WLAN Sicherheit
erschienen in der Kategorie Technik, am 24.08.2015
Ich werde oft mit Fragen konfrontiert, wie "Ist mein WLAN sicher?", "Können meine Nachbarn heimlich in mein WLAN?", "Welche Verschlüsselung soll ich einstellen?" oder auch "Was ist der Unterschied zwischen WEP und WPA?"
In diesem kleinen Ratgeber zum Thema WLAN Sicherheit möchte ich auf diese und einige andere Fragen eingehen und zudem auch ein paar Tipps an alle Leute los werden, die zwar jeden Tag WLANs benutzen, aber sich noch nie mit der Frage beschäftigt haben, ob das denn auch sicher ist oder ob sie sich damit vielleicht sogar selbst gefährden.
Für alle Nerds und Technikfreaks wird es am Ende des Artikels interessant. Da möchte ich aufzeigen, wie simpel es unter bestimmten Umständen sein kann, sich Zugang zu einem fremden WLAN zu verschaffen.
Wer sich in seinem Leben noch nicht allzu viel mit Linux-Konsolen und Netzwerktechnik beschäftigt hat, der wird das da Gezeigte vielleicht nicht unbedingt verstehen. Die eingebundenen Videos sollten einem aber in jedem Fall verdeutlichen, wie schnell (und aus Informatikersicht auch einfach) es möglich ist, ein unzureichend abgesichertes WLAN zu "hacken". Dieser Artikel soll aber niemanden dazu motivieren, etwas Derartiges zu tun. Er soll eine Hilfestellung dafür sein, solche Angriffe beim eigenen Netzwerk präventiv zu verhindern.
Die aufgezeigten Maßnahmen zur WLAN-Absicherung zielen zum einen darauf ab, das Netz abhörsicher zu machen und zum anderen sollen sie dafür sorgen, dass sich niemand unbefugten Zugang zum eigenen Netzwerk verschaffen kann.
Wer sich nun sagt "Das brauche ich nicht, meine Nachbarn dürfen meine Internetverbindung gern mit benutzen", der ist zwar ein freundlicher Mensch, sollte aber wissen, dass er sich damit auf sehr dünnes Eis begibt. Denn, wenn jemand die eigene Internetverbindung nutzt, um illegale Daten herunterzuladen oder Straftaten zu verüben, muss man in den meisten Fällen selbst dafür haften. Und auch wenn da im Einzelfall mal ein Richter anders entscheiden sollte, steht einem auch ohne Verurteilung viel bürokratischer und juristischer Ärger ins Haus. Um das von vornherein zu vermeiden, muss man präventiv tätig werden und sein heimisches Netzwerk sicher machen.
Klingt bisschen komisch, ich weiß. Worauf ich damit hinaus will: Setzt WLAN nur dort ein, wo sich ein kabelgebundenes Netzwerk (LAN) nicht umsetzen lässt.
Wer seinen PC direkt neben dem DSL-Router stehen hat und WLAN benutzt, sollte sich mal der Frage hingeben, wie sinnvoll das ist.
Eine LAN-Verbindung ist stabiler als eine WLAN-Verbindung und man muss sich in Sachen Sicherheit weit weniger Gedanken machen. Außerdem kann man damit Strom sparen und erzeugt auch weniger Elektrosmog.
Warum sollte man den Namen ändern?
Den eigenen Namen sollte man aus Gründen von Privatsphäre und Datenschutz nicht verwenden. Außerdem will man seinen Feinden ja nicht gleich zeigen, welches Netzwerk einem gehört.
Der Name des Routerherstellers oder des Modells hat nichts im Namen verloren, weil dies manchmal Rückschlüsse auf vorhandene Sicherheitslücken zulässt.
Bei einer bestimmten Routerserie kam es in der Vergangenheit sogar vor, dass man aus dem Standard-WLAN-Namen das Standard-WLAN-Passwort ableiten konnte. Das war nicht nur peinlich für den Hersteller, sondern auch absolut fatal für die unwissenden Besitzer.
Es gibt noch ein anderes Problem mit den Standard-WLAN-Namen, welches aber nicht allzu sicherheitsrelevant ist. Netzwerkgeräte (Smartphones, Tablets, Laptops, usw.) versuchen sich immer in bekannte Netzwerke einzuwählen. Wenn euer heimisches Netzwerk nun beispielsweise "FRITZ!Box 7490" heißt und ihr an einem anderen WLAN mit dem gleichen Namen vorbeikommt, wird euer mobiles Endgerät versuchen, sich da anzumelden. Das funktioniert zwar nicht, weil das Passwort nicht stimmt, zehrt aber ordentlich am Akku.
Wenn ich an meinem Arbeitsplatz sitze, empfange ich über 20 Funknetzwerke. Dass ich diese Netzwerke empfange, ist für die Betreiber ein Sicherheitsrisiko. Denn ich könnte ja nun einfach loslegen und versuchen da rein zu kommen. Würden die WLAN-Router weniger stark senden, gäbe es nicht nur weniger Elektrosmog, ich hätte als Außenstehender in vielen Fällen auch gar keine Chance mehr, mich mit ihnen zu beschäftigen.
Daher lautet mein Tipp: Schaut mal in euren Routern nach, ob ihr die Signalstärke des Access Points drosseln könnt. Bei vielen Routern, zum Beispiel bei den Fritz!Boxen von AVM, geht das.
