WLAN (Wireless Local Aria Network) ist zwar eine schöne Sache, flexibel, keine Verkabelung nötig, doch unsicher. Jeder hat potentiell Zugang zum LAN (Local Aria Network). In ländlichen Regionen fällt es auf, wenn ein fremdes Fahrzeug in der Nähe ist, doch in Städten kann jemand in Seelenruhe mit einem Laptop auf den Knien im Wagen sitzen und testen, welches WLAN sich anzapfen lässt. Daher empfehlen wir, diese Technik möglichst nicht in Städten zu verwenden. Wenn es jedoch zwingende Gründe dafür gibt, ist Sicherheit oberstes Gebot! Sie haften rechtlich für Zugriffe aus Ihrem Netz auf nicht erlaubte Server, wenn die Sicherheit mangelhaft ist!
Es sieht vielleicht im ersten Moment aus, als wäre es zu viel und sehr kompliziert. Dennoch sollten Sie sich Zeit für dieses Thema nehmen. Wenn Sie in Ruhe und Schritt für Schritt nach dieser Beschreibung vorgehen, sollte es Ihnen gelingen, Ihr WLAN sicher zu machen! Doch trotz aller Massnahmen; absolute Sicherheit gibt es nicht!
Die verschiedenen Einstellungen können auch in mehreren Schritten erfolgen. Verwalternamen, Passwort und Schlüssel sollten Sie sorgfältig notieren (am besten im Handbuch).
|
SSID(Service Set Identity):
|
|
|
|
Diese Kennung ist unverschlüsselt. Sie wird vom Werk üblicherweise mit dem Produktnamen oder dem Namen des Netzbetreibers vorbesetzt. Das liefert einem Angreifer Informationen über das Gerät und damit die Standardkonfiguration!
|
|
|
Was ist zu tun?
|
|
|
Tragen Sie eine Kombination aus Ziffern und Buchstaben ein, die keine Namen oder sonstige Informationen enthalten.
|
Verwalter:
|
|
|
|
|
Der Verwalter des Routers ist bei den meisten Geräten "root", weil sie auf Linux aufsetzen. Er kann aber auch "Admin" oder "Administrator" heißen.
|
|
Was ist zu tun?
|
|
|
|
Wenn möglich, ändern Sie den Namen in einen beliebigen anderen. Damit werden Versuche, den Zugang zu "hacken", sehr erschwert.
|
Verwalter-Kennwort:
|
|
|
|
|
Das Kenn- oder Pass-Wort ist mit dem Benutzernamen zusammen der Schlüssel zur Verwaltung des Gerätes.
|
|
Was ist zu tun?
|
|
|
|
Ändern Sie auf jeden Fall das Kennwort, auch wenn der Benutzer- (Verwalter-) Name nicht geändert werden kann!!!
|
Verschlüsselung:
|
|
|
|
|
Die Verschlüsselung ist der wichtigste Schutz. Aber leider ist nichts sicher. Wählen Sie daher immer die neueste Methode. Aus Kompatibilitätsgründen sind auch ältere Methoden möglich. Das Handbuch, die Hilfe oder die Bedienoberflächen geben in der Regel einen Hinweis auf die aktuellen Methoden. In der Regel werden die Methoden wie WEP, ("Wired Equivalent Privacy"-Protokoll) WPA (Wi-Fi Protected Access), WPA2 oder andere angegeben. Meist steht auch die Anzahl der Bits (z.B. 64 oder 128) dabei.
|
|
Was ist zu tun?
|
|
|
|
Wählen Sie die Verschlüsselung mit den meisten Bits. Als Schlüssel geben Sie ein Wort mit den Zeichen 0 bis 9 und A bis F ein, wenn Sie ein MS-Windows als Betriebssystem verwenden. Andere Zeichen funktionieren unter Windows nicht, obwohl sie erlaubt sind. Unter anderen Systemen, z.B. MacOs, funktionieren auch andere Zeichen.
|
WPS
|
|
|
|
|
Manche Router bieten die Möglichkeit, einen WLAN-Client auf einfache Weise zu konfigurieren. Dazu wird die auf dem Router aufgeklebte Pin verwendet. Stefan Viehböck fand heraus, dass sich daduch eine Sicherheitslücke auftut. Maximal 11000 Versuche genügen, laut Stefan Viehböck, um Zugang zu erlangen!
|
|
Was ist zu tun?
|
|
|
|
Schalten Sie WPS aus. Wenn das nicht möglich ist, versuchen Sie einen anderen Router zu verwenden. Sollte auch das nicht realisierbar sein, so können sie WLAN am Router ausschalten und statt dessen einen "Access Point" verwenden, der Ihnen diese Möglichkeit bietet. Diesen schließen Sie mit einem kurzen Kabel an einer Ethernetbuchse des Routers an.
