yunadar
Goto Top

Grundlegende WLAN Sicherheit Tipps

Hallo miteinander,

da ich mich in letzter Zeit viel mit dem Thema WLAN beschäftigt habe möchte ich hier einmal grundlegende Sicherheitsmethoden zusammenfassend vorstellend, wie der Titel schon sagt geht es erstmal um die Grundlagen, es gibt immer wege diese Aufzustocken.

I Teil - Allgemeines

1. Wahl der richtigen Geräte

Dieser PUnkt wird erfahrungsgemäß oft vernachlässigt, man kauft das ein was gerade günstig erscheint oder die längste Feature Liste hat, dies ist jedoch oft ein Fehler. Neben den Funktionsaspekten der einzelnen Geräte spielt auch die Kompatibilität, selbst heute noch, eine große Rolle. So kann es oft vorkommen das z.B.: WLAN Karte des Herstellery Y nicht einhundert Prozentig mit dem Access Point X zusammenarbeitet. Meißt zeigt sich das darin das Verschlüsselungen nicht richtig funktionieren, oder die Verbindung einfach instabil ist. Wenn man sein WLAN von Grund auf Plant sollte man auf jeden Fall einen einheitlichen Hersteller auswählen, welcher das dann ist liegt in der ersten Linie in dem Anspruch und an die Verfügbarkeit die man an sein WLAN stellt und ist daher nicht pauschal zu beantworten.

2. Antennen, Sendestärke Ausleuchtung

Einer der effektivsten Möglichkeiten sein WLAN vor fremden zugriffen zu schützen ist es so klein wie möglich zu halten, wenn der Hacker im Auto sitzen kann und dort "arbeiten" kann hat ers selbstverständlich deutlich leichter als wenn er in das Gebäude hinein muss um das WLAN anzugreifen. Um die Ausleuchtung gezielt beeinflussen zu können gibt es 2 grundlegende Möglichkeiten. Durch die Wahl der richtigen Antenne und durch das reduzieren der Sendeleistung auf den kleinsten akzeptablen Wert. Beides, das wechseln der Antennen sowie das Einstellen der Sendeleistung ist nicht bei allen Geräten möglich, das wäre schonmal ein punkt bei dem man bei der Wahl des Gerätes bedenken sollte.
Antennen kann man grob in zwei Typen Unterscheiden, Direktionalen Antennen (gerichtete Antennen) und Omnidirektionale Antennen (eben nicht gerichtete Antennen). Typischerweise kommen die Rubber Dug Antennen zum Einsatz, diese sind Omni Direktional. Je nach Aufbau des Gebäudes ist das mehr oder weniger sinnvoll. Wenn z.B. nur ein Großraumbüro ausgeleuchtet werden soll kann man das entweder mit einer Omnidirektionalen Antenne tun die sich in der Mitte des Raumes befinden oder mit einer gerichteten Antenne die sich an einer Wand befindet.
Die Sendeleistung sollte so eingestellt werden das alle Clients noch guten Empfang haben in dem Bereich in dem sie kommunizieren sollen, die meißten Geräten arbeiten mit 100MW, der maximal erlaubten Sendeleistung, dies ist aber nur in den seltesten fällen nötig das Funkfeld kann so noch einige dutzend Meter aus dem Gebäude hinaus reichen und stellt somit einen bequemen Angriffspunkt für Hacker da.
Kleine Anmerkung am Rande, erlaubt sind 100 MW, dies bezieht sich jedoch nicht auf den Ausgang vom Access Point sondern aus dem Ausgang der Antenne, die Rubber Dug antenne hat z.B.: 2,14 (?) dB, die Ausgangsleistung liegt daher streng gesehen serienmäßig bei vielen Geräten im verboten Bereich von über 100 MW.
Das verkleinern des Ausleuchtugnsbereich ist im übrigen nicht nur aus Sicherheitsaspekten sinvoll, wenn viele Clients auf engen Raum arbeiten ist es sehr sinvoll den Ausleuchtungsbereich zu reduzieren und weitere AP's aufzustellen um die Anzahl der Rechner pro AP zu verkleinern.

