So vermeiden Sie Sicherheitslücken im Wlan

Kaum ein Unternehmen kommt heute ohne Wireless LAN aus. Mobile Mitarbeiter nutzen es unterwegs ausgiebig, Geschäftspartner greifen in Konferenzräumen darauf zu und in den Büros klinken sich Notebooks drahtlos ins LAN ein, wenn kein Netzwerkkabel mehr frei ist. Kurz: An Funknetzwerken führt kein Weg vorbei – an den Sicherheitseinrichtungen des Unternehmens aber womöglich schon. Ein Security-Fiasko muss es aber nicht geben, wenn IT-Verantwortliche die richtigen Vorkehrungen treffen.

Mal abgesehen von Schusselfehlern bei der Administration, wie dem nie geänderten Standard-Passwort für den Wireless-Router oder der aktivierten Fernwartung mit leicht zu knackendem Passwort, die man als Einladung an Hacker verstehen kann, gehen mit WLANs grundsätzlich zwei Bedrohungen einher:

Funknetze machen im Gegensatz zu drahtgebundenen Netzen an den Gebäudegrenzen Ihres Unternehmenssitzes nicht Halt. Und WLANs haben die Angewohnheit, unberechenbar weit zu funken – 100 Meter im Umkreis bei schwächer werdender Signalstärke sind keine Seltenheit. Doch das reicht Außenstehenden, um kostenlos huckepack mitzusurfen oder im Extremfall die Firmenkommunikation abzuhören.

Die Bedrohung durch Hacker und Trittbrettsurfer lässt sich durch Verschlüsselung einfach abschalten, denken Sie? Hier muss man schon etwas differenzieren. Eine schwache Verschlüsselung lässt sich beispielsweise mit frei verfügbaren Tools in Minuten knacken. Auch die Authentifizierung ist nicht ohne Mängel. MAC-Adressen-Filter, die nur bestimmte Geräte mit einem eindeutigen Gerätecode ins Netz lassen, können ebenfalls leicht ausgetrickst werden. Entscheidend ist die Kombination verschiedener Schutzmechanismen.

Bei der Verschlüsselung ist heute WPA2 state-of-the-art. Neuere Access Points (AP) unterstützen WPA2 und bringen auch leistungsstarke Hardware dafür mit, während sich ältere Geräte zwar oft per Firmware-Upgrade von WPA auf WPA 2 aufrüsten lassen, aber durch die anspruchsvolleren Berechnungen zum Flaschenhals der WLAN-Kommunikation werden können. Ebenso wie beim Funkstandard gilt bei der Verschlüsselung: nur wenn alle Clients WPA2 unterstützen, kann der Administrator ruhig schlafen. Mehrere Verschlüsselungsmethoden gleichzeitig können die meisten APs nicht bereitstellen - den kleinsten gemeinsamen Nenner setzen die Clients. Um sicherzustellen, dass alle Notebooks WPA2 unterstützen, sollte unter Windows XP mindestens das Servicepack 2 eingespielt werden. Windows Vista unterstützt WPA2 von Haus aus.

Einige WLAN-APs können immerhin WPA2 und den ebenfalls sehr sicheren Vorgänger WPA in einem Shared Mode parallel anbieten. Für beide WPA-Versionen gibt es bisher keine Angriffsmethoden außer Passwort-Attacken. Mit einem langen Passwort mit mindestens 63 Zeichen, das nicht im Wörterbuch zu finden ist, haben Hacker das Nachsehen. Tabu ist das leicht zu knackende WEP. Ein Designfehler in dieser Sicherheitstechnik erlaubt es nämlich, die generierten Schlüssel leicht zu erraten.

Alternativ können IT-Administratoren auch zur Verschlüsselung der Funkübertragungen auf IP-Technologie zurückgreifen und das WLAN komplett per IPSec oder VPN absichern. Die getunnelten Verbindungen haben den Vorteil, dass keine Schlüssel zum Verbindungsaufbau ausgetauscht werden müssen, die von einem Hacker abgehört werden könnten. Client und Server sind vorab eingerichtet und aufeinander eingestellt. Damit können auch mobile User sicher ins Internet gelangen – über den gesicherten Umweg übers Firmennetzwerk. Gastzugänge sind auf diese Weise aber etwas aufwändiger zu realisieren.

Für die Einwahl ins lokale Funknetz stehen neben dem Pre-shared Key (PSK) - also dem Passwort, aus dem der Schlüssel generiert wird - weitere Schutzmethoden zur Verfügung. Am geeignetsten ist die zentrale Benutzerverwaltung, die von einem RADIUS-Server gesteuert wird. Der RADIUS-Server kann auf eigene Datenbanken zugreifen oder Verzeichnisdienste im Netz anzapfen und die Zugangsdaten und Berechtigungen der Clients überprüfen.

Ein reiner MAC-Adressenfilter ist durch gefälschte MAC-Adressen leicht auszuhebeln. Ein Angreifer kann die MAC-Adressen von genehmigten Clients auslesen und mit Hilfsprogrammen diese Gerätecodes auf andere Hardware übertragen, beispielsweise auf sein Notebook.