vorgestern war ein Bericht auf T-Online-News oder auch heise.de: http://www.heise.de/newsticker/meldung/83085
Ein 23jähriger hat auf Kosten/Wlan seines Nachbarn, 64 Jahre gesurft (P.o.r.n.o.seiten). Der Rentner bekam die hohe Rechnung, weigerte sich, da er nachweisen konnte, dort nicht gewesen zu sein. der 23-jährige wurde aufgespürt und hat jetzt mächtig Ärger - Fazit: Lass die Finger davon
Hier von T-Online ein Netzwerkeinstellungs-Tipp:
Schritt 1: Die Zentrale absichern
Gleich nach dem Anschluss des Routers sollte das Passwort geändert werden. Die besten Sicherheitseinstellungen sind nämlich wertlos, wenn sich jeder Eindringling an den Einstellungen des Routers selbst zu schaffen machen kann. Der Router läuft nach Inbetriebnahme zunächst im "Default-Modus". Das bedeutet, dass das Gerät nur mit Werkseinstellungen ausgestattet ist. Dazu gehören neben dem Router-Passwort auch die weiteren Sicherheitseinstellungen, die in diesem Workshop besprochen werden.
Fehler vermeiden: Konfiguration per Kabel
Die ersten Sicherheitseinstellungen sollten nicht per WLAN, sondern ganz konventionell über Kabel durchgeführt werden. So können sich flinke Angreifer nicht schon vor der Konfiguration ins Netzwerk einklinken und - wie schon öfters vorgekommen - den rechtmäßigen Besitzer aussperren. Bei einer Konfiguration über WLAN kann es außerdem schnell passieren, dass der Nutzer sich durch eine falsche Einstellung selbst aus dem Funknetz aussperrt. In diesem Fall hilft dann nur noch ein Hardware-Reset, bei dem alle Werte zurückgesetzt werden - womit die Arbeit von vorne beginnt. Das Sinus-Gerät bietet zum Anschluss eines handelsüblichen Netzwerkkabels auf der Rückseite des Gehäuses eine RJ45-Buchse.
Schritt 2: Der Name für das Funknetz
Als nächstes sollte der Name des Funknetzes geändert werden. Dieser so genannte "Service Set Identifier" (SSID), kann von jedermann ausgelesen werden, da er in der Default-Einstellung ständig unverschlüsselt gesendet wird. Meist sind dann auch noch Namen wie "wlan" oder "wireless" voreingestellt, die dem Angreifer wichtige Hinweise auf den Hersteller des Routers geben - Hacker wissen dann meist sofort, welches Passwort bei diesen Geräten voreingestellt ist. Ebenso unsicher sind übrigens Namen wie "dachgeschoss" oder "hausnummer5". Durch solche SSIDs bekommen Angreifer Details über das Netzwerk heraus, ohne selbst etwas dafür zu tun.
Unsichtbar sicher
Ein sicherer SSID sieht etwa so aus: h5KmelusI32Jmxx. Außerdem sollte der SSID-Broadcast ausgeschaltet werden - dann muss ein Angreifer den Namen des Funknetzes kennen, was Angriffe zusätzlich erschwert. Bei unserem Beispiel-Router "Sinus 154 Basic SE" reicht es, das Häkchen vor dem Eintrag "Unsichtbar" zu setzen.
Schritt 3: Ein Schlüssel für das Funknetz
Nach der Änderung von Router-Passwort und SSID sollte die Datenverschlüsselung aktiviert werden. Die am weitesten verbreitete Verschlüsselungsmethode ist das WEP-Verfahren (Wireless Equivalent Privacy). Dieser Standard wird praktisch von jeder Hardware unterstützt. Dabei wird nicht nur der Zugang zum Netzwerk verschlüsselt, sondern auch die gesendeten Datenpakete. Mittlerweile kann ein WEP-Schlüssel innerhalb kürzester Zeit mit verhältnismäßig geringem Aufwand geknackt werden. Trotzdem: Gelegenheits-Hacker werden durch WEP immer noch abgeschreckt.
Viel hilft viel
Bei der WEP-Verschlüsselung wird eine Reihe von Schlüsseln definiert, die im Router gespeichert werden. Nur wenn die angebundenen WLAN-Geräte die richtigen Schlüssel vorweisen können, bekommen sie Zugang zum Funknetz. Meist bieten die Geräte Schlüssellängen von 64 und 128 Bit an. Bei der Auswahl der Schlüssellänge sollte das Motto "Viel hilft viel" beherzigt werden, dass heißt, je länger der Schlüssel, desto sicherer ist er. Wer Wert auf hohe Sicherheit legt, sollte allerdings mit WPA-Verschlüsselung arbeiten.
Schritt 4: Dicht mit WPA
Eine relativ neue und sichere Methode, Funknetze abzusichern ist WPA (Wi-Fi Protected Access). WPA bietet durch dynamische Schlüssel zusätzliche Sicherheit. Dabei wird der Key immer wieder gewechselt und zwar immer dann, nachdem ein Datenpaket von 10 KB übertragen wurde. Der WPA-Standard sieht zwei Möglichkeiten zur Schlüsselverwaltung vor. Bei der Variante "Managed-Key" werden die Schlüssel auf einem zentralen Server verwaltet. Bei der WPA-PSK-Methode (Pre-Shared-Keys) melden sich alle Nutzer eines Netzes mit dem selben Kennwort an. Der Angriffspunkt für Hacker liegt dabei im Passwort. Damit gilt: Je höher die Güte des Passworts, desto sicherer das Netzwerk. Bevor allerdings WPA im Router aktiviert wird, sollte sicher gestellt werden, dass auch alle Geräte (Netzwerkkarten, PCMCIA-Karten, etc.) diesen Standard unterstützen.
