WLAN Netze haben einen entscheidenden Nachteil. Funkwellen machen nicht halt vor den Grenzen des eigenen Wohnraums. Folglich kann theoretisch jeder, der es darauf ernsthaft anlegt, WLAN Verbindungen „abhören“. Solche Dinge kann nicht nur die NSA, sondern
FritzBox verrät sich selbst
auch eine ganze Reihe anderer „Bad Guys“. Haben diese sich erst einmal Zugang zu Deinem Netzwerk verschafft, kann es teuer werden.
Mit Vorliebe, neben anderen Dingen, laden die „Bad Guys“ dann illegal MP3´s oder Filme herunter. Meistens bemerkst du dies erst, wenn die Polizei vor der Tür steht und vor hat, deine Computer zu beschlagnahmen. Denn im Zuge der Störerhaftung bist du derjenige, der für das, was mit deinem Internetanschluss gemacht wird, haftet. Und es ist nach aktueller Rechtsprechung allein deine Aufgabe dein Netzwerk gegen unbefugte Nutzung zu sichern.
Kein WLAN ist am sichersten
Klar, so ein WLAN ist bequem und mittlerweile auch mehr als einfach einzurichten. Man muss keine Kabel verlegen und hat in der ganzen Wohnung Zugriff auf das Web. Und selbst wenn die Funkreichweite des Routers nicht in alle Zimmer der Wohnung oder bis in den Garten reicht, lässt sich die Reichweite durch Aufstellen eines Repeaters, wie dieser Ratgeber zum Thema Wlan verrät, deutlich steigern. Für mobile Endgeräte, wie Smartphones, Tabletts oder Laptops, ist eine WLAN Verbindung oft die einzige Möglichkeit eine Verbindung ins Internet aufzubauen. Dennoch sollte sich jeder überlegen ob er ein aktives WLAN Netz wirklich braucht.
Ist ohnehin nur ein Computer im Haus, welcher auch noch in direkter Nähe zum Router steht, ist es einfacher und deutlich sicherer Router und PC einfach per LAN Kabel zu verbinden.
Wenn es ohne WLAN nicht geht
Kann man auf eine WLAN Verbindung nicht verzichten, sollte man es den Bad Guys allerdings so schwer wie möglich machen. Aus diesem Grund hier ein paar einfache Tipps, um ein WLAN Netz abzusichern.
- Router nicht über WLAN konfigurieren
Eine einfache aber wichtige Regel ist es, sämtliche Einstellungen am Router nur mittels eine kabelgebundenen Verbindung vorzunehmen. Ansonsten liefert man den Bad Guys wichtige Daten unter Umständen „frei Haus“ - Admin Passwort des Routers ändern
Eines der ersten Dinge, die man ändern sollte ist das Auslieferungspasswort des Routers. Zwar werden einige Router mit individuellen Passwörtern ausgeliefert, es gibt aber auch Router die als Passwort lediglich 00000 verwenden. - Netzwerk-Namen (SSID) ändern und verbergen
Der Netzwerk Name eines Routers in der Standardeinstellung stellt immer einen Bezug zum Routertyp her. Angreifer sehen so unter Umständen, um welchen Router es sich handelt und wissen dann auch, welche Schwachstellen dieser hat. (Siehe Bild) Also immer die SSID dahingehend ändern, dass kein Bezug zum Router oder zu dir selbst hergestellt werden kann. Am besten ist es, den Router so zu konfigurieren, dass die SSID nicht an suchende Netzwerk-Geräte gesendet wird. - WPA2 anstatt WEP
Der Verschlüsselungsstandard WEP gilt vollkommen zurecht als unsicher. Selbst mit wenig Know How lässt sich dieser sehr, sehr einfach knacken. Teilweise funktioniert das innerhalb weniger Minuten. Selbst Gerichte haben WLAN Netzwerke mit WEP Verschlüsselung quasi als nicht gesichert bezeichnet. Deshalb grundsätzlich immer WPA2 als Verschlüsselungsmethode wählen. Weitere Infos zum Thema WLAN Verschlüssung findest du hier. - MAC Filter nutzen
Jeder WLAN Adapter hat eine eindeutige Identikations-Nummer (MAC-Adresse). Da liegt es nahe, Router so zu konfigurieren, dass er nur Verbindungen mit bekannten WLAN Adaptern zulässt. Diesen MAC Filter sollte man also unbedingt einschalten. Auch wenn hierdurch etwas Bequemlichkeit verloren geht.
