WLAN - Absichern

Wireless Lan, also das drahtlose Funknetzwerk ist einer der wichtigsten Meilensteine der jüngeren Computer Geschichte. Es ermöglicht es ohne umständlich Kabel zu verlegen, überall in Reichweite des W-Lan Routers auf das eigene Netzwerk oder z.B. in einem Internetcafé auf das Internet zugreifen. Die Geschwindigkeit ist dabei bereits ganz passabel. Nur das Thema Sicherheit kommt eindeutig zu kurz. Zwar gibt es verschiedene Verschlüsselungsmöglichkeiten -WEP und WAP sind dabei die wichtigsten- aber leider werden die meisten W-LAN Router völlig offen voreingestellt. Wenn ein Kunde einen W-LAN Router kauft, muss er einige Dinge tun, um seinen Router sicher zu machen.
Desweiteren sollten Sie wenn Sie den W-LAN Router eine Zeit lang nicht benötigen um per Funk zuzugreifen, sondern nur die Standard Routerfunktion per Kabel nutzen, dann deaktivieren Sie Ihre W-LAN Unterstützung im W-LAN Router.

Im Umfeld einer Firma ist die WLAN Technik aber mit Vorsicht zu geniessen und sollte nur dann zum Einsatz kommen, wenn es wirklich nötig ist und auch nur wenn zuvor alle Sicherheitsmaaßnahmen ergriffen wurden.

Es folgen nun die Hinweise wie ein WLAN optimal abgesichert werden kann:

1. Vergeben Sie ein gutes Passwort !

Oft ist gar kein Passwort oder ein Standardpasswort vergeben, welches ein Angreifer leicht erraten könnte. Daher unser dringender Rat, vergeben Sie ein Passwort, welches mindestens achtstellig ist, aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen besteht. Als Sonderzeichen eignen sich am besten ein Punkt, oder ein Minus oder ein Unterstrich. Auf diese Weise sollten im übrigen alle Ihre Passwörter gestaltet sein, unabhängig davon ob es sich um einen Email Account handelt, oder den Zugangsnamen für Ihren PC.

WICHTIG !!! VERWENDEN SIE NIEMALS DASSELBE PASSWORT ZWEIMAL !!!

Ihre Passwörter sollten immer nur an einer Stelle eingesetzt werden, damit ein Angreifer es möglichst schwer hat. Die meisten Menschen sind sehr bequem was die Sicherheit allgemein und Passwörter im speziellen angeht. Sie verwenden ein 4- oder 5-stelliges Passwort, den Namen Ihres Hundes/Katze, Ihres Kindes oder Hobbys. Und das Passwort ist dann Ihr "Lieblingspasswort". Sie verwenden es überall. Wer so etwas macht ist mehr als nur leichtsinnig. Damit macht man es einem Angreifer zu einfach. Angesichts der Tatsache, dass neue Würmer wie der Phatbot und dessen Ableger eine Routine enthalten Passwörter zu erraten und ein lange Liste gängiger Passwörter enthalten, sollte man sich den Umgang mit Passwörtern gut überlegen.

2. Ändern Sie die IP Ihres Routers:

Um einem Angreifer das Leben schwer zu machen, empfiehlt es sich möglichst viele Dinge von den Standardeinstellungen zu ändern, denn jedermann kann sich die Anleitungen der Router aus dem Netz holen und somit alles über die Router erfahren. In einem privaten Netzwerk (also alles außerhalb des Internet) beginnt ein IP üblicherweise mit 192.168.x.x das sollten Sie nicht ändern, denn so ist es korrekt. Aber die dritte und vierte Stelle der IP Adresse könnten Sie ändern. Beachten Sie aber dabei, dass der PC an dem Sie arbeiten und mit dem Sie den Router administrieren immer im selben Netz stehen muss. Das bedeutet für ein durchschnittliches Netzwerk, dass die ersten drei Blöcke der IP Adresse (192.168.1.x) identisch sein müssen, da sonst keine Verbindung zwischen den beiden Geräten möglich ist. Am besten ist, Sie ändern in der Verwaltungsoberfläche des Routers die IP Adresse des Routers und im Anschluss gehen Sie in die Netzwerk Einstellungen Ihres PC´s und ändern dort den dritten Block Ihrer IP Adresse auf den selben Wert wie Ihren Router (Bsp.: 192.168.67.x). Bitte vergessen Sie nicht wenn es mehr als Ihren PC gibt, alle anderen PC´s und Server ebenfalls zu ändern, weil die Geräte sich sonst untereinander auch nicht finden. Die vierte Stelle der IP unterliegt ebenfalls gewissen Regeln. Üblicherweise werden die ersten 100 Stellen für Server und Drucker reserviert und ab der 101 beginnen die Arbeitsplatz PCs. Ein Gateway, und als solches fungiert Ihr Router, erhält üblicherweise die 254.
Die IP eines Servers hat in der Regel die 192.168.x.1
Die IP eines Klients beginnt in der Regel bei der 192.168.x.101
Die IP eines Gateways hat in der Regel die 192.168.x.254
 (Das X an der dritten Stelle muss mit derselben Zahl gefüllt werden. Ich empfehle aber weder die 0 noch die 1 zu nehmen, da diese von sehr vielen verwendet wird. Denken Sie sich eine krumme und ungewöhnliche Zahl aus zwischen 2 - 253 aus.)

