Funknetze erfreuen sich wachsender Beliebtheit, sind aber unsicherer als ihre Kabel-Pendants. Dabei ist nicht viel Aufwand nötig, um einem W-Lan grundlegene Sicherheit zu verpassen.

Wer zum ersten Mal ein Wireless LAN einrichtet, wird erstaunt sein, wie leicht sich Rechner auf diese Art vernetzen lassen. Doch die Einfachheit hat ihren Preis. Die eingebauten Sicherheits-Features sind meist deaktiviert und müssen erst eingerichtet werden. CHIP Online zeigt, wie Sie Ihr W-LAN in fünf Schritten schützen.

Schritt 1: Die Basics
 
Mit einer Basisstation und zwei W-LAN-Karten können Sie in wenigen Minuten ein Funknetz aufbauen. Vergessen Sie in der Freude über das funktionierende Netz aber nicht, sich um grundlegende Sicherheit zu kümmern.
 
Jedes W-LAN trägt einen Namen, die so genannte ESSID (Extended Service Set Identifier). So soll gewährleistet werden, dass Sie sich im richtigen Netz einklinken. Es kann natürlich sein, dass Ihr Nachbar zufällig den gleichen Namen für sein Netz auswählt. Das ist aber sehr unwahrscheinlich, wenn Sie als erstes den Standard-Wert, den der Hersteller dem Access-Point verpasst hat, ändern. Wählen Sie einen kryptischen Namen für Ihr Netz, also am besten nicht "W-LAN" oder "Funknetz".

Wer mit einer funktionierenden W-LAN-Karte im Laptop über die CeBIT spaziert, der wird zahlreiche Funknetze finden. Der Grund: Die Access-Points pusten Ihre ESSIDs einfach in die Gegend und die W-LAN-Software scannt die Umgebung danach ab. Jeder, der sich in Reichweite befindet, kann das Netz auf diese Weise entdecken. Als Sicherheitsmaßnahme empfiehlt es sich, den Broadcast der ESSID abzuschalten. Im Klartext bedeutet das: Nur wem der Netzname explizit mitgeteilt wird, der weiß von der Existenz des Netzes. Aktuelle Basisstationen bieten dieses Feature.

Access-Point absichern
Die meisten Access-Points werden über einen Browser administriert. Das ist komfortabel und vor allem plattformunabhängig, Linux- und Mac-Nutzer wird's freuen. Der Zugang zur Admin-Webseite ist durch ein Passwort geschützt. Hier gelten natürlich auch die Regeln für sichere Passwörter, also ein möglichst langes Gewirr aus Sonderzeichen, Zahlen und Buchstaben.

Einen Schritt zu komfortabel ist bei den Access-Points die Fernwartung über das Internet. Schalten Sie den Remote-Zugriff ab und konfigurieren Sie das W-LAN lokal, auch Schnickschnack wie Remote-Firmeware-Update sollten Sie deaktivieren. Sie sollten regelmäßig auf die Webseiten des Access-Point-Herstellers nachsehen, ob Firmware-Updates angeboten werden. Falls ja: Bringen Sie die Basisstation auf den aktuellsten Stand.

Windows sichern
In einem Netzwerk sollten Sie generell darauf achten, dass Sie Sicherheitslücken in Windows abschalten: Fast alle fernsteuerbaren Windows-Dienste laufen über den so genannten Server-Dienst. Die meisten W-LAN-Nutzer werden keine Server-Dienste zur Verfügung stellen und können diesen Dienst einfach abschalten. 

Schritt 2: Verschlüsselung
 
Wenn Sie die grundlegenden Maßnahmen ergriffen haben, können Sie jetzt einen Schritt weiter gehen: Aktivieren Sie Verschlüsselung und Authentifizierung.
WEP (Wired Equivalent Privacy) ist ein Verfahren zur Datenverschlüsselung und Authentifizierung in W-LANs. Leider ist dieses Verfahren nicht besonders sicher. Jedoch spricht das nicht gegen eine Aktivierung von WEP, denn ein Angreifer braucht die richtigen Tools und einige Stunden Zeit, um die Verschlüsselung zu knacken.

Bei WEP kommt es vor allem auf die Schlüssellänge an. Es gilt: Je länger, desto besser. Bei aktuellen Geräten sollten es schon 128 Bit sein. Wichtig ist auch, dass Sie die Schlüssel ab und zu ändern, am besten in unregelmäßigen Abständen.