Wie diese Einstellungen vorgenommen werden, darüber gibt im Zweifel die Bedienungsanleitung deines Routers Auskunft. Du solltest diese Einstellung unbedingt vornehmen, denn dies sind die Mindestsicherheitsmaßnahmen. Diese sollten eigentlich selbstverständlich sein.
Das sie für viele nicht selbstverständlich sind, zeigt ein einfacher Test. Man braucht nur einmal mit einem Smartphone durch die eigene Wohngegend gehen und nach WLAN Netzen suchen. Sehr viele gefundene Netze sind natürlich gesichert. Aber schon nach kurzer Zeit findet man sicherlich die ersten ungesicherten WLAN Netze.
Safety First!
Super Artikel! Danke dafür…
Habe bisher eig. fast alles so gemacht.
Fehlt noch noch der mobile TorBrowser 😛
LG Gerald
Nunja, TOR zielt darauf ab Daten, die beim Surfen unweigerlich gesendet und empfangen werden, zu verschlüsseln. Auch jenseits des eigenen Netzwerks. Mein Artikel handelt ja eher von der Absicherung des eigenen Netzwerks gegen unerlaubten Zugriff oder unerlaubte Nutzung. Das TOR Netzwerk ist also eine etwas andere Bauststelle.
Super Artikel aber beim Thema MAC Filter muss ich sagen das kann man sich sparen. Die einzigen die das abhält ins Netzwerk zu kommen sind die Benutzer die reinkommen sollen. Wenn wirklich jemand ins Netzwerk will Schaft er es auch den MAC Filter zu um gehen.
Vielleicht könntest du auch noch Empfehlen das ein W-Lan Passwort länger als 6 Zeichen lang sein sollte mit Buchstaben und Zahlen + Sonderzeichen
Gruß
Matthias
Es ist wie bei allem: 100% Schutz gibt es nicht! Das gilt auch für MAC Filter. Dieser ist zwar eine überwindbare Hürde, aber er ist eine Hürde. Per MAC Spoofing ist es recht leicht diese zu überwinden. Aber ein eingeschalteter MAC Filter bietet jedoch noch immer mehr Schutz, als ein nicht aktivierter.
Gegen Gelegenheits-Hacker, Script Kiddies und neugierige Nachbarn hilft er aber allemal.
Wer es jedoch ernsthaft darauf anlegt, in ein Netzwerk einzudringen, den hält relativ wenig auf. Derjenige wird Mittel und Wege finden.
Die SSID zu verbergen bringt nicht viel, innerhalb weniger Sekunden sind meist genügend Pakete gecaptured um die SSID zu entschlüsseln.
Punkt 4 ist ein absolutes Muss. Falls Du ein NAS daheim stehen hast könntest du dir gar überlegen, einen RADIUS Server einzurichten um mittels Zertifikat Clients zu autentifizieren.
WEP kann relativ simpel mathematisch berechnet werden. Um WPA2 knacken zu können, muss man auf Wörterbücher oder Rainbow tables zurückgreifen. Daher gilt bei WPA2 die Grundannahme, dass ein kompliziertes Passwort das ungewollte Eindringen in das Netzwerk erschwert, resp. erheblich verlängert. Je nach Rechenpower des Angreifers sprechen wir von Stunden bis Jahren.
MAC Filter ist lediglich eine Minimale Hürde. Wäre nur mühsam, wenn zur Zeit kein Gerät mit dem Hotspot verbunden ist. Sonst hat man die MAC eines bereits eingeloggten Gerätes innerhalb von 2 Minuten gespooft.
Was noch anzufügen ist:
Unbedingt die WPS Funktion ausschalten. Ist extrem löchrig und sollte daher deaktiviert werden. + Die Firmware des Routers immer auf dem neusten Stand halten (In der Annahme, dass der Router als Firewall dient, gilt aber generell für alle Geräte). Hacker sind up-to-date und nützen bekannte Schwachstellen gnadenlos aus.
Hmh, naja. Dazu habe ich doch ein paar Anmerkungen:
1. SSID verstecken erhöht die Sicherheit nicht.
2. MAC-Filter ebenso wenig
Die wichtigsten Maßnahmen sind nicht genannt:
1. WPS komplett deaktivieren
2. Ein komplexes Passwort für WPA nutzen, Gross- und Kleinbuchstaben + Sonderzeichen, mindestens 14 Zeichen
3. Admin-Passwort im Router unbedingt unterschiedlich dazu.
4. Falls möglich WLAN zeitgesteuert deaktvieren und Leistung so weit möglich reduzieren.