3. Zugriffsschutz auf dem Access Point

Auch dieser PUnkt ist schwer abhängig von der Wahl des Gerätes. Die meißten Access Points können über das Web Interface angesteuert werden, das ermöglicht einen "Angriff von Innen" auf den Access Point, also jeder der sich bereits im Netzwerk befindet kann versuchen das Passwort zu erraten oder es mit Hilfe von Brute Force Tools zu knacken um z.B.: bestimmte Resourcen freizuschalten oder sich Zugriff auf isolierte Bereiche zu verschaffen. Um dies zu verhindern sollte das Benutzerinterface nur für bestimmte Rechner freigeschaltet werden, (MAC oder IP Basis) oder auf das Web Interface komplett verzichtet werden und der Zugriff auf den Konsolen Port (sofern vorhanden) begrenzt werden.

II Teil - Eigentliche Netzwerksicherheit

1. Trennung der Netzsegmente

Dies gilt für alle NEtzwerke egal ob WLAN oder Kabelgebundene Netzwerke, Bereiche die nichts miteinander zu tun haben sollten voneinander getrennt werden, die besten Mittel dafür sind VLAN's bzw. verschiedene SSID's bei den Access Points, mondere AP's können mehrere SSID's gleichzeitig betreiben.

2. Zugriffsbegrenzung

Zugriffsbegrenzung um Sinne von MAC Adresen Filterung ist eine Möglichkeit für minimalsschutz, die MAC Adressen auf den Karten sind theoretisch zwar weltweit einzigartig können aber gefälscht werden. Da es auch möglich ist Frames abzufangen und die MAC Adressen der Absender auszulesen stellt MAC Filterung alleine also keine Sicherheit da. Da der Konfigurationsaufwand nicht zu vernachlässigen ist, sollte man es sich gut überlegen ob es die Mühe Wert ist. Eine gute Möglichkeit ist es MAC Filterung mit Authentifizierung über einen RADIUS Server zu verbinden (dazu später noch ein paar Zeilen). Für das WLAN zu Hause ist MAC Filterung zu empfehlen, besonders in kleinen Wohnblöcken da im normalfall kein hoch begabter Hacker interesse an ihren Netzwerk hat und um spielende Kiddies abzuwehren sollte es reichen. Bei wenig Rechner ist der Konfigurationsaufwand ja auch nicht schwierig. (Bemerkung am Rande, die MAC ADresse kann man sich unter Windows mit dem Befehl ipconfig /all anzeigen lassen)

3. Verschlüsselung

Das große Thema im Bereich WLAN Sicherheit, es ist zu komplex um es hier ausführlich zu behandeln, fakt ist: Es sollte eine Verschlüsselung eingerichtet werden und sie sollten nicht WEP sein sondern WPA(2). Mit Hilfe von passiven Programmen die nichts anderes machen als den Netzwerkverkehr abzuhören ist es möglich WEP Schlüssel in wenigen Stunden bestimmen zu können. Dies ist bei WPA zwar theoretisch auch noch möglich jedoch deutlich schwieriger. Eine Möglichkeit die Sicherheit zu verstärken liegt darin eine Keyrotation einzurichten, dann werden die verwendeten Verschlüsselungsschlüssen (was ein Wort *g*) regelmäßig gewechselt was das Abhören schwieriger macht.
Zur Wahl der Schlüssel sollten bestimmte Regeln eingehalten werden:

- Benutzen sie keine Phrasen die mit ihnen, ihrer Familie, ihrer Arbeit oder so ähnlich zu tun hat
- Benutzen sie am besten überhapt keine Phrase sondern Buchstaben und Zeichen Salat
- Benutzen sie am besten auch keinen Zeichensalat sondern Hexadezimal Salat.

