2060187

Sicherheit im WLAN - SSID senden oder nicht?

26.08.2015 | 14:31 Uhr |

Im Internet schwirren zahllose Tipps umher, wie Sie Ihr Funknetz vor Angriffen schützen können. Nicht alle davon sind sinnvoll, und einige Maßnahmen machen Hacker-Angriffe sogar einfacher. Wir sagen Ihnen, wie Sie mit Ihrem WLAN trotzdem geschützt sind.

In diesem Zusammenhang ist vor allem die Abschaltung des SSID-Broadcast zu nennen. Der Service Set Identifier ist eine Art Netzwerkname, der auf dem Access Point verwaltet wird. Normalerweise wird der SSID als Broadcast frei sichtbar ausgestrahlt, da so die Verbindungsaufnahme von neu hinzukommenden Clients erleichtert wird. Jedes Gerät bietet heute jedoch an, die SSID zu unterdrücken. Hintergedanke ist, dass Angreifer auf diese Weise das WLAN nicht erkennen und es daher auch nicht attackieren. Lediglich der Betreiber des Netzwerks weiß, dass es vorhanden ist und richtet seine Clients entsprechend ein.

Tatsächlich jedoch eröffnet sich Hackern durch das Abschalten des SSID-Broadcast eine neue Möglichkeit, um den Datenverkehr der beteiligten Geräte abzuhören. Dazu muss man zunächst einmal wissen, dass die SSID auch dann übertragen wird, wenn das im Access Point deaktiviert wird. Wenn Windows beispielsweise sein gewohntes WLAN nicht findet, etwa weil die SSID versteckt wurde, sendet es Anfragen an alle Netze, an die der Rechner jemals angeschlossen war, ganz gleich, ob sie in der Nähe sind oder nicht. Diese Anfragen sind grundsätzlich nicht verschlüsselt, so dass ein Hacker daraus ohne Probleme die verwendeten SSIDs auslesen kann.

Sobald die SSID bekannt ist, kann der Hacker einen Honeypot aufbauen, auf Deutsch: einen Honigtopf. Dazu gibt er seinem eigenen Access Point genau die SSID, die ansonsten der Nutzer verwendet, und bietet den Clients einen freien, nicht passwortgeschützten Zugang an. Wie hungrige Insekten fallen daraufhin die Netzwerkgeräte darüber her und verbinden sich mit ihrem angeblichen Heimatnetz. Anschließend kann der Hacker den gesamten Netzwerk-Traffic mitlesen, kann ihn aufzeichnen und beliebig umleiten, ohne dass der Nutzer das bemerkt.

Es ist daher sogar besser, den SSID-Broadcast nicht zu unterdrücken, sondern ihn eingeschaltet zu lassen. Achten Sie lediglich darauf, dass Sie den im Access Point vorgegebenen Namen durch einen eigenen ersetzen. So ist gesichert, dass sich die WLAN-Clients tatsächlich mit dem richtigen Netzwerk verbinden.

Beim Verbindungsaufbau zwischen Client und Access Point wird übrigens auch die MAC-Adresse des Netzwerk-Adapters übertragen, ebenfalls unverschlüsselt. Mit einem Netzwerk-Sniffer wie Kismet lässt sie sich aus den Datenpaketen ohne Probleme auslesen. Außerdem existieren Tools zum MAC-Spoofing, mit denen man per Software eine beliebige MAC-Adresse vortäuschen kann. Daher bieten auch die MAC-Filter der Access Points keinen Schutz vor Einbruchsversuchen, die versprechen, dass der Anwender sein Netz damit auf bestimmte Geräte beschränken kann.

10 raffinierte WLAN-Tools für Ihr Netzwerk

Tatsächlich wirken lediglich zwei Maßnahmen: Zum einen ist es unbedingt erforderlich, dass Sie Ihr WLAN verschlüsseln. Es muss sich um eine WPA- oder WPA2-Verschlüsselung handeln. Der ältere WEP-Standard lässt sich heute in wenigen Sekunden knacken. Zum zweiten benötigen Sie ein hinreichend langes und komplexes Passwort. Es muss 16 bis 20 Zeichen lang sein und sollte aus Ziffern und Buchstaben bestehen. Vermeiden Sie Umlaute, Satz- und Sonderzeichen, sie werden von der Web-Oberfläche mancher Access Points falsch dargestellt. Wenn Sie diese beiden Regeln berücksichtigen, sind Sie nach aktuellem Stand der Technik vor Hacker-Angriffen gut geschützt.

Video: Fritzbox - So machen Sie ein Firmware-Update
0 Kommentare zu diesem Artikel
2060187