Kabellose Netzwerke gelten als unsicher. Kein Wunder: Die ersten Wireless-Hersteller gaukelten dem Anwender mit dem prinzipbedingt mangelhaften Verschlüsselungsmechanismus WEP, der noch dazu anfangs mit lächerlich kurzen 40-Bit-Schlüsseln arbeitete, ein hohes Mass an Sicherheit vor. WEP erwies sich aber bald als völlig ungenügend; gewiefte Hacker knacken den Mechanismus ohne grossen Aufwand.
Und es kommt noch schlimmer: Viele WLAN-User machen sich nicht einmal die Mühe, WEP überhaupt einzuschalten, und belassen auch die übrigen Einstellungen auf der herstellerseitigen Grundkonfiguration, die nicht auf maximale Sicherheit, sondern auf ein möglichst rasches WLAN-Erfolgserlebnis hin ausgelegt ist.
Bisher musste die gesamte Konfiguration auf allen WLAN-Routern, Access Points und Clients manuell durchgeführt werden. Das ist kompliziert, fehleranfällig und lästig.
Für grössere Installationen bieten sich seit einiger Zeit komplette WLAN-Sicherheitslösungen an, die meist aus einem Hardware-Gateway, einer Software und allenfalls speziellen Access Points bestehen und die Verwaltung des WLAN automatisieren. Neben verbesserter Sicherheit bieten diese Lösungen auch Mobilitäts-Features an, die zum Beispiel das nahtlose Roaming zwischen Access Points erleichtern. Entsprechende Produkte von Aruba, Bluesocket, Trapeze und anderen Herstellern sind jedoch kostspielig und eignen sich vornehmlich für Grossunternehmen mit besonders sensitiven Daten.
Mit OTIST von Zyxel und SES von Linksys soll nun auch dem Anwender im Home Office und KMU das sicherheitstechnisch korrekte Aufsetzen eines WLAN erleichtert werden – beide Technologien verteilen Schlüssel und andere Konfigurationsparameter «auf Knopfdruck», funktionieren aber nur mit kompatiblen Routern, Access Points und Funkadaptern.
Das Fazit: Ein sicheres WLAN lässt sich nicht ohne einen gewissen Konfigurations- und Verwaltungsaufwand realisieren, egal ob man sich mit den integrierten Security-Features zufriedengibt, eine der aufkommenden Automatik-Mechanismen nutzt oder eine unternehmensweite WLAN-Sicherheitslösung mit zentralem Management einsetzt.
Die Sicherheit des kabellosen Datenverkehrs lässt sich auf drei Arten positiv beeinflussen: Bestehende Features der WLAN-Geräte wirklich einsetzen und nicht ungenutzt schlummern lassen, das WLAN wie ein konventionelles LAN nach dem tatsächlichen Bedarf ausrichten und sorgfältig planen, die Installation auch nach der Inbetriebnahme regelmässig auf Missbrauch prüfen und die Mitarbeiter ausbilden.
Die oberste Maxime der WLAN-Security: Man nutze, was die Geräte von Haus aus bieten. Benutzeranmeldung und Verschlüsselung schaffen mit den heutigen Standards (WPA, WPA2, 802.11i) für die meisten Szenarien hinreichende Sicherheit. Darüber hinaus warten Access Points und Funkadapter mit diversen separat aktivierbaren Security-Features auf. Beim Kauf von WLAN-Equipment sollte man darauf achten, dass möglichst all diese Features unterstützt werden – das ist heute auch bei günstigeren Geräten meist der Fall; ein spezieller «Enterprise-Class»-Access-Point erübrigt sich im Normalfall.
Je nach vorhandener Infrastruktur unterstützen alle WiFi-zertifizierten WLAN-Bestandteile 128-Bit-WEP, WPA oder WPA2. Achtung: Auf dem ganzen Netz kommen die gleichen Einstellungen zum Zug – die Sicherheit wird also durch die Komponente mit dem geringsten Level bestimmt. Allenfalls sollten ältere Geräte, die statt WPA nur WEP mit kurzem Schlüssel bieten, ersetzt oder gar nicht ins WLAN einbezogen werden. Wo kein WPA, sondern nur 128-Bit-WEP möglich ist, sollte die Verschlüsselung im Shared-Key-Modus sowohl für die Anmeldung der Benutzer als auch für den eigentlichen Datenverkehr aktiviert sein: Die meisten Router lassen die Wahl zwischen «Open System» (WEP erst nach dem Aufbau der Verbindung aktiv; davor wird der Schlüssel im Klartext ausgetauscht) und «Shared Key» (Schlüssel muss auf allen Clients vor der ersten Verbindungsaufnahme manuell eingegeben werden). Bei WPA meldet sich der Client beim AP grundsätzlich verschlüsselt an.
Weder das Administratorpasswort
für den Access Point beziehungsweise Router noch die Netzwerkidentifikation (SSID oder ESSID genannt) sollten auf den vom Hersteller eingetragenen Grundwerten belassen werden. Stattdessen sollten Passwörter nach den «Strong Password»-Regeln aufgebaut sein – möglichst viele Zeichen, möglichst nicht zu erratende Kombination von Gross-, Kleinbuchstaben und Zahlen. Falls möglich, sollte auch der Administrator-User einen anderen Namen erhalten als das voreingestellte «admin».
