Sachverstand2 @ geocities.com:
Absichern von Privaten WLANs
angefangen am 18.02.2005 - updated
Inhalt
1. Wozu absichern?
2. Was absichern?
2.1. Was ist ein Router?
2.2. Wie spricht man Router aus?
2.3. Wie konfiguriert man den Router?
3. Passwort �ndern
4. SSID - System Set Identifier
5. MAC-Filter
6. WEP-Verschl�sselung
7. WPA-Verschl�sselung
8. Schule absichern
1. Wozu absichern?
Es sieht sicher cool aus, wenn Sie im Garten sitzen und mit Ihrem Laptop
surfen.
- Da� Ihr Nachbar auf Ihre Kosten mitsurft, ist Ihnen egal? Lesen Sie
weiter.
- Da� er kostenpflichtige Angebote zu Ihren Kosten wahrnimmt,
ist Ihnen egal? Lesen Sie weiter.
- Da� in dem Golf da jemand sitzt, der gerade Kinderpornografie,
Rechtsradikales oder Spam-Mail hoch- oder runterl�dt, ist Ihnen
egal? Lesen Sie weiter.
- Da� deshalb bald die Polizei vor der T�r steht und SIE beweisen
m�ssen, da� Sie das nicht waren, ist Ihnen egal? Lesen Sie weiter.
- Da� derselbe b�se Hacker da in dem Golf
- international postet, da� bei Ihnen ein offenes Funknetz ist;
- von Ihrem Rechner aus in fremde Rechner eindringt;
- Ihre Passworte, Familienfotos, privaten Dokumente aussp�ht;
- Ihre Soundkarte anzapft und mith�rt, was Sie sagen;
ist Ihnen auch egal? Lesen Sie weiter.
- Schauen Sie mal ins DHCP-Logbuch Ihres Routers. Wenn da mehr
MACs auftauchen als Sie Rechner haben, wissen Sie, da� da jemand
�ber Ihren Rechner oder gar in Ihrem Rechner unterwegs war.
Ist Ihnen auch egal? Dann lesen Sie woanders weiter.
2. Was absichern?
Sie m�ssen Ihren Router und Ihr Laptop so einstellen, da� die beiden
abh�rsicher miteinander kommunizieren k�nnen.
Nebenbei gew�hnen Sie Ihrem Router dabei ein paar Ungezogenheiten ab.
2.1 Was ist ein Router?
Router, DSL-Modem und Access-Point ist f�r mich (heute zumindest)
dasselbe. Es ist der Sender/Empf�nger in Ihrem Netzwerk, der zul��t,
da� Ihr kabellos vernetzter PC mit ihm sprechen und �ber ihn surfen
kann.
Der PC ist dabei der Empf�nger/Sender.
2.2 Wie spricht man Router aus?
Keine Ahnung. Viele sagen Rauter, aber Ruuter wird auch verstanden.
2.3 Wie konfiguriert man den Router?
Zum Konfigurieren des Routers brauchen Sie normalerweise einen PC.
Den k�nnen Sie
- �ber ein Netzwerkkabel direkt an den Router anst�pseln ODER
- drahtlos mit dem kabellosen PC erreichen.
Wie sie Ihren Router erreichen, steht in der Betriebsanleitung,
zB http://192.16.100.13:9090. Das Anfangspasswort steht
auch drin, zB test, default, wlan, admin oder �hnliches.
3. Passwort �ndern
Gute Passw�rter
Gute Passw�rter
- haben mindestens 8 Zeichen;
- haben keinen Sinngehalt;
d.h., sie stehen nicht im W�rterbuch, nicht im Vornamenbuch und
nicht im Personalausweis;
- bestehen aus Gro�- und Kleinbuchstaben und Ziffern;
(Von Sonderzeichen rate ich ab. Es gibt Router, da darf man
�, �, ?, ~ (Tilde) als Passwort im "Neuses Passwort"-Dialog eingeben,
aber im Login-Dialog nicht. Da hilft nur noch der Reset-Knopf...
- Werden am besten gebildet aus einem sinnlosen Satz.
zB "Dumme User benutzen Windos, aber es gibt Etwas Besseres." wird
zum Passwort DUbWaegEB.
- werden nicht mittels Post-It am Monitor, unter der Tastatur oder
unter der Schublade "versteckt" (da w�rde ich zuerst suchen).
Sichern Sie Ihren Router auch gegen Dr�cken des Reset-Knopfes ab. Falls
den jemand dr�ckt, kann wieder jeder in Ihr Netz, und SIE MERKEN ES
NICHT.
4. SSID - System Set Identifier
Ihr Netzwerk hei�t vermutlich WLAN. Nehmen Sie etwas anderes, es darf
�hnlichkeit mit einem Passwort haben.
