Wie man das Netzwerk selber sicher macht

WLAN-Sicherheit meist katastrophal

20.04.2009 von Benjamin Schischka
Die Sicherheits-Standardeinstellungen vieler Hersteller sind ein Trauerspiel. Doch Firmen sollten ihr Netzwerk dringend vor Missbrauch schützen. Sonst können Angreifer sogar den gesamten Netzwerkverkehr mitschneiden. Wie Sie die Mängel selbst beheben können.

Ist das WLAN schlecht oder gar nicht geschützt, werden nicht nur neugierige Nachbarn, sondern auch Ganoven aufmerksam. Solche Online-Kriminelle surfen im Netz auf Kosten der Betroffenen und verringern Bandbreite und Surfgeschwindigkeit. Was noch hinzukommt: Wenn diese Mitsurfer ungefragt das WLAN beispielsweise für illegale Downloads missbrauchen, wird zu allererst der Besitzer zur Rechenschaft gezogen. Das stellte das Landgericht Hamburg im Jahr 2006 in einem Urteil fest.

Nach Medienberichten haben die im September 2007 im Sauerland verhafteten Terrorverdächtigen ungeschützte Kabellos-Netzwerke missbraucht, um sich untereinander verständigen zu können.

Diese Ereignisse sollten Firmen dazu bewegen, ihr Netzwerk vor Angriffen sicherer zu machen. Es gibt aber noch einen weiteren wichtigen Grund: Angreifer können Ihren gesamten Netzwerkverkehr mitschneiden. Sind die Netzwerke nicht ausreichend geschützt, ist dazu auch kein Profi-Wissen notwendig.

Darauf zu achten ist, den Router beim ersten Mal via Netzwerkkabel und nicht drahtlos zu konfigurieren. Denn sonst könnten Unbefugte eindringen, noch bevor der Router verschlüsselt eingestellt wird. Mit dem Eintippen der IP-Adresse des Routers im Browser wird das Konfigurationsmenü erreicht. Genauere Anleitungen enthält das Handbuch. Fritzbox-Besitzer können auch einfach „fritz.box“ ohne Anführungszeichen eintippen.

Unsichere Standardeinstellungen

Ändern Sie unbedingt das voreingestellte Standardpasswort. Dieses ist oft zu simpel und keineswegs geheim, sondern steht im Handbuch, das sich meist kostenlos herunterladen lässt. Was Sie bei der Passworterstellung beachten sollten, können Sie hier nachlesen.

Die meisten Router sperren das Konfigurationsmenü automatisch, wenn dort über einen bestimmten Zeitraum keine Eingabe erfolgt. Gibt es in Ihrem Router dafür eine extra Option, lässt sich dort die gewünschte Zeitspanne einstellen - je kürzer, desto besser. Ganz abschalten sollten Sie die Fernkonfiguration, sofern Sie sie nicht benötigen. Sie erlaubt den Zugriff auf das Menü über das Internet und ist besonders bei einem schwachen Passwort fatal.

Das Blockieren von Ping-Anfragen im Menü bringt einen eher kleinen Sicherheitsschub. Hacker nutzen bisweilen die Ping-Abfrage, um festzustellen, ob sich hinter einer bestimmten IP-Adresse ein Gerät verbirgt. Ebenfall eher unbedenklich ist UPnP (Universal Plug’n’Play), das automatisch Port-Weiterleitungen einträgt, die etwa für das File-Sharing oder für Spiele benötigt werden. Solange die Anwendungen sauber programmiert sind, schließen sie den Port – und damit die Lücke in der Firewall – auch wieder ordnungsgemäß. Wer misstrauisch ist, deaktiviert UPnP und schaltet alle Ports manuell.

Auf der nächsten Seite steht, welche Verschlüsselung innerhalb von Minuten geknackt werden kann und welche nicht.

Verschlüsselung: Top Secret

Das Herz Ihrer Sicherheitseinstellungen ist die Verschlüsselung. Machen Sie aber einen Bogen um die Variante „WEP“ (Wired Equivalent Privacy), da diese innerhalb von Minuten geknackt werden kann. Weil sich der verwendete Schlüssel wiederholt, lässt er sich durch das Aufzeichnen des Datenstroms schnell herausbekommen. Indem er selbst Datenverkehr produziert, kann ein Hacker den Vorgang sogar noch beschleunigen.