Wer nur eine Wohnung und kein Haus mit mehreren Etagen hat, für den werden 50 % Sendeleistung in den meisten Fällen locker ausreichen. (Natürlich spielt dabei auch die Positionierung des Routers und der Antennen eine große Rolle.)
Das Thema Sendeleistung bringt mich gleich zum nächsten Aspekt der Betrachtung, nämlich zu WLAN Repeatern. Diese WLAN Verstärker kommen zum Einsatz, wenn man einen Bereich mit WLAN versorgen will, der sich mit den Antennen eines einzelnen Routers nicht mehr abdecken lässt.
WLAN-Repeater fangen das vorhandene WLAN-Signal auf und senden es erneut aus, um es zu verstärken. Manchmal sind sie auch über eine Netzwerkleitung (LAN) mit dem Router verbunden und spannen ein eigenes, zusätzliches WLAN-Netzwerk auf.
Ich möchte darauf hinweisen, dass alle angeführten Sicherheitseinstellungen auch an eventuell vorhandenen WLAN Repeatern umgesetzt werden sollten. Es bringt recht wenig, wenn man den Router bombensicher konfiguriert hat, aber noch mehrere Repeater im Netzwerk hängen, die munter ein unverschlüsseltes Netzwerk in die Welt hinausstrahlen.
Wem es zu stressig ist, jedes Mal den Knopf am Router zu drücken, der sollte mal schauen, ob der selbige nicht eine Zeitschaltung implementiert hat. Bei fast allen handelsüblichen Routern kann man eine Nachtschaltung einrichten, die das WLAN zu einer bestimmten Uhrzeit aus- und morgens wieder einschaltet. Bei manchen Geräten kann man das sogar für jeden einzelnen Wochentag festlegen.
(Nebenbei bemerkt, gibt es auch Studienergebnisse, die darauf hinweisen, dass Funkwellen und Elektrosmog das Schlafverhalten von Menschen negativ beeinflussen können. Das ist zwar umstritten, aber in Sachen Gesundheit gilt ja: Vorsicht ist besser als Nachsicht.)
In diesem Zusammenhang möchte ich kurz auf die Frage eingehen, "Was kann passieren, wenn ich keine Firmware-Updates installiere?"
Es kommt immer wieder vor, dass Sicherheitslücken bekannt werden, die so massiv sind, dass ein potenzieller Angreifer die komplette Kontrolle über den Router erlangen kann (mittels root-Zugriff auf das Linux-Betriebssystem des Routers). Er könnte den Router damit funktionsunfähig machen oder auch die im heimischen Netzwerk angeschlossenen Geräte (PCs, Smartphones, etc.) angreifen.
Viel wahrscheinlicher ist es aber, dass man als Besitzer des Routers gar nichts davon mitbekommt, dass sich jemand Zugang verschafft hat. Denn meist werden gehackte Router von den Hackern zum Teil eines sogenannten Botnetzes gemacht. Die Geräte werden dann ferngesteuert und illegal genutzt, um Spamnachrichten zu versenden oder um Online-Dienste im Rahmen von DDOS-Attacken anzugreifen.
Um zu verhindern, dass jemand derartige, illegale Aktivitäten mit dem eigenen Router betreibt, sollte man seine Firmware also aktuell halten. Wer nie Updates installiert, bietet Hackern unter Umständen über Jahre die Möglichkeit, Straftaten im Internet zu begehen (deren Spuren, dann zu einem selbst führen).
In der Regel hat man die Wahl zwischen einem unverschlüsselten Netzwerk, einem mit WEP verschlüsselten Netzwerk oder einer WPA- bzw. WPA2-Verschlüsselung.
Ein unverschlüsseltes WLAN sollte man auf keinen Fall betreiben. Denn da kann jeder einfach rein und alle Daten werden im Klartext übertragen.
Da wir hier von einer Funkverbindung reden, heißt das, dass ein böswilliger (oder ein gelangweilter) Mensch mit seinem Laptop, Smartphone oder Tablet ohne größere Schwierigkeiten mitschneiden kann, was so alles an Daten durch die Luft fliegt.
Um das noch deutlicher zu machen: Wenn man in einem unverschlüsselten WLAN auf Webseiten surft, die browserseitig nicht noch durch eine zusätzliche Verschlüsselung (HTTPS) geschützt sind, so kann ein Fremder alle aufgerufenen Webseiten sehen, ohne dass man etwas davon mitbekommt. Gleiches gilt für das Abrufen von E-Mails und für Chats. Und hierbei können nicht nur die Nachrichten an sich heimlich mitgeschnitten werden, sondern auch die Log-in-Daten.
Aus diesem Grund sollte man nicht nur darauf verzichten, ein unverschlüsseltes WLAN-Netzwerk zu betreiben, man sollte sich auch grundsätzlich nie in ein solches einloggen.
Von einem WEP-verschlüsselten WLAN muss ich ebenfalls abraten. Der WEP-Verschlüsselungsalgorithmus wurde schon vor Jahren geknackt und ist absolut unsicher. Wenn man weiß wie, kann man sich in wenigen Minuten Zugang zu einem WEP-verschlüsselten Netzwerk verschaffen. Wie genau das funktioniert, wird am Ende des Artikels in einem Video eindrucksvoll demonstriert.
Übrig bleiben nun noch WPA- bzw. WPA2- verschlüsselte Netzwerke. Sie sind das Mittel der Wahl und bieten derzeit die meiste Sicherheit. Falls einem der Router die Wahl lässt, sollte man WPA2 bevorzugen. Viele Router bieten aus Kompatibilitätsgründen aber nur einen WPA/2-Modus an, der beide Varianten umfasst.
