DSL WLAN Sicherheit
Jedes WLAN ist grundsätzlich unsicher! In einem drahtlosen Netzwerk werden alle
Daten per Funk übertragen und können prinzipiell von jedem Empfangsgerät in Reichweite
des Senders empfangen werden. Die meisten Accesspoints (AP, WLAN-Router) laden im
Lieferzustand sogar jedes im Sendebereich vorhandene WLAN-Gerät aktiv ins Netzwerk ein.
Hier muss jeder WLAN-Betreiber selbst aktiv werden und den Zugang zu seinem Funknetzwerk
mit allen zur Verfügung stehenden Mitteln erschweren.
WLAN absichern
Zwar ist kein WLAN zu 100% sicher vor Eindringlingen, man kann den Zugriff darauf aber mit mehreren Methode derart erschweren, dass selbst Profihacker zumindest für einige Wochen aufgehalten werden und sich lieber leichtere Ziele suchen. Hier gilt analog das St.-Florians-Prinzip: "Verschon' mein Netz, greif andre an!"Um Ihr WLAN sicherer zu machen, sollten sie:
- Voreinstellungen ändern,
- SSID des AP verstecken,
- WPA-Verschlüsselung einschalten und
- die Schlüssel regelmäßig ändern,
- fremde MAC-Adressen sperren,
- die Firewall-Funktion des Routers nutzen und
- die Reichweite des Routers kontrollieren.
1. Voreinstellungen ändern
Als erstes sollten Sie nach der Inbetriebnahme Ihres WLAN-Routers die voreingestellten Variablen wie die SSID (Service Set Identifier, der von Ihnen frei wählbare Rufname Ihres Routers) sowie den Benutzernamen und das Passwort des Adminstrators ändern. Diese haben ab Fabrik immer die gleichen Standardwerte wie "W-Lan", "MEDION", "NETGEAR" oder "default" und sind dadurch von Eindringlingen leicht zu erraten.
Vermeiden Sie bei der Benennung Ihrer SSID auch andere unsichere Namen wie "Familie Müller", "Firma Meier" oder "Hauptstraße 65", sondern wählen Sie stattdessen einen Zufallsnamen wie "he8iNej4KK". Auch Ihr Passwort sollte nicht gerade "PASSWORT", "geheim" oder "Sabine" lauten und auch nicht mit der SSID identisch sein, und je länger es ist (bei WPA bis zu 63 Zahlen und Buchstaben), um so schwieriger ist es zu knacken.
2. SSID verstecken
Die SSID sollten Sie nicht nur verändern, sondern auch verstecken, damit Fremde sie nicht gleich beim Einschalten ihres Notebooks entgegenposaunt bekommen. Die meisten APs senden im Lieferzustand die SSID permanent an die Außenwelt. Diese Standardeinstellung kann man aber glücklicherweise abschalten. Je nach Fabrikat heißt das in Ihrem AP dann z.B. "SSID nicht senden", "SSID verstecken" oder "Broadcasting off". Wer die SSID nicht kennt, kann den Router nicht ansprechen und erhält auch keinen Zugang.
3. Verschlüsselung einschalten
Wenn Ihr Netzwerk unverschlüsselt funkt, kann nicht nur die vesteckte SSID mit einem sogenannten Sniffer "erschnüffelt" werden, sondern auch der gesamte über das WLAN übertragene Datenverkehr (auch Passwörter!) aufgezeichnet und missbraucht werden. Die meisten erhältlichen Accesspoints beherrschen inzwischen die WPA-Verschlüsselung, die mit einem 128 Bit starken Schlüssel einen für den Privatanwender ausreichenden Schutz bieten. Mit einer entsprechenden Sniffer-Software und ein paar Monaten Geduld, kann dieser Schlüssel aber geknackt werden.
Sicherer als WPA und damit für gewerbliche genutzte WLANs ein MUSS ist dagegen die neuere WPA2-Verschlüsselung, die mit wechselnden Schlüsseln arbeitet und einem Schnüffler nicht die zum Knacken erforderliche Zeit lässt. Achten Sie also beim Neukauf eines WLAN-Routers darauf, dass das Gerät WPA oder WPA2 unterstützt!
Die früher weit verbreitete WEP-Verschlüsselung kann mittlerweile von jedem durchschnittlich begabten Jugendlichen innerhalb weniger Minuten überwunden werden. Sollten Sie noch ältere WLAN-Hardware im Einsatz haben, die nur WEP unterstützt, sollten Sie diese entweder mit einem Update der Firmware auf WPA aktualisieren oder -wenn ein WPA-Update nicht vom Hersteller angeboten wird- durch neue Hardware ersetzen.
4. Schlüssel regelmäßig ändern
Wenn jemand Ihren WLAN-Schlüssel geknackt hat und das nur heimlich ausnutzt, ohne dass Ihnen das gleich auffällt, kann er damit theoretisch monatelang in Ihren Daten schnüffeln oder auf Ihre Rechnung im Internet surfen. Sie merken davon nichts! Aus diesem Grund ist es ratsam, den Schlüssel wöchentlich zu wechseln, damit ein potentieller Hacker immer wieder mit dem Entschüsseln beschäftigt ist und sich lieber leichtere Beute sucht.
5. Fremde MAC-Adresse sperren
Jedes WLAN-Gerät ist ab Werk mit einer einmaligen MAC-Adresse ausgestattet. Die MAC-Adresse finden Sie meist auf dem Typenschild Ihres Routers, Notebooks bzw. WLAN-Adapters. Den sogenannten MAC-Filter können Sie im Konfigurationsmenü des Routers einschalten und dort die MAC-Adressen Ihrer eigenen WLAN-Clients eingeben. Alle anderen Geräte werden dann ab sofort abgewiesen und erhalten keinen Zugang mehr zum Netzwerk.
6. Firewall einschalten
Wenn Ihr Router eine Firewall bietet, sollten Sie diese auch nutzen! Anderenfalls könnte ein Angreifer durch DoS-Attacken o.ä. das Netzwerk lahmlegen und ggf. sogar neue Sicherheitslücken schaffen, durch die er die o.a. Sicherheitsmaßnahmen umgehen kann.
7. Reichweite des Routers kontrollieren
Je nach Leistung, Standort und Neigung der Antenne Ihres Routers hat dieser unterschiedliche Reichweiten. Handelsübliche Router übertragen ihre Daten je nach Beschaffenheit von Gebäude und Umwelt bis zu 500m weit, wenn die Antenne dafür optimal aufgestellt wird. Das heißt allerdings auch, dass man auch drei Straßen entfernt von Ihnen unbemerkt Ihr Netzwerk belauschen und angreifen kann. Durch Ausprobieren können Sie herausfinden, in welcher Antennenposition Ihr Netzwerk für Ihren Bedarf ausreichend sendet, außerhalb Ihres Grundstücks dagegen kaum noch zu empfangen ist. In einigen Fällen ist es sogar ausreichend, die Antenne komplett abzuschrauben und trotzdem noch genug Sendeleistung für den Eigenbedarf zu haben.
Jede dieser Einzelmaßnahmen ist für sich allein kein wirksamer Schutz, sondern nur zusammen mit den anderen eine ausreichende Absicherung für Ihr privates Netzwerk!