Donnerstag, 25. März 2010

Checkliste für WLAN-Sicherheit

Ziele

WLAN-Router Diese Checkliste hat das Ziel, die Sicherheit von einfachen, privat oder beruflich genutzten Wireless-LAN - Routern zu verbessern (KMU, Small-Office-Home-Office, SOHO) und richtet sich an den Administrator. Diese Geräte werden zwischen dem eigenen PC bzw. LAN und dem DSL eingesetzt. Die Liste legt Wert auf größtmögliche Vollständigkeit, sie ist nicht nach Wirksamkeit / Wichtigkeit sortiert. Sie ist nicht geeignet einen professionellen Hotspot oder ein Mobile Mesh zu sichern.
Bitte prüfen Sie alle Punkte auf ihre Anwendbarkeit in Ihrer spezifischen Situation. Ergreifen Sie am besten mehrere Maßnahmen gleichzeitig, verlassen Sie sich nicht auf die Wirksamkeit einer oder einzelner Maßnahmen.
 

Checkliste für mehr WLAN-Sicherheit


  • Zuerst das Standard-Passwort bei der Verwaltung des WLAN-Routers ändern! Eine Liste mit Standard-Passwörtern befindet sich hier. Einen Passwortgenerator gibt es hier.
  • Standard-SSID ( Service Set Identifier) des Routers und der Geräte so ändern, dass kein Hinweis auf Standort oder Betreiber enthalten ist! (GPS-unterstützte Scanner finden den Standort Ihres WLAN auf ein paar Meter genau)
  • Gibt es eine neue Version der im WLAN-Router eingebauten Software (Firmware-Upgrade)? ChangeLog lesen. Alte Version sichern. Die Einstellungen sichern, nachher Einstellungen kontrollieren...
  • Gibt es eine aktuellere Version der Treiber bzw. Anwendungssoftware für die Clients? Installieren. ChangeLog lesen.
  • Verschlüsselung bei allen angeschlossenen Geräten auf die höchste, mögliche Methode stellen. Details siehe hier.
  • Ankündigung Ihrer SSID (Broadcast) abschalten, damit nicht jeder die Daten geschenkt bekommt (Beacon).
  • Wenn Sie als Zugang T-Online verwenden, sollten Sie unbedingt die extra Authentisierung wieder einschalten (Automatik abschalten).
  • Auf die verschlüsselte Verbindung zwischen Gerät und Server über den WLAN-Router noch zusätzlich ein VPN oder das IPSec legen.
  • Passwörter für WPA lang und hochqualitativ wählen! 28 Zeichen, dabei Sonderzeichen, Ziffern ist ok. Vergl. Heise-Artikel. Nutzen Sie Diceware?
  • Regelmäßig diese Passwörter wechseln! Auch wenn ein Benutzer das WLAN verlässt ("freigestellt", gekündigt) sollte der Schlüssel umgehend geändert werden.
  • Reichweite des WLAN selber prüfen/messen. Gegebenenfalls Antennen korrigieren, um die WLAN-Leistung auf die notwendigen Bereiche zu beschränken. Vergl. WLAN-Reichweite erhöhen.
  • Enthaltenen DHCP-Server abschalten, statt vom Router lieber von einem extra Server aus produzieren, der besser konfiguriert werden kann.
  • Aufstellung des WLAN-Routers mit dem Datenschutz-Beauftragten und der IT-Abteilung abstimmen.
  • Recherche im Internet nach Erfahrungen, Angriffen und Schutzmaßnahmen (z.B. "Exploits", "Advisory") für Ihre Geräte durchführen. Gewonnene Erkentnisse umsetzen.
  • (Security-)Newsletter des Herstellers bestellen und lesen.
  • MAC-Access Lists mit den Daten der Clients füllen und den MAC-Filter auch aktivieren (gilt als kaum noch wirksam, nichtsdestrotrotzdem)
  • Zur Administration des WLAN-Routers nicht Klartext (HTTP oder Telnet) verwenden, sondern verschlüsselte Verbindungen (HTTPS, SSH) nutzen.
  • Die Remoteadministration des WLAN-Routers von außen abschalten / sperren. Vergl. Sicherheitslücke in D-Link-Routern (Quelle:Heise) und hier.
  • Unnötige Services, wie z.B. SNMP, abschalten.
  • Sicherheitssteigernde Services (z.B. IDS, IPS, Alerts, Warnings) einschalten. Betriebsrat informieren.
  • Logbücher regelmäßig an einen vertrauenswürdigen Server übertragen lassen. Logbücher regelmäßig auswerten.
  • Meldungen, z.B. über gerade von dem WLAN-Router identifizierte Angriffe, an einen vertrauenswürdigen Account schicken (SMTP).
  • Adress-Übersetzung (NAT) einschalten (NAT ist kein Paketfilter).
  • Im WLAN-Router enthaltene Firewalls oder Packetfilter aktivieren.
  • Vor den am WLAN angeschlossenen Geräten ebenfalls Firewalls / Packetfilter aufstellen bzw einschalten, damit der per WLAN übertragene Datenverkehr beschränkt wird.
  • Den durchlaufenden Verkehr auf dem WLAN-Router gelegentlich überwachen (Sniffer).
  • Den WLAN-Router von einem Rechner außerhalb des eigenen Netzwerkes auf offene Ports scannen.
  • WLAN von "Ad-hoc" auf "Infrastructure" umstellen, ungenutztes WLAN abschalten.
  • Sicherere Authorisation über einen RADIUS-Server prüfen.
  • Prüfen Sie, wie sich der WLAN-Router nach einem Stromausfall verhält: Sind alle Einstellungen noch da oder lässt er wieder alle (!) WLAN-Clients zu.
  • Unzulässiger Durchgriff von außen auf die Router-eigene Verzeichnisse und Dateien überprüfen.
  • Wer über einen eingerichteten PC im WLAN akzeptiert ist, kann sämtlichen Verkehr mitlesen. Verschiedene Benutzergruppen in verschiedenen WLAN bzw. auf unterschiedlichen Kanälen (Channel) betreiben.
  • Informieren Sie im Voraus ihre Mitarbeiter / Mitbewohner / Familienmitglieder über die Risiken des WLAN, über den richtigen Umgang mit Passwörtern, Geräten.
  • Überlegen Sie sich schon im Voraus eine Reaktion für den Fall, dass Ihr WLAN trotzdem kompromitiert wurde. Informieren Sie die Mitarbeiter / Familienmitglieder, was sie in diesem Fall tun sollen.
  • ...
Wenn Sie in dieser Checkliste noch eine sinnvolle Maßnahme vermissen oder einen Fehler sehen, so lassen Sie es Beil Problem Solutions bitte wissen. Schicken Sie einfach eine E-Mail ... 

Verschlüsselungsverfahren

Sollte man eine Verschlüsselung beim WLAN aktivieren? Natürlich! Aber welche?
  • Offenes Netz / "disabled" = Jedermann kann auf Ihre Kosten und Ihre Verantwortung alles im Internet machen.
  • WEP = bereits geknackt, unsicher, aber besser als "offen". Es sollte die längste, mögliche Verschlüsselung gewählt werden ("104/128bits", genannt WEPPlus). Weiterhin sollte TKIP (sprich "Tee-Kip") eingeschaltet werden. Die Einbruchsverzögerung in ein WEP-geschütztes WLAN beträgt möglicherweise nur ca. 3 Minuten, (Quelle: Heise, anbei Link zum Programm , Erkenntnisse Stand 06.05.2005)
  • WPA ("Wi-Fi Protected Access") mit EAP = Diese Version der Verschlüsselung erfordert einen zusätzlichen Server-Dienst, z.B. RADIUS oder TACAS. Über den Dienst kann den Zugang der Anwender mit passender Client-Software noch beliebig genau gesteuert werden, z.B. Benutzer erlauben oder verbieten, bestimmte Zeiten erlauben oder sperren...
  • WPA-PSK ("Wi-Fi Protected Access" mit "Preshared Key" ) = noch erträglich, unsicher, aber besser als "WEP", abhängig von der Qualität des verwendeten Passworts (siehe dort).
  • 802.11i = modernste, neueste, sicherste Möglichkeit. Braucht aber neuste, modernste Hardware. :-(
  • WPA2 ?
Merke: die schlechteste Verschlüsselungslevel bestimmt eventuell den Level des ganzen WLAN-Routers - ein Gerät, dass nur WEP kann und der Router schaltet alle Geräte von WPA auf WEP herunter! 

Weitere Quellen

Weitere Quellen für Informationen zum Thema Sicherung von WLAN-Routern finden Sie hier:
Bereich
Region
Hessen
  • Rechtliche Überlegungen bei der Einrichtung, Betrieb, Überprüfung eines WLAN
  • Hessische Broschüre Wireless-LAN: Stand und Entwicklungspotenzial, Nutzungsansätze für KMU Download , Kapitel 3.3., S.15
Deutschland
Ausland
Wenn Sie noch weitere, gute Informationsquellen wissen, so senden Sie uns bitte einen Link dorthin.

Grenzen

Die Liste beansprucht keine Vollständigkeit. Sie kann jederzeit geändert, ergänzt oder korrigiert werden. Die Befolgung der Vorschläge erfolgt auf eigenes Risiko und Gefahr. Eine Garantie für die Funktionalität wird nicht übernommen. Die Reihenfolge der einzelnen Punkte ist zufällig und bedeutet keine Priorisierung. Die Liste umfasst keine physische oder physikalische Sicherungsmaßnahmen. Routing, ACL und Authentication werden nicht thematisiert.
Es ist ein Fehler bei diesem Gadget aufgetreten.