|
MAC oder NIC-Adresse:
|
|
|
|
|
(MAC = Media Access Control-Adresse, NIC = Network-Interface-Card) Jede Netzwerkkarte (auch jeder WLAN-Adapter) verfügt über eine weltweit eindeutige Adresse, mit folgendem Aussehen: "00-AF-1D-B7-52-78". Eine solche Adresse kann in einer Positivliste eingetragen werden, und nur Rechner mit eingetragenen NIC-Adressen erhalten Zugang zum WLAN.
|
|
Was ist zu tun?
|
|
|
|
Ermitteln Sie die NIC-Adresse Ihres Rechners und tragen sie sie in der Positiv-Liste (allowed) ein und schalten Sie den Filter ein.
|
NAT:
|
|
|
|
|
NAT steht für Network Adress Translation. Damit wird erreicht, dass die lokalen Rechner nicht direkt aus dem Internet angesprochen werden können. Die IP-Adressen werden nicht in das Internet weitergegeben. Dort ist nur der Router bekannt. Meist ist heute diese Funktion eingeschaltet und mit einem DHCP-Server kombiniert, der den angeschlossenen Rechnern eine 192.168. - Adresse gibt.
|
|
Was ist zu tun?
|
|
|
|
Prüfen Sie, ob Einstellungen für NAT vorgenommen werden können. NAT muss dann eingeschaltet sein, andere Einstellungen sollten nicht notwendig sein. DHCP sollte ebenfalls eingeschaltet sein. Stellen Sie sicher, dass keine Geräte im lokalen Netz eine feste Adresse haben, wenn doch, darf der DHCP-Server diese Adressen nicht vergeben. Der "Client" auf Ihrem Rechner muss so eingerichtet sein, dass er eine Adresse anfordert (Adresse automatisch beziehen).
|
Wie wird das eingestellt?
Die folgende Beschreibung können Sie auch als PDF herunterladen
Die Verbindung zum Router
Im Folgenden werden die verschiedenen Schritte am Beispiel eines Routers vorgestellt. Bei anderen Geräten sieht es vielleicht ein wenig anders aus, das Prinzip ist jedoch das gleiche und die verschiedenen Seiten tragen die gleichen Bezeichnungen.
Zum Einstellen des Routers starten Sie Ihren Internet-"Browser", also den Internetexplorer, Firefox, Opera oder was Sie sonst verwenden. Geben Sie in dem Adressfeld die IP-Adresse Ihres Routers ein. Die finden Sie auf der Unterseite des Gerätes oder im Handbuch. In der Regel beginnt sie mit 192.168… Es öffnet sich dann das Anmeldefenster des Routers. Hier müssen Sie den Benutzernamen und das Passwort eingeben (manchmal auch nur das Passwort). |
 |
Einstellen der SSID
Tragen Sie unter SSID einen Namen ein, der nichts über Ihre Person, den Standort und das Gerät verrät! Die Kennung sollte ausgestrahlt werden, da manche "Clients" Probleme haben, wenn sie nicht gesendet wird. Wählen Sie den Übertragungsmodus, den Ihre Rechner und der Router können. Verwenden Sie stets das neueste und beste Verfahren. Informationen dazu finden Sie im Handbuch, in der Hilfe oder im Internet. Da die Entwicklung bei der Absicherung und den Angriffen auf Netzwerke im ständigen Wandel begriffen ist, können wir an dieser Stelle keine anderen Hinweise geben. Den Funkkanal sollten Sie auf "Automatik" stellen, wenn dies möglich ist. Wenn nicht, wählen Sie einen Kanal, der in der Nachbarschaft nicht verwendet wird. Wenn der Empfang schlecht ist, sollten Sie 2 Kanäle rauf oder runter wechseln. Mitunter können DECT-Telefone in der Nähe zu Störungen führen.
Einstellen der Verschlüsselung
Auch bei der Verschlüsselung wählen Sie das Verfahren, das alle Geräte können, und das Neueste und Sicherste! Auch darüber finden Sie Hinweise im Handbuch und im Internet. Bei dem Passwort oder Schlüssel (Key) sollten Sie nur die Ziffern 0 bis 9 und die Buchstaben A bis F verwenden. MS-Windows - Systeme können sonst mit der Verbindung Schwierigkeiten haben.
LAN-Einstellungen
Die LAN-IP sollten Sie nur ändern, wenn Sie Geräte mit fester IP in Ihrem Netz haben. Die Subnetzmaske oder Subnetmask beschreibt den Teil der Adresse, der als Netzwerkadresse verwendet wird. Bei 255.255.255.0 sind dies die ersten drei Zahlen. Ist die Maske anders, sollten Sie einen Fachmann zu Rate ziehen. In dem Beispiel ist die Netzwerkadresse 192.168.2. Häufig wird die Adresse 192.168.0 verwendet. Wenn es Geräte wie Drucker, Server oder Datenspeicher (NAS Network Atached Storage) in Ihrem Netz gibt, müssen Sie die Adresse ändern. Ändern Sie aber nur die 3. Zahl (Im Beispiel 2) weil sonst Adresskonflikte auftreten können!
