WLAN absichern – Die Illusion vom sicheren WLAN

1. Mein WLAN ist sicher!WLAN absichern

Ist es das wirklich? Ihr verwendet WPA2 in Kombination mit einem MAC-Filter und die SSID ist auch versteckt? Glückwunsch – ihr habt die Hürden für einen potenziellen Angreifer etwas höher gelegt. Und ich sage: Euer WLAN ist nur so sicher wie euer verwendetes Passwort. Und das ist bei den meisten WLAN’s einfach zu schwach. Ebenfalls aufpassen sollte man bei der Verwendung von WPS.

Im heutigen Artikel möchte ich mit der Illusion vom sicheren WLAN aufräumen. Ich erkläre euch kurz die Verschlüsselungsmethoden, welche »pseudo« Sicherheitsfeatures von den Herstellern implementiert werden und worauf es letztendlich wirklich ankommt. Ein WLAN absichern ist keine komplexe Angelegenheit, sondern erfordert nur wenige Handgriffe.

2. Verschlüsselungsmethoden

Kurz und knapp ein paar Zeilen zu den derzeit drei möglichen Verschlüsselungsmethoden für WLAN’s: WEP, WPA und WPA2. WEP (Wired Equivalent Privacy) ist der ehemalige Standard. Aufgrund von diversen Schwachstellen ist das Verfahren unsicher. Solltet ihr WEP noch in Verwendung haben, könnt ihr das WLAN im Prinzip auch gleich unverschlüsselt anbieten. Innerhalb von einer Minute ist der Schlüssel mit Tools wie aircrack berechnet.

WPA (Wi-Fi Protected Access) wurde von der Wi-Fi Alliance als Antwort auf die unsichere WEP Methode verabschiedet. WPA basiert auf der Architektur von WEP. Erweitert wurde er durch einen dynamischen generierten Schlüssel basierend auf dem TKIP-Protokoll und einem 48-bit langen Initialisierungsvektor.

Im neuen Sicherheitsstandards IEEE 802.11i wurde letztendlich WPA2 verabschiedet. Es nutzt als Verschlüsselungsstandard AES und als Verschlüsselungsprotokoll wurde CCMP hinzugefügt. Es ist der heutige De-Facto-Standard zur Absicherung von WLAN’s.

Ohne zu sehr in Detail zu gehen: Sofern euer Router und eure Geräte WPA2 unterstützen, dann nutzt es auch. Wer mehr zur Sicherheit von WPA erfahren möchte, der kann sich den heise Artikel anschauen.

3. Pseudo Sicherheitsfeatures

Sicherheitsfeatures die in Wirklichkeit keine sind kommen in der IT häufig zum Einsatz. Auch bei WLAN-Routern arbeiten Hersteller mit »Tricks« die Sicherheit versprechen und in Wirklichkeit lediglich billiges MakeUp sind.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.1 MAC-Filter

Ein MAC-Filter dient als Zugangsschutz. Dabei dürfen nur jene Rechner eine Verbindung zum Router aufbauen, die in einer Art Zugangstabelle dazu berechtigt sind bzw. deren MAC-Adresse dort hinterlegt wurde. Warum ist das nun kein »wirkliches« Sicherheitsfeature? Weil sich MAC-Adressen beliebig mit MAC-Spoofern ändern lassen. Beim mitlauschen von fremden WLAN Verkehr kann eben diese MAC-Adresse ausgelesen werden.

3.2 SSID verstecken

Im Normalfall propagiert ein WLAN-Router den Namen seines Funknetzes an alle in Reichweite befindlichen Empfänger. Der Name lässt sich im Router unter SSID (Service Set Identifier) definieren. Sucht jemand anschließend nach verfügbaren WLAN’s in Reichweite wird das im Router konfigurierte Funknetz auftauchen. Die SSID lässt sich auch komplett unterdrücken bzw. verstecken. Eine Verbindung kann dann erst aufgebaut werden, wenn man die SSID kennt und den korrekten Namen eingibt. Soweit jedenfalls in der Theorie… Mit Tools wie Kismet sind solche versteckten WLAN’s innerhalb weniger Sekunden entlarvt.

3.3 WPA2 und das Passwort

Auch in WPA2 geschützte WLAN’s kann man eindringen. Oft liegt das einzig und allein am Betreiber des WLAN’s. Das Problem sind die zu schwachen Passwörter: In der Regel sind diese zu kurz oder basieren auf Realwörtern, wie Namen, Objekten oder Orten. Nachdem ein Angreifer genügend Informationen über ein WLAN gesammelt hat, kann er mittels Bruteforce oder Wörterbuchangriff das verwendete Passwort knacken. Bei Realwörtern hat er im Normalfall leichtes Spiel. Ausgestattet mit den passenden Wörterbüchern wird das Passwort meist gefunden. Funktioniert das nicht und der Betreiber des WLAN’s war etwas kreativer bei der Passwortwahl (zb. ich!#08) wird der Angreifer im zweiten Schritt die Bruteforce-Methode verwenden. Dabei werden alle möglichen Kombinationen von Buchstaben, Sonderzeichen und Zahlen durchprobiert. Ist das Passwort allerdings zu kurz geraten, kann es innerhalb eines »vertretbaren« Zeitaufwands entschlüsselt werden.

