Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Sicherheitsmythen

Aufgrund der Vielzahl sich um WLAN-Sicherheit rankender Mythen lohnt sich abschließend eine Aufzählung vermeintlicher Sicherheitsmaßnahmen, die faktisch nicht vor gezielten Angriffen schützen.

Es beginnt mit dem vergeblichen Versuch, das eigene WLAN scheinbar unsichtbar zu machen. Jeder WLAN-Hotspot bietet die Möglichkeit, die SSID (Service Set Identifier) nicht als Broadcast in die Welt zu senden. Das hat zur Folge, dass der Name des WLANs auf einem typischen Laptop oder anderen Gerät nicht zu sehen ist, je nach Client-Software taucht das namenlose WLAN dann gar nicht auf. Ein befugter Netzteilnehmer gibt die SSID manuell ein, um sich zu verbinden. Einmal gespeichert, erfolgt die Verbindung zum WLAN automatisch.

Allerdings bietet diese Maßnahme höchstens Schutz gegen versehentliche Verbindungsversuche unerwünschter Clients. Wer bewusst in ein WLAN einbrechen möchte, findet die SSID auch über die zwischen Hotspot und angemeldeten Clients ausgetauschten Datenpakete. Einschlägige Tools erledigen die Extraktion von WLAN-SSIDs ganz nebenbei, ob unsichtbar oder nicht.

In eine ähnliche Kerbe schlägt der ebenfalls bei allen WLAN-Hotspots vorgegebene Filtermechanismus auf Basis der MAC-Adressen von Clients. Jedes Netzwerkgerät, sowohl drahtlose als auch kabelgebundene Netzwerkadapter, besitzen ab Werk eine fest eingebaute MAC-Adresse. Im Normalfall hilft diese dem Client, sich eindeutig bei einem Router zu identifizieren. Deshalb liegt die Idee nahe, die MAC-Adressen gewünschter Clients im WLAN-Hotspot zu speichern und alle anderen Geräte auszusperren.

Auch diese Maßnahme vermeidet jedoch höchstens versehentliche Verbindungsversuche durch unbefugte Clients. Denn die MAC-Adresse eines Netzwerkgeräts lässt sich beliebig manipulieren. Erlaubte MAC-Adressen herauszufinden, ist für einen Eindringling wiederum einfach, denn auch sie gehört zu den Daten, die angemeldeten Clients mit jedem Paket an den Hotspot übertragen. An dieser Stelle fangen Eindringlinge die MAC-Adresse ab und übernehmen sie.

Adressen

WLAN-Hotspots enthalten gewöhnlich auch einen DHCP-Server zur automatischen Vergabe von IP-Adressen an die Clients. Es erscheint möglicherweise als Schutzmaßnahme, den DHCP-Server abzuschalten und die Netzwerkeinstellungen der Clients einzeln zu konfigurieren. Hier gilt jedoch das gleiche wie bei einem manuell definierten MAC-Adressenfilter: Abgefangene Datenpakete enthalten die IP-Adressen, sodass ein Angreifer lediglich mithören und seinen Rechner entsprechend konfigurieren muss.

Ein ähnlicher vermeintlicher Sicherheitstipp soll den Komfort der automatischen Client-Konfiguration via DHCP mit der Sicherheit durch einen eingeschränkten Adressbereich kombinieren. Es heißt, man begrenze den vom DHCP-Server vergebenen Bereich von IP-Adressen auf die Anzahl der gewünschten Clients. Sind sie angemeldet, bleiben keine IP-Adressen frei und der Router verweigert die Anmeldung. Hier gilt das gleiche wie ohne DHCP-Server: Wer eine im Netzwerk gültige IP findet, übernimmt diese einfach, mit unvorhersehbaren Folgen für die Netzwerkkommunikation.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Freeradius für den WLAN-Hotspot

Firmen können es sich kaum noch erlauben, auf ein drahtloses Netzwerk zu verzichten. Die benutzerspezifische Zugangskontrolle funktioniert über WPA-Enterprise – das verbreitete Open-Source-Tool Freeradius bildet das passende Backend.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022