Workshop WLAN absichern
WPA verschlüsselt knacksicher

KomponentenMobileNetzwerkeSicherheitSicherheitsmanagementWLANWorkspace

Bei moderner Hardware reichen zur Konfiguration ein paar Mausklicks schon ist das WLAN unsichtbar für alle, die im Netzwerk nichts zu suchen haben.

Access-Piont und SSID

Workshop WLAN absichern

Dass WLANs abgesichert werden müssen ist ein alter Hut könnte man meinen. Weit gefehlt: Nach wie vor ist mehr als die Hälfte aller Netze ungeschützt. Dabei ist mit der WPA-Kodierung im größten Teil aller Hardware bereits eine überaus effiziente Sicherung integriert. WPA räumt mit den Schwächen des Vorgängers WEP auf und ist bislang nicht zu knacken ein genügend kompliziertes Passwort vorausgesetzt.
Wichtig ist die richtige Konfiguration sowohl im Access-Point als auch unter Windows. Das folgende Beispiel erläutert die Konfiguration anhand eines Access-Points von Artem, allerdings finden sich die einzelnen Menüpunkte so oder in ähnlicher Form und Bezeichnung in jedem Konfigurations-Webinterface wieder.

Zuerst braucht der Access-Point eine SSID, mit der er sich in seinem Funknetz bekannt macht. Im Beispiel lautet die SSID ?DiesIstMeineSSID?. Aus Gründen der Sicherheit sperrt der Tester zuvor die Broadcast-SSID gesperrt (disabled), damit der Access-Point die SSID nicht ständig aussendet.


WPA-Kodierung

Workshop WLAN absichern

Scantools wie das in der Wardriver-Szene beliebte Kismet können zwar die Beacon-Frames (Funkfeuer) des Access-Points erkennen, nicht aber die zur Anmeldung erforderliche SSID. Erst wenn sich ein berechtigter Client erfolgreich anmeldet und ein Angreifer diesen Vorgang mithört, kann er aus den Client-Meldungen die SSID des Access-Points ausspionieren.
Als alleinige Schutzmaßnahme ist eine versteckte SSID aber trotzdem völlig untauglich, da WLAN-Scanning-Tools sie in Sekundenschnelle auslesen.

Erst die WPA-Kodierung macht das Netz sicher. Wird WPA mit einem so genannten Preshared Key (PSK) verwendet, muss ein möglichst komplizierter Schlüssel mit allerlei Sonderzeichen her. Andernfalls könnte ein Angreifer den Key durch bloßes Ausprobieren knacken (Brute Force). WPA PSK ist für den Heimbereich vollkommen ausreichend immer unter der Voraussetzung, dass das Passwort gut ist.
Ein Nachteil ist jedoch, dass bei dieser Methode die drahtlosen Clients nicht authentisiert werden. Das heißt, es wird nicht geprüft, ob der jeweilige Client überhaupt die Berechtigung hat, das WLAN zu nutzen. Denn der Preshared Key, der jedem Teilnehmer bekannt sein muss und vom Administrator ausgegeben wird, könnte auch unberechtigt weitergegeben und so mit jedem anderen Notebook von einer beliebigen, fremden Person verwendet werden.


Sicherheitsparameter

Workshop WLAN absichern

Die Einstellung der WPA-Sicherheitsparameter auf dem Access-Point erfolgt im Beispiel über das Untermenü Security im Administrations-Interface des Geräts. Durch das Anklicken des Privacy-Buttons erscheint eine Auswahl, in der WPA PSK steht. Im folgenden Fenster sollte enabled bei Mixed Mode stehen. Dieser Mixed Mode erlaubt Clients mit WPA (TKIP, Temporal Key Integrity Protocoll) oder WPA2 (AES, Advanced Encryption Standard), auf den Access-Point zuzugreifen. Die Mixtur ist sehr sinnvoll, da momentan nur wenige XP-Clients WPA2-fähig sind. Ist der Mixed Mode abgeschaltet, so lässt der AP nur Clients mit WPA2 zu und die große Zahl der TKIP-Geräte bleibt draußen.

Der nächste Schritt ist die Eingabe der Pass Phrase, des so genannten Preshared Keys (PSK). Er besteht aus acht bis maximal 63 beliebigen Zeichen. Möchte ein Client auf den Access-Point zugreifen, muss er diese Zeichenfolge kennen. Je komplizierter, desto besser. Untauglich sind Passwörter, die im Wörterbuch stehen und so letztlich leicht zu erraten sind. Besser sind PSKs wie DiesIstEinPreSharedKey, die Groß- und Kleinbuchstaben beinhalten. Noch besser sind natürlich Kennwörter, die Sonderzeichen wie zum Beispiel Asteriske, Ausrufe- oder auch Leerzeichen enthalten.
Kommt ein Radius-Accounting-Server zum Einsatz, muss Accounting auf enabled gesetzt sein. Erst der Server entscheidet, ob der Client bekannt ist und sich somit anmelden darf im privaten Bereich spielt das jedoch so gut wie keine Rolle.


WLAN & Windows XP

Workshop WLAN absichern

Um einen Rechner unter Windows XP (Servicepack 2) mit einem WPA-codierten WLAN in Kontakt zu bringen, sind lediglich wenige Schritte nötig. Das Servicepack 2 wird für sichere WLANs dringend empfohlen, da XP sonst nichts mit der aktuellen WPA-Kodierung anfangen kann.
Zuerst im Start-Menü unter Einstellungen die Netzwerkverbindungen auswählen. Dann Drahtlose Netzwerkverbindungen doppelklicken. Da das gewünschte WLAN mit einer versteckten SSID arbeitet, erscheint es nicht im Netzwerk-Auswahlfenster. Daher unten links auf Erweiterte Einstellungen klicken und im folgenden Fenster unter dem Reiter Drahtlosnetzwerke sicherstellen, dass Windows zum Konfigurieren der Einstellungen verwenden angehakt ist.
Wer dagegen versucht, die WLAN-Verbindung mit dem Hersteller-eigenen Kontrolltool des WLAN-Adapters aufzubauen, muss dieses Häkchen entfernen, sonst kommt es zum Konflikt zwischen den beiden Tools und das Betriebssystem baut gar keine Wireless-LAN-Verbindung auf. Und zwar, ohne den Anwender über den Grund zu informieren.
Damit Windows das vorher eingerichtete, versteckte WLAN findet und Kontakt aufnimmt, muss das Netzwerk per Klick auf Hinzufügen mit in die Liste aufgenommen werden. Dazu einfach ins Feld SSID den exakten Netzwerknamen eintragen (im vorliegenden Fall: ?DiesIstMeineSSID?). Die korrekte Groß- beziehungsweise Kleinschreibung ist wichtig.


Verschlüsselungsmethode TKIP

Workshop WLAN absichern

Nun im Drop-down Netzwerk Authentifizierung den Punkt WPA-PSK und als Verschlüsselungsmethode TKIP wählen. Dann nach Entfernen des Häkchens vor Schlüssel wird automatisch bereitgestellt den vorher am Access-Point gewählten PSK zweimal eingegeben. Zur Übernahme der Konfiguration und zur automatischen Kontaktaufnahme mit dem Access-Point in diesem und im folgenden Fenster auf OK klicken.
Schon wenige Sekunden nach dem Klick auf OK bestätigt Windows XP durch eine Sprechblase im Systray, dass eine verschlüsselte Wireless-LAN-Verbindung aufgebaut wurde. Außerdem wird gleich die Geschwindigkeit angezeigt.