4. WLAN absichern – aber richtig!

Genug Theorie – kommen wir zur Praxis und wie ein WLAN wirklich geschützt werden kann:

  • Verwendet WPA2 in Kombination mit einem langen Passwort. Möglich sind bis zu 63 Zeichen. Ein Passwort mit 16 Zeichen sollte ausreichen. Wer nicht kreativ genug ist der kann sich mit dem Password-Generator eines erstellen lassen.
  • WLAN Reichweite verringern. Der Tip ist simpel und gleichzeitig sehr effektiv. Viele Router Hersteller bieten die Möglichkeit die Sendeleistung zu reduzieren. Wählt zunächst die niedrigste Sendeleistung aus und lauft anschließend mit eurem Smartphone oder Notebook in der Wohnung / Haus umher. Mehr als eure 4 Wände müsst ihr mit dem WLAN nicht abdecken.
  • Deaktiviert WPS. Es dient zum einfachen Aufbau von WLAN Verbindungen zum Router. Nach der Eingabe eines vierstelligen PIN’s können sich neue Geräte mit dem WLAN verbinden. Auch hier gibt es wieder entsprechende Tools, um den PIN mittels Bruteforce zu knacken. Wenige Router haben dagegen Sicherheitsmaßnahmen, wie 15 Minuten Timeouts bei mehrmals falscher Eingabe, implementiert.

4.1 Beispiel WLAN absichern bei der Fritzbox

WPA2 und langer Schlüssel:
WLAN –> Sicherheit (erster Tab – Verschlüsselung)
WPA2

WLAN Reichweite verringern:
WLAN –> Funkkanal
Reichweite

WPS deaktivieren:
WLAN –> Sicherheit (zweiter Tab – WPS-Schnellverbindung)
WPS

Setzt diese drei Tips um – jetzt! Es ist ganz simpel. Danach ist euer WLAN in jedem Fall sicherer. Wenn ihr Probleme bei der Umsetzung habt dann nutzt die Kommentarfunktion oder kontaktiert mich.

5. Fazit

WLAN’s sind meist unsicher. Mit wenigen Handgriffen lässt sich die Sicherheit drastisch erhöhen. Wenn ihr die Reichweite eures WLAN’s reduziert werden die meisten Leute das WLAN nichtmal finden. Und falls doch habt ihr ein (hoffentlich) sicheres WPA2 Passwort gewählt. Dem Angreifer ist dann nur noch viel (Rechen-)Zeit beim »erraten« zu wünschen… ;)

Hinweis

WPS solltet ihr in jedem Fall abschalten. Mit Tools wie reaver sind die PIN’s schnell geknackt und anschließend auch lange WPA2 Passwörter im Klartext auslesbar.

Bildquellen:

WLAN absichern: Nemo, Creative Commons CC0

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

6 Ergänzungen zu “WLAN absichern – Die Illusion vom sicheren WLAN”

  1. Comment Avatar Sam Vimes sagt:

    Gute Zusammenfassung!

    Ergänzen möchte ich, dass man zusätzlich auch eine soziale Komponente einbauen kann. Meine Standard-SSID für von mir eingerichtete Netze ist „Please keep out“.

    Hilft nicht gegen unfreundliche Leute, aber ein Versuch ists wert! :-)
    sam

  2. Comment Avatar Markus Brinkmann sagt:

    Es gibt tatsächlich noch Leute und sogar Firmen, die Ihren Namen als SSID nutzen, Daumen hoch XD

  3. Comment Avatar Syntafin sagt:

    Also ich muss da noch kurz anfügen:

    Meine WLAN-Reichweite deckt so ziemlich de gesamte Straße ab, MultiChannel auf 3-Frequenzbändern.

    WPS läuft zumindest auf meinem Broadcast-Router, der andere Router der nur als Mittelsman dient (dieser sendet an die Repeater/Broadcaster das Signal) hat kein WPS und die Sendeleistung aber auch auf 100%, die schafft es nicht gerade sehr weit.

    Warum ich WPS anhabe und keine Sorge darum, ich muss zur Verbindung mittels WPS immer erst einen Knopf am Router drücken.

    Reinkommen tut da dennoch niemand, der Grund ist etwas, das ich auch hier gerne gesehen hätte:

    VPN

    Das ist die Abkürzung für Virtual Private Network. Wer also nachdem er mein 20. stelliges WPA2-Passwort geknackt hat auf dem Router ist, der befindet sich in einem teil des WLAN’s wo es so ziemlich einsam ist, so einsam, da will keiner bleiben ;).
    Und wie jetzt das 256bit lange Passwort für mein VPN ist, das frag mich mal besser nicht, hab da nämlich keine Ahnung von :D!

  4. Comment Avatar quatschkopf sagt:

    Ich weiß nicht, ob es jeder macht, deshalb sollte man das auch mal wenigstens erwähnen:
    Login und pw vom router ändern! Viele lassen das ja auf dem standard werten stehen. Da hilft dann auch das längste wpa2 passwort nix.

    • Comment Avatar Mike Kuketz sagt:

      Die Admin-Oberfläche ist meist nur aus dem internen Netzwerk bzw. IP-Adressbereich erreichbar, außer es wurde explizit freigegeben. Aber ist dennoch korrekt. Das Standard-Zugangspasswort für die Routerverwaltung sollte jeder ändern.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.