WEP plus x
Um WEP zu verbessern, gibt es zwei Ansätze: Standardkonforme Erweiterungen und proprietäre Lösungen einzelner Firmen. Den standardkonformen Weg geht dabei WEP plus. WEP plus verhindert die bei WEP auftretenden schwachen Hash-Codes. Um es zu nutzen, müssen sowohl die Basisstation als auch die W-LAN-Treiber dies unterstützen. Besitzer älterer Geräte sollten ein Firmware-Update vornehmen. Rapid Re-Keying nennt sich ein Verbesserungs-Vorschlag von RSA, leider hält sich das Verfahren nicht an den WEP-Standard.
WPA - die bessere Lösung
Die Abkürzung WPA steht für Wi-Fi Protected Access, ebenfalls ein Standard für Verschlüsselung und Authentifizierung. Entwickelt wurde der Standard von der Wi-Fi-Allianz mit dem Ziel, die grundlegenden Design-Schwächen von WEP zu beheben. So gesehen ist WPA der sichere Nachfolger von WEP.

Bietet Ihr Access-Point WPA an, - er sollte es entweder bereits beherrschen oder über ein Software-Update lernen - aktivieren Sie WPA anstelle von WEP. Für die Verschlüsselung selbst benutzt WPA das Protokoll TKIP (Temporal Key Integrity Protocol), das Sie auch in den Einstellungen für Ihre Netzwerkverbindung angeben müssen.

WPA für zuhause
WPA funktioniert in Verbindung mit Authentifizierungs-Servern. Das ist gut für Unternehmen, die sich diesen Luxus leisten. Für den Privatnutzer kommt diese Lösung aber nicht in Frage. Stellen Sie deshalb die Authentifizierung im Netz auf WPA-PSK. PSK steht für Pre-Shared Key und bedeutet, dass Sie selbst ein Zugangspasswort, den so genannten Master-Key, für den Access-Point und alle Clients vergeben müssen. Wenn das passiert ist, verwendet TKIP den Master-Key, um daraus weitere sichere Schlüssel zu generieren.
WPA2 oder 802.11i
WPA ist momentan noch aktuell, am Nachfolger WPA2 wird aber bereits gearbeitet: Im Rahmen der Standardisierung von drahtlosen Netzen wird WPA2 vom IEEE (Institute of Electical and Electronic Engineers) unter dem Namen 802.11i entwickelt. Das Besondere an WPA2: Es verwendet den Verschlüsselungs-Standard AES (Advanced Encryption Standard). Dabei werden variable Schlüssellängen verwendet, 128, 192 oder 256 Bit.

WPA und WPA2 sind grundsätzlich kompatibel; daher soll es möglich sein, Basisstationen in einem "Mixed Mode" zu betreiben. Jedoch lässt sich der neue Standard nicht einfach durch ein Software-Update nachrüsten - neue Hardware ist für WPA2 Pflicht. Erste Geräte soll es auf der CeBIT zu sehen geben.

Schritt 3: MAC-Filter
 
Eine wirkungsvolle Methode um ein W-LAN zu schützen ist es, den Zugang nur bei passender MAC-Adresse zu gewähren.
Passwort-Abfragen können Hacker mit Glück auch erraten, einiger Aufwand gehört aber dazu, eine Hardware-Adresse zu fälschen. Sichern Sie Ihr W-LAN über so genannte Access Control Lists (ACL) ab, indem Sie nur bestimmten MAC-Adressen Zugang zu Ihrem Funknetz geben.

Windows gibt nach Eingabe des Befehls ipconfig /all die MAC-Adressen in Ihrem Rechner Preis. Diese finden sie hinter dem Eintrag "Physikalische Adresse". Linux-Nutzer erreichen die Adressen über den Befehl ifconfig. Derselbe Befehl funktioniert auch bei Mac OS X.

Jetzt müssen Sie nur noch die gültigen MAC-Adressen in die Konfiguration der Basisstation eintragen. Das ist bei kleinen W-LANs kein Problem, wenn aber mehrere Access-Points mit vielen Benutzern verwaltet werden müssen, kann es schnell in Arbeit ausarten.
 
Für die Verwaltung von ACLs in großen W-LANs gibt es so genannte Radius-Server (Remote Dial-In User Authentication Service), die zentral die ACLs gespeichert haben und sich mit den Access-Points synchronisieren. Besonders interessant ist das Projekt FreeRADIUS, das unter der GPL entwickelt wird. Anleitungen für Windows-XP-Clients und Linux-Clients gibt es bereits.

Schritt 4: VPN-Tunnel
 
Vor allem in Firmen werden W-LANs mit bestehenden Kabel-Netzen gekoppelt. Die Schwachstelle ist das Funknetz: Es kann zum Eingang für ungebetene Gäste werden, darum muss eine Sicherung her.
In den meisten Firmen sollten heute Firewalls die Netze nach außen schützen. Bei der Kopplung von Funknetz und Kabelnetz empfiehlt sich zusätzlich eine Firewall als Zwischenstelle. Aber das ist noch nicht genug: Die gesamte Kommunikation sollte über ein Virtual Private Network (VPN) abgewickelt werden. Bei einem VPN wird eine sichere Verbindung durch einen Tunnel in einem unsicheren Netz hergestellt.

Zu diesem Zweck brauchen Sie ein VPN-Gateway, das zwischen W-LAN und bestehendem LAN eingebunden wird. Auf den Rechnern, die Zugang zum LAN wollen, müssen VPN-Clients installiert werden, die eine sichere Verbindung aufbauen können. Der einzige Weg ins LAN führt über den VPN-Tunnel.

Es gibt verschiedene VPN-Protokolle, das bekannteste ist IPsec. Ein VPN-Gateway auf IPsec-Basis mit Firewall ist ein Fall für Linux. Eine besonders coole Lösung ist DUCLING (Diskette-based Ultra Compact Linux IPSec Network Gateway), man braucht nur einen alten Rechner, zwei Netzwerkkarten und eine Diskette. Einen Workshop dazu gibt's bei unseren Kollegen vom Linuxjournal, leider nur in Englisch.

Schritt 5: Profi-Maßnahmen
 
Für Privatnutzer sollten die bisherigen Schritte genügen, schon ein VPN geht eigentlich für den Hausgebrauch zu weit. In Firmen sollte die Sicherheit dagegen noch besser garantiert werden.
Sichere Passwörter, verschleierte IDs, WEP, ACLs und VPNs sind das tägliche Brot von W-LAN-Admins. Zwar bieten all diese Maßnahmen eine gute Portion Sicherheit, aber gut ist meist nicht gut genug. Für den Schutz sensibler Firmeninformationen werden auch gerne mal ein paar Euro investiert.

Seit Mitte 2001 gibt es den Standard 802.1x, der "Port Based Network Access Control" bei W-LANs nachrüstet. Die Authentifizierung der Benutzer erfolgt dabei über das Extensible Authentication Protocol (EAP). Zwischen Client und Basisstation werden über EAP die Authentifizierungsdaten ausgetauscht. Die Überprüfung der Daten erfolgt aber nicht durch die Basisstation sondern durch einen Radius-Server im Hintergrund.

Windows XP unterstützt 802.1x, die W-LAN-Hardware und die Client-Software müssen aber auch mitspielen. Für Linux gibt's die freie Implementierung Open1x.

Schwachstellen gezielt suchen
Was macht ein Admin, wenn er ein Funknetz abgesichert hat? Jetzt geht sein Job eigentlich erst los, er geht selbst auf die Suche nach Schwachstellen. Tools wie Netstumbler, Kismet, Airsnort oder Wepcrack dienen nicht nur als Waffe von Funknetzsuchern sondern auch als Werkzeuge für Admins. Als weiterer Schritt könnte der Einsatz von Smartcards erwägt werden. Einige W-LAN-Karten bieten einen Extra-Einschub für die programmierbaren Kärtchen.

Fazit: Es geht auch sicher
 
W-LANs sind einfach einzurichten; dieser Komfort geht aber auf Kosten der Sicherheit. Dabei ist es mit wenig Aufwand möglich, ein Funknetz abzusichern.
In privaten Funknetzen, die mit wenigen Clients und meist einer Basisstation betrieben werden, reichen die ersten drei Schritte dieses Workshops aus. Zusätzlich empfehlen wir auf jedem Client einen Virenscanner und eine Personal Firewall zu installieren - besser ist natürlich eine richtig konfigurierte Hardware-Firewall.

Für Firmen und größere W-LANs, die an ein "normales LAN" gekoppelt sind, empfiehlt sich die Einrichtung eines VPN-Tunnels. Um den Verwaltungsaufwand klein zu halten und zusätzliche Sicherheit zu erreichen, sollte zusätzlich ein Radius-Server eingerichtet werden, nebst Authentifizierung über EAP.

Adhoc-Modus ist unsicher
In diesem Workshop wurden bisher die Adhoc-Netze, also W-LANS ohne Basisstation, links liegen gelassen. In diesem Modus stehen praktisch keine Sicherheits-Features zur Verfügung. Adhoc-Netze sollten Sie daher sparsam einsetzen.