In der Grundkonfiguration sendet der Router die SSID in regelmässigen Abständen. Dieser SSID-Broadcast ist für öffentliche Hotspots gedacht, in privaten WLANs aber völlig überflüssig und sollte grundsätzlich deaktiviert werden.
Jede auf dem Ethernet-Protokoll basierende Netzwerkkomponente, und dazu gehören auch WLAN-APs und Funkadapter, hat eine weltweit eindeutige Identifikationsnummer, die sogenannte MAC-Adresse (Media Access Control). Ein anständiger WLAN-Router oder Access Point ermöglicht es, Verbindungen nur mit Clients zuzulassen, deren MAC-Adresse zuvor im Router gespeichert wurde. Das bringt zwar einigen Aufwand mit sich und verhindert, dass firmenfremde User sich ohne weiteres ins WLAN einklinken können. Die Sicherheit wird damit aber deutlich besser, auch wenn es versierten Hackern möglich ist, MAC-Adressen durch Spoofing zu simulieren.
Die meisten Router lassen sich sowohl vom kabelgebundenen Netz aus als auch via WLAN konfigurieren. Damit Unbefugte die Konfiguration nicht zu ihren Gunsten ändern können, sollte die Konfiguration via WLAN prinzipiell deaktiviert werden.
Der Löwenanteil der vermeintlichen oder tatsächlichen Sicherheitsprobleme rührt daher, dass ein WLAN sehr einfach zu installieren ist. Wie bei jedem Netzwerk erweist es sich aber als vorteilhaft, auch das kleinste kabellose Netz nicht einfach so hinzustellen, sondern im Detail zu planen.
In den wenigsten Installationen ist es nötig, dass das ganze Gebäude oder Firmengelände mit WLAN versorgt wird. Je weniger Access Points installiert sind, desto geringere Chancen haben unerwünschte Eindringlinge.
Die Gebäudehülle ist kein Hindernis fürs WLAN-
Signal. Damit die Signalstärke ausserhalb der eigenen vier Wände niedrig bleibt und Hackern so den Zugang verwehrt, plaziert man die Access Points am besten in der Mitte des zu versorgenden Gebiets. Ein weiteres Mittel zur Verringerung unerwünschter Reichweiten ist
die bei den meisten Access Points mögliche Reduktion der Sendeleistung.
Die automatische Adresszuteilung via DHCP-Server ist zwar bequem und heute in vielen Netzwerken Standard, erlaubt aber auch Eindringlingen den unkomplizierten Netzzugang. Gerade in kleineren Umgebungen ist der Aufwand zur Einrichtung fixer IP-Adressen auf allen Systemen durchaus zu bewältigen.
Nicht nur der blosse Zugang zum WLAN, sondern auch Netzwerk-Ressourcen wie File-, Print-, Intranet- und Datenbankserver sollten grundsätzlich so gut wie möglich geschützt werden; das gilt ja auch im kabelgebundenen LAN. Ein starkes Passwort für jedes einzelne Fileshare mag vom Personal als lästig empfunden werden, sollte aber selbst in der kleinsten Umgebung konsequent zum Einsatz kommen. Auf Workstations sollte grundsätzlich darauf verzichtet werden, die gesamte Harddisk freizugeben – ein spezifisch für den Datenaustausch reserviertes Verzeichnis genügt.
Auch nach der Ersteinrichtung muss ein WLAN permanent überwacht werden – sowohl auf Angriffe von aussen als auch auf «wilde», das heisst ohne Wissen des Administrators installierte Access Points mit schlecht eingestellter Security. Mitarbeiterschulung, strikt gehandhabte Policies und Überwachungstools helfen.
Die Mitarbeiter müssen wissen, dass sie selbst massgeblich zur Sicherheit des Unternehmensnetzwerks beitragen können: Es ist riskant, sich
an unbekannten Access Points anzumelden oder mit kabellosen Peer-to-Peer-Netzwerken zu verbinden. Die Bezeichnungen der unternehmenseigenen Access Points sollten deshalb allen Teilnehmern bekanntgegeben werden. Risiken entstehen auch unterwegs: Öffentliche Hotspots sind meist überhaupt nicht geschützt; Hacker erhalten leicht Zugang zu ungenügend abgesicherten Notebooks fremder PWLAN-User.
Das bestgesicherte Netzwerk wird unsicher, wenn unautorisierte Personen die Konfiguration ändern, was bei WLAN besonders leicht möglich ist. Mit WLAN-Sniffern wie NetStumbler und Kismet, die auch bei Hackern hoch im Kurs stehen, sowie kommerziell erhältlichen Site-Survey-Tools lassen sich unbekannte Access Points auffinden und bestehende Konfigurationen ermitteln. Ein regelmässiger umfassender Umgebungs-Scan sollte in allen WLAN-Installationen die Regel sein.
(ubi)
