Sachverstand2 @ geocities.com:

Absichern von Privaten WLANs

angefangen am 18.02.2005 - updated

Inhalt

1. Wozu absichern?
2. Was absichern?
2.1. Was ist ein Router?
2.2. Wie spricht man Router aus?
2.3. Wie konfiguriert man den Router?
3. Passwort ändern
4. SSID - System Set Identifier
5. MAC-Filter
6. WEP-Verschlüsselung
7. WPA-Verschlüsselung
8. Schule absichern

1. Wozu absichern?

Es sieht sicher cool aus, wenn Sie im Garten sitzen und mit Ihrem Laptop surfen.

Daß Ihr Nachbar auf Ihre Kosten mitsurft, ist Ihnen egal? Lesen Sie weiter.
Daß er kostenpflichtige Angebote zu Ihren Kosten wahrnimmt, ist Ihnen egal? Lesen Sie weiter.
Daß in dem Golf da jemand sitzt, der gerade Kinderpornografie, Rechtsradikales oder Spam-Mail hoch- oder runterlädt, ist Ihnen egal? Lesen Sie weiter.
Daß deshalb bald die Polizei vor der Tür steht und SIE beweisen müssen, daß Sie das nicht waren, ist Ihnen egal? Lesen Sie weiter.
Daß derselbe böse Hacker da in dem Golf
- international postet, daß bei Ihnen ein offenes Funknetz ist;
- von Ihrem Rechner aus in fremde Rechner eindringt;
- Ihre Passworte, Familienfotos, privaten Dokumente ausspäht;
- Ihre Soundkarte anzapft und mithört, was Sie sagen;
ist Ihnen auch egal? Lesen Sie weiter.
Schauen Sie mal ins DHCP-Logbuch Ihres Routers. Wenn da mehr MACs auftauchen als Sie Rechner haben, wissen Sie, daß da jemand über Ihren Rechner oder gar in Ihrem Rechner unterwegs war.
Ist Ihnen auch egal? Dann lesen Sie woanders weiter.

2. Was absichern?

Sie müssen Ihren Router und Ihr Laptop so einstellen, daß die beiden abhörsicher miteinander kommunizieren können.
Nebenbei gewöhnen Sie Ihrem Router dabei ein paar Ungezogenheiten ab.

2.1 Was ist ein Router?

Router, DSL-Modem und Access-Point ist für mich (heute zumindest) dasselbe. Es ist der Sender/Empfänger in Ihrem Netzwerk, der zuläßt, daß Ihr kabellos vernetzter PC mit ihm sprechen und über ihn surfen kann.
Der PC ist dabei der Empfänger/Sender.

2.2 Wie spricht man Router aus?

Keine Ahnung. Viele sagen Rauter, aber Ruuter wird auch verstanden.

2.3 Wie konfiguriert man den Router?

Zum Konfigurieren des Routers brauchen Sie normalerweise einen PC. Den können Sie

über ein Netzwerkkabel direkt an den Router anstöpseln ODER
drahtlos mit dem kabellosen PC erreichen.

Wie sie Ihren Router erreichen, steht in der Betriebsanleitung, zB http://192.16.100.13:9090. Das Anfangspasswort steht auch drin, zB test, default, wlan, admin oder ähnliches.

3. Passwort ändern

Gute Passwörter

haben mindestens 8 Zeichen;
haben keinen Sinngehalt;
d.h., sie stehen nicht im Wörterbuch, nicht im Vornamenbuch und nicht im Personalausweis;
bestehen aus Groß- und Kleinbuchstaben und Ziffern;
(Von Sonderzeichen rate ich ab. Es gibt Router, da darf man ä, ö, ?, ~ (Tilde) als Passwort im "Neuses Passwort"-Dialog eingeben, aber im Login-Dialog nicht. Da hilft nur noch der Reset-Knopf...
Werden am besten gebildet aus einem sinnlosen Satz.
zB "Dumme User benutzen Windos, aber es gibt Etwas Besseres." wird zum Passwort DUbWaegEB.
werden nicht mittels Post-It am Monitor, unter der Tastatur oder unter der Schublade "versteckt" (da würde ich zuerst suchen).

Sichern Sie Ihren Router auch gegen Drücken des Reset-Knopfes ab. Falls den jemand drückt, kann wieder jeder in Ihr Netz, und SIE MERKEN ES NICHT.

4. SSID - System Set Identifier

Ihr Netzwerk heißt vermutlich WLAN. Nehmen Sie etwas anderes, es darf Ähnlichkeit mit einem Passwort haben.