Auch beim Einsatz von WPA ist unbedingt zu beachten: Die Sicherheit der Verschlüsselung hängt stark vom Passwort ab. Man sollte ein möglichst langes (bis zu 64 Zeichen sind erlaubt) und komplexes Passwort benutzen (bestenfalls mit Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen), das nicht in einem Wörterbuch auftaucht. Macht man das nicht, so ist auch WPA angreifbar, was ebenfalls weiter unten im Artikel demonstriert wird.
Zwischenbemerkung: Alles bis hier hin Gezeigte sollte aus meiner Sicht jeder umsetzen können, der sich einfach mal eine halbe Stunde Zeit nimmt. Aus meiner Sicht sind diese Sachen das Mindeste, das man tun sollte, um ein sicheres Netzwerk zu betreiben.
Ab jetzt wird der Artikel ein bisschen technischer, ich hoffe aber dennoch, dass ich es schaffe, die Sachverhalte auch für den normalen Anwender halbwegs verständlich darzustellen.
Üblicherweise deaktiviert man den MAC-Filter eines neuen Routers erst einmal (werksseitig sind sie immer deaktiviert) und verbindet einmalig alle Geräte per WLAN, damit sich der Router diese merkt. Danach aktiviert man den MAC-Filter und es werden keine neuen (zusätzlichen) Geräte mehr ins WLAN gelassen.
Will man dennoch ein neues Gerät anmelden, muss man den MAC-Filter entweder kurz abschalten oder die MAC-Adresse des Gerätes per Hand im Router hinzufügen.
Jetzt fragt sich der eine oder andere sicherlich, was denn nun wieder eine MAC-Adresse ist.
Jede Netzwerkkarte, die in einem Computer, Smartphone, Tablet, usw. verbaut ist (egal ob LAN oder WLAN), hat eine eindeutige (also weltweit einmalige) Nummer, die MAC-Adresse.
Sehr vereinfacht (und fachlich nicht ganz korrekt) ausgedrückt, handelt es sich dabei um eine Kombination aus Zahlen (0 bis 9) und Buchstaben (a bis f), die z. B. so aussehen kann: 01:00:5e:5f:af:f3.
Manchmal fehlen die Doppelpunkte oder sie werden durch Bindestriche ersetzt. Außerdem kann es sein, dass keine kleinen, sondern große Buchstaben da stehen. (Relevant sind nur die Zahlen und Buchstaben, alle anderen Zeichen sind notationsspezifisch und dienen nur dazu, dass man die MAC-Adresse besser lesen kann.)
Die Kommunikation zwischen den Netzwerkgeräten läuft auf Basis von MAC-Adressen ab. Davon bekommt man als Nutzer aber nichts mit. (Für alle, die schon mal etwas von IP-Adressen gehört haben, sei an dieser stelle noch angemerkt: MAC-Adressen sind keine IP-Adressen.)
Man kann die MAC-Adresse seiner WLAN-Karte in Windows, Linux, Android, iOS, usw. einsehen. Wer wissen möchte, wie das geht, sollte einfach mal im Internet suchen.
Zum Hinzufügen zusätzlicher Geräte, bei einem aktivierten MAC-Filter, empfehle ich diesen aber besser kurzzeitig zu deaktivieren, da dies schneller und einfacher geht, als die MAC-Adresse herauszufinden und händisch einzutragen.
Da wir über Sicherheit reden, muss an dieser Stelle auch noch gesagt sein, dass MAC-Filter nur im eingeschränkten Maße schützen können. MAC-Adressen sind zwar in der Regel eindeutig und jedes Gerät hat eine andere – sie lassen sich aber mithilfe geeigneter Software verändern. Somit ist es einem Angreifer (durch Mitschneiden des WLAN-Datenverkehrs) möglich, die MAC-Adresse eines Computers herauszufinden, der durch den MAC-Filter zugelassen ist. Danach kann er diese Adresse für seine eigenen Zugriffsversuche verwenden. (Man nennt das MAC-Spoofing.)
Das ist sehr bequem, doch leider macht WPS, zumindest in der WPS-PIN-Variante, das WLAN unsicherer. Diese Methode ist rein funkbasiert und man benötigt folglich keinen physischen Zugang zum Router. Um ins WLAN zu gelangen, muss man einen achtstelligen PIN-Code eingeben. Das WPS-PIN-Verfahren gilt als unsicher, da man die PIN leicht knacken kann. Auch das wird im Folgenden noch aufgezeigt.
Um auf Nummer sicher zu gehen, empfehle ich WPS im Router zu deaktivieren (mindestens die WPS-PIN-Variante).
Wie versprochen, will ich jetzt noch aufzeigen, warum all diese Maßnahmen sinnvoll und nötig sind. Und das geht natürlich am besten, indem man demonstriert, was passieren kann, wenn man das nicht macht.
Im Folgenden wird also gezeigt, wie man WEP- und WPA-Netzwerke und das WPS-PIN-System "hacken" kann. Ich hatte erst vor dazu selbst einen kurzen Überblick zu geben, habe dann aber diese Videos gefunden, in denen alles sehr anschaulich gezeigt wird. (Und besser hätte ich das auch nicht aufbereiten können.)
An dieser Stelle sei noch einmal darauf hingewiesen, dass dies der Aufklärung dient. Wer das Gezeigte bei einem fremden Netzwerk anwendet, macht sich strafbar.
