Fünf Schritte für ein sicheres WLAN
Schritt 1: Die Zentrale absichern
Gleich nach dem Anschluss des Routers sollte das Passwort geändert werden. Die besten Sicherheitseinstellungen sind nämlich wertlos, wenn sich jeder Eindringling an den Einstellungen des Routers selbst zu schaffen machen kann. Der Router läuft nach Inbetriebnahme zunächst im “Default-Modus”. Das bedeutet, dass das Gerät nur mit Werkseinstellungen ausgestattet ist.
Standard-Passwort muss weg
Bei vielen Routern werden hierbei primitive Passwörter wie “0000″ oder “admin” eingesetzt. Wird das Standard-Passwort nicht geändert, können Unbekannte ohne großen Aufwand in Ihr Netzwerk eindringen und direkt die Einstellungen an der Hardware vornehmen. Das ist, als ob Sie den Haustürschlüssel unter der Fußmatte verstecken.
Lieber komplex als primitiv
In der Web-Oberfläche eines jeden Routers lässt sich das Passwort anpassen (meist in den Menüpunkten “Sicherheit” oder “System”). Die Adresse des Routers (bspw. 192.168.2.1) entnehmen Sie dem Geräte-Handbuch. Wählen Sie als Passwort eine komplexe Zeichenfolge mit mindestens acht Stellen, die auf keinen Fall der Name Netzwerkes sein sollte. Wie bei allen anderen Passwörtern empfiehlt sich eine Kombination aus Ziffern sowie Klein- und Großbuchstaben.
Schritt 2: Der Name für das Funknetz
Als nächstes sollte der Name des Funknetzes geändert werden. Dieser so genannte “Service Set Identifier” (SSID) kann von jedermann ausgelesen werden, da er in der Default-Einstellung ständig unverschlüsselt gesendet wird. Meist sind dann auch noch Namen wie “wlan” oder “wireless” voreingestellt, die dem Angreifer wichtige Hinweise auf den Hersteller des Routers geben - Hacker wissen dann meist sofort, welches Passwort bei diesen Geräten voreingestellt ist. Ebenso unsicher sind übrigens Namen wie “dachgeschoss” oder “hausnummer5″. Durch solche SSIDs bekommen Angreifer Details über das Netzwerk heraus, ohne selbst etwas dafür zu tun.
Unsichtbar sicher
Ein sicherer SSID sieht etwa so aus: “h5KmelusI32Jmxx”. Lange Kombinationen aus Zahlen, Groß- und Kleinbuchstaben gelten als weitgehend sicher - zudem sollte der Netzwerkname nicht in einem Wörterbuch stehen. Außerdem sollte der SSID-Broadcast ausgeschaltet werden - dann muss ein Angreifer den Namen des Funknetzes kennen, was Angriffe zusätzlich erschwert. Bei den meisten Routern genügt es, ein Häkchen vor dem Eintrag “Unsichtbar“ zu setzen - zu finden häufig in der Kategorie “WLAN” oder “Netzwerk”. Damit wird vielen Hackern den Zugriff aufs Netzwerk erheblich erschwert. Jedoch mit spezieller Software können Hacker auch versteckte SSID finden, bei Privatnetzwerken werden sich die bösen Buben diese Arbeit aber nur in Ausnahmefällen machen.
Schritt 3: Ein Schlüssel für das Funknetz
Sicherer surft derjenige, der sowohl den Zugang zum Netzwerk als auch die gesendeten Datenpakete verschlüsselt. Weit verbreitete Verschlüsselungsstandards wie WEP-Verfahren (Wired Equivalent Privacy) und WPA (Wi-Fi Protected Access) können mittlerweile innerhalb weniger Sekunden geknackt werden. Hacker können den Datenstrom mitlesen.
Dicht mit WPA
Unser Rat daher: Wenn es Ihre Hardware unterstützt, aktivieren Sie WPA2. Dieser Standard bietet zusätzliche Sicherheit durch dynamische Schlüssel, die nach jedem 10 KB großen Datenpaket geändert werden. Der Angriffspunkt für Hacker liegt dabei im Passwort, weshalb der gewählte Funknetz-Schlüssel möglichst lang sein und aus eher wild zusammen gewürfelten Buchstaben und Ziffern bestehen sollte.
WPA nicht für jeden
Der WPA(2)-Standard hat einen Nachteil: Windows XP kennt erst mit dem Service Pack 2 die WPA-Verschlüsselung. Doch das trifft nur auf XP-Versionen zu, die vor Herbst 2004 installiert und danach nicht aktualisiert wurden. Für WPA2 muss allerdings ein weiterer Patch installiert werden - auch bei installiertem SP2. Letztlich muss auch Router wie die Netzwerkkarte im PC den WPA2-Standard unterstützen.
Schritt 4: Unbekannter Hardware den Zugang verweigern
Wenn ein Kind abends allein zu Hause ist, lässt es – hoffentlich – nur Bekannte in die Wohnung. Nach dem gleichen Prinzip funktioniert eine MAC-Filtertabelle in drahtlosen Netzwerken. MAC bedeutet “Media Access Control” und ist nichts anderes als eine zwölfstellige Zeichenkette, die in jeder WLAN-Hardware gespeichert ist. Diese Zeichenkette ist im Prinzip einzigartig wie ein Fingerabdruck.
Eindringlinge werden geblockt
Ist eine MAC-Filtertabelle im Router hinterlegt, werden nur noch die dazu passenden Geräte ins Netzwerk gelassen. Ein Eindringling mit einer unbekannten MAC-Adresse wird geblockt. Zwar ist es möglich, MAC-Adressen zu fälschen und sich mit solch einer Adresse Zugang zum Netzwerk zu verschaffen. Allerdings ist diese Vorgehensweise relativ aufwändig und dürfte die meisten Hobby-Hacker abschrecken. Die Konfiguration des Routers ist denkbar einfach: Sie müssen nur die MAC-Adresse in eine dafür vorgesehene Tabelle eintragen, die Sie unter Menüpunkten wie “Sicherheit” oder “Netzwerk” finden.
Schritt 5: DHCP ausschalten
Eine wichtige Methode zum Abwehren von Angreifern ist das Ausschalten der DHCP-Funktion im WLAN-Router. DHCP weist allen Computern, die sich am Netzwerk anmelden, eine IP-Adresse zu. Das macht es einem Angreifer besonders einfach, denn sein PC wird so automatisch Bestandteil des Netzwerkes. Ist der Hacker erstmal “drin”, kann er seelenruhig die restlichen Sicherheitsvorkehrungen knacken. Ist die DHCP-Funktion im Router ausgeschaltet, fällt es einem Angreifer wesentlich schwerer, ins hauseigene Funknetz zu kommen. Der DHCP-Server kann im Optionspunkt Netzwerk | LAN deaktiviert werden.
Abhilfe durch statische IP-Adressen
Bei abgeschaltetem DHCP-Server müssen Sie an jedem Rechner, der Zugriff auf das Funknetz haben soll, die nötigen Einstellungen “per Hand” zuweisen. Neben der IP-Adresse sind dies die Werte für die “Subnetzmaske” und den “Gateway”. Diese Einstellungen müssen exakt mit denen des Routers übereinstimmen. Welche Werte bei Ihrem Router voreingestellt ist, erfahren Sie in der Bedienungsanleitung.