Blöd: HERBERT_MEYER (Jedenfalls wenn Sie Herbert Meyer heißen).
Besser: i9ehjfbvi0qwehjbv08234f867.

Normale Router schreien ihren Namen in der Gegend herum. Der Kollege, der gerade draußen mit dem Golf und dem Laptop auf dem Beifahrersitz herumfährt, weiß sofort, DASS da ein Funknetz ist und WIE es HEISST.
Stellen Sie das ab, zB durch Abwählen bei "SSID veröffentlichen".

So. Jetzt muß der Kollege in dem Golf schonmal 5 Minuten parken, während sein Laptop das Funknetz fragt: "Bist du Funknetz AAAA?" - "Nein." - Bist du Funknetz AAAb?" - "Nein." - usw.

5. MAC-Filter

Jede Netzwerkkarte hat eine MAC-Adresse. Ich habe vergessen, wofür die Abkürzung steht, aber sie sieht etwas so aus:

FE:DC:BA:87:54:32

d.h. 6 Zweiergruppen mit Ziffern von 0 bis 9 und A bis F, mit 5 Doppelpunkten dazwischen.

Jetzt müssen Sie zunächst durchs Haus gehen und die MACs Ihrer Rechner herausfinden. Das geht unter Windos zB mit getmac auf der Kommandozeile (Start_Ausführen_command), unter Linux mit ifconfig.

Nun können Sie Ihrem Router sagen: "Akzeptiere nur Verbindungen von diesen MACs."

Wenn Sie eine neue Netzwerkkarte kaufen oder auswechseln, müssen Sie deren MAC herausfinden und als erlaubt eintragen, sonst geht die Karte nicht.

Der Kollege im Golf muß nun schon 20 Minuten parken und eine spezielle Software auf seinem Laptop laufen lassen, die alle möglichen MACs in seinem Rechner ausprobiert.

6. WEP-Verschlüsselung

Schalten Sie WEP mit mindestens 128 Bit Schlüssellänge am Router ein. (Bevor Sie 256 Bit wählen, überprüfen Sie, ob Ihr Client (= Ihr Laptop) das unterstützt.)

Sie müssen nun ein Passwort (auch: Passphrase, Kenn-Token, Auth-Ident o.ä.) eingeben. Dasselbe müssen Sie später auch den Clients eingeben.

Sobald Sie auf OK klicken, können Sie auf Ihr Funknetz nicht mehr zugreifen. Jetzt sind die Clients dran:

Konfigurieren Sie die Kabellos-Netzwerkkarte auch auf WEP, 128 Bit, mit derselben Passphrase. OK klicken, ggf. rebooten. Jetzt müßte es wieder gehen.

Falls nicht, haben Sie ja noch den Reset-Knopf. Für alles von vorn.

Nun muß der Kollege im Golf mehrere Stunden Ihren Netzwerk-Verkehr mitschneiden, um Ihr Passwort zu finden. Das WEP-Protokoll wurde damals mit einer heißen Nadel gestrickt, deshalb ist es nicht besonders sicher.
Vermutlich fährt er lieber einen Block weiter und treibt seine Spielchen über das dortige, sperrangelweit offene Funknetz.

7. WPA-Verschlüsselung

Wenn Sie können: benutzen Sie sie. Es gibt zwei Sorten:

Die eine benutzt einen RADIUS-Server (sprich: Rejdijes-Sörwa) und ist teuer.
Die andere benutzt Pre-Shared Keys ("vorher verteilte Passwörter") und ist billiger. Sie müssen wieder ein Passwort für Router und Clients vereinbaren und mit Zettel und Tastatur bekanntgeben.

WPA gilt als sicher. Keine parkenden Golfs mehr.

8. Schule absichern

Was jetzt kommt, wird vom Leiter des VDI-Seminar WLAN empfohlen, ist aber ungetestet und ohne Garantie.

Wundern Sie sich auch, was Schüler mit Notebooks abends oder am Wochenende auf Schulhöfe zieht? Böse Zungen glauben, sie saugen.

Schüler können sich SSIDs, IPs, Proxie-Adressen, MACs und notfalls sogar PSKs aus den Schulrechnern holen. So funktioniert's nicht.

Festhalten:

Ziehen Sie den Stecker.

Eins steht fest: Das ist sicher.

Möglicherweise müssen Sie ihn nicht mal physikalisch ziehen. Möglicherweise reicht eine mechanische Zeitschaltuhr oder ein kleiner schlauer Linux-Router mit einem kleinen doofen CronJob.

end of document