Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi)

August 2015

Eine angepaßte Infrastruktur

Die erste Aufgabe beim Einrichten eines drahtlosen Netzwerkes besteht darin, die Access Points gemäß dem gewünschten Deckungsgebiet intelligent zu positionieren. Es kommt dennoch nicht selten vor, dass das tatsächlich abgedeckte Gebiet sehr viel größer ist als gewünscht. In diesem Fall ist es möglich, die Signalleistung des Access Points zu reduzieren, um seine Reichweite an das abzudeckende Gebiet anzupassen.

Vermeiden von Standardeinstellungen

Bei der Erstinstallation eines Access Points ist dieser mit den Werkseinstellungen versehen, u.a. auch betreffend das Kennwort des Administrators. Eine große Anzahl zukünftiger Administratoren geht davon aus, dass Einstellungsänderungen am Access Point nicht notwendig sind, solange das Netzwerk funktioniert. Allerdings garantieren die Standardeinstellungen nur minimale Sicherheit. Es ist daher unerlässlich, sich mit der Verwaltungsoberfläche zu verbinden (üblicherweise über ein Web-Interface eines bestimmten Ports des Access Points), insbesondere um das Kennwort des Administrators festzulegen.

Außerdem ist für eine Verbindung mit dem Access Point die Kenntnis der Netzwerkidentifikation (SSID) notwendig. Es wird daher ausdrücklich empfohlen, den Standard-Netzwerknamen zu ändern und dessen Ausstrahlung (broadcast) im Netzwerk zu deaktivieren. Die Änderung des Standard-Netzwerknamens ist umso wichtiger, als dieser den Hackern Auskunft über die Marke oder das Modell des verwendeten Access Points gibt.

Die Filterung von MAC Adressen

Jeder Netzwerkadapter (allgemeiner Begriff für Netzwerkkarte) besitzt eine ihm eigene physikalische Adresse (namens MAC Adresse). Diese Adresse besteht aus 12 hexadezimalen Ziffern, die nach Paaren gruppiert und durch Bindestriche getrennt sind.

Access Points erlauben üblicherweise auf ihrer Konfigurationsoberfläche die Verwaltung einer Liste mit Zugriffsrechten (namens ACL), die auf den MAC-Adressen jener Geräte aufbaut, die zu einer Verbindung zum Drahtlosnetzwerk berechtigt sind.

Diese Vorsichtsmaßnahme erlaubt es, den Netzwerkzugang auf eine bestimmte Geräteanzahl zu beschränken. Sie löst allerdings nicht das Problem der Vertraulichkeit der Kommunikation.

WEP - Wired Equivalent Privacy

Um das Problem der Vertraulichkeit der Kommunikation in drahtlosen Netzwerken zu beheben, bietet die Norm 802.11 ein einfaches Verfahren zur Datenverschlüsselung an. Es handelt sich um WEP, Wired equivalent privacy.

Das WEP ist ein Protokoll zur Verschlüsselung der 802.11-Datenrahmen unter Verwendung eines symmetrischen Algorithmus namens RC4 mit Schlüsseln einer Länge von 64 Bits oder 128 Bits. WEP beruht darauf, zunächst einen Geheimschlüssel einer Länge von 40 oder 128 Bits festzulegen. Dieser Geheimschlüssel muss dem Access Point und den Clients angegeben werden. Der Schlüssel dient dazu, eine pseudo-zufällige Zahl gleicher Länge wie der Datenframe zu generieren. Jede Datenübertragung ist somit mit Hilfe einer pseudo-zufälligen Zahl als Maske verschlüsselt, dies dank eines exklusiven ODERs zwischen der pseudo-zufälligen Zahl und dem Datenframe.

Der von allen Stationen geteilte Sitzungsschlüssel ist statisch, d.h. für den Aufbau einer großen Anzahl an WiFi-Stationen müssen alle mit demselben Sitzungsschlüssel eingerichtet werden. Somit ist die Kenntnis des Schlüssels für die Dechiffrierung der Kommunikation ausreichend.

Außerdem dienen 24 Bits des Schlüssels ausschließlich der Initialisierung, was für die eigentliche Verschlüsselung nur 40 Bits eines 64-Bit-Schlüssels bzw. 104 Bits eines 128-Bit-Schlüssels übriglässt.

Im Fall eines 40-Bit-Schlüssels kann eine Brute-Force-Attacke (d.h. das Ausprobieren sämtlicher möglicher Schlüssel) dem Hacker ein rasches Finden des Sitzungsschlüssels ermöglichen. Außerdem ist auf Grund einer von Fluhrer, Mantin und Shamir entdeckten Lücke in der Generierung der pseudo-zufälligen Kette die Möglichkeit gegeben, den Sitzungsschlüssel zu entdecken, indem eine mutwillig produzierte Datenmenge im Ausmaß von 100 MB bis 1 GB gespeichert wird.

WEP reicht daher nicht aus, um eine wirkliche Vertraulichkeit der Daten zu gewährleisten. Es wird daher ausdrücklich empfohlen, zumindest einen WEP-128-Bits-Schutz einzurichten, um ein Mindestmaß an Vertraulichkeit zu sichern und auf diese Art 90% des Risikos eines Eindringens zu vermeiden.

Verbesserung der Authentifizierung

Für eine wirksamere Verwaltung der Authentifizierungen, Berechtigungen und Benutzerkonten (auf englisch AAA für Authentication, Authorization, and Accounting) besteht die Möglichkeit der Verwendung eines RADIUS-Servers (Remote Authentication Dial-In User Service). Das RADIUS-Protokoll (spezifiziert durch die RFC 2865 und 2866), ist ein Client/Server-Verfahren, das die zentralisierte Verwaltung der Benutzerkonten und ihrer Zugriffsrechte ermöglicht.

Einrichtung eines VPN

Für Kommunikationen, die eines hohen Sicherheitsniveaus bedürfen, empfiehlt sich die Verwendung eines leistungsstarke Verschlüsselung der Daten mittels Einrichtung eines virtuellen privaten Netzwerks (VPN).

Laden Sie sich den Artikel kostenlos als PDF-Datei herunter, um ihn jeder Zeit Offline lesen zu können:
Die-sicherheit-der-drahtlosen-wifi-netzwerke-802-11-oder-wifi .pdf

Das könnte Sie auch interessieren


Wi-Fi wireless network security (802.11 or WiFi)
Wi-Fi wireless network security (802.11 or WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Sécuriser un réseau WiFi
Sécuriser un réseau WiFi
La sicurezza delle reti senza fili Wi-Fi (802.11 o WiFi)
La sicurezza delle reti senza fili Wi-Fi (802.11 o WiFi)
A segurança das redes sem fios Wi-Fi (802.11 ou WiFi)
A segurança das redes sem fios Wi-Fi (802.11 ou WiFi)
Das Dokument mit dem Titel « Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi) » aus CCM (de.ccm.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.ccm.net) des Dokuments hinweisen.