Aktion: Sicheres WLAN – 10 Tips … Augenwischerei?

Bild.de berichtet heute, wie man sein WLAN angeblich mit 10 Tips bombensicher machen kann. Die Tips selbst sind nicht ganz verkehrt, aber wenn jeder einzelne so toll wäre, wie es heißt .. warum soll man dann mehr als einen Tip anwenden?

Vor allem wird leider verschwiegen wie nützlich ein Tip ist, oder welche Risiken als Nebenwirkung auftreten. Deshalb die Tips hier nochmal in Kurzform mit etwas mehr Expertenwissen dazu:

Tip 1: Router abschalten, wenn er nicht gebraucht wird.
Sehr wirksamer Tip. Aber etwas übertrieben. Viele moderne Router haben einen Schalter der nur das WLAN abschaltet. Wenn der Router leicht zugänglich ist, ist das eine tolle Sache. Auch ein Angreifer kann WLAN  nur nutzen, wenn es eingeschaltet ist. Auch das Aufbrechen des WLANs erfordert selbstverständlich das es an ist. ACHTUNG: Wird jedoch der Router komplett abgeschaltet, ist kein sofortiges Surfen möglich! Da in der Regel die DSL-Modems heute im Router integriert sind, muss dieses erst neu mit dem DSLAM verbinden. 2-10min Zwangspause sind da keine Seltenheit, bevor die Verbindung wieder steht!

Tip2: Aktivieren Sie stets die Verschlüsselung
Ja. Keine Einwände. Das ist ein absolutes Muss. Absolut unverzichtbar. Allerdings sollten Sie einen Router der nur noch WEP, jedoch kein WPA oder WPA2 unterstützt sofort austauschen. WEP ist hoffnungslos veraltet und von einem erfahrenen Angreifer innerhalb von wenigen Minuten geknackt. Bei WPA und WPA2  würde das mehrer Stunden oder Tage dauern. Möglich ist das Aufbrechen aber auch nur, wenn Traffic auf dem Netz ist. Also ein Router und ein verlassenes Notebook helfen dem Angreifer nicht. Es muss aktiv gesurft werden, damit der Angreifer schnüffeln und eindringen kann. Hat er allerdings den Key, kann er eindringen solange das WLAN an ist.

Tip 3: Namen ändern
Ändern sie die SSID, also den Namen ihres WLAN Netzwerkes in ein möglichst anonymes Wort. Statt MichaelMeier also lieber WLAN405723. Dies erschwert es Angreifern gezielt in ihr Netzwerk einzudringen. Dieser Tip schadet nie! Vor allem wichtig, wenn auf ihrem Notebook wichtige berufliche Daten oder Betriebsgeheimnisse sind. Ganz wichtig: Notieren sie sich den neuen Namen aber irgendwo!

Tip 4: SSID Übertragung abschalten
Man kann die Übermittlung der SSID über das WLAN unterdrücken. Dieser Tip bringt aber mehr Ärger als Nutzen. Einen versierten Angreifer hält das nicht ab, der erfährt den Namen trotzdem über das Sniffing der WLAN Pakete. Muss ihr PC jedoch mal neu formatiert und installiert werden, haben sie ein Problem. Im Besten Fall haben sie Tip 3 befolgt und kennen den Namen, im zweitbesten Fall steht er auf der Unterseite ihres Routers.. Im schlimmsten Fall müssen Sie den Router resetten (meist mit ner Büroklammer ins Reset-Loch stoßen) und alles neu einrichten. Inklusive DSL-Login Daten und WPA etc.

Tip 5: Router per Kennwort sichern
Nun. Das sollte kein Tip, sondern Selbstverständlichkeit sein. Sie können per Browser auf ihren Router zugreifen um ihn zu administieren. Einige Geräte erlauben den Zugriff per fritz.box, oder alicedsl, je nach Anbieter und Routerhersteller. In jedem Fall funktionieren tut: 192.168.2.1   – Wobei die “2″ bei ihnen auch eine beliebige andere Zahl von 0-255 sein könnte. Standardwerte sind jedoch 0,1 oder 2.
Diese Absicherung ist extrem wichtig. Jeder Router ist auch fernwartbar. Das heisst, das jeder Surfer an ihrem Router anklopfen und Einlass beantragen kann. Die Fernwartfunktion ist zwar idR per default ausgeschaltet. Aber nicht immer. Hier schützt sie jedenfalls nur ein Password. Es verhindert ausserdem das neugierige Besucher oder Kinder in ihrer Wohnung mal kurz eben was am Router ändern können.

Tip 6: Sichere Passwörter
Ein Tip so alt wie Methusalem. Aber auch genauso wichtig. Vermeiden Sie Passwörter wie “123456″, Frauennamen oder Gegenständen die um sie herum liegen. Bewährt, um ein Passwort zu generieren hat sich die Methode einmal mit dem Kopf in die Tastatur zu fallen.

Tip 7: Feste IP Adressen
Wenn sie den DHCP Server im Router ausstellen, bekommen Angreifer die in ihr Netz eindringen keine IP. Die aber wird gebraucht um überhaupt Daten tauschen zu können. Generell bin ich sowieso ein Freund von fest vergebenen IP-Adressen. Wenn mein Server immer auf 192.168.1.7 liegt, mein Drucker immer auf …8 usw dann kann ich die immer sofort finden, ohne erst scannen oder den Router fragen zu müssen. Leider gibt es aber Router die verbuggte Firmware haben und damit nicht klarkommen. Geräte die sich mit eigener IP am Router vorstellen werden dann nicht mehr korrekt bedient. Einen Angreifer kümmert es auch nicht sonderlich. Eine auf dem Silbertablett servierte IP ist zwar praktischer, aber mal eben den Netzwerkbereich von 192.168.x.x nach Routern abzuscannen dauert auch nur 2min. Dieser Tip bringt also wenig Sicherheit, dafür aber eventl. viel Verdruss und starke Komforteinbussen.