Ziel des Angriffs ist es, möglichst viele Initialisierungsvektoren abzufangen. Diese sind ein Bestandteil der WEP-Netzwerkpakete und werden zwischen dem Access Point und legitimierten WLAN-Teilnehmern ausgetauscht. Da man für den erfolgreichen Angriff recht viele Pakete benötigt, sorgt man einfach selbst dafür, dass viele Pakete versendet werden. Zu diesem Zweck verschickt man einfach eine sehr große Anzahl an ARP-Anfragen, was dafür sorgt, dass der legitimierte Netzwerkteilnehmer mit ebenso vielen (für den Angreifer nützlichen) ARP-Antworten reagiert. Hat man genügend davon gesammelt, kann der WEP-Schlüssel gebrochen werden.
Im Klartext heißt das, man muss für den ersten Teil des Angriffs nur (maximal) 10.000 Zahlenkombinationen ausprobieren. Hat man die Richtige gefunden, verbleiben für die fehlenden drei Ziffern noch 1.000 Varianten. Da man das natürlich nicht per Hand, sondern mit einer geeigneten Software macht, geht das sehr schnell.
Hat der Angreifer den WPS-PIN einmal erbeutet, kommt er damit später auch dann wieder ins WLAN, wenn der Betreiber das WLAN-Passwort ändert. (Es sei denn dieser verändert auch den WPS-PIN, was aber eher unwahrscheinlich ist.) Der Angreifer kann sich also mit dem PIN immer das aktuell gültige WLAN-Passwort besorgen.
(Es gibt übrigens auch sicherere WPS-PIN-Implementierungen, bei denen das oben beschriebene, blockweise Herausfinden der PIN nicht funktioniert. Dennoch ist eine achtstellige PIN natürlich immer leichter zu knacken, als ein komplexes WPA2-Passwort. Das WPS-PIN-System reduziert also in jedem Fall die Sicherheit.)
Das wären aus meiner Sicht die wesentlichsten Aspekte in Sachen WLAN-Sicherheit. Ich hoffe, es war für jeden etwas Interessantes dabei.
Bei Fragen einfach fragen. :)
In diesem kleinen Ratgeber zum Thema WLAN Sicherheit möchte ich auf diese und einige andere Fragen eingehen und zudem auch ein paar Tipps an alle Leute los werden, die zwar jeden Tag WLANs benutzen, aber sich noch nie mit der Frage beschäftigt haben, ob das denn auch sicher ist oder ob sie sich damit vielleicht sogar selbst gefährden.
Vorwort
Das Thema WLAN Sicherheit ist ein sehr großer Themenkomplex. Ich kann und werde nicht auf alles im Detail eingehen. Stattdessen versuche ich einen groben Überblick darüber zu geben, was aus meiner Sicht wichtig ist und was jeder Betreiber eines WLANs wissen sollte.Für alle Nerds und Technikfreaks wird es am Ende des Artikels interessant. Da möchte ich aufzeigen, wie simpel es unter bestimmten Umständen sein kann, sich Zugang zu einem fremden WLAN zu verschaffen.
Wer sich in seinem Leben noch nicht allzu viel mit Linux-Konsolen und Netzwerktechnik beschäftigt hat, der wird das da Gezeigte vielleicht nicht unbedingt verstehen. Die eingebundenen Videos sollten einem aber in jedem Fall verdeutlichen, wie schnell (und aus Informatikersicht auch einfach) es möglich ist, ein unzureichend abgesichertes WLAN zu "hacken". Dieser Artikel soll aber niemanden dazu motivieren, etwas Derartiges zu tun. Er soll eine Hilfestellung dafür sein, solche Angriffe beim eigenen Netzwerk präventiv zu verhindern.
Die aufgezeigten Maßnahmen zur WLAN-Absicherung zielen zum einen darauf ab, das Netz abhörsicher zu machen und zum anderen sollen sie dafür sorgen, dass sich niemand unbefugten Zugang zum eigenen Netzwerk verschaffen kann.
Wer sich nun sagt "Das brauche ich nicht, meine Nachbarn dürfen meine Internetverbindung gern mit benutzen", der ist zwar ein freundlicher Mensch, sollte aber wissen, dass er sich damit auf sehr dünnes Eis begibt. Denn, wenn jemand die eigene Internetverbindung nutzt, um illegale Daten herunterzuladen oder Straftaten zu verüben, muss man in den meisten Fällen selbst dafür haften. Und auch wenn da im Einzelfall mal ein Richter anders entscheiden sollte, steht einem auch ohne Verurteilung viel bürokratischer und juristischer Ärger ins Haus. Um das von vornherein zu vermeiden, muss man präventiv tätig werden und sein heimisches Netzwerk sicher machen.
LAN statt WLAN
Mein erster Tipp in Sachen WLAN-Sicherheit ist, kein WLAN zu verwenden. :)Klingt bisschen komisch, ich weiß. Worauf ich damit hinaus will: Setzt WLAN nur dort ein, wo sich ein kabelgebundenes Netzwerk (LAN) nicht umsetzen lässt.
Wer seinen PC direkt neben dem DSL-Router stehen hat und WLAN benutzt, sollte sich mal der Frage hingeben, wie sinnvoll das ist.
Eine LAN-Verbindung ist stabiler als eine WLAN-Verbindung und man muss sich in Sachen Sicherheit weit weniger Gedanken machen. Außerdem kann man damit Strom sparen und erzeugt auch weniger Elektrosmog.
