Die Grundmaßnahmen

Hacker gehen fast immer nach dem gleichen Schema vor: drahtloses Netzwerk finden, Datenpakete abfangen und eindringen. Oftmals haben sie dabei leichtes Spiel, da Administratoren und Heimanwender WLAN-fähige Router und Access Points beziehungsweise WLAN-Karten mit werksseitigen Standardeinstellungen in Betrieb nehmen. Die Krux: Anbieter liefern ihre Geräte in der Regel mit inaktiven Sicherheits-Features aus, damit auch ungeübte Nutzer schnell und problemlos aufs drahtlose Netz zugreifen können.

Häufig begehen WLAN-Betreiber den Fehler, ihren Firmen- oder Privatnamen als SSID-Kennung (Netzwerknamen) für das drahtlose Netzwerk zu verwenden - ein gefundenes Fressen für Angreifer, die auf diese Weise wichtige Informationen erhalten. Dazu gehört beispielsweise der Standort des WLANs und welche Daten sich in dem Netzwerk befinden. Außerdem gibt eine SSID-Kennung oft Aufschluss darüber, wie das Passwort lauten könnte. Darum sollten WLAN-Betreiber eine unverfängliche SSID-Kennung wählen, die keine Rückschlüsse zulässt. Keinesfalls dürfen WLAN-Passwort und SSID identisch sein. Neben einer individuellen Default-SSID müssen auch die für die Konfiguration von Access Points und WLAN-Routern werksseitig vordefinierten Benutzernamen und Administrationspasswörter modifiziert werden. Häufig gestatten diese Geräte Administratoren - und somit auch potenziellen Angreifern - einen einfachen Zugriff per Eingabe des Login-Namens und Passworts "admin". Danach können Hacker die Konfiguration nach eigenem Gusto modifizieren und Sicherheitsfunktionen problemlos aushebeln. Für zusätzlichen Schutz sorgt hier eine Option, die die Administration des Geräts per drahtloser Verbindung vollständig unterbindet. Veränderungen an der Konfiguration lassen sich dann nur noch mithilfe eines verkabelten Rechners im LAN vornehmen. Gleiches gilt für das Remote-Management: Funktionen, die Access Points/WLAN-Router aus dem Internet von einem entfernten Rechner aus administrierbar machen, sollten deaktiviert werden.

Auch das Beacon Broadcasting sorgt bei Angreifern für leuchtende Augen. Diese Funktion der Access Points/WLAN-Router bezeichnet das Senden der SSID-Kennung in regelmäßigen Zeitabständen, um Clients in der Umgebung mitzuteilen, welche drahtlosen Netze im Umkreis verfügbar sind. Das Deaktivieren des Beacon Broadcastings stellt einen Hacker vor eine weitere Hürde: Er muss zunächst mit passiven Scannern wie "Kismet" feststellen, ob tatsächlich ein WLAN im Umkreis existiert und welche SSID es trägt. "Kismet" lauscht am Funkverkehr drahtloser Netze und filtert die SSID aus den Datenpaketen heraus. Andere Hacking-Tools wie "Netstumbler", die aktiv ein Funknetz suchen, scheitern am ausgeschalteten SSID-Broadcast.

WLAN-Router oder Access Points neuerer Bauart unterstützen den Zugriff nur für autorisierte Clients. Per Konfiguration der Access Control Lists (ACLs) lassen sich so die angeschlossenen Rechner definieren, die einen Zugriff auf das WLAN erhalten dürfen. Access Points/WLAN-Router akzeptieren also lediglich Verbindungsanfragen von WLAN-Karten, die manuell vom Betreiber in der MAC-Adressenliste eingetragen wurden. Eine MAC-Adresse wird für gewöhnlich automatisch nach dem ersten Einloggen im Router vermerkt. Hacker können nach dem Anlegen der ACL nur noch dann auf Informationen im Netz zugreifen, wenn zuvor erfolgreich eine Verbindung mit dem Netzwerk aufgebaut und dem Access Point/Router vorgegaukelt werden konnte, dass es sich um ein autorisiertes Gerät handelt. Häufig scheitert das Konzept mit MAC-Filtern in größeren Unternehmensnetzen allerdings an der aufwändigen ACL-Pflege.

Soweit möglich, sollte die Verteilung dynamischer IP-Adressen für sämtliche an das Netzwerk angeschlossene Clients deaktiviert werden. Eine per DHCP zugewiesene IP-Adresse erleichtert es Angreifern, ins Netz einzudringen. Neben der festen Zuweisung von IP-Adressen bietet es sich an, den Adressraum der genutzten IP-Adressen auf die Zahl der tatsächlich zugewiesenen Rechner zu beschränken. Dies verhindert, dass Hacker eine freie IP-Adresse für den Zugriff auf das Netzwerk erhalten. Eine erweiterte Schutzmaßnahme ist die Verschlüsselung - Standard ist heute WPA/WPA2 - sowie der Einsatz von Virtual Private Networks.

Eine weitere Möglichkeit, ein drahtloses Netz vor fremden Zugriffen zu schützen, ist die Ausrichtung des Funksignals. Im Idealfall lässt sich die Ausleuchtung durch den Einsatz von Antennen so definieren, dass Clients außerhalb des Gebäudes kein Signal mehr empfangen. Ebenso erlauben manche Geräte, die Sendeleistung durch eine entsprechende Funktion auf den kleinsten akzeptablen Wert zu reduzieren. Um Hackern selbst nach erfolgreichem Login in das Netzwerk wenig Angriffsfläche zu bieten, sollten zudem nur unbedingt nötige Verzeichnisse und Drucker für die unternehmensweite Nutzung freigegeben werden. Außerdem ist das Betriebssystem so zu konfigurieren, dass lediglich autorisierte Benutzer auf die freigegebenen Ordner und Geräte zugreifen können. Robert Chapman/wj

Robert Chapman ist Mitbegründer und Geschäftsführer von Firebrand Training.

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice