Vor ein paar Tagen wurde ich über Twitter auf einen Artikel aufmerksam, der sich “Fünf Tipps für ein sicheres WLAN” nennt. Cool, so dachte ich, denn schließlich ist das eine oft gestellte Frage, wie man denn sein heimisches WLAN so absichern soll. Leider musste ich schnell feststellen, dass drei von den Tipps einfach falsch sind, da sie keine Relevanz für ein “sicheres WLAN” haben. Einer davon hat obendrein einen gegenteiligen Effekt, indem er sogar mehr über das eigene WLAN preis gibt, als ohne. Oh man! Ich verstehe nicht, wieso auch heute noch falsche Tipps fürs WLAN gegeben werden, wobei die Profis, die solche Artikel schreiben, es eigentlich besser wissen müssten.
Hier daher eine Auflistung der Tipps, die wirklich etwas bringen. Ergänzend natürlich auch die Begründung, wieso die anderen nichts bringen.
[UPDATE 2023: Bei einem Check der kaputten Links auf meinem Blog stellte ich fest, dass der ursprüngliche Artikel gar nicht mehr vorhanden ist. Dafür gibt es auf der gleichen Homepage einen neueren Artikel mit einem ähnlichen Titel: “Drei Tipps für ein sicheres WLAN“. Man sieht direkt, dass die Anzahl der Tipps von fünf auf drei reduziert wurde. ;) Auch kann man attestieren, dass die dort gelisteten Tipps zumindest keinen absoluten Nonsense mehr sind. Immerhin. Das dort erwähnte “wechselnde Passwörter” ist trotzdem Quatsch.]
Es kommt nur auf den Schlüssel an!
Das A und O bei einem WLAN ist die verwendete Verschlüsselung und das Passwort (Pre-Shared Key): Es muss die Methode “WPA2/AES” gewählt werden und das Passwort muss komplex sein, sprich, aus mindestens 16 zufällig gewählten Buchstaben und Zahlen bestehen. Dieses Passwort sollte dann natürlich nur vertrauenswürdigen Personen ausgehändigt werden. Ist das WLAN durch diesen starken Schlüssel abgesichert, so kann kein Angreifer in das WLAN eindringen, da er den Schlüssel nicht knacken kann. Zusätzlich sollte die Benutzeroberfläche des WLAN-Routers ebenfalls durch ein Passwort gesichert sein.
Der Witz bei der Sache ist nun, dass das bereits vollkommen ausreicht, um das WLAN vor Angreifern zu schützen. Egal wie mächtig der Angreifer auch sein mag, er kann den Schlüssel nicht knacken. Fertig aus.
Was hingegen nichts bringt…
- MAC-Adressen Filter: Auch in anderen Beiträgen bezüglich sicherer WLANs wird geschrieben, dass man nur die MAC-Adresse von bekannten WLAN-Clients zulassen soll. Tatsächlich bringt das aber *keinen* Sicherheitsgewinn. Ein Angreifer kann ohne Probleme seine eigene MAC-Adresse in eine ändern, die bereits vorher im WLAN bekannt war, um diesen “Schutz” zu umgehen. Eine legitime MAC-Adresse erhält er durch gezieltes Mithorchen des WLAN-Verkehrs, welcher auch mit Verschlüsselung offen legt, welche MAC-Adressen im WLAN aktiv sind. Um Angreifer fern zu halten, muss man eine starke Verschlüsselung einsetzen (siehe oben). Legitime Personen wiederum erhalten sowieso erst vom WLAN-Betreiber das Kennwort, um das WLAN nutzen zu können. Kein Kennwort – kein WLAN, egal ob mit oder ohne MAC-Filterung. Sprich: Es bringt nichts, außer, dass der WLAN-Betreiber mehr Aufwand hat, da er für jeden Client erst die MAC-Adresse speichern muss (was zusätzlich nervt, wenn beispielsweise die 3 Freunde mit ihren unterschiedlichen Smartphones mal eben ins WLAN möchten).
- SSID verstecken: Es mag zwar auf den ersten Blick vernünftig erscheinen, den eigenen Netzwerknamen zu verstecken. Aber auch hier kann ein Angreifer durch gezieltes Mithören des WLAN-Verkehrs schnell herausfinden, wie das Netzwerk heißt. Alle WLAN-Clients schicken nämlich gezielte Probe Requests mit dem bereits konfigurierten Namen des WLANs durch die Gegend um herauszufinden, ob eben dieses vorhanden ist. Da das unverschlüsselt geschieht, sieht der Angreifer auch sofort den Namen des WLANs. Das Verstecken der SSID bringt also ebenfalls *keinen* Sicherheitsgewinn und nervt eher, da legitime Benutzer ihn erst noch eintippen müssen. Schlimmer noch: Da manche WLAN-Clients die Namen ALLER jemals konfigurierten WLANs immer wieder aussenden, kann es sogar sein, dass der Name des eigenen WLANs konstant und überall durch solche Geräte angepriesen wird. Es wird also das Gegenteil erreicht: Anstatt das WLAN zu verstecken, wird es an anderen Orten bekannt gegeben. (Und überhaupt ist “Security by Obscurity” sowieso schlecht.)
- WLAN Sendeleistung reduzieren: Wozu? Durch das WLAN-Kennwort kommt doch sowieso kein Angreifer in das WLAN rein. Warum soll ich also den Empfangsbereich meines WLANs zusätzlich beschränken? Dieser “Tipp” erzeugt meiner Meinung nach lediglich ein falsches schlechtes Gewissen bei allen normalen Anwendern, die sich eher ein noch stärkeres WLAN wünschen, anstatt es abzuschwächen.
- DHCP-Server abschalten: Ich kann mich nur wiederholen: Das WLAN wird durch das Passwort abgesichert! Ist dieses gut (also komplex), so kommt kein Angreifer rein. Ist das WLAN-Kennwort schlecht/schwach, dann wäre es absurd zu behaupten, dass ein Angreifer durch das nicht Vorhandensein eines DHCP-Servers keinen Schaden im WLAN anrichten könnte. Er muss lediglich kurz den WLAN-Traffic mitschneiden um zu sehen, welcher IP-Bereich verwendet wird, um sich dann eine eigene IP-Adresse aus diesem Bereich zu geben. Somit würde auch hier eine Abschaltung des DHCP-Servers lediglich dafür sorgen, dass nahezu alle normalen Anwender davon abgehalten werden, das WLAN unkompliziert zu verwenden, während ein Angreifer höchstens 10 Sekunden schmunzeln muss und sich danach bedankt.
Fazit
Liebe WLAN-Betreiber: Benutzt WPA2 und einen komplexen Schlüssel. Das reicht vollkommen aus. Lasst euch nicht von anderen “Tipps” irritieren.
Liebe “Wie betreibe ich ein sicheres WLAN”-Autoren: Bitte verwirrt eure Leser nicht weiterhin mit “Tipps”, die keinen Sicherheitsgewinn bringen. Ihr würdet vielmehr Gutes tun, indem ihr lediglich das Nützliche verkündet und alles Lästige gar nicht erwähnt.
Links
Immerhin gibt es ja auch andere seriöse Quellen, die nichts nutzende Tipps aufklären (obgleich oft in Englisch):
- Datenschutz.org: WLAN: Das Passwort sichert den Zugang zum Internet
- Heise: SSID Broadcast besser an
- Microsoft TechNet: Why Non-broadcast Networks are not a Security Feature
- PCWorld: 5 Wi-Fi security myths you must abandon now
- ZDNet: The six dumbest ways to secure a wireless LAN
There is one additional security measure that is not often cited;:
change the name of your network to one that is not used (often).
The reason being that the network name is used as salt before the hashing is done that generates the actual key used for encrypting WiFi data.
A changed name makes attacks based on tables of pre-calculated hashes (rainbow tables) ineffective. But if the network name is for example the factory default, a rainbow table can be very effective.