WLAN Name (SSID)
Damit Menschen verschiedene WLANs gut voneinander unterscheiden können, haben diese einen Namen (eine SSID). Hier gilt: Den ab Werk voreingestellten WLAN-Namen sollte man immer ändern. Am besten ist es, einen Namen zu verwenden, der keine Rückschlüsse auf den verwendeten WLAN-Router (Hersteller und Modell) und auch nicht auf die Identität der Betreiber (Familiennamen) zulässt. Ansonsten gilt: Man darf kreativ sein und seine Nachbarn zum Lachen bringen. Namen wie "FBI Surveillance Van #42", "BitteRepariertEuerQuietschendesBett" oder "Wer bringt mir ein Bier vorbei?!" kommen immer gut an.Warum sollte man den Namen ändern?
Den eigenen Namen sollte man aus Gründen von Privatsphäre und Datenschutz nicht verwenden. Außerdem will man seinen Feinden ja nicht gleich zeigen, welches Netzwerk einem gehört.
Der Name des Routerherstellers oder des Modells hat nichts im Namen verloren, weil dies manchmal Rückschlüsse auf vorhandene Sicherheitslücken zulässt.
Bei einer bestimmten Routerserie kam es in der Vergangenheit sogar vor, dass man aus dem Standard-WLAN-Namen das Standard-WLAN-Passwort ableiten konnte. Das war nicht nur peinlich für den Hersteller, sondern auch absolut fatal für die unwissenden Besitzer.
Es gibt noch ein anderes Problem mit den Standard-WLAN-Namen, welches aber nicht allzu sicherheitsrelevant ist. Netzwerkgeräte (Smartphones, Tablets, Laptops, usw.) versuchen sich immer in bekannte Netzwerke einzuwählen. Wenn euer heimisches Netzwerk nun beispielsweise "FRITZ!Box 7490" heißt und ihr an einem anderen WLAN mit dem gleichen Namen vorbeikommt, wird euer mobiles Endgerät versuchen, sich da anzumelden. Das funktioniert zwar nicht, weil das Passwort nicht stimmt, zehrt aber ordentlich am Akku.
Standard-Passwörter ändern
Wegen Vorfällen, wie dem gerade beschriebenen, sollte man sämtliche vordefinierten Passwörter des Routers immer ändern (vor allem das WLAN-Passwort und das Zugangspasswort für die Konfigurationsoberfläche).WLAN Reichweite
Kommen wir zu einem Thema, das auf den ersten Blick vielleicht gar nichts mit Sicherheit zu tun hat. Die WLAN Reichweite ist jedoch durchaus für die Sicherheit entscheidend.Wenn ich an meinem Arbeitsplatz sitze, empfange ich über 20 Funknetzwerke. Dass ich diese Netzwerke empfange, ist für die Betreiber ein Sicherheitsrisiko. Denn ich könnte ja nun einfach loslegen und versuchen da rein zu kommen. Würden die WLAN-Router weniger stark senden, gäbe es nicht nur weniger Elektrosmog, ich hätte als Außenstehender in vielen Fällen auch gar keine Chance mehr, mich mit ihnen zu beschäftigen.
Daher lautet mein Tipp: Schaut mal in euren Routern nach, ob ihr die Signalstärke des Access Points drosseln könnt. Bei vielen Routern, zum Beispiel bei den Fritz!Boxen von AVM, geht das.
Wer nur eine Wohnung und kein Haus mit mehreren Etagen hat, für den werden 50 % Sendeleistung in den meisten Fällen locker ausreichen. (Natürlich spielt dabei auch die Positionierung des Routers und der Antennen eine große Rolle.)
WLAN Repeater
WLAN-Repeater fangen das vorhandene WLAN-Signal auf und senden es erneut aus, um es zu verstärken. Manchmal sind sie auch über eine Netzwerkleitung (LAN) mit dem Router verbunden und spannen ein eigenes, zusätzliches WLAN-Netzwerk auf.
Ich möchte darauf hinweisen, dass alle angeführten Sicherheitseinstellungen auch an eventuell vorhandenen WLAN Repeatern umgesetzt werden sollten. Es bringt recht wenig, wenn man den Router bombensicher konfiguriert hat, aber noch mehrere Repeater im Netzwerk hängen, die munter ein unverschlüsseltes Netzwerk in die Welt hinausstrahlen.
WLAN abschalten, wenn es nicht gebraucht wird
Eine weitere ganz grundlegende Empfehlung ist es, das WLAN abzuschalten, wenn man es gerade nicht benutzt. Das spart Strom und minimiert das Risiko durch Angreifer.Wem es zu stressig ist, jedes Mal den Knopf am Router zu drücken, der sollte mal schauen, ob der selbige nicht eine Zeitschaltung implementiert hat. Bei fast allen handelsüblichen Routern kann man eine Nachtschaltung einrichten, die das WLAN zu einer bestimmten Uhrzeit aus- und morgens wieder einschaltet. Bei manchen Geräten kann man das sogar für jeden einzelnen Wochentag festlegen.
(Nebenbei bemerkt, gibt es auch Studienergebnisse, die darauf hinweisen, dass Funkwellen und Elektrosmog das Schlafverhalten von Menschen negativ beeinflussen können. Das ist zwar umstritten, aber in Sachen Gesundheit gilt ja: Vorsicht ist besser als Nachsicht.)
Firmware Updates
Verantwortungsbewusste WLAN-Betreiber schauen hin und wieder nach, ob es für den eigenen Router nicht vielleicht ein Firmware-Update gibt. Die meisten namenhaften Hersteller versorgen ihre Geräte über viele Jahre hinweg mit regelmäßigen Updates. Oft werden damit gravierende Sicherheitslücken geschlossen.In diesem Zusammenhang möchte ich kurz auf die Frage eingehen, "Was kann passieren, wenn ich keine Firmware-Updates installiere?"
Es kommt immer wieder vor, dass Sicherheitslücken bekannt werden, die so massiv sind, dass ein potenzieller Angreifer die komplette Kontrolle über den Router erlangen kann (mittels root-Zugriff auf das Linux-Betriebssystem des Routers). Er könnte den Router damit funktionsunfähig machen oder auch die im heimischen Netzwerk angeschlossenen Geräte (PCs, Smartphones, etc.) angreifen.
Viel wahrscheinlicher ist es aber, dass man als Besitzer des Routers gar nichts davon mitbekommt, dass sich jemand Zugang verschafft hat. Denn meist werden gehackte Router von den Hackern zum Teil eines sogenannten Botnetzes gemacht. Die Geräte werden dann ferngesteuert und illegal genutzt, um Spamnachrichten zu versenden oder um Online-Dienste im Rahmen von DDOS-Attacken anzugreifen.
Um zu verhindern, dass jemand derartige, illegale Aktivitäten mit dem eigenen Router betreibt, sollte man seine Firmware also aktuell halten. Wer nie Updates installiert, bietet Hackern unter Umständen über Jahre die Möglichkeit, Straftaten im Internet zu begehen (deren Spuren, dann zu einem selbst führen).
Nicht genutzte Router-Funktionen abschalten
Moderne DSL-Router verfügen oft über unzählige Zusatzfunktionen, die ab Werk aktiviert sind, aber von den meisten Leuten gar nicht genutzt werden (Cloud- und NAS-Funktionen, Fernzugänge, etc.). Hier gilt generell, dass man alles, was man nicht benutzt, abschalten sollte. Denn eine Funktion, die nicht läuft, kann auch keinen Ärger machen.WLAN Verschlüsselung
So, nun kommen wir zur alles entscheidenden Frage: Wie sollte man sein WLAN verschlüsseln?In der Regel hat man die Wahl zwischen einem unverschlüsselten Netzwerk, einem mit WEP verschlüsselten Netzwerk oder einer WPA- bzw. WPA2-Verschlüsselung.
Ein unverschlüsseltes WLAN sollte man auf keinen Fall betreiben. Denn da kann jeder einfach rein und alle Daten werden im Klartext übertragen.
Da wir hier von einer Funkverbindung reden, heißt das, dass ein böswilliger (oder ein gelangweilter) Mensch mit seinem Laptop, Smartphone oder Tablet ohne größere Schwierigkeiten mitschneiden kann, was so alles an Daten durch die Luft fliegt.
Um das noch deutlicher zu machen: Wenn man in einem unverschlüsselten WLAN auf Webseiten surft, die browserseitig nicht noch durch eine zusätzliche Verschlüsselung (HTTPS) geschützt sind, so kann ein Fremder alle aufgerufenen Webseiten sehen, ohne dass man etwas davon mitbekommt. Gleiches gilt für das Abrufen von E-Mails und für Chats. Und hierbei können nicht nur die Nachrichten an sich heimlich mitgeschnitten werden, sondern auch die Log-in-Daten.
Aus diesem Grund sollte man nicht nur darauf verzichten, ein unverschlüsseltes WLAN-Netzwerk zu betreiben, man sollte sich auch grundsätzlich nie in ein solches einloggen.
Von einem WEP-verschlüsselten WLAN muss ich ebenfalls abraten. Der WEP-Verschlüsselungsalgorithmus wurde schon vor Jahren geknackt und ist absolut unsicher. Wenn man weiß wie, kann man sich in wenigen Minuten Zugang zu einem WEP-verschlüsselten Netzwerk verschaffen. Wie genau das funktioniert, wird am Ende des Artikels in einem Video eindrucksvoll demonstriert.
Übrig bleiben nun noch WPA- bzw. WPA2- verschlüsselte Netzwerke. Sie sind das Mittel der Wahl und bieten derzeit die meiste Sicherheit. Falls einem der Router die Wahl lässt, sollte man WPA2 bevorzugen. Viele Router bieten aus Kompatibilitätsgründen aber nur einen WPA/2-Modus an, der beide Varianten umfasst.
Auch beim Einsatz von WPA ist unbedingt zu beachten: Die Sicherheit der Verschlüsselung hängt stark vom Passwort ab. Man sollte ein möglichst langes (bis zu 64 Zeichen sind erlaubt) und komplexes Passwort benutzen (bestenfalls mit Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen), das nicht in einem Wörterbuch auftaucht. Macht man das nicht, so ist auch WPA angreifbar, was ebenfalls weiter unten im Artikel demonstriert wird.
Zwischenbemerkung: Alles bis hier hin Gezeigte sollte aus meiner Sicht jeder umsetzen können, der sich einfach mal eine halbe Stunde Zeit nimmt. Aus meiner Sicht sind diese Sachen das Mindeste, das man tun sollte, um ein sicheres Netzwerk zu betreiben.
Ab jetzt wird der Artikel ein bisschen technischer, ich hoffe aber dennoch, dass ich es schaffe, die Sachverhalte auch für den normalen Anwender halbwegs verständlich darzustellen.