Nur für Win XP
Leider können Windows-98-Anwender WPA nicht ohne weiteres benutzen. Manche WLAN-Kartenhersteller liefern allerdings Tools, die WPA auf Windows 98 ermöglichen. Aber auch Windows XP ist nur mit dem Service Pack 2 WPA-fähig. Wer nicht gleich den kompletten SP2 laden möchte, kann auch nur den WPA-Patch installieren.
Schritt 5: Unbekannter Hardware den Zugang verweigern
Wenn ein Kind abends allein zu Hause ist, lässt es – hoffentlich – nur Bekannte in die Wohnung. Nach dem gleichen Prinzip funktioniert eine MAC-Filtertabelle in drahtlosen Netzwerken. MAC bedeutet "Media Access Control" und ist nichts anderes als eine zwölfstellige Zeichenkette, die in jeder WLAN-Hardware gespeichert ist. Diese Zeichenkette ist im Prinzip einzigartig wie ein Fingerabdruck. Ist eine MAC-Filtertabelle im Router hinterlegt, werden nur noch die dazu passenden Geräte ins Netzwerk gelassen. Ein Eindringling mit einer unbekannten MAC-Adresse wird geblockt. Zwar ist es möglich, MAC-Adressen zu fälschen und sich mit solch einer Adresse Zugang zum Netzwerk zu verschaffen. Allerdings ist diese Vorgehensweise relativ aufwändig und dürfte die meisten Hobby-Hacker abschrecken.
Schritt 6: DHCP ausschalten
Eine wichtige Methode zum Abwehren von Angreifern ist das Ausschalten der DHCP-Funktion im WLAN-Router. DHCP weist allen Computern, die sich am Netzwerk anmelden, eine IP-Adresse zu. Das macht es einem Angreifer besonders einfach, denn sein PC wird so automatisch Bestandteil des Netzwerkes. Ist der Hacker erstmal "drin", kann er seelenruhig die restlichen Sicherheitsvorkehrungen knacken. Ist die DHCP-Funktion im Router ausgeschaltet, fällt es einem Angreifer wesentlich schwerer, ins hauseigene Funknetz zu kommen.
Abhilfe durch statische IP-Adressen
Bei abgeschaltetem DHCP-Server müssen Sie an jedem Rechner, der Zugriff auf das Funknetz haben soll, die nötigen Einstellungen "per Hand" zuweisen. Neben der IP-Adresse sind dies die Werte für die "Subnetzmaske" und den "Gateway". Diese Einstellungen müssen exakt mit den des Routers übereinstimmen. Welche Werte bei Ihrem Router voreingestellt ist, erfahren Sie in der Bedienungsanleitung.
Schritt 7: Ordnerfreigabe nur mit Passwort
Eine weitere Sicherheitsmaßnahme ist das Anwenden einfacher Regeln bei der täglichen Arbeit. So sollte beispielsweise nicht inflationär mit der Freigabe von Festplatten, Ordnern und Dateien umgegangen werden. Auf einem Computer mit Internet-Zugang sollten außerdem keine sensiblen Daten wie etwa die Passwörter fürs Online-Banking gespeichert werden - eine Regel die auch jeder Internet-Nutzer beherzigen sollte. Hier gilt: Weniger ist mehr. Wenn allerdings für die Arbeit unbedingt Komponenten im Netzwerk freigegeben werden müssen, sollten diese Freigaben mit einem Passwort versehen, oder die Dateien verschlüsselt werden.
Fazit
Die vorgestellten Sicherungs-Maßnahmen sind – jede für sich genommen – keine hohen Hürden für Hacker. Auf jeden Fall abgehalten werden aber Hobby-Hacker, die nur mal so zum Spaß in ein Funknetz einbrechen wollen. Die Kombination aller hier vorgestellten Sicherheitsmethoden macht es jedoch auch versierten Angreifern schwer, in ein privates Netzwerk einzudringen.
Hacker mit den eigenen Waffen schlagen
Es ist erstaunlich leicht, ein WLAN aufzuspüren, zu belauschen oder sogar dort einzudringen. Viele WLANs sind gegen Hackerangriffe nur mangelhaft geschützt. Um herauszufinden, ob Ihr eigenes drahtloses Netz sicher ist, verwenden Sie einfach dieselben Tricks, die Hacker einsetzen. Das Magazin com! zeigt Schritt für Schritt, wie Sie mit den Mitteln der Hacker Ihr eigenes drahtloses Netzwerk auf Sicherheitslücken testen und gegen die wahren Feinde absichern.
Um herauszufinden, ob Ihr eigenes drahtloses Netz sicher ist, verwenden Sie einfach dieselben Tricks, die Hacker einsetzen. Das Magazin com! zeigt Schritt für Schritt, wie Sie mit den Mitteln der Hacker Ihr eigenes drahtloses Netzwerk auf Sicherheitslücken testen und gegen die wahren Feinde absichern.