3. Deaktivieren Sie den Fernzugriff:

Bei einigen Routern ist es möglich selbigen über das Internet aus der Ferne zu administrieren. Diese Funktion nennt man Fernwartung. Dies ist natürlich eine grosse Gefahr, wenn jemand aus dem Internet auf den Router zugreifen kann, dann könnte er den Router nach seinen Bedürfnissen anpassen und sich eine Tür öffnen durch die er immer wieder hineingelangt. Um so etwas zu vermeiden, sollte kontrolliert werden, ob eine solche Funktion vorhanden ist und wenn ja, deaktiviert werden. Nur wenn Sie diese Funktion wirklich benötigen, sollten Sie ein gutes Passwort dafür vergeben, wenn möglich abweichend vom Masterpasswort des Routers und nach den oben beschriebenen Regeln.

4. Firewall aktivieren:

Die meisten Router, auch viele W-LAN Router beinhalten einfache Firewall Filterregeln. Ich empfehle Ihnen diese Standardregeln zum Beispiel zur Abwehr einer DOS-Attacke oder zum Unterdrücken von ICMP (Ping) zu aktivieren. Sollte irgendeine Anwendung später nicht funktionieren, kann man immer noch nacharbeiten. Dies ist sowieso die oberste Direktive im Umgang mit einer Firewall

Schließen Sie in der Firewall zunächst alles und öffnen dann nach Bedarf die Ports die Sie benötigen
Wenn Sie eine Firewall aktiviert haben, werden im Anschluss mit großer Wahrscheinlichkeit bestimmte Programme nicht mehr mit dem Internet kommunizieren können. Da wäre zum einen der Messenger (Der im übrigen wirklich so unsicher ist wie sein Ruf) und natürlich jede Art von Fileaustausch Programmen (edonkey, emule, BitTorrent,Kazaa, etc.). Der Weg nach draußen ist dabei weniger das Problem, als vielmehr der Umstand, dass diese Programme eine Kommunikation aus dem Internet zurück auf Ihren PC benötigen und durch die Firewall kommt da außer Port 80 (WWW), Port 25 (SMTP-Mailversand) und Port 110 (POP3/IMAP Mailempfang) niemand mehr durch. Um den Programmen auf Ihrem PC dennoch Zugriff zu ermöglichen, müssen Sie mit so genannten DNAT Regeln einen Zugriff erlauben. Dabei müssen Sie in der Firewall des Routers eine DNAT Regel für jeden Port erstellen den Ihr Programm verlangt. Eine DNAT Regel erlaubt der Firewall alle Daten, die auf einem bestimmten Port des Routers auftreffen (z.B. 4662 emule) an eine bestimmte IP (die IP Ihres PC´S) mit einem bestimmten Port weiterzuleiten. So bekommt das von Ihnen gewünschte Programm die erforderlichen Antworten aus dem Internet.

ACHTUNG!!! - Sie öffnen mit den DNAT Regeln Ports durch die Angreifer ungeschützt auf Ihren PC zugreifen können. Gerade Port 4662 (emule) ist ein beliebtes Angriffsziel für Cracker und auch einige Würmer / Trojaner.

Sie sollten sich also genau überlegen welche DNAT Regeln das Risiko wert sind. Es empfiehlt sich auf jeden Fall zusätzlich eine Softwarefirewall zu installieren sowie einen Antivirusscanner welcher mindestens wöchentlich besser täglich oder stündlich aktualisiert wird. Empfehlungen zu Firewalls und Virenscannern finden Sie in unserer ToolTipps Abteilung.

5. W-LAN Verschlüsselung aktivieren:

Um das Funknetzwerk zu benutzen ist es zwingend notwendig, eine sichere Verschlüsselung einzurichten. Lange Zeit galt die WEP Verschlüsselung als sicher, aber nachdem findige Cracker es schafften WEP zu knacken, kann es heute nicht mehr als sicher gelten. Es ist zwar besser, sein W-LAN mit WEP zu verschlüsseln als gar nicht, weil die meisten Angreifer nur Amateure sind, die sich einfacher Programme bedienen, aber wenn es möglich ist, sollte doch der momentan als sicher eingestufte WAP Schlüssel zum Einsatz kommen. Wie Sie einen WAP Schlüssel erzeugen entnehmen Sie einfach dem Handbuch, welches Sie zu Ihrem W-LAN Router bekommen haben. Oft liegt es auch digital auf der beiliegenden CD-ROM vor.

Wenn Sie für Ihren W-LAN Router eine Anleitung zum Einrichten allgemein oder auch speziell WAP oder beides beitragen möchten zu dieser Seite, dann senden Sie uns doch einfach eine Mail, z.B. über unser Kontaktformular.

6. SSID ändern und verstecken:

Wenn Sie mit all den oben beschriebenen Einstellungen fertig sind und erfolgreich eine Verbindung zu Ihrem W-LAN PC / Notebook hergestellt haben, empfiehlt es sich die SSID zu verbergen. Meistens ist das ein Schalter, der aktiviert werden muss. Die SSID ist gewissermaßen die Kennung die Ihr W-LAN Router sendet, die ein Klient sucht wenn er sich mit einem Router verbinden möchte. Um zu vermeiden dass jemand in Ihrer Umgebung Ihren W-LAN Router aufspürt, ist es sinnvoll zum einen den Kanal auf dem die SSID gesendet wird zu ändern und nach der erfolgreichen Koppelung Ihres Computers die SSID zu verstecken. Sollten Sie neue Geräte verbinden wollen oder geht eine Verbindung einmal verloren kann es notwendig sein die SSID wieder sichtbar zu machen. Nach der erfolgreichen Kopplung sollten Sie die SSID aber schnellstmöglich wieder verstecken. Dies ist nur ein sehr kleiner Schutz und alleine genommen macht er Sie nicht sicher, es ist lediglich ein weiterer Punkt auf einer Liste, es einem potentiellen Angreifer so schwer wie möglich zu machen.
Benötigen Sie Hilfe oder möchten Sie sich beraten lassen? Dann klicken Sie einfach Hier!
Nach oben