WLAN absichern – ein kleiner Grundkurs

WLAN Scan mit inSSIDer vor meiner Haustür
WLAN Scan mit inSSIDer vor meiner Haustür

Aufgrund des Urteils des Bundesgerichtshof zum Thema WLAN, möchte ich das Thema gerne für einen Artikel Aufgreifen. und hier ein paar Tipps für die Absicherung ihres WLAN geben. Folgende Punkte sollten Sie in ihrer Konfiguration beachten

  • Verschlüsseln Sie ihr Netz
  • Ändern Sie den  Standardbenutzer
  • Unterdrücken / verändern Sie die  SSID
  • Konfiguration per WLAN verbieten
  • Filtern Sie anhand der MAC-Adressen
  • Aktivieren Sie nur dann ihr WLAN wenn Sie es benötigen
  • Reichweite begrenzen

WLAN Verschlüsselung (WEP, WPA, WPA2)

Bei der Verschlüsselung unterscheiden wir zwischen WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) und WPA2 (Wi-Fi Protected Access 2). WEP  ist der ältere und nicht mehr als sicher eingestufte Standard. WEP verschlüsselte Netzwerke lassen sich mit relativ geringem Aufwand „Hacken“.
Sollte der Router oder Access Point nur WEP-Verschlüsselung können prüfen Sie ob der Hersteller ein Firmwareupdate anbietet mit dem WPA oder WPA2 nachgerüstet werden kann. Ist dies nicht der Fall, sollte über ein Hardwarewechsel nachgedacht werden wenn man  Sicherheitskritischen Anwendungen wie z.b. Onlinebanking nutzt.
Verwenden Sie einem möglichst langen und komplexen Schlüssel. Auf der Seite kurtm.net finden Sie einen Online Generator der ihnen einen sicheren WPA-PSK erzeugt.

Ändern Sie den Standardbenutzer

Jeder Hersteller versieht seinen Router oder Access Point mit einem Standard Benutzer und Passwort. Diese Zugangsdaten sollten Sie ändern in einen eigenen Benutzernamen und eigenes Passwort. Die Zugangsdaten für die Standard Benutzer lassen sich über google oder Seiten wie default-password.info leicht recherchieren.

Unterdrücken / verändern Sie die  SSID

Der Hersteller eines Routers oder Access Point lässt sich anhand der Standard SSID die der Hersteller vorgibt erkennen und somit auch leicht das Standardpasswort raus finden. Sie sollten also nicht nur den Namen der SSID unterdrücken sondern auch verändern. Allerdings ist es mit diversen Tools möglich die SSID ohne weiteres auszuspähen.

Konfiguration nur per LAN zulassen

Ein weiteres Sicherheitsfeature das viele Router und Access Points bieten ist das die Konfigurationsoberfläche nur mit einem per Kabel angeschlossenen Gerät erreichbar ist.

Filtern mit MAC-Adresse

eine weitere Möglichkeit ist das Netz anhand der MAC-Adresse zu Filtern. Jemand der sich unbefugt Zutritt in ihr Netz verschaffen will wird dies nicht vor ein Problem stellen MAC-Adressen lassen sich leicht manipulieren. Ich möchte aber dennoch kurz zeigen wie Sie ihre MAC-Adresse ermitteln können. mit der Tastenkombination „Windowstaste + R“ öffnet sich der „Ausführen“ Dialog. geben Sie dort cmd ein und bestätigen Sie ihre Eingabe mit OK oder drücken Sie einfach auf die Entertaste. Geben Sie nun den Befehl „ipconfig /all“ ein und bestätigen Sie mit Return. Der Wert der hinter Physikalische Adresse steht ist die MAC-Adresse. Im ersten Beispiel ein System mit Windows XP (mein  Laptop) ist dir MAC-Adresse der Onbaord Netzwerkkarte „00-02-3F-7F-34-14“ und die des WLAN Stick „00-27-19-F3-71-46“.  Im zweiten Beispiel ein System mit Windows 7 (mein PC) lautet die MAC-Adresse „00-1A-4D-53-B8-0D“.

Windows XP

C:\Windows\system32\cmd.exe

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Administrator>ipconfig /all

Windows-IP-Konfiguration

Ethernetadapter Onboard-Lan:

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Beschreibung. . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC
Physikalische Adresse . . . . . . : 00-02-3F-7F-34-14

Ethernetadapter Wlan-Stick:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TL-WN321G USB Wireless Adapter
Physikalische Adresse . . . . . . : 00-27-19-F3-71-46
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.1.106
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.1
DHCP-Server . . . . . . . . . . . : 192.168.1.1
DNS-Server. . . . . . . . . . . . : 192.168.1.1
Lease erhalten. . . . . . . . . . : Samstag, 15. Mai 2010 16:11:36
Lease läuft ab. . . . . . . . . . : Donnerstag, 29. Juli 2010 16:11:36

C:\Dokumente und Einstellungen\Administrator>

Windows 7

C:\Windows\system32\cmd.exe

Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Kai>ipconfig /all

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : Kai-PC
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : local

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix: local
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-1A-4D-53-B8-0D
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::7986:7774:c1b:2eac%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.0.101(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Samstag, 15. Mai 2010 16:32:12
Lease läuft ab. . . . . . . . . . : Sonntag, 21. juni 2146 22:29:14
Standardgateway . . . . . . . . . : 192.168.0.1
DHCP-Server . . . . . . . . . . . : 192.168.0.1
DHCPv6-IAID . . . . . . . . . . . : 234887757
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-13-38-37-F3-00-1A-4D-53-B8-0D

DNS-Server . . . . . . . . . . . : 192.168.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.local:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix: local
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{F43B01AD-0EFB-497A-84E2-29A651930932}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{44265125-25B7-43A0-AA89-B8C8535CEE15}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja

C:\Users\Kai>

Deaktivieren Sie ihr WLAN

Fahren Sie beispielsweise in Urlaub sollten Sie ihr WLAN-Netz deaktivieren oder gleich die Stromversorgung des Routers oder Accespoint trennen. Nutzen Sie ihr WLAN nur selten kann man es z.B. nur nach Bedarf aktivieren.

Reichweite einschränken

Prüfen Sie z.B. mit einem Laptop wie weit das WLAN-Netz empfangbar ist. Versuchen Sie dann die Sendeleistung zu verringern oder das Gerät an einem anderen Ort aufzustellen um damit die Reichweite einzuschränken. Ihr Nachbar auf der gegenüberliegenden Straßenseite muss sicher nicht die Möglichkeit haben sich mit ihrem Netzwerk verbinden zu können. Dies ist einer der effektivsten Sicherheitsmaßnahmen. Denn nur ein WLAN das gefunden wird kann auch angegriffen werden.

Weiterführende Links:


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.