Im Zeitalter mobiler Geräte spielen drahtlose Netze eine wichtige Rolle. Das Absichern eines WLAN wird nach wie vor gerne vernachlässigt, da entweder die Risiken von Angriffen oder die Möglichkeiten der Sicherung nicht bekannt sind. In der nachfolgenden Liste sollen 15 praktikable Tipps aufgezeigt werden, wie ein WiFi-Netz möglichst sicher betrieben werden kann.

Verschlüsselung

• Verschlüsselung aktivieren: Durch das Aktivieren der WLAN-Verschlüsselung wird ein virtuelles Netzwerk geschaffen, dessen Beitritt nicht mehr ohne weiteres möglich ist. Ein Nutzer muss in der Regel um das entsprechende Passwort wissen, um Teil des drahtlosen Netzes werden zu können. Auf die Nutzung des veralteten WEP sollte verzichtet und stattdessen auf WPA2 gesetzt werden.

• Zusätzliche Verschlüsselung einsetzen: Als Erweiterung zur WLAN-Verschlüsselung kann eine zusätzliche Verschlüsselung für sensitive Daten eingesetzt werden. Dies kann beispielsweise ein IPsec-, SSL- oder SSH-Tunnel sein, wodurch das Abhören und Manipulieren der Kommunikation zusätzlich – und vor allem auch für die legitimen Teilnehmer des drahtlosen Netzes – erschwert wird.

• Passwörter regelmässig ändern: Die für die Verschlüsselungen eingesetzten Passwörter sollten in regelmässigen Abständen geändert werden. Im privaten Bereich ist mindestens die jährliche Neuvergabe des WLAN-Passworts empfohlen. In Umgebungen mit einer höheren Anforderung an die Sicherheit kann ein manueller Wechsel alle 90 Tage angeraten sein.

Nutzung

• MAC-Filter aktivieren: Viele WLAN Access Points unterstützen die Filter-Möglichkeit anhand der MAC-Adresse eines Clients. Die auf der Liste vermerkten Clients können sich sodann mit dem Access Point verbinden. Alle anderen Clients, die als fremd gelten, können gar keine Verbindung herstellen. Ein Angreifer muss zuerst mit absehbarem Aufwand die MAC-Adresse legitimer Clients herausfinden und vortäuschen, um eine erste Verbindungsaufnahme anstreben zu können.

• SSID nicht nachvollziehbar auswählen: Die für den Access Point gewählte SSID sollte möglichst zufällig gewählt werden und keine offensichtliche Assoziation mit dem Besitzer bzw. Betreiber aufweisen. Durch das Anhängen der Zeichenkette _nomap wird zudem Google angewiesen, den Access Point nicht in einer allfälligen Lokalisierung zu berücksichtigen. Dadurch wird es zielgerichteten Angriffen erschwert, das richtige Netz zu finden.

• SSID Broadcast deaktivieren: Auf das Broadcasting der SSID sollte zudem verzichtet werden. Zwar müssen die Clients die SSID wissen, bevor sie eine Verbindung herstellen können. Aber ebenso wird es für Angreifer erforderlich, dass sie diese zuerst herausfinden müssen. Der Aufwand für einen kurzweiligen Angriff wird damit erhöht.

Netzwerkzugriffe

• DHCP deaktivieren: Nach der Verbindung mit dem Access Point sollte auf die automatische Vergabe von IP-Adressen mittels DHCP verzichtet werden. Indem mit möglichst untypischen statischen IP-Adressen gearbeitet wird (man sollte dennoch die privaten Bereiche aus RFC1918 berücksichtigen), wird eine effektive Nutzung und die automatische Identifikation von anderen Systemen (z.B. Default Gateway und Nameserver) erschwert.

• Firewalling aktivieren: Viele Access Points unterstützen grundlegende Firewalling-Mechanismen, wodurch die Zugriffsmöglichkeit verbundener Clients eingeschränkt werden kann. Hier sollte eine möglichst restriktive Zugriffsmöglichkeit durchgesetzt werden, wodurch sich Missbräuche verhindern oder mindestens erschweren lassen. Zusätzlich kann ein dedizierter Proxy, der eine zusätzliche Authentisierung erfordert, zum Einsatz kommen.

• Logging und Monitoring aktivieren: Sämtliche Zugriffe auf den Access Points sowie weiterführende Netzwerkkommunikationen sollten – wenigstens in ihren Grundzügen (IP-Adressen und Ports) – protokolliert werden. Ein zusätzliches Monitoring dieser Aktivitäten kann gerade in hochsicheren Umgebungen helfen, Angriffsversuche frühstmöglich erkennen und auf diese reagieren zu können.

Erreichbarkeit

• Sendeleistung minimieren: Die Erreichbarkeit drahtloser Netze sollte auf ein Minimum reduziert werden. Durch das Verringern der Sendeleistung wird beispielsweise verhindert, dass der Empfang auch ausserhalb eines Gebäudes oder in anderen Stockwerken gegeben ist. Die Möglichkeit unerwünschter Zugriffe durch externe Personen – vorzugsweise im Rahmen eines Wardriving – wird damit minimiert.

• Abstrahlung eindämmen: Durch ein physisches Eindämmen der Abstrahlung werden externe Zugriffe zusätzlich verhindert. Die baulichen Gegebenheiten eines Gebäudes können hier zum Vorteil genutzt werden. Durch das zusätzliche Anbringen von Dämmfolien können punktuelle Einschränkungen durchgesetzt werden (z.B. bei Holztüren).

• Netzwerkelemente abschalten: Nicht benutzte Elemente sollten abgeschaltet werden. Beispielsweise können WLAN Access Points ausserhalb der Büroöffnungszeiten oder an Feiertagen vom Netz getrennt bzw. ausgeschaltet werden. Die Angriffsfläche über diese wird damit gänzlich auf Null reduziert. Manche Geräte erlauben eine Zeitsteuerung der Netzwerkfähigkeit, von der in gleicher Weise Gebrauch gemacht werden kann.

Management

• Management Benutzerdaten ändern: Die für das Management des drahtlosen Netzwerks genutzten Daten sollten regelmässig geändert werden. Dadurch werden Zugriffsversuche durch Dritte verhindert. Auch hier sollten möglichst starke Passwörter, die regelmässig geändert werden, genutzt werden.

• Remote Management einschränken: Die Zugriffsmöglichkeit auf das Remote Management eines drahtlosen Netzwerks sollte deaktiviert oder mindestens eingeschränkt werden. Manche Access Points lassen beispielsweise nur eine Konfiguration mittels Kabel zu oder lassen entsprechende Netzwerkzugriffe über das Internet unterbinden. Im Zweifelsfall sollte eine zusätzliche Firewalling-Komponente zum Einsatz kommen, um derlei Einschränkungen durchsetzen zu können.

• Netzwerkelemente aktualisieren: Sämtliche Netzwerk- und WLAN-Komponenten sollten in den üblichen Patch-Prozess integriert werden. Auch hier müssen also regelmässig Firmware-Updates und Patches eingespielt werden, um Schwachstellen und Fehler schnellstmöglich beheben und damit das Zeitfenster für erfolgreiche Attacken minimieren zu können.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)