Funkgeheimnis

Die WLAN-Technik arbeitet unsicher, das hat sich herumgesprochen [5]. Die eingebaute Verschlüsselungstechnik ist leicht zu knacken – und zu allem Überfluss oft deaktiviert. Während im klassischen Heimnetz mit Kabel, Stecker und Dose ein Datenspion Zugang in die Wohnung (oder zu einem Rechner) braucht, können neugierige Zeitgenossen mit Laptop und WLAN-Karte ausgerüstet durch die Straßen ziehen und sich in jedes drahtlose Netz einklinken. Dank Verstärker und spezieller Antennen gelingt das problemlos über viele hundert Meter.

Dennoch gehören die praktischen Funknetze heute zu den etablierten Netzwerktechniken. Wer mit seinem Laptop auf dem Balkon oder im Garten arbeitet, will auch hier Webseiten betrachten oder Dateien vom Desktop-PC im Wohnzimmer auf den Laptop kopieren. Dagegen ist auch nichts einzuwenden – es gilt nur einige Grundregeln zu beherzigen, dann verliert die drahtlose Technik ihren Schrecken.

Gezielt schützen

Welche Schutzmaßnahmen sich am besten eignen hängt davon ab, wie die Rechner vernetzt sind und welche Daten das WLAN transportieren soll. Für manche Anwender ist der WLAN-eigene Schutz ausreichend, einige verzichten sogar bewusst auf jede Sicherung. Wer mehr will, greift auf VPN-Protokolle zurück. Einfach zu bedienen aber dennoch modern und sicher erweist sich OpenVPN [1]. Dieses Protokoll verschlüsselt und authentifiziert die komplette Kommunikation zwischen zwei Linux- oder Windows-Rechnern.

Jenseits des Heimnetzes lauern im Internet wieder die gleichen Gefahren wie im WLAN: Angreifer können in beiden Fällen Daten abhören, manipulieren oder eigene Informationen einschleusen. Es sind daher zwei Fälle zu unterscheiden: Der einzelnen PC oder Laptop, der per Funknetz und einem WLAN-Router online geht (siehe Kasten 1) sowie das geschützte Heimnetz, dessen Besitzer die kabelgebundenen Netze durch ein WLAN ergänzt oder ersetzt (Kasten 2).

Kasten 1: Einzelner Computer

Im einfachsten Fall verbindet das WLAN einen Rechner mit einem Accesspoint, der die Daten ins Internet weiterreicht. Als zusätzliche Gefahr im Vergleich zum herkömmlichen Kabel drohen das Schnorren des Online-Zugangs, das Stören der Verbindung (Denial of Service) und der einfachere Zugriff durch Nachbarn und Passanten. Nur wer direkte und gezielte Angriffe fürchtet, sieht Funknetze als besonderes Risiko. Zufällige und ziellose Attacken können ihn bei der Datenübertragung im Internet genauso treffen wie auf dem letzten Teilstück zwischen WLAN-Zugangsrouter und Laptop.

Abbildung 1: Wer nur einen Laptop mit einem WLAN-Zugangsrouter betreibt, braucht kaum mehr Angriffe fürchten als wenn er sein Rechner per Modem oder DSL ins Internet bringt. In beiden Fällen sind die Daten manipulierbar.

Es gilt in jedem Fall, gegenüber sämtlichen Daten ein gewisses Maß an Misstrauen zu entwickeln. Nur mit kryptografischen Mitteln lässt sich feststellen, ob Daten authentisch sind, sowie vermeiden, dass Unbefugte darauf zugreifen. Also: Wo möglich, Webseiten per SSL/TLS geschützt abholen, und auch beim Abholen von E-Mail den SSL-Schutz der gängigen Mail-Programme aktivieren. SSL verschlüsselt und authentifiziert die Daten während der Übertragung. Wer noch einen Schritt weiter geht, setzt auf PGP oder S/MIME Diese Verfahren verschlüsseln die E-Mail selbst und nicht nur deren Übertragung. Für sichere Remote-Logins empfiehlt sich SSH.

Kasten 2: Heimnetz mit WLAN

Deutlich komplizierter zu bewerten als der Fall in Kasten 1 ist ein Heimnetz, in dem sich mehrere Rechner befinden. Den Internet-Zugang solcher Netze schützt meist eine Firewall, hinter der sich die Benutzer sicher vor Angriffen fühlen. Häufig verhindert die Firewall jede Kontaktaufnahme aus dem Internet in das LAN. In dieser heimeligen Atmosphäre konnten sich viele gefährliche Praktiken halten: Da gibt der NFS- oder Samba-Server die privaten Verzeichnisse für alle Rechner frei, der Druckserver sendet seine Daten im Klartext, Logins über Telnet oder Rlogin sind erlaubt. Kurz: Jeder Computer vertraut dem Netz und den angeschlossenen Rechnern.

Abbildung 2: Auf die Übertragung zwischen beiden Desktops haben Außenstehende keinen Zugriff, so lange sie nicht das LAN-Kabel anzapfen. Bei WLAN entfällt dieser physische Schutz, jeder Nachbar und jeder Passant kann die Daten abhören oder eigene Pakete einschleusen.

Dieses Vertrauen ist schon im klassischen LAN gefährlich, im WLAN aber deutlich schlimmer. Hier sitzt der Angreifer auf der falschen Seite der Firewall und greift das lokale Netz von innen an. Beim herkömmlichen drahtgebundenen Netz brauchen die Spione und Saboteure dazu immerhin Zugang in die Wohnung. Bei WLAN genügt es, wenn sie vor Wohnung oder im Nachbargebäude stehen – der Zugang zu Kabeln oder Steckdosen wird überflüssig.

Nur mit Kryptographie gelingt es, Funkverbindungen vor fremden Zugriffen wirksam zu schützen. Der erste Versuch, dies für WLAN zu standardisieren, scheiterte jedoch: Das WEP-Verfahren ist recht einfach zu knacken und erfüllt damit seinen Aufgabe nur ungenügend. Per VPN-Protokoll lässt sich dieser Schutz jedoch nachrüsten (siehe Artikel).

Schnorrer und Störer

Eine neue Gefahr bringen WLAN-Netze jedoch mit: Fremde können offene WLAN-Accesspoints mitbenutzen, um darüber eine Online-Verbindung ins Internet zu schnorren. Der potenzielle Schaden hängt in erster Linie vom Online-Tarif ab. Viele Flatrate-Eigner kümmert es nicht, wenn sich der Nachbar per WLAN auf Umwegen ins Netz schummelt. Bei Volumen- oder Zeittarifen droht dem eigenen Geldbeutel aber durchaus Gefahr. Diese lässt sich immerhin begrenzen, wenn der MAC-Filter im WLAN-Router aktiviert ist und die WEP-Verschlüsselung zum Einsatz kommt (zur Konfiguration siehe die anderen Artikel in diesem Heftschwerpunkt).

Beide Maßnahmen stellen zwar keinen sicheren Schutz dar, aber sie dienen immerhin als zusätzliche Hürden, die ein Schnorrer nehmen muss. Er kann sich nicht mehr darauf herausreden, das fremde WLAN versehentlich zu verwenden oder denken, der Besitzer des WLAN-Hotspots wäre damit einverstanden, dass jeder den Online-Zugang mitbenutzt. MAC-Filter und WEP sollten daher immer aktiviert sein, sie abzuschalten gilt fast als Einladung für Cracker, Schnorrer und Spione.

Besserer Schutz gelingt nur mit deutlich mehr Aufwand. Immerhin steht bereits ein WEP-Nachfolger fest: Die IEEE hat Ende Juni 2004 einen Standard namens 802.11i verabschiedet, auch WPA-2 genannt. Leider beherrschen nur neuere Karten diese Technik. Der korrekte Einsatz ist nicht einfach: Der neue Standard beschreibt viele Techniken, aber nicht alle gelten als sicher. Empfehlenswert sind AES-CCMP zur Verschlüsselung und 802.1x für Authentifizierung und Schlüssel-Management.