Effiziente Sicherung für WLANs

Special: WLAN-Guide

Dass WLANs abgesichert werden müssen ist ein alter Hut könnte man meinen. Doch weit gefehlt: Nach wie vor ist mehr als die Hälfte aller WLANs ungeschützt und damit Datenschnüfflern ausgeliefert.

Dabei ist mit der WPA-Codierung bereits eine überaus effiziente Sicherung für WLANs zu Hause und in Unternehmen im Großteil aller WLAN-Hardware integriert. WPA (WiFi Protected Access) räumt mit den Schwächen des Vorgängers WEP (Wired Equvialent Privacy) auf und ist ein genügend kompliziertes Passwort vorausgesetzt bislang nicht zu knacken.

Im Folgenden wird Schritt für Schritt erläutert, wie sowohl der Access-Point, als auch die Windows-XP-Funkclients mit WPA gegen Datenspione gesichert werden. Zwar wird die Konfiguration anhand eines speziellen Access-Points (AP) von Artem erläutert, die einzelnen Menüpunkte finden sich aber in ähnlicher Form und Bezeichnung in jedem Konfigurations-Interface wieder.

Namensschild verstecken


Zunächst benötigt der Access-Point eine SSID, mit der er sich in seinem Funknetz bekannt macht. Im vorliegenden Beispiel lautet die SSID DiesIstMeineSSID (siehe Bild rechts). Zur höheren Sicherheit wird zuvor die Broadcast-SSID gesperrt (disabled). So sendet der Access-Point die SSID nicht ständig aus. Scan-Tools wie das in der Wardriver-Szene beliebte Kismet können zwar die Beacon-Frames (Funkfeuer) des Access-Points erkennen, nicht aber die zur Anmeldung erforderliche SSID.


Erst wenn sich ein berechtigter Client erfolgreich anmeldet und ein Angreifer diesen Vorgang mithört, kann er aus den Client-Meldungen die SSID des Access-Points ausspionieren. Als alleinige Schutzmaßnahme ist eine versteckte SSID aber trotzdem völlig untauglich, da WLAN-Scanning-Tools die SSID in Sekundenschnelle auslesen. Nach der Entdeckung ist das Netz Datenschnüfflern dann schutzlos ausgeliefert.