Tip 8: Keine Standard-Adressen verwenden
Dieser Tip baut auf Tip 7 auf. Wie schon in Tip 5 erwähnt, kann ihre Netzwerk Adresse 192.168.x.y aussehen. Das y vergibt der Router per DHCP, oder sie selbst, wenn sie Fortgeschrittener sind. Das x können sie in der RouterAdministration frei wählen. Der Tip schadet nicht, hilft aber auch nicht viel (siehe oben bei Tip7). Einen ganz großen Nutzen hat es trotzdem, wenn sie für x eine Zahl wie 111 oder 123 einsetzen: IP Adressen sind ekelhaft einzutippen. Viele Programme unter Windows lassen die Eingabe nicht in einem einzigen Feld zu, sondern wollen ihnen ersparen den Punkt (“.”) zu tippen. Es werden dann in einer Reihe 4 Felder angeboten. Schön: Solange sie 3stellige Zahlen eingeben, springt der Cursor automatisch weiter ins nächste Feld. Im dritten Feld ist standardmäßig aber nur eine Ziffer einzutragen. Wer hier mit TAB weiter möchte, landet nicht im nächsten Feld sondern in der nächsten Zeile. Wenn dann blind weitergetippt wird, kann das böse enden. Je nachdem was das bezogene Programm macht.. Ist das dritte Segment dagegen 111 oder 123, also dreistellig, passiert nichts. Beim vierten Segment ist dieser Bug egal. Danach wollen wir ja eh eine Zeile weiter.

Tip 9: MAC-Filter aktivieren
Ganz böse Falle. Viele Anwender fühlen sich unglaublich sicher, ist die MAC-Adresse doch einmalig. Einem Angreifer kann das egal sein. Er kann ihre MAC-Adresse sniffen und per spoofing vortäuschen genau diesselbe zu haben. Geht jedoch mal ihre Netzwerkkarte kaputt, haben sie sich selbst ausgesperrt. Denn sie sind kein Hacker, und ihre neue Karte hat garantiert eine andere Nummer. Vergessen sie also den MAC-Filter, auch wenn er ihnen auf den ersten Blick unglaubliche Sicherheit suggeriert. Die ist rein kosmetisch und taugt höchstens dazu bei kleine Mädchen ein Surf-Verbot durchzusetzen.

Tip 10: Datei- und Druckerfreigabe deaktivieren
Nun. Die sind standardmäßig eh ausgeschaltet. Wer sie aktiviert hat, hat also den Bedarf sie zu nutzen. Dieser Tip hat nichts mit DSL oder WLAN im allgemeinen zu tun, sondern eher damit ihren PC/Notebook einbruchssicherer zu machen. Hierzu muss gesagt sein, das generell Zugriff nur per Password möglich sein sollte.
Eine Besonderheit gibts noch zu erwähnen, falls sie einen Linux PC als Samba-Server abgestellt haben. Es ist bei gewissen Samba-Versionen möglich das Benutzer ihres Netzwerkes die Windows Vista oder Windows 7 verwenden ungehindert und ohne Passwortabfrage Zugriff erhalten. Probieren sie dies sicherheitshalber einmal aus und schliessen sie die gefährlichen Lücke dann ggf. durch ein Update ihrer Samba-Installation.

Generell kann man sagen, das die Bild-Tips weiterhelfen können. Aber sie enthalten auch gefährliche Tretminen. Ich hoffe sie sind nun besser informiert und können das für sie passende umsetzen. Die Namen der Programme, die WLAN-Einbrecher verwenden, habe ich absichtlich nicht genannt. Es ist nicht nötig, Script-Kiddies die Arbeit zu erleichtern. Wenn sie meinen Aussagen misstrauen, werden sie unter den Begriffen DNS, Spoofing, Sniffing, Wlan und hacks genug Infos erhalten um sich die Augen öffnen zu lassen.

Wichtige Begriffe kurz erklärt:
WLAN: Wireless Local Area Network = Drahtloses lokales Netzwerk. Ihr PC oder Notebook kann per Funk mit dem Netzwerk Daten tauschen.
MAC-Adresse: Die hat nix mit dem Apple MACintosh zu tun.Jede Netzwerkkarte erhält vom Hersteller eine ganz “persönliche”, weltweit einzigartige Identitätsnummer. Diese hilft dem Netzwerk sich selbst zu administrieren und Daten zuverlässig an die korrekten Empfänger zu liefern.
DSLAM: Die sind draußen, an der Strasse in diesen grauen Kästen untergebracht auf denen “Plakate aufkleben verboten” steht und oft Jugendliche draufsitzen. Ihr Modem ist direkt mit diesen verbunden und in den Kästen sind dann die Verbindungen ins Web.
Key: Schlüssel(wort) für den Zugriff auf das WLAN Netzwerk.
SSID: Stationsname des WLAN-Routers.
WEP, WPA, WPA2: Verschlüsselungstechnologien auf Softwarebasis, welche die Kommunikation im WLAN für Unbefugte unlesbar und unbenutzbar machen.

Random Posts