Verschlüsseln Sie Ihr Netzwerk daher mindestens mit WPA, besser noch WPA2. Beide verwenden einen dynamischen Schlüssel, der durch eine Datenverkehr-Analyse nicht ohne weiteres zu knacken ist. WPA nutzt die Verschlüsselungsmethode RC4, WPA2 das sicherere AES, das auch von amerikanischen Behörden für Dokumente mit dem Siegel „Top Secret“ eingesetzt wird.

Geräte, die nur WEP unterstützen, stellen ein großes Sicherheitsrisiko dar. Damit sie eingebunden werden können, müsste das gesamte Netzwerk mit WEP verschlüsselt werden. Eine Kette ist nur so stark wie ihr schwächstes Glied - machen Sie, wenn möglich, ein Firmwareupdate auf WPA oder tauschen Sie andernfalls das Gerät gegen ein neues aus.

Lesen Sie weiter, welche Tipps nicht halten, was sie versprechen.

Sicherheitsmythen enttarnt

Einige PC-Mythen sind nicht totzukriegen, so auch im WLAN-Bereich. Wir beleuchten zwei, oft als Non-Plus-Ultra genannte, Sicherheitstipps näher. Zwar ist das Ergebnis ernüchternd, komplett sinnlos sind die folgenden Mythen dennoch nicht.

Mythos Nummer 1: Versteckte Netzwerke sind unangreifbar
Im Menü ist es möglich, das Netzwerk zu verstecken, indem man die SSID unsichtbar macht (der Service Set Identifier (SSID) ist die Kennung eines Funknetzwerks. Jedes Wlan besitzt eine eigene SSID). Der Sicherheitsgewinn ist aber sehr überschaubar, da die SSID bei Verbindungsversuchen immer übertragen wird - und zwar unverschlüsselt. Wählen Sie lieber einen Netzwerknamen, der keine Rückschlüsse auf die Art und den Verwendungszweck des Netzwerkes zulässt.

Mythos Nummer 2: MAC-Adressen sind absolut sicher
Mithilfe der MAC-Adressen-Filterung (Media Access Control) ist es möglich, das Netzwerk nur für bestimmte authorisierte Geräte zur Verfügung zu stellen. Jede Netzwerkkarte und jedes WLAN-Modul besitzen eine weltweit eindeutige MAC-Adresse. Im Router-Menü können Sie daher eine Liste mit zugelassenen Geräten aufstellen. Die MAC-Adresse finden Sie über den Konsolenbefehl „ipconfig/all“ heraus – es ist die Physikalische Adresse.

Ganz so bombensicher, wie sich die Adress-Filterung anhört, ist sie aber leider nicht. Da die MAC-Adresse unverschlüsselt übertragen wird, kann sie von einem Hacker abgefangen werden und als Tarnung genutzt werden. Außerdem müssen Sie bei jedem neuen Gerät einen Eintrag vornehmen - selbst wenn es der Besuch ist, der mit seinem Laptop schnell die Mails checken möchte.

Was Sie zusätzlich noch beachten sollten …

Fazit

Selbst wenn Sie alle unsere Tipps befolgen, ist es wichtig, den Router regelmäßig auf Updates zu überprüfen. Wichtige Sicherheitslücken können teilweise nur so gestopft werden. Meist können Sie Updates über das Router-Menü suchen lassen. Alternativ wäre ein Besuch der Hersteller-Seite. Nach dem Firmware-Update startet der Router neu und die Internetverbindung wird kurz getrennt. Da manche Router nun auf die Werkseinstellungen zurückgesetzt werden, sollten Sie vorab die Konfiguration über das Menü sichern und dann zurückspielen.

Noch ein abschließender Tipp: Stellen Sie Ihren Router zentral auf. Das hat erstens den Vorteil, dass die ganze Wohnung gleichmäßiger versorgt wird und zweitens nicht zu weit nach draußen gesendet wird. Den Aktionsradius neugieriger Nachbarn und Passanten können Sie weiter einschränken, indem Sie die Signalstärke im Menü reduzieren. Gerade für kleine und mittelgroße Wohnungen reicht oft schon die Hälfte.

Nachts und im Urlaub schalten Sie Ihr WLAN übrigens am besten komplett ab. Das spart nicht nur Strom und verringert die Strahlenbelastung, sondern macht es Hackern wirklich unmöglich einzudringen. Verfügt Ihr Router nicht über eine entsprechende Einstellmöglichkeit, tut es auch eine simple Zeitschaltuhr.