DHCP (Dynamic Host Configuration Protokoll) sollte eingeschaltet sein. (Andernfalls sollten Sie sich mit den IP-Adressen auskennen) Die DHCP-Parameter erlauben es, den Bereich, der automatisch vergeben wird, einzuschränken. Im Beispiel von 100 bis 199. Also können 100 verschiedene Rechner im Netz eine Adresse zugewiesen bekommen. Normaler Weise werden die Adressen nur für eine bestimmte Zeit vergeben (Leasing). Wenn die Geräte häufig wechseln, wie in einem Hotel oder Café ist das sinnvoll. Sind aber immer dieselben Rechner im Netz, ist es besser, wenn sie immer die gleiche Adresse erhalten. Dazu stellt man die größte mögliche "Leasingdauer" oder "immer", wie im Beispiel, ein.
NAT Einstellung
Wechseln sie nun von der Startseite zur Seite "Erweitert". Hier sind weitere Einstellungen möglich. Die meisten verlangen besondere Netzwerkkenntnisse. Wenn Sie dort aber wie unten NAT-Einstellungen finden, sollten diese eingeschaltet sein.
NIC oder MAC - Adressen filtern
Um Unbefugten den Zugang in Ihr Netz weiter zu erschweren, schalten Sie auf der Seite "Erweitert" unter "Wireless/Access Control" die Filterfunktion für die Netzwerkkarten ein. Dann müssen Sie die Adressen der berechtigten Geräte ermitteln und eintragen.
Um diese Adressen zu erhalten, gehen Sie bei MS-Windows (ab 2000) folgendermaßen vor: Zeigen Sie mit der Maus auf "Netzwerkumgebung" auf dem Desktop oder in der Systemsteuerung und drücken die rechte Taste. Wählen Sie dann "Eigenschaften". Nun werden alle LAN-Verbindungen angezeigt. Markieren Sie nun die WLAN-Verbindung und drücken wieder die rechte Maustaste.
In dem erscheinenden Menü wählen Sie "Status". Dann erscheint ein neues Fenster mit Informationen über den Zustand der Verbindung. Dort wählen Sie die Registerkarte "Netzwerkunterstüzung".
Mit der Taste "Details" erhalten Sie eine Auflistung der zu dieser Verbindung gehörenden Daten. Der Wert hinter "Physikalische Adresse" ist das, was Sie in die Filtertabelle eintragen müssen.
|
 |
 |
 |
Verwaltername und Passwort
Um den Namen und das Passwort des Router - Verwalters zu ändern, wechseln Sie zu "Extras".
Unter "Anmeldeeinstellungen" können Sie Das Passwort und bei vielen Geräten auch den Namen des Verwalters ändern. Wenn Sie beides ändern, erschweren Sie einen Angriff auf Ihren Router erheblich. Der Name des Verwalters ist standardmäßig "root" oder "admin". Wer das Gerät kennt, weiß auch den Namen des Verwalters. Damit muss nur noch das Passwort "geknackt" werden. Haben Sie auch den Namen geändert, wird es erheblich schwerer. Vermeiden Sie jedoch Namen, die sich leicht ableiten lassen.
Wenn möglich sollten sie auch eine zwangsweise Abmeldung einrichten, wie im Beispiel unten. Hier wird der Verwalter nach 10 Minuten abgemeldet, wenn er nicht aktiv ist.
Fazit
Es spielt keine Rolle, ob eine der geschilderten Maßnahmen nach Meinung von "Experten" unnötig ist! Entscheidend ist, dass möglichst viele Hürden errichtet werden.
Gegen einen Fachmann mit den entsprechenden Werkzeugen helfen alle diese Maßnahmen nicht. Er "knackt" jedes WLAN! Doch ein Fachmann wird nicht an Ihrem Netz interessiert sein.
Viel mehr sind es die Anfänger, die es mal ausprobieren wollen. Wenn es klappt, reizt das Verbotene, wenn nicht, sorgt der Frust (hoffentlich) dafür, dass sie aufhören. Wer eine Hürde genommen hat und sich dann wieder die Nase stößt, braucht schon sehr viel Biss, um daran zu bleiben! In diesem Sinne hilft jede Hürde, sei Sie auch noch so niedrig. Vielleicht ist es die entscheidende.
Also lassen Sie sich nicht einreden, z.B. der NIC-Adressen-Filter sei unnötig. Jede Maßnahme kann entscheidend sein.
Ihre EDV-Abteilung