Ratgeber Netzsicherheit

So wehren Sie Angriffe auf das WLAN ab

04.09.2014
Von Volker Riebartsch

Nur gute, lange Passwörter

Ein Passwort wie zum Beispiel "1234567890" hat zwar zehn Zeichen und ist per Bruteforce ebenso wenig zu knacken wie unser Beispiel "peter4ever", beiden ist aber mit anderen Methoden beizukommen. Die Ziffernfolge ist ganz oben in jeder Wörterliste beliebter Passwörter zu finden. Unser Passwort fällt ebenfalls ganz einfach: "peter" ist in jedem Wörterbuch zu finden. Passwortendungen wie "4ever", "4you", "4everU" und andere sind e­norm beliebt und in jeder guten Regeldatei zu finden. Da "peter" in der von uns verwendeten Wörterlis­te weit oben steht, war "peter4ever" bereits nach ein paar Sekunden geknackt.

Der einzige für WPA und WPA2 bekannte Angriffspunkt ist das Passwort. Ist das Passwort sicher und wird WPA2 verwendet, gilt ein Netzwerk als unknackbar. Wählen Sie also unbedingt ein längeres Passwort, wir empfehlen mindestens 16 Zeichen. Es soll nicht aussprechbar sein, Ziffern, Großbuchstaben, Kleinbuchstaben und Sonderzeichen enthalten.

WLAN-Schutz – die 7 wichtigsten Regeln

Das Thema Sicherheit in Bezug auf die persönlichen Daten im Internet wird hier groß geschrieben

1. Gutes Passwort wählen

Wählen Sie ein Passwort mit mindestens 16 Zeichen, besser sind 20 oder mehr. Es darf nicht aussprechbar sein – auch bei Ersatz von Buchstaben durch Zahlen (Leet-Speak) – sollte aus Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen gemischt sein. Verwenden Sie einen Passwortmanager.

2. WLAN benennen

Besonders die Router von DSL-Providern kommen meist mit einem Standardnamen für das WLAN und einem Standardpasswort. Anhand des Namens lässt sich Hersteller und Modell herausfinden. In letzter Zeit wurden zu bestimmten Routern Sicherheitslücken bekannt, derartige sind über den Namen schnell zu identifizieren. Wählen Sie einen beliebigen Namen für Ihr WLAN.

3. Geräte manuell konfigurieren

Einige Router bieten mit WPS (Wi-Fi Protected Setup) eine einfache Option, weitere Netzwerkgeräte wie Drucker in das WLAN ohne umständliche Konfiguration zu integrieren. Seit Dezember 2001 ist eine gravierende Sicherheitslücke bekannt, in deren Folge ein Angreifer die WPS-PIN erfahren kann und dann über eine Bruteforce-Attacke das WPA-Passwort des Routers in wenigen Stunden bekommt. Falls Ihr Router WPS bietet, schalten Sie die Option aus und konfigurieren neue Geräte manuell.

4. SSID verstecken

Das Verstecken der SSID (WLAN-Name der Station) ist optional möglich. Der Sicherheit hilft das aber nicht, eher der Privatsphäre. Das Modul airodump-ng stellt auch WLAN-Stationen mit versteckter SSID dar, natürlich ohne den Namen. Sind mit der Station Clients verbunden, lässt sich mit dem Modul aireplay-ng die De-Authentifizierung eines Clients und dessen automatische Wiederanmeldung auslösen. Bei der Wiederanmeldung überträgt der Client dann die SSID, airodump-ng speichert sie.

5. Zugriffsliste MAC-Adressen

Die Einschränkung des Zugangs über MAC-Adressen der Clients hilft beim Thema Sicherheit auch nicht wirklich, ist zudem nervig. Hierbei wird am Router eine Liste mit MAC-Adressen (BSSID) erlaubter Clients (Smartphone, Tablet oder Rechner) eingetragen. Nur die dürfen sich mit dem WLAN verbinden. Das Modul airodump-ng zeichnet die BSSIDs der erlaubten Clients natürlich auf. Mit ein paar Handgriffen lässt sich am angreifenden Rechner die eigene MAC-Adresse durch eine beliebige ersetzen, er ist dann am Router „berechtigt“.

6. Gastnetz einrichten

Bessere WLAN-Router bieten „Gastnetze“. Neben dem „normalen“ WLAN, dass Sie optimal geschützt nur für sich und Ihre Geräte betreiben, können diese Router ein zweites WLAN aufbauen. Das ist zwar mit dem Internet, nicht aber mit Ihrem lokalen Netzwerk verbunden. Es hat einen eigenen Namen samt Passwort. Das können Sie dann Freunden, Besuchern und Geschäftspartnern bedenkenlos geben, sie können im Internet surfen, haben aber nie Zugriff auf ihr Netzwerk und dessen Ressourcen.

7. Server extra schützen

Falls Sie befürchten, dass Ihr WLAN beziehungsweise das Passwort dennoch gehackt werden könnte, sorgen Sie für die Sicherheit Ihrer Server. Der Zugriff aus NAS, Server und Shares sollte immer zusätzlich mit einem natürlich anderen, sicheren Passwort geschützt sein.

Zur Startseite