MAC-Filter nutzen
Zusätzlich zur Verschlüsselung empfiehlt es sich, sogenannte MAC-Filter einzusetzen. Diese ermöglichen es, nur Verbindungen von WLAN-Geräten zuzulassen, die dem Router bereits bekannt sind.Üblicherweise deaktiviert man den MAC-Filter eines neuen Routers erst einmal (werksseitig sind sie immer deaktiviert) und verbindet einmalig alle Geräte per WLAN, damit sich der Router diese merkt. Danach aktiviert man den MAC-Filter und es werden keine neuen (zusätzlichen) Geräte mehr ins WLAN gelassen.
Will man dennoch ein neues Gerät anmelden, muss man den MAC-Filter entweder kurz abschalten oder die MAC-Adresse des Gerätes per Hand im Router hinzufügen.
Jetzt fragt sich der eine oder andere sicherlich, was denn nun wieder eine MAC-Adresse ist.
Jede Netzwerkkarte, die in einem Computer, Smartphone, Tablet, usw. verbaut ist (egal ob LAN oder WLAN), hat eine eindeutige (also weltweit einmalige) Nummer, die MAC-Adresse.
Sehr vereinfacht (und fachlich nicht ganz korrekt) ausgedrückt, handelt es sich dabei um eine Kombination aus Zahlen (0 bis 9) und Buchstaben (a bis f), die z. B. so aussehen kann: 01:00:5e:5f:af:f3.
Manchmal fehlen die Doppelpunkte oder sie werden durch Bindestriche ersetzt. Außerdem kann es sein, dass keine kleinen, sondern große Buchstaben da stehen. (Relevant sind nur die Zahlen und Buchstaben, alle anderen Zeichen sind notationsspezifisch und dienen nur dazu, dass man die MAC-Adresse besser lesen kann.)
Die Kommunikation zwischen den Netzwerkgeräten läuft auf Basis von MAC-Adressen ab. Davon bekommt man als Nutzer aber nichts mit. (Für alle, die schon mal etwas von IP-Adressen gehört haben, sei an dieser stelle noch angemerkt: MAC-Adressen sind keine IP-Adressen.)
Man kann die MAC-Adresse seiner WLAN-Karte in Windows, Linux, Android, iOS, usw. einsehen. Wer wissen möchte, wie das geht, sollte einfach mal im Internet suchen.
Zum Hinzufügen zusätzlicher Geräte, bei einem aktivierten MAC-Filter, empfehle ich diesen aber besser kurzzeitig zu deaktivieren, da dies schneller und einfacher geht, als die MAC-Adresse herauszufinden und händisch einzutragen.
Da wir über Sicherheit reden, muss an dieser Stelle auch noch gesagt sein, dass MAC-Filter nur im eingeschränkten Maße schützen können. MAC-Adressen sind zwar in der Regel eindeutig und jedes Gerät hat eine andere – sie lassen sich aber mithilfe geeigneter Software verändern. Somit ist es einem Angreifer (durch Mitschneiden des WLAN-Datenverkehrs) möglich, die MAC-Adresse eines Computers herauszufinden, der durch den MAC-Filter zugelassen ist. Danach kann er diese Adresse für seine eigenen Zugriffsversuche verwenden. (Man nennt das MAC-Spoofing.)
WPS deaktivieren
Viele Router unterstützen WPS. WPS steht für Wi-Fi Protected Setup und ist ein Mechanismus, der es erleichtern soll, neue Geräte zu einem bestehenden WLAN-Netzwerk hinzuzufügen. Der Vorteil von WPS besteht darin, dass das WLAN-Passwort nicht mehr eingegeben werden muss. Stattdessen reicht es, je nach WPS-Methode aus, eine PIN einzugeben, einen Knopf zu drücken, einen USB-Stick anzustecken oder die Zugangsdaten des WLANs via NFC einzulesen. Das korrekte WLAN-Passwort wird dabei auf das Zielgerät übertragen.Das ist sehr bequem, doch leider macht WPS, zumindest in der WPS-PIN-Variante, das WLAN unsicherer. Diese Methode ist rein funkbasiert und man benötigt folglich keinen physischen Zugang zum Router. Um ins WLAN zu gelangen, muss man einen achtstelligen PIN-Code eingeben. Das WPS-PIN-Verfahren gilt als unsicher, da man die PIN leicht knacken kann. Auch das wird im Folgenden noch aufgezeigt.
Um auf Nummer sicher zu gehen, empfehle ich WPS im Router zu deaktivieren (mindestens die WPS-PIN-Variante).
WLAN Hacking
Das waren erst einmal alle Tipps, die ich zur Konfiguration einfacher WLAN-Router habe.Wie versprochen, will ich jetzt noch aufzeigen, warum all diese Maßnahmen sinnvoll und nötig sind. Und das geht natürlich am besten, indem man demonstriert, was passieren kann, wenn man das nicht macht.
Im Folgenden wird also gezeigt, wie man WEP- und WPA-Netzwerke und das WPS-PIN-System "hacken" kann. Ich hatte erst vor dazu selbst einen kurzen Überblick zu geben, habe dann aber diese Videos gefunden, in denen alles sehr anschaulich gezeigt wird. (Und besser hätte ich das auch nicht aufbereiten können.)
An dieser Stelle sei noch einmal darauf hingewiesen, dass dies der Aufklärung dient. Wer das Gezeigte bei einem fremden Netzwerk anwendet, macht sich strafbar.