Die Schlüssel werden im jeden Fall hexadezimal gespeichert, viele Hersteller bieten an den Schlüssel über eine Phrase erstellen zu lassen die sich leichter merken läßt als ein kryptischer Schlüssel. Dies hat aber zu einem den Nachteil das der erzeugte Schlüssel den Zeichenraum der Hexadezimalversion nicht ganz ausnutzen kann, der erzeugte Schlüssel ist also weniger sicher als der manuell eingegebene Schlüssel. Verwendet man verschiedene Hersteller und gibt man den Schlüsel sowohl am AP als auch am Client über eine Phrase ein kann es sein das, das der durch die Phrase erstellte Schlüssel nicht identisch ist. Logischerweise kommt dann überhaupt keine Verbindung zu stande.
Ebenfalls wieder zu beachten ist das man natürlich nur den kleinsten gemeinsamen Nenner an Verschlüsselung fahren kann, wen ein Teil der Client nurs WEP unterstützen muss das Netzwerk auch nur WEP arbeiten. Eine Alternative wäre das Einrichten von zwei SSID's mit entsprechend angepaßten Sicherheitseinstellungen, wobei auch dann zu beachten wäre das das schlecht geschütze WEP Netz nur sehr eingeschränkte Zugriffsrechte hat.

4. Authentifizierung

Schweres Wort, bringt jedoch viel Sicherheit. Ähnlich wie bei der Domänenanmeldung wird ein Benutzername und ein Passwort benötigt um zugriff auf das Netzwerk zu erhalten, gespeichert werden die Login Informationen auf einem so genannten RADIUS Server. Dies kann ein eigener Rechner sein, oft befinden sich in den Profigeräten jedoch auch schon abgespeckte RADIUS Server. Die Verbindung zwischen dem Radius Server und dem Acces Point wird durch ein Passwort geschützt. Dies schützt vor "Man in the Middle" angriffen, bei diesem Angriffsverfahren wird ein Fremder AP (Rogue AP) von dem Hacker aufgebaut der ähnlich wie der original AP konfiguriert ist (selbe SSID, Kanal, Verschlüsselung etc.) der Haker erhofft sich das die Client anstelle von dem beabsichtigen AP mit seinem AP verbinden, er fängt die Informationen die gesendet wurden ab und kann die Daten auswerten.
RADIUS bietet den Vorteil das Netzwerkschlüssel auch dynamisch erzeugt und ausgetauscht werden können, um die Verschlüsselung weiter zu erhöhen. Auch können MAC Begrenzungen gespeichert werden um sicherzustellen das sich ein Benutzer X auch nur von seinem Rechner aus und nicth von seiner Privat Maschine anmelden kann.
Das Thema ist auch sehr komplex und vor allem auch sehr Hersteller spezifisch, gute Lösungen gibts von CISCO und Artem, auch Microsoft bietet einen Radius Server an. Viele Radius Server sammeln noch mehr Informationen um z.B. fremde AP's aufzuspühren, bieten Kartendarstellungen an, senden Warnmeldungen usw. usw.

Kleines Fazit

Viele Fehler und Probleme können mit einer guten Planung vermieden werden, die richtige Wahl der Geräte ist entscheidend, eine einheitliche Lösung von einem Hersteller ist zu bevorzugen. Das einfachste Mittel ist es den Ausleuchtungsbereich auf ein minimum zu verkleinern. Alle weiteren Maßnahmen, Filterungen, Verschlüsselungen, Authentifizierung bauen auf diesen Grundlagen auf.

Ergänzungen

Hier noch ein paar Ergänzungen aus den Kommentare gebündelt die allesamt auch sehr hilfreich sind:
SSID Broadcast abschalten: Das Auffinden des Netztes wird so schwieriger, jedoch ist es auch recht einfach möglich SSID herauszufinden wenn der Broadcast abgeschaltet ist, es gibt inzwischen genug Tools die das bewerkstelligen. Dennoch ist das eine Sicherheitsverbesserung die sich mit einem Mausklick / Konsolenbefehl realisieren läßt und es dem angreifer wieder etwas schwerer macht.
DHCP Einstellungen: Wenn möglich auf DHCP Verteilung verzichten und IP Adressen manuell vergeben, dies kann unter umständen problematisch sein wenn z.B.: ein Benutzer regelmäßig zwischen zwei Standorten wechseln und selber keine Berechtigungen haben soll die IP Adresse zu ändern. (Es gibt genug WLAN Clients die unterschiedliche Profile unterstützen so das man dieses Problem umgehen kann) Es ist auch möglich IP Adressen an eine MAC Adresse zu binden, so das der Benutzer immer wieder die selbe IP Adresse von dem DHCP Server bekommen, dies wäre die beste Möglichkeit.
Die IP Adresse sollte nicht aus einem Standartnetz stammen, wie z.B. 192.168.1.X und so wenig benutzbare Host Adressen besitzen wie möglich.

