerk in Reichweite befindet. Diese werden von Hackern in Angriffen wie KARMA oder Evil Twin dazu genutzt den WLAN-Client mit einem bösartigen Access Point zu verbinden.
Lassen Sie sich von uns beraten, wie Sie im privaten und betrieblichen Umfeld einen effektiven Schutz aufbauen können.

MAC-Adressen-Filter machen Netzwerke sicher.

Nahezu jeder WLAN-Router erlaubt MAC-Filterung. Damit ist es möglich den Zugriff zum Netzwerk auf bestimmte Geräte zu beschränken. Hierzu wird die entsprechende MAC-Adresse in eine Whitelist eingetragen, die allen Geräten mit einer MAC-Adresse aus dieser Liste Zugang gewährt.

Auf den ersten Blick mag dies wie eine wirksame Zugriffssteuerung aussehen. Tatsächlich können Geräte, die nicht in der Whitelist enthalten sind, das Netzwerk nicht verwenden. Jedoch kann eine MAC-Adresse auf einfache Art und Weise gefälscht werden. Das sogenannte MAC Spoofing ist mit fast jeder Netzwerkkarte möglich. Hierbei wird die MAC-Adresse eines Geräts, das mit dem anzugreifenden Netzwerk verbunden ist, erlauscht und im Anschluss daran vom Gerät des Angreifers verwendet.

Das eigene Drahtlosnetzwerk mit einem MAC-Filter auszustatten macht dieses nicht per se sicher. Erst durch die Wahl eines Verschlüsselungsverfahrens wie WPA2 und sicherer Passwörten wird das Netzwerk ausreichend geschützt. Eine MAC-Adressen-Filterung kann zum Preis eines höheren Administrationsaufwands das Bollwerk um das eigene Netzwerk dann zusätzlich verstärken.

Die Beschränkung der IP-Adressen verhindert unbefugte Verbindungen.

Um über ein Netzwerk zu kommunizieren, bekommen Geräte IP-Adressen zugewiesen. Dies geschieht entweder manuell oder automatisch über einen DHCP-Server.

Man könnte annehmen, dass der Zugriff durch unbefugte Geräte genau dann unterbunden werden könnte, wenn

der IP-Adressbereich beschränkt ist und alle Adressen daraus vergeben sind oder
der DHCP-Server ausgeschaltet ist und keine IP-Adressen automatisch verteilt werden.

Da IP-Adressen jedoch auch manuell willkürlich zugewiesen werden können, sind beide Vorgehen aus der Sicherheitsperspektive nicht wirkungsvoll. Im ersten Fall käme es zwar zu einem IP-Adressenkonflikt; dieser verhindert die unbefugte Verbindung jedoch nicht. Im zweiten Fall weist sich ein Angreifer manuell eine nicht verwendete IP-Adresse zu und kann damit problemlos im Netzwerk kommunizieren.

Kleine Drahtlosnetzwerke können nicht angegriffen werden.

Viele kennen das Problem von schlechtem WLAN-Empfang in Gebäuden, in denen viel Stahlbeton verbaut wurde, oder bei großen Distanzen zwischen WLAN-Access-Points und -Clients. Kann man das Drahtlosnetzwerk nicht empfangen, kann man es auch nicht verwenden. Müsste es dann nicht möglich sein die Sendeleistung möglichst stark zu reduzieren, sodass ein Angreifer es beispielsweise von der Straße aus nicht empfangen und damit nicht angreifen kann?

Die Annahme auf diese Art und Weise das eigene Drahtlosnetzwerk sicher zu machen ähnelt der Vermutung durch Verstecken der SSID das Drahtlosnetzwerk unsichtbar zu machen. In Wirklichkeit setzt ein Angreifer, der Signale selbst mit geringer Stärke empfangen möchte, eine Richtfunkantenne ein. Diese ist weder teuer noch ist der Erwerb bestimmten Personengruppen vorbehalten; eine solche Yagi-Antenne kann man sich sogar selbst aus einer Pringles-Dose basteln. Minimiert man die Sendeleistung seines Drahtlosnetzwerks, kann dieses also trotzdem noch angegriffen werden. Die Reduktion der Sendeleistung führt am ehesten zu einer Reduktion der Reichweite, wodurch berechtigte Nutzer häufiger Verbindungsprobleme erfahren werden.

WPA2 mit einem leicht zu merkenden Passwort ist ausreichend.

Wir empfehlen ein sicheres Verschlüsselungsverfahren zu verwenden, um ein Drahtlosnetzwerk zu schützen. Das eingesetzte Verfahren darf dabei keine bekannten Schwachstellen aufweisen und muss für den jeweiligen Zweck geeignet sein. Man könnte der Meinung sein, dass ein "sicheres" Verschlüsselungsverfahren wie WPA2 mit einem leicht zu merkenden Passwort ausreichend Schutz bieten würde. Doch kommt es vor allem auf die Stärke des Passworts an, das von einem sicheren Verschlüsselungsverfahren verwendet wird.

Wenn Sie zu den Personen gehören, die sich ?nR.,vg-5+7W-pwP_,cH leicht merken können, ist die Behauptung, ein leicht zu merkendes Passwort reiche für WPA2, korrekt. Für alle anderen empfehlen wir sichere Passwörter in einem entsprechenden Programm zur Passwortverwaltung zu speichern. WLAN-Datenverkehr kann für einen Offline-Angriff mitgeschnitten und gespeichert werden. Da das Verschlüsselungsverfahren in der Regel bekannt ist, können schlechte Passwörter innerhalb weniger Stunden oder sogar Minuten geknackt werden.

Fazit

Nicht alle Mythen über sichere WLAN-Netzwerke sind an den Haaren herbei gezogen: Wer bereit ist zum Preis von höherem Administrationsaufwand weitere Hürden in die Netzwerkkonfiguration einzubauen, kann Angreifern (und wohl auch sich selbst) das Leben etwas schwerer machen. Sicher werden Drahtlosnetzwerke dadurch jedoch nicht und wir raten eindringlich davon ab einfache Passwörter zur Verschlüsselung des WLANs zu verwenden. Befolgen Sie die sieben Empfehlungen für ein sicheres WLAN und kontaktieren Sie uns bei Fragen für ein unverbindliches Gespräch.

Andreas Sperber

WPA2 WLAN Passwort WPS KeePass Hardening • Härten • Absichern SSID MAC-Adresse Verschlüsselung Richtfunk DHCP KARMA Evil Twin Probe Request

Am 20.04.2016 in der Kategorie Netzwerksicherheit veröffentlicht.