WEP WLAN hacken
Wie oben beschrieben, lassen sich WEP-verschlüsselte Netzwerke leicht knacken. Mit den Linux-Tools airmon-ng, airdump-ng, aireplay-ng und aircrack-ng existiert eine mächtige Werkzeugsammlung, die einem den größten Teil der Arbeit abnimmt. Man muss nur noch die passenden Befehle eingeben, der Rest passiert automatisch.Ziel des Angriffs ist es, möglichst viele Initialisierungsvektoren abzufangen. Diese sind ein Bestandteil der WEP-Netzwerkpakete und werden zwischen dem Access Point und legitimierten WLAN-Teilnehmern ausgetauscht. Da man für den erfolgreichen Angriff recht viele Pakete benötigt, sorgt man einfach selbst dafür, dass viele Pakete versendet werden. Zu diesem Zweck verschickt man einfach eine sehr große Anzahl an ARP-Anfragen, was dafür sorgt, dass der legitimierte Netzwerkteilnehmer mit ebenso vielen (für den Angreifer nützlichen) ARP-Antworten reagiert. Hat man genügend davon gesammelt, kann der WEP-Schlüssel gebrochen werden.
WPA und WPA2 WLAN hacken
Wie oben schon beschrieben, sind WPA und WPA2 wesentlich sicherer als WEP. Knacken lässt sich das System nur, indem man Netzwerkpakete (Handshakes) mitschneidet und dann versucht diese zu mittels Brute-Force (also durch Ausprobieren von Passwörtern) zu entschlüsseln. In der Regel nutzt man für so einen Angriff ein Wörterbuch, das häufig verwendete Passwörter enthält. Hat der WLAN-Betreiber ein kurzes, wenig komplexes Passwort festgelegt, sind die Erfolgschancen gut. Hat er hingegen ein langes Kennwort mit allen möglichen Arten von Zeichen eingerichtet, so kann das Cracken des Passworts auch auf schneller Hardware viele Jahre dauern.WPS-PIN hacken
Wie oben schon umrissen, ist WPS in der PIN-Variante angreifbar, weil man den achtstelligen PIN herausfinden kann. Blöderweise teilt einem der WPS-fähige Router sogar mit, wenn die ersten vier Stellen stimmen, was einen Brute-Force-Angriff wesentlich erleichtert. Die letzte Ziffer des Codes ist eine (aus den anderen Ziffern berechenbare) Checksumme, sodass man also, wenn man die ersten vier Stellen ermittelt hat, nur noch drei Ziffern knacken muss.Im Klartext heißt das, man muss für den ersten Teil des Angriffs nur (maximal) 10.000 Zahlenkombinationen ausprobieren. Hat man die Richtige gefunden, verbleiben für die fehlenden drei Ziffern noch 1.000 Varianten. Da man das natürlich nicht per Hand, sondern mit einer geeigneten Software macht, geht das sehr schnell.
Hat der Angreifer den WPS-PIN einmal erbeutet, kommt er damit später auch dann wieder ins WLAN, wenn der Betreiber das WLAN-Passwort ändert. (Es sei denn dieser verändert auch den WPS-PIN, was aber eher unwahrscheinlich ist.) Der Angreifer kann sich also mit dem PIN immer das aktuell gültige WLAN-Passwort besorgen.
(Es gibt übrigens auch sicherere WPS-PIN-Implementierungen, bei denen das oben beschriebene, blockweise Herausfinden der PIN nicht funktioniert. Dennoch ist eine achtstellige PIN natürlich immer leichter zu knacken, als ein komplexes WPA2-Passwort. Das WPS-PIN-System reduziert also in jedem Fall die Sicherheit.)
Das wären aus meiner Sicht die wesentlichsten Aspekte in Sachen WLAN-Sicherheit. Ich hoffe, es war für jeden etwas Interessantes dabei.
Bei Fragen einfach fragen. :)
Geschnatter
8 Kommentare, selbst mitschnattern
Hans-Christian, am 24.08.2015 um 23:59 Uhr
Eine sehr schöne Übersicht über die möglichen Angriffe und Gegenmaßnahmen. Danke dafür. Darf ich das auf meiner Seite verlinken?
Antwort: Klar, darfst du das.
mkuh, am 25.08.2015 um 12:33 Uhr
Hallo
dazu würde ich noch die Reichweite des WLans reduzieren. Warum mit 100 % Sendeleitung der Welt ein Wlan zeigen, wenn 25 % auch reichen.
Viele Grüße
mkuh
dazu würde ich noch die Reichweite des WLans reduzieren. Warum mit 100 % Sendeleitung der Welt ein Wlan zeigen, wenn 25 % auch reichen.
Viele Grüße
mkuh
Karsten, am 25.08.2015 um 13:02 Uhr
mkuh, das steht doch schon da ... unter "WLAN Reichweite" ...
Katja, am 25.08.2015 um 16:40 Uhr
Danke, hab gerade meine Router geupdated und sicher gemacht...
Pimpf, am 27.08.2015 um 19:52 Uhr
Ich träume von DSL 2k! Ich hab DSL 384. Also quasi DSL Super-Light. :/
Maximilian, am 08.01.2016 um 17:57 Uhr
Super Übersicht! Muss ich gleich mal beim Nachbarn ausprobieren haha, Spaß :)
Tobi, am 03.03.2018 um 10:26 Uhr
Wow, das war hilfreich. Danke dafür!
Es gelten die Regelungen der Datenschutzerklärung.