Ich hoffe ich konnte euch etwas erzählen was ihr noch nicht wußtet face-smile und wenn nicht vielen Dank fürs lesen bis hier hin.

Grüße

Yunadar

Content-ID: 36283

Url: https://administrator.de/tutorial/grundlegende-wlan-sicherheit-tipps-36283.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

8644
8644 19.07.2006 um 14:29:16 Uhr
Goto Top
Hi Yunadar,

guter Beitrag - mach aber besser ein Tutorial draus!

Psycho
Yunadar
Yunadar 19.07.2006 um 14:29:44 Uhr
Goto Top
Sollte eigentlich eins sein, habe ich mich wohl verklickt.

Ps.: Jetzt ist es eins face-smile
meinereiner
meinereiner 19.07.2006 um 14:40:08 Uhr
Goto Top
Dann hänge ich hier doch mal den Link zur einer kleinen Step by Step Anleitung von MS rein. face-wink

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f7fa9a2-e113- ...
nobbivm
nobbivm 20.07.2006 um 08:42:08 Uhr
Goto Top
Hi,
genial deine anleitung !!
aber ich deaktiviere den SSID Broadcast immer, wenn auf dem Client die SSID eingetragen ist muss die SSID normalerweise nicht mehr gebroadcastet werden.
was ein hacker nicht sieht, kann er nicht hacken face-smile
Yunadar
Yunadar 20.07.2006 um 08:55:02 Uhr
Goto Top
Stimmt das hatte ich vergessen zu erwähnen, hast aber 100 % recht !
27119
27119 20.07.2006 um 11:51:22 Uhr
Goto Top
Guter Beitrag.

Hier meine WLAN Sicherungstips im Schnelldurchgang (für Privatanwender).
Gerade die Kombination der Maßnahmen macht den Zugang für Nichtauthorisierte sehr schwer, auch wenn die eine oder andere Maßnahme knackbar ist.
Der "Angreifer" wird dann eher ein ungesichertes Netz entern, davon gibts ja genug.

  • Original SSID ändern
  • SSID Broadcast abschalten
  • WPA Verschlüsselung verwenden (z. b. langer Satz mit Sonderzeichen)
  • MAC Adressenfilter setzen
  • Wenn möglich, DHCP abschalten, statische IPs verwenden
  • Wenn nicht, kleinen, untypischen DHCP Pool verwenden (zb. 172.16.80.0 /29)
  • DHCP IP Adressen auf MAC-Adressen binden
  • WLAN Router Firewall aktivieren, DMZ abschalten
  • Routermanagement aus dem Internet abschalten
  • Routerfirmware updaten
  • Routerpasswort ändern (komplex mit Sonderzeichen)
tmedv79
tmedv79 20.07.2006 um 14:44:21 Uhr
Goto Top
Huhu, also das mit der verteckten SSID kann ich nicht ganz bestätigen. Der Netstumbler zeigt einfach gnadenlos alles. Und ich hatte demletzt ein Notebook mit Intel Wireless-Karte und zugehörigem Treiber und auch hier wurde das Gerät mit der versteckten SSID trotzdem angezeigt O_o
27119
27119 20.07.2006 um 16:36:11 Uhr
Goto Top
Huhu, also das mit der verteckten SSID kann
ich nicht ganz bestätigen. Der
Netstumbler zeigt einfach gnadenlos alles.
Und ich hatte demletzt ein Notebook mit
Intel Wireless-Karte und zugehörigem
Treiber und auch hier wurde das Gerät
mit der versteckten SSID trotzdem angezeigt
O_o


Yo, ist schon klar mit Netstumbler, Kismet, AeroPeek usw.
Bis auf eventuelle Ausnahmen werden jedoch bei versteckter SSID die meisten benachbarten WLAN User (die keine spez. Tools verwenden) den Access Point nicht bemerken - und die, die ihn bemerken SOLLEN, tragen die SSID manuell bei sich ein.
Wie gesagt ist das kein echtes Sicherheitsfeature, doch die Summe der Maßnahmen erschwert den Einbruch doch massiv.

Die eigentliche Sicherheit wird durch die WPA Verschluesselung mit komplexem Passwort erreicht - für zu Hause mehr als ausreichend.
Firmen greifen eher auf VPN oder 802.1X Lösungen zurück...
Yunadar
Yunadar 20.07.2006 um 19:05:54 Uhr
Goto Top
VPN wird eher für's verbinden von mehreren Netzen über öffentliche Leitungen eingesetzt nicht innerhalbe ines LAN Segmentes. 802.1X beschreibt letztlich ja Authentifizierung.

Aber stimmt schon SSID verbergen bringt nicht viel an Sicherheit, aber viele kleine Sicherheitsmechanismen kosten dem Angreifer etwas Zeit von daher warum nicht. Und gerade das SSID Broadcasting abzuschalten ist ja wirklich nur eine Sache von wenigen Sekunden Arbeit.
27119
27119 20.07.2006 um 19:27:28 Uhr
Goto Top
VPN wird eher für's verbinden von
mehreren Netzen über öffentliche
Leitungen eingesetzt nicht innerhalbe ines
LAN Segmentes.


Will man aufs Firmen-Intranet zugreifen, macht man einen VPN Tunnel auf, als würde man von daheim übers Internet VPN mit der Firma machen.
Total simple Lösung - aber effektiv und wenig fehleranfällig.


Das mit dem SSID Broadcast Ausschalten hat noch eine Bewandnis:
Es ist einfach nervig, bei sich daheim (oder wo auch immer) mehrere SSIDs zu "sehen", mit denen man sich garnicht verbinden kann.
U.u. wird die WLAN Verbindung zum eigenen Access Point dadurch getrübt, wenn ein benachbarter WLAN AP besser empfangen wird bzw. eine stärkere Sendeleistung hat.
Genauso wird es auch die Nachbarn nerven, wenn ständig DEIN AP bei ihnen einstreut, bzw. erkannt wird, und u. U. ihre Verbindung stört.
JohnnyB
JohnnyB 19.08.2006 um 20:49:56 Uhr
Goto Top
Gutes Tutorial, danke dafür.

Ich möchte trotzdem ein bischen mosern: Wenn der Access-Point mit 100MW, also 100 Megawatt sendet, dann denke ich mal, daß es auf dauer ein bischen ungesund ist in dem Großraumbüro und das die Reichweite dann ein klein wenig mehr als ein paar Dutzend Meter sein dürfte. Ich denke mal, daß die maximale Sendeleistung bei 100mW, also 100 Milliwatt liegen wird, oder? ;)
Yunadar
Yunadar 19.08.2006 um 20:56:16 Uhr
Goto Top
Hi

Ehm klar warum nicht mal ein wenig Leute grillen ;) nein es sind natürlich Milli Watt gemeint face-smile

Sorry

Gruß
TZE
27119
27119 19.08.2006 um 21:13:00 Uhr
Goto Top
Jo, die Leute die über WLAN Verstrahlung philosophieren, sollten gleich mal das Handy aus der Hand legen, mit dem sie sich seit Jahren mit sinnfreiem Gelaber das Hirn aufkochen, ohne es zu merken...
Wer gesund leben will, sollte auf einer einsamen Insel ein Baumhaus bauen und sich von Pflückobst ernähren. Das was der Mensch macht war schon immer gegen die Natur und kurzsichtig. Doch wir wollen es ja nicht anders.
Muhaha.