Sysadmin > WirelessLAN > WlanSicherheit

Sicherheit im Wireless LAN

Der Betrieb eines offenen WLANs kann problematisch sein, weil Unbekannte das Netz missbrauchen können. Nach einem aktuellen Urteil können Betreiber von offenen WLANs für Schäden, die durch Mitbenutzer verursacht wurden, zumindest im zivilrechtlichen Bereich haftbar gemacht werden. Heisemeldung dazu.

Es sind nur wenige Maßnahmen erforderlich, um ein Wireless LAN wirksam vor unbefugtem Zugriff zu schützen:

WPA2/WPA und andere Maßnahmen

  • Verschlüsselung einsetzen. Aktuell ist WPA2, auch 802.11i genannt
  • Die Passphrase darf nicht leicht zu erraten sein
  • Ändern des DefaultPasswort am AccessPoint
    • Ändere bei speziell aufgedrucken Passwörtern das Passwort und/oder die SSID. Bei vielen AccessPoints wird das scheinbar sichere aufgedruckte Passwort aus anderen bekannten Parametern (z.B. MAC-Adresse) berechnet. Obwohl bei AVM (FritzBox) das Passwort bisher nicht berechenbar ist, gibt es aber sog. RainbowTables für die Standard SSID und allen möglichen Passwörtern aus Zahlen.
  • Größe der Funkzellen den Gegebenheiten anpassen
  • Fernkonfiguration und Konfiguration per WLAN abschalten, wenn möglich

Optional:

  • Verschlüsselung auf höheren Protokollebenen
    • ssh
    • vpn
      • PPTP (unsicher)
      • IPSec (sicher, aber komplex)

Sollte die eingesetzte Hardware WPA2 nicht unterstützen (PDAs, WLAN-Printserver, ältere WLAN-Adapter, etc.), kann statt WPA2 auch WPA eingesetzt werden. Der Verschlüsselungs-Algorithmus ist bei WPA2 (AES) sicherer als bei WPA (RC4), trotzdem ist bisher kein erfolgreicher Angriff auf WPA und WPA2 bekannt, brute force-Angriffe und Wörterbuchattacken ausgenommen.

WEP und andere Maßnahmen

Unterstützt die Hardware auch WPA nicht, sollten folgende Mindestmaßnahmen durchgeführt werden:

  • WEP-Verschlüsselung
  • MAC-Filter, auch Access control lists (ACL) genannt
  • die SSID darf keine Rückschlüsse auf die verwendete Hardware (z. B. Hersteller des AccessPoints) erlauben
  • DHCP abschalten und feste IP-Adressen einstellen

Es muss aber klar festgestellt werden, dass diese Maßnahmen (WEP statt WPA) auch zusammen nur geringe Hürden für einen Angreifer darstellen. Einige Quellen zählen das Abschalten des SSID-Broadcasting dazu. Diese Ansicht gilt mittlerweile als veraltet, statt dessen wird empfohlen eine aussagekräftige SSID auszusenden. Das "Verstecken" der SSID vermittelt nicht nur eine trügerische Sicherheit, es erschwert auch die Problemlösung für schlechte Performance, beispielsweise wenn mehrere, benachbarte WLANs mit "versteckter" SSID ohne genügend Kanalabstand senden und sich gegenseitig stören.

Alternativen (IPSec, 802.1x , web-redirection)

Im EnterpriseWLAN-Bereich ist man oft weniger an Verschlüsselung, sondern eher an einer Authentifizierung interessiert.

  • nocatauth - Webseiten werden abgefangen und auf eine Loginseite umgelenkt (web-redirection). Einfach, plattformunabhängig, aber nicht sicher.
  • Bluesocket
  • Vernier
  • tino
  • IPSec laesst sich auch zur Authentifizierung nutzen
  • IeEE8021x - Portbasierte Authentifizierung (sehr im Kommen), auch fuer Kabelgebunden Rechner

Das systematische Suchen nach unsicheren Funknetzen heisst WarDriving (meistens muss man nicht lange suchen).

Beim ccc gibt es einen Artikel zur Unsicherheit von WEP. Eine sehr gute Zusammenfassung der Sicherhietsproblematik im WLAN gibt es in einer Broschüre vom BSI.

SicherheitsStandard
FAQ Der zusätzliche Protokolloverhead von WEP macht - wenn es auf den Durchsatz ankommt (lange Frames) - 0,2% aus. Wenn der Durchsatz im WLAN beim Einschalten der WEP-Verschlüsselung deutlich stärker nachlässt, dann liegt das nicht an WEP an sich, sondern am Controller im AccessPoint oder im Client, der überfordert ist. Die zusätzlich erforderliche Rechenleistung für die Verschlüsselung bremst dann den Prozessor 'aus', er kann sich nicht mehr in ausreichendem Masse um die 'Verwaltung' des Funknetzes kümmern. Bei schlechten AccessPoints kann sich so die Leistung bei eingeschalteter WEP-Verschlüsselung um 30% und mehr verringern! Bei besseren AccessPoints nimmt der Durchsatz kaum ab.
FAQ WEP-verschlüsselte Daten sind nicht 'länger' - WEP benutzt den Stromchiffrieralgorithmus RC4. Dabei werden bis auf die Übertragung des Inizialisierungsvektors nicht mehr Daten übertragen, daher braucht WEP (nahezu) nicht mehr Bandbreite.

   |---------------------- 1500 byte -----------------|
   [----------- Nutzdaten (Klartext) ------------][CRC]
                        XOR
   [-------- Verschlüsselungsstrom = RC4(v,k) --------|
                         =
[v][-------------- verschlüsselte Daten ------------ -]
 ^ 3 byte Inizialisierungsvektor

=> daher sind die verschlüsselten Datenpakete (3/1500 = 0,002) 0,2% länger als die unverschlüsselten.

FAQ Wie soll ich mein Funknetz sichern?
Das lässt sich pauschal nicht beantworten, da das stark davon abhängt, wie 'schützenswert' die zu übertragenden Daten letztendlich sind. Bei sensiblen Daten ist dringend der Einsatz von VPN-Tunneln (am besten mittels IPSec) zu empfehlen.
Es gibt eine weiterführende umfassende Checkliste für Sicherheits-Maßnahmen des eigenen WLAN.

FAQ Ich übertrage aber keine Geheiminformationen, sondern 'surfe' nur drahtlos über meinen DSL-Anschluss - soll ich mein Funknetz trotzdem sichern?
Ja - es geht ja nicht nur darum, dass jemand sonst auf einfachste Weise Deine Kommunikation mitliest, sondern inzwischen darum, dass niemand auf Deine Kosten Deinen Internetanschluss 'mitbenutzt' (wobei die Kosten meistens noch das kleinste Problem sind: u.U. hast Du plötzlich eine Klage wegen Urheberrechtsverletzung oder gar Kinderpornografie 'am Hals', weil entsprechende Dateien nachweislich über Deinen Anschluss getauscht wurden!). Das 'Verstecken' der SSID, das Filtern nach MAC-Adressen und das Einschalten der WEP-Verschlüsselung sind dagegen ein geringer (einmaliger) Aufwand beim Einrichten des Funknetztes, verringern den Durchsatz kaum, und vermeiden entsprechende 'Überraschungen'.

> können eigentlich alle Nutzer in einem WLAN, welches per WEP gesichert
> ist hüstel, wiederum den Traffic der anderen im Klartext mitlesen,
> oder sind alle auch gegeneinander verschlüsselt?
>
Da alle den gleichen Schlüssel haben, kann jeder alles mitlesen.
> Wobei ich mich gerade frage wie der AP ein Paket verwerfen will, das
> direkt zwischen den Clients ausgetauscht wird. Macht der einen auf
> Störfunk oder wie geht das?

An einem AP angemeldete Client tauschen keine Pakete untereinander aus, das läuft alles über den AP.
Hintergrundinfos zum Knacken der WEP-Verschlüsselung - Berkeley Paper

Gute Links zum Thema Wlan-Sicherheit:

EnableWPAonCiscoAP1200

-- CalinRus - 21 Sep 2006

{ WirelessLAN }