Special: WLAN-Guide
WLAN-Sicherheitstraining
Effiziente Sicherung für WLANs
Special: WLAN-Guide
Dass WLANs abgesichert werden müssen ist ein alter Hut könnte man meinen. Doch weit gefehlt: Nach wie vor ist mehr als die Hälfte aller WLANs ungeschützt und damit Datenschnüfflern ausgeliefert.
Dabei ist mit der WPA-Codierung bereits eine überaus effiziente Sicherung für WLANs zu Hause und in Unternehmen im Großteil aller WLAN-Hardware integriert. WPA (WiFi Protected Access) räumt mit den Schwächen des Vorgängers WEP (Wired Equvialent Privacy) auf und ist ein genügend kompliziertes Passwort vorausgesetzt bislang nicht zu knacken.
Im Folgenden wird Schritt für Schritt erläutert, wie sowohl der Access-Point, als auch die Windows-XP-Funkclients mit WPA gegen Datenspione gesichert werden. Zwar wird die Konfiguration anhand eines speziellen Access-Points (AP) von Artem erläutert, die einzelnen Menüpunkte finden sich aber in ähnlicher Form und Bezeichnung in jedem Konfigurations-Interface wieder.
Namensschild verstecken
Zunächst benötigt der Access-Point eine SSID, mit der er sich in seinem Funknetz bekannt macht. Im vorliegenden Beispiel lautet die SSID DiesIstMeineSSID (siehe Bild rechts). Zur höheren Sicherheit wird zuvor die Broadcast-SSID gesperrt (disabled). So sendet der Access-Point die SSID nicht ständig aus. Scan-Tools wie das in der Wardriver-Szene beliebte Kismet können zwar die Beacon-Frames (Funkfeuer) des Access-Points erkennen, nicht aber die zur Anmeldung erforderliche SSID.
Erst wenn sich ein berechtigter Client erfolgreich anmeldet und ein Angreifer diesen Vorgang mithört, kann er aus den Client-Meldungen die SSID des Access-Points ausspionieren. Als alleinige Schutzmaßnahme ist eine versteckte SSID aber trotzdem völlig untauglich, da WLAN-Scanning-Tools die SSID in Sekundenschnelle auslesen. Nach der Entdeckung ist das Netz Datenschnüfflern dann schutzlos ausgeliefert.
WPA in zwei Geschmacksrichtungen
Special: WLAN-Guide
Erst die WPA-Codierung macht das Netz sicher. Wird WPA mit einem Preshared Key (PSK) verwendet, muss ein möglichst komplizierter Key mit Sonderzeichen gewählt werden. Andernfalls könnte ein Angreifer den Schlüssel durch Ausprobieren knacken (Brute Force). WPA PSK ist für den Heimbereich vollkommen ausreichend, ein sicheres Passwort vorausgesetzt.
Ein Nachteil ist jedoch, dass bei dieser Methode die drahtlosen Clients nicht authentisiert werden. Das heißt, es wird nicht geprüft, ob der jeweilige Client überhaupt die Berechtigung hat, das WLAN zu nutzen. Denn der Preshared Key (PSK, siehe Bild, unten), der jedem Teilnehmer bekannt sein muss und vom Administrator ausgegeben wird, könnte auch unberechtigt weitergegeben und so mit jedem anderen Notebook von einer beliebigen, fremden Person verwendet werden.
Für Firmen mit höherem Sicherheitsbedürfnis kann WPA zusammen mit einem Authentication-Server (Radius-Server) betrieben werden. Wenn sich ein Client am AP anmelden möchte, übergibt der AP die Kontrolle an den Server. Der Server auf dem der Client vorher eingetragen werden muss stellt die Authentizität des Clients fest und vergibt einen zufälligen Key an Access-Point und Client. Aus diesem Master-Key berechnen sich AP und Client wiederum ihre Schlüssel über identische mathematische Operationen für die WLAN-Übertragung. Der Master-Key ist äquivalent zum PSK, nur wird er bei jeder Kontaktaufnahme durch den Server neu erstellt und kann so nicht weitergegeben werden. Darüber hinaus wird die Sicherheit erhöht, da sich der Schlüssel ja permanent ändert. Ein Crackerangriff läuft so ins Leere, müsste doch jede WLAN-Session einzeln angegriffen werden.
Die Einstellung der WPA-Sicherheitsparameter auf dem Access-Point erfolgt im Beispiel über das Untermenü Security im web-basierten Administrations-Interface des Geräts. Durch das Anklicken des Privacy-Buttons erscheint eine Auswahl, in der WPA PSK anzuklicken ist. Im folgenden Fenster sollte der Mixed Mode auf enabled gesetzt werden. Der Mixed Mode erlaubt Clients mit WPA (TKIP, Temporal Key Integrity Protocoll) oder WPA2 (AES, Advanced Encryption Standard), auf den Access-Point zuzugreifen. Die Mixtur ist sehr sinnvoll, da momentan nur wenige XP-Clients WPA2-fähig sind. Ist der Mixed Mode abgeschaltet, lässt der AP nur Clients mit WPA2 zu und die große Zahl der TKIP-Geräte bleibt draußen.
Der nächste Schritt ist die Eingabe der Pass Phrase, des so genannten Preshared Key (PSK). Er besteht aus acht bis maximal 63 beliebigen Zeichen. Möchte ein Client auf den Access-Point zugreifen, muss er diese Zeichenfolge kennen. Je komplizierter, desto besser. Untauglich sind Passwörter, die zum Beispiel in einem Wörterbuch stehen und so leicht zu erraten sind. Besser sind PSKs wie DiesIstEinPreSharedKey (siehe Bild unten), die Groß- und Kleinbuchstaben beinhalten. Noch besser sind natürlich Kennwörter, die Sonderzeichen wie zum Beispiel »§«, »*« oder auch Leerzeichen enthalten.
Kommt in einem Unternehmen noch ein Radius-Accounting-Server zum Einsatz, muss Accounting auf enabled gesetzt werden. Ist dies der Fall, übermittelt der Access-Point über jeden Client Verbindungsinformationen an den Radius-Accounting-Server. Erst der Server entscheidet, ob der Client bekannt ist und sich somit anmelden darf.
Windows XP geht sicher ins Netz
Special: WLAN-Guide
Um einen Rechner unter Windows XP (Service-Pack 2) mit einem WPA-codierten WLAN in Kontakt zu bringen, sind lediglich wenige Schritte nötig. Das Service-Pack 2 wird für sichere WLANs dringend empfohlen, da XP sonst nichts mit der aktuellen WPA-Codierung anfangen kann.
Zuerst im Start-Menü unter Einstellungen die Netzwerkverbin-dungen auswählen. Dann Drahtlose Netzwerkverbindungen doppelklicken. Da das gewünschte WLAN mit einer versteckten SSID arbeitet, erscheint es nicht im Netzwerk-Auswahlfenster. Daher unten links auf Erweiterte Einstellungen klicken und im folgenden Fenster unter dem Reiter Drahtlosnetzwerke sicherstellen, dass Windows zum Konfigurieren der Einstellungen verwenden angehakt ist.
Tipp: Wenn Sie versuchen, eine WLAN-Verbindung mit dem Hersteller-eigenen Kontroll-Tool des WLAN-Adapters aufzubauen, müssen Sie dieses Häkchen entfernen. Andernfalls kommt es zu einem Konflikt zwischen den beiden Tools und das Betriebssystem baut schlicht gar keine Wireless-LAN-Verbindung auf, ohne den Anwender über den Grund zu informieren.
Um mit dem Windows-Tool Kontakt zum vorher eingerichteten, versteckten WLAN herzustellen, muss dieses per Klick auf Hinzufügen mit in die Liste der Netze aufgenommen werden. Dazu einfach ins Feld SSID den exakten Netzwerk-Namen eintragen (im vorliegenden Fall DiesIstMeineSSID). Wichtig: Auf Groß-/Kleinschreibung achten.
Im Drop-down Netzwerk Authentifizierung muss WPA-PSK und als Verschlüsselungsmethode TKIP gewählt werden. Dann nach Entfernen des Häkchens vor Schlüssel wird automatisch bereitgestellt den vorher am Access-Point gewählten PSK zweimal eingegeben. Zur Übernahme der Konfiguration und zur automatischen Kontaktaufnahme mit dem Access-Point in diesem und im folgenden Fenster auf OK klicken.
Schon wenige Sekunden nach einem Klick auf OK bestätigt Windows XP durch eine Sprechblase in der Taskleiste unten rechts, dass eine verschlüsselte Wireless-LAN-Verbindung aufgebaut wurde.