Wireless Security

  • Article

Das Einrichten eines drahtlosen Netzwerks ist wirklich ganz einfach. Es müssen keine Kabel gezogen und keine Löcher gebohrt werden. Sie stecken einfach Ihren drahtlosen Zugriffspunkt ein, lassen den Manager für die Drahtlosverbindung automatisch eine Zuordnung herstellen, und schon sind Sie online. Leider gilt das auch für jeden anderen, der sich im Broadcast-Bereich Ihres Zugriffspunkts befindet, und damit beginnt der Ärger.

Mein Kollege Daniel Melanchthon und ich haben bereits auf diversen Konferenzen in unserem "Wireless Security" - Vortrag gezeigt, das es keineswegs kompliziert ist ein sicheres Drahtlosnetzwerk einzurichten (auch Online abrufbar: IT's ShOwtime, Webcast). Wir gehen in besagtem Vortrag sogar soweit, dass wir beweisen, das man Drahtlosnetzwerke sicherer als verkabelte Netzwerke konfigurieren und betreiben kann.

In den letzten Tagen habe ich vermehrt Anfragen bezüglich verbergen der SSID und der Filterung von MAC-Adressen erhalten, welche mich dazu veranlassen das Thema an dieser Stelle nochmals aufzuarbeiten.

Ratschläge, die nicht zur Sicherheit drahtloser Netzwerke beitragen

Im Internet zirkulieren zahlreiche falsche Ratschläge zur drahtlosen Sicherheit. Sie werden häufig in Artikeln und Seminaren wiederholt, weil sie „gut klingen“. Einige der Mythen zur Sicherheit drahtloser Netzwerke möchte ich hier entzaubern.

SSID verbergen: Die SSID (Service Set Identifier) eines Zugriffspunkts ist nicht mehr als ein Name. Sie war nie als Kennwort gedacht, wurde aber dazu gemacht, indem einige Benutzer das Senden der SSID deaktiviert haben, in der Meinung, dass das Netzwerk dadurch sicherer würde. Das ist ganz und gar falsch. Jedes Mal, wenn sich ein Client mit einem Zugriffspunkt verbindet, wird die SSID in der Zuordnungsmeldung angezeigt im Klartext bedeutet das, sichtbar für jeden, der mit einem Sniffer den drahtlosen Datenverkehr absucht. Sie können also genauso gut die SSID senden lassen. Die konfigurationsfreie Verbindung von Windows® XP fordert es, die Norm 802.11 schreibt es vor und die von uns empfohlene gute Methode der drahtlosen Sicherheit bewirkt, dass es keine Rolle spielt, ob die SSID sichtbar ist.

MAC-Adressen filtern: Die MAC-Adressenfilterung (Media Access Control) klingt theoretisch großartig. Jedes Netzwerkgerät auf der Welt hat eine eindeutige MAC-Adresse. Man könnte also meinen, dass Sie die Möglichkeit eines unbefugten Eindringens in Ihr Netzwerk dadurch eliminieren könnten, dass Sie die MAC-Adressen beschränken, die eine Verbindung mit Ihrem drahtlosen Netzwerk herstellen können. Das funktioniert aber leider nicht. Das Problem besteht darin, dass die MAC-Adresse zusammen mit dem Header jedes Pakets versendet wird, außerhalb jeder Verschlüsselung. Analyseprogramme für Pakete sind überall erhältlich, ebenso wie MAC-Spoofing-Anwendungen (welche das fälschen von MAC-Adressen ermöglichen). Zusätzlich ist diese Vorgehensweise sehr aufwändig für den Administrator, da jedes neue Gerät, das eine Verbindung mit dem Netzwerk herstellen möchte, vom Systemadministrator in den Zugriffspunkt eingegeben werden muss. Sparen Sie sich diese Mühe und vergessen Sie einfach diese Funktion, die keinen Nutzen, geschweige denn eine Erhühung der Sicherheit bringt!

Weitere nützliche Informationen zum diesem Thema finden sie hier.

cu
//.<