Bl�d: HERBERT_MEYER (Jedenfalls wenn Sie Herbert Meyer
hei�en).
Besser: i9ehjfbvi0qwehjbv08234f867.
Normale Router schreien ihren Namen in der Gegend herum. Der Kollege, der
gerade drau�en mit dem Golf und dem Laptop auf dem Beifahrersitz
herumf�hrt, wei� sofort, DASS da ein Funknetz ist und WIE es HEISST.
Stellen Sie das ab, zB durch Abw�hlen bei "SSID ver�ffentlichen".
So. Jetzt mu� der Kollege in dem Golf schonmal 5 Minuten parken, w�hrend
sein Laptop das Funknetz fragt: "Bist du Funknetz AAAA?" - "Nein." -
Bist du Funknetz AAAb?" - "Nein." - usw.
5. MAC-Filter
Jede Netzwerkkarte hat eine MAC-Adresse. Ich habe vergessen, wof�r die
Abk�rzung steht, aber sie sieht etwas so aus:
FE:DC:BA:87:54:32
d.h. 6 Zweiergruppen mit Ziffern von 0 bis 9 und A bis F, mit 5
Doppelpunkten dazwischen.
Jetzt m�ssen Sie zun�chst durchs Haus gehen und die MACs Ihrer Rechner
herausfinden. Das geht unter Windos zB mit getmac auf der
Kommandozeile (Start_Ausf�hren_command), unter Linux mit
ifconfig.
Nun k�nnen Sie Ihrem Router sagen: "Akzeptiere nur Verbindungen von
diesen MACs."
Wenn Sie eine neue Netzwerkkarte kaufen oder auswechseln, m�ssen Sie
deren MAC herausfinden und als erlaubt eintragen, sonst geht die
Karte nicht.
Der Kollege im Golf mu� nun schon 20 Minuten parken und eine spezielle
Software auf seinem Laptop laufen lassen, die alle m�glichen MACs in seinem
Rechner ausprobiert.
6. WEP-Verschl�sselung
Schalten Sie WEP mit mindestens 128 Bit Schl�ssell�nge am Router ein.
(Bevor Sie 256 Bit w�hlen, �berpr�fen Sie, ob Ihr Client (= Ihr Laptop)
das unterst�tzt.)
Sie m�ssen nun ein Passwort (auch: Passphrase, Kenn-Token, Auth-Ident o.�.)
eingeben. Dasselbe m�ssen Sie sp�ter auch den Clients eingeben.
Sobald Sie auf OK klicken, k�nnen Sie auf Ihr Funknetz nicht mehr
zugreifen. Jetzt sind die Clients dran:
Konfigurieren Sie die Kabellos-Netzwerkkarte auch auf WEP, 128 Bit,
mit derselben Passphrase. OK klicken, ggf. rebooten. Jetzt m��te
es wieder gehen.
Falls nicht, haben Sie ja noch den Reset-Knopf. F�r alles von vorn.
Nun mu� der Kollege im Golf mehrere Stunden Ihren Netzwerk-Verkehr
mitschneiden, um Ihr Passwort zu finden. Das WEP-Protokoll wurde
damals mit einer hei�en Nadel gestrickt, deshalb ist es nicht besonders
sicher.
Vermutlich f�hrt er lieber einen Block weiter und treibt seine Spielchen
�ber das dortige, sperrangelweit offene Funknetz.
7. WPA-Verschl�sselung
Wenn Sie k�nnen: benutzen Sie sie. Es gibt zwei Sorten:
- Die eine benutzt einen RADIUS-Server (sprich: Rejdijes-S�rwa) und
ist teuer.
- Die andere benutzt Pre-Shared Keys ("vorher verteilte Passw�rter")
und ist billiger. Sie m�ssen wieder ein Passwort f�r Router und
Clients vereinbaren und mit Zettel und Tastatur bekanntgeben.
WPA gilt als sicher. Keine parkenden Golfs mehr.
8. Schule absichern
Was jetzt kommt, wird vom Leiter des VDI-Seminar WLAN empfohlen,
ist aber ungetestet und ohne Garantie.
Wundern Sie sich auch, was Sch�ler mit Notebooks abends oder am Wochenende
auf Schulh�fe zieht? B�se Zungen glauben, sie saugen.
Sch�ler k�nnen sich SSIDs, IPs, Proxie-Adressen, MACs und notfalls sogar
PSKs aus den Schulrechnern holen. So funktioniert's nicht.
Festhalten:
Ziehen Sie den Stecker.
Eins steht fest: Das ist sicher.
M�glicherweise m�ssen Sie ihn nicht mal physikalisch ziehen. M�glicherweise
reicht eine mechanische Zeitschaltuhr oder ein kleiner schlauer
Linux-Router mit einem kleinen doofen CronJob.
end of document