Letzte Aktualisierung: 31. Dezember 2011 |
1117414 | Anbieterkennzeichnung
Sicherheit ist immer ein großes Thema. Besonders bei Funknetzen. Doch von Sicherheit reden ist eine Sache, ein Funknetz sicher machen eine andere. Zunächst muß man wissen, daß es nicht einen einzigen bestimmten Schalter gibt den man einschaltet und dann ist das Funknetz sicher.
Es gibt grundsätzlich zwei Schwachstellen in einem Netzwerk: Angriffe von außerhalb und Angriffe von innerhalb. Ein Angreifer von außerhalb versucht als erstes, sich die Zugangsdaten zum Funknetz zu erschleichen. Also genau die Daten, die jeder berechtigte Teilnehmer besitzen muss um am Funknetz teilnehmen zu können. Darum ist der erste Schritt zur Sicherheit, allen berechtigten Teilnehmern klarzumachen daß die Geheimhaltung der Zugangsdaten in ihrem eigenen Interesse ist.
Man kann die Geheimhaltung der Zugangsdaten beispielsweise dadurch realisieren, daß man die Rechner der Teilnehmer nicht direkt in das Funknetz einbindet sondern über einen dedizierten, das heißt eigenständigen WLAN-Client. Einige Accesspoints kennen die Betriebsart "Client Mode". Dabei wird der Accesspoint zu einer Art Modem. Auf der einen Seite das Funknetz, auf der anderen Seite das häusliche Netzwerk des Funknetzteilnehmers.
Dieses "Funkmodem" wird mit den Zugangsdaten vorkonfiguriert und mit einem möglichst langen und u.A. aus Sonderzeichen bestehendem Paßwort gesichert. Beides sollte nur dem Administrator des Funknetzwerks bekannt sein. Sonderzeichen im Paßwort haben sich insofern bewährt als daß einschlägige Hacker-Tools einen größeren Bereich an möglichen Zeichenkombinationen abdecken müßten und zweitens die meist englischsprachigen Tools einige Sonderzeichen gar nicht beherrschen.
Wählt man hier noch eine starke Verschlüsselung, z.B. WPA2 (PSK-Pre Shared Key oder dessen "großen Bruder" WPA2-RADIUS) so sollte das Funknetzwerk gut gesichert sein gegen Angriffe von außen. Ein Angreifer müßte zunächst die Verschlüsselung des Funknetzes überwinden und dann auch noch die Paßwortsperre überwinden bevor die WPA2-Sicherung einen neuen Funknetz-Schlüssel vergibt (wechselt alle paar Minuten). Schließlich müßte er auch noch, um den so ergaunerten Zugang "nutzbringend" verwenden zu können, einen eigenen Account anlegen.
Oft zielen die Attacken jedoch nicht auf die eigentliche Netzwerk-Infrastruktur sondern gegen die Rechner der jeweiligen Teilnehmer. Entweder sind für den Angreifer die Daten auf den Teilnehmerrechnern interessant (Zugangsdaten zu Onlinebanking etc.) oder man versucht, einen der Teilnehmerrechner als Einfallstor in die übergeordnete Infrastruktur zu nutzen. Somit wird der Teilnehmerrechner zum Angreifer.
Darum sollte man bei der Planung des Funknetzwerks jeden Teilnehmer als potentiellen Angreifer betrachten. Damit ist weniger die Person als deren Rechner gemeint. Die allgemeine Problematik von Sicherheitslücken in Software (beispielsweise in Webbrowsern) ist ja hinlänglich bekannt. So können schädliche Programme ohne das Wissen des Besitzers auf einem Rechner in Stellung gebracht werden.
Auch mit Blick auf dieses Szenario hat sich der Einsatz dedizierter WLAN-Client-Geräte bewährt. Wie schon erwähnt trennt ein solcher Client zwischen dem öffentlichen Funknetz und dem lokalen Netzwerk des Teilnehmers. Richtig konfiguriert kann ein solcher WLAN-Client als Firewall arbeiten. In diesem Fall ist das lokale Netz des Teilnehmers die unsichere Zone, die es gegen die sichere Zone des öffentlichen Funknetzes abzuschotten gilt.
Diese Methode bringt den zusätzlichen Vorteil, daß sich die einzelnen Teilnehmerrechner nicht mehr in einem gemeinsamen logischen Netzwerk befinden. Die direkte Kommunikation der Rechner untereinander ist damit ausgeschlossen. Das unterbindet zwar die Nutzung des ortsinternen Netzes z.B. für Netzwerkspiele, aber der primäre Zweck des Funknetzes soll ja auch auf der Verteilung von Breitbandinