Sicherheitsmechanismen für drahtlose Netzwerke

Aus LinuxUser 07/2008

Sicherheitsmechanismen für drahtlose Netzwerke

Lauscher, draußen bleiben!

WLAN ist bequem: Schnell und einfach gelangt man ins Internet. Doch wer schludert, hat schnell ungebetene Gäste im heimischen Netzwerk.

In vielen deutschen Haushalten gehört inzwischen bereits seit Jahren ein WLAN zum selbstverständlichen Inventar. Die nötige Hardware – WLAN-Router und ein DSL-Modem für den Breitbandanschluss ans Internet – erhalten Sie für wenig Geld oder sogar vom Provider kostenlos bei Abschluss eines Laufzeitvertrages. Die anzuschließenden Rechner verfügen in vielen Fällen ebenfalls ab Werk über die Hardware für den drahtlosen Netzzugang. Fast alle gängigen Notebooks haben bereits WLAN-Chips eingebaut, und auch für stationäre Systeme erstehen Sie WLAN-Karten nach dem PCI-Standard für kleines Geld.

Doch die Freude trübt sich schnell, wenn beispielsweise in Mehrfamilienhäusern der Nachbar ebenfalls einen entsprechend ausgestatteten Rechner sein eigen nennt und sich damit in Ihrem WLAN tummelt. Zwar verursachen in Zeiten allgegenwärtiger Flatrate-Angebote die unerwünschten Surfer kaum noch Kosten durch den eigentlichen Datenverkehr. Begeht der nette Mann von nebenan jedoch Straftaten über Ihren Zugang, so erhalten zunächst Sie Besuch von der Kriminalpolizei. Insbesondere beim Einsatz von älteren Geräten gilt es daher, peinlichst genau beim Konfigurieren des Routers aufzupassen, um ein Mindestmaß an Sicherheit zu gewährleisten.

Geschwindigkeit

Die heute noch in vielen privaten Haushalten genutzten WLAN-Geräte nach dem 802.11b-Standard gehören zu der Generation der Hardware aus den späten Neunziger Jahren. Diese erlauben eine maximale Übertragungsrate von 11 MBit/s, wobei sich der Wert auf alle angeschlossenen Rechner (Clients) aufteilt. Üblicherweise erzielen Sie damit unter optimalen technischen Bedingungen Transferraten von etwa 5 MBit/s.

Aufgrund der für heutige Verhältnisse etwas antiquiert anmutenden Geschwindigkeit brachten vielen Herstellern bereits frühzeitig diverse Eigenentwicklungen auf den Markt, die höhere Übertragungsraten versprachen. Doch hier ist Vorsicht angesagt: Diese proprietären Komponenten funktionieren fast allesamt nur mit den Produkten des gleichen Herstellers. Sichere WLAN-Übertragungen gelingen mit einem Sammelsurium verschiedenster Geräte eher nicht.

Deshalb legte die Wi-Fi Alliance parallel zum WPA-Standard ein eigenes Zertifizierungsprogramm auf, bei dem nur die Geräte ein Gütesiegel erhalten, die technisch zu einhundert Prozent den gültigen Standards entsprechen (Abbildung 1).

Abbildung 1: Dieses Logo kennzeichnet vollständig standardkonforme WLAN-Komponenten.

Abbildung 1: Dieses Logo kennzeichnet vollständig standardkonforme WLAN-Komponenten.

Der 802.11b-Standard gehört zu den frühen Entwicklungen im Bereich drahtloser Netzwerke. Seinerzeit schenkte kaum jemand dem Gedanken der Netzwerksicherheit noch kaum Aufmerksamkeit. Zudem haben die meisten Hersteller von WLAN-Routern lange Zeit die in ihren Geräten implementierten Sicherheitsmechanismen leichtsinnigerweise ab Werk deaktiviert, so dass – wenn Sie die Default-Einstellungen im Router nicht geändert haben – der gesamte Datenverkehr unverschlüsselt und ohne Authentifikation stattfand.

Solche immer noch anzutreffenden Konfigurationen erlauben es jedem innerhalb der WLAN-Reichweite, sich beim Access Point anzumelden und das Netz zu nutzen. Doch auch der im Standard 802.11b implementierte Verschlüsselungs- und Authentifizierungsmechanismus erwies sich schnell als nutzlos: Schon im Jahr 2001 wiesen Experten nach, dass die WEP-Verschlüsselung gravierende Schwächen enthält.

Entgegen seiner ursprünglichen Bedeutung übersetzen viele daher WEP spöttisch mit “What on Earth is Privacy?”, zu deutsch: “Was, zum Himmel, ist Privatsphäre?”. Beim WEP-Verfahren kommen Schlüssel mit einer Länge von 40 oder 104 Bit (in Ausnahmefällen 232 Bit) zum Einsatz. Alle beteiligten Geräten im Netzwerk benötigen diesen Schlüssel. Der Standard erlaubt es, maximal vier verschiedene Schlüssel zu hinterlegen. Einen dynamischen Wechsel sieht der Standard nicht vor. Zusätzlich enthält jedes Datenpaket einen so genannten Initialisierungsvektor (IV), der stets eine Länge von 24 Bit aufweist.

Daher werben die Hersteller von WLAN-Komponenten nach der 802.11b-Norm gern mit 64- oder 128 Bit-Verschlüsselung. Der Initialisierungsvektor läuft aber im Klartext über das Netz. Maximal etwa 17 Millionen verschiedene Werte stehen für diesen Vektor bereit. Wiederholt er sich während einer Session mehrfach, und bleibt der Schlüssel gleich, erlauben die Daten zunächst das Berechnen des Schlüssels und anschließend das Entschlüsseln der Nachricht. Das setzt voraus, dass ein potentieller Angreifer lediglich genügend Datenpakete sammelt, um mit einer anschließenden Brute-Force-Attacke den Schlüssel zu extrahieren.

Was bei Firmen mit vielen Arbeitsstationen noch in relativ kurzer Zeit gelingt, dauert bei privaten Netzen, die nur wenige Stunden in der Woche senden, mitunter über mehrere Monate. Wenn ein Angreifer nicht so lange warten möchte oder nicht über ein entsprechendes Pensum an Freizeit verfügt, besteht auch die Möglichkeit, durch spezielle Software Kontakt mit dem entsprechenden Access Point aufzunehmen und bewusst Datenverkehr zu generieren. Das beschleunigt das Knacken des Schlüssels enorm.

Eine weitere Möglichkeit, den Schlüssel eines WEP-gesicherten WLANs zu knacken, besteht in einer Wörterbuchattacke. Bei dieser Einbruchsform versucht ein Angreifer, gesammelte Datenpakete durch Ausprobieren verschiedenster Schlüssel (in der Regel mehrere Millionen Alternativen) zu knacken. Diese Methode führt ebenfalls meistens zum Erfolg, benötigt jedoch einen höheren Zeit- und Rechenaufwand. Mit den Hinweisen aus dem Kasten “Tipps für WEP-Netzwerke” legen Sie die Hürde für den Einbrecher noch etwas höher.

Tipps für WEP-Netzwerke

Auch in WLANs mit WEP-Standard erhöht sich die Sicherheit, wenn Sie ein paar kleine Hinweise beachten:

  • Wählen Sie möglichst lange Schlüssel (Shared Keys) aus, die aus einer sinnlosen Kombination von Ziffern und Buchstaben bestehen. Das vermindert das Risiko einer Wörterbuchattacke.
  • Definieren Sie alle vier maximal möglichen Schlüssel und wechseln Sie diese regelmäßig in kurzen Abständen. So erschweren Sie Brute-Force-Attacken.
  • Schalten Sie – falls vorhanden – den auf dem WLAN-Router laufenden DHCP-Server ab. Vergeben Sie IP-Adressen statisch und definieren Sie dazu einen möglichst kleinen Adressraum.
  • Wechseln Sie zur Router-Konfiguration das Passwort. Default-Passwörter von verschiedensten Router-Modellen kursieren frei im Internet. Bekommt damit ein Angreifer Zugang zum Router, hat er vollen Zugriff auf Ihr Netz.
  • Schalten Sie in der Router-Konfiguration das sichtbare Senden der SSID ab und das regelmäßige Senden von Broadcasts (sogenannte Beacons).
  • Stellen Sie Ihren WLAN-Router so auf, dass die Empfangsreichweite für Sie ausreicht, aber möglichst nicht noch Nachbarn mit einschließt. Bedenken Sie dabei: Funkwellen breiten sich auch vertikal aus.
  • Passen Sie – wenn von Ihrer Hardware unterstützt – die Sendestärke des Routers an Ihre Bedürfnisse an.

Nachfolger WPA

Aufgrund der vielen Schwächen von WEP rief die Wi-Fi Alliance einen Quasi-Nachfolger namens WPA ins Leben, mit dem sie die Zeit bis zum neuen Standard 802.11i mit seinen starken Sicherheitsmechanismen überbrücken wollte. WPA stellt dabei einen Kompromiss zwischen WEP und dem modernen WPA2 dar: Einerseits ermöglicht ein neues Authentifizierungsverfahren über sogenannte Pre-Shared-Keys mit Passwörtern von acht bis 63 Zeichen Länge oder gar über einen RADIUS-Server. Andererseits haben die Entwickler jedoch nach wie vor den bereits als unsicher erkannten RC4-Chiffrieralgorithmus beibehalten.

Das Festhalten an dieser eigentlich schon zum damaligen Zeitpunkt als veraltet erkannten Technologie begründete die Wi-Fi Alliance mit den technischen Unzulänglichkeiten der seinerzeit verfügbaren Access Points: Diese boten nicht genügend interne Rechenleistung, um mithilfe eines Firmware-Updates einen sicheren Verschlüsselungsalgorithmus wie AES zu emulieren. Aus diesem Grund verhalten sich alte 802.11b-WEP-Geräte nicht mit Geräten mit WPA- oder WPA2-Standard kompatibel, so dass der Umstieg auf neue WLAN-Technologie einen Hardwarewechsel nach sich zieht.

Mit WPA modifizierten die Entwickler auch das Authentifizierungs- und Verschlüsselungsverfahren im Sinne größerer Sicherheit: Mithilfe der Pre-Shared-Keys oder (in umfangreicheren Wireless LANs mit einem Radius-Server) meldet sich der Client beim Access Point an. Erst nach erfolgreichem Authentifizieren handeln Client und Access Point einen 128 Bit langen Schlüssel aus. Das verhindert es, das andere Arbeitsstationen im WLAN den Datenverkehr abhören.

Zusätzlich kommt ein Initialisierungsvektor von 48 Bit Breite zum Einsatz. Eine weitere sicherheitsrelevante Funktion besteht beim WPA-Standard im periodischen Neuaushandeln des Schlüssels zwischen Client und Access Point, so dass Brute-Force-Attacken auf große Mengen gesammelter Datenpakete ins Leere laufen.

Aktueller Stand WPA2

Die im Jahre 2004 eingeführte WPA2-Technologie macht ein WLAN nochmals deutlich sicherer. Mit diesem Standard schnitten die Entwickler die alten Zöpfe endlich rigoros ab: So kommt jetzt statt des unsicheren RC4-Algorithmus der bessere AES-Standard zum Einsatz. Zusätzlich übernahmen sie das gesamte Authentifizierungs- und Chiffrierverfahren von WPA. Das macht stunden- oder gar tagelanges Belauschen eines WLANs durch einen Angreifer nutzlos und das anschließende Entschlüsseln der gesammelten Datenpakete durch Brute-Force-Attacken unmöglich.

Mit WPA2 betrat allerdings ein zweigeteilter Standard die Bühne: Die Untergruppe WPA2 Personal bezeichnet ein abgespecktes WPA2 für den Consumer- und Soho-Markt. Diese Variante stellt zwar alle gängigen sicherheitsrelevanten Basisfunktionen bereit, erlaubt jedoch keine Authentifikation mithilfe eines Radius-Servers. Dieses Verfahren spielt jedoch in einem privaten WLAN für den Hausgebrauch faktisch keine Rolle. Die Version WPA2 Enterprise hingegen bildet den 802.11i-Standard komplett ab und erlaubt selbstverständlich den Einsatz des Radius-Servers.

Bislang gelten drahtlose Netzwerke auf WPA2-Basis als weitgehend sicher. Lediglich Wörterbuchattacken auf den Pre-Shared-Key erscheinen – sofern der Angreifer genügend Zeit und eine enorme Rechenpower mitbringt – noch als aussichtsreich, um einen WLAN-Schlüssel zu knacken.

Tipps für WPA/WPA2-Netzwerke

Auch hier gilt: Passwörter möglichst lang und aus zufällig ausgewählten Zeichen und Ziffern bilden.

  • Stellen Sie den WLAN-Router so ein, dass er automatisch regelmäßig mit den angeschlossenen Rechnern neue Schlüssel aushandelt. Damit erschweren Sie Brute-Force-Attacken.
  • Einen automatisch per Default-Einstellungen aktivierten DHCP-Server schalten Sie am besten sofort wieder ab und vergeben für Ihre Rechner statische IP-Adressen.
  • Die SSID und ESSID sollten Sie durch individuelle Kennungen modifizieren.
  • Schalten Sie die Broadcast-Funktion auf dem Router ab.
  • Definieren Sie – wenn von Ihrer Hardware unterstützt – sogenannte Access Control Lists (ACL), die die MAC-Adresse Ihrer Netzwerkkarten abfragt.
  • Passen Sie Standort und Sendestärke Ihres WLAN-Routers so an, dass sie für Ihre Bedürfnisse ausreichen, jedoch nicht unbedingt bis zum Nachbarn funken.
  • Beim Mimo-Geräten mit drei Antennen sollten Sie diese so positionieren, dass sie voneinander abgewandt sind. Dies erhöht die Sende- und Empfangsleistung.
  • Konfigurieren Sie Ihren WLAN-Router nur über eine kabelgebundene Leitung. So haben ungebetene Lauscher keine Chance.

Ein weiteres Angriffsziel stellen theoretisch noch der Broadcast- und der Multicast-Schlüssel dar. Die beiden Schlüssel müssen allen Stationen bekannt sein. Erlangt ein Angreifer Kenntnis über sie, ermöglicht dies, den Schlüsselaustausch zwischen Access Point und einzelner Arbeitsstation zu belauschen.

Fazit

Moderne drahtlose Netzwerke bieten aufgrund der Konzeption des WPA2-Standards eine relativ gute Sicherheit. Zu Beginn der WLAN-Epoche spielt das Thema kaum eine Rolle, und die ersten Verschlüsselungs- und Authentifizierungsmethoden nach dem WEP-Standard erwiesen sich als eher unvollkommen. Diese Kinderkrankheiten liegen inzwischen ad acta.

Der größte Unsicherheitsfaktor macht daher bei modernen drahtlosen Netzwerken der Anwender selbst aus. Wenn es Neugierigen mit kriminellen Absichten bei einer modernen WLAN-Infrastruktur tatsächlich gelingt, in ein Netzwerk einzudringen und dort Schaden anzurichten, so liegt dies in nahezu allen Fällen an einer unbedachten Konfiguration des Access Points. Nehmen Sie sich also ruhig etwas Zeit und gehen Sie die einzelnen Einstellungsoptionen Ihres WLAN-Routers in Ruhe durch.

Wenn das bei modernen Infrastrukturen noch vorhandene Restrisiko vermindern möchten, besteht zudem die Möglichkeit, das WLAN zusätzlich auf Softwarebasis abzusichern: Wickeln Sie die komplette Kommunikation innerhalb des WLANs getunnelt ab, also beispielsweise mithilfe eines VPNs mit IPSec, so gelingt es selbst versierten Crackern nicht mehr, mit vertretbarem Zeit- und Arbeitsaufwand an Ihre Daten zu gelangen. Wie immer bietet hier das freie Betriebssystem Linux mit seinen bereits ab Werk vorhandenen Sicherheitskomponenten beste Voraussetzungen, um dieses Restrisiko auszuschalten.

Glossar

Wi-Fi Alliance

Zusammenschluss von verschiedenen Hardwareherstellern, die Komponenten für WLANs entwickeln und herstellen. Die Wi-Fi Alliance führt auch strenge technische Prüfungen durch und zertifiziert die geprüften Komponenten.

WEP

Wireless Equivalent Privacy. Erster Verschlüsselungsstandard für drahtlose Netzwerke.

WPA

Übergangs-Standard der Wi-Fi Alliance zum Überbrücken der Zeit zwischen dem alten Standard WEP sowie dem damals geplanten Standard 802.11i, der über verbesserte Sicherheitsmechanismen verfügen sollte.

WPA2

Aktueller Sicherheitsstandard, der der Industrienorm IEEE 802.11i weitestgehend entspricht.

LinuxUser 07/2008 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Ähnliche Artikel

Heft-DVD 06/2026

Neues auf der Heft-DVD

Thomas Leichtenstern

Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie topaktuelle Distributionen zum Ausprobieren, aber auch für den Produktiveinsatz.

Hilfreiche Artikelelemente im Detail erklärt

README

Jörg Luther

In jedem Artikel in diesem Heft liefert eine Reihe spezieller Textauszeichnungen und hilfreicher grafischer Elemente wichtige Zusatzinformationen zum Text.

Grafische Frontends mit wxPython programmieren

Heiße Oberfläche

Markus Hoffmann

Python bringt in der Standardbibliothek Tkinter mit, ein Tool für die GUI-Entwicklung. Allerdings stört dessen etwas altbackenes Erscheinungsbild. wxPython verspricht einen moderneren Look.

Secure Boot verstehen und einrichten

Umstrittene Sicherheit

Ferdinand Thommes

Secure Boot bleibt unter Linux ein zweischneidiges Schwert – meist mit eingebauter Abhängigkeit von Microsoft.

Ghostty: Ein moderner Terminalemulator für Linux mit klarer Vision

Terminal de luxe

Christoph Langner

Der moderne Terminalemulator Ghostty punktet mit GTK4-Integration und Features wie Tabs, Splits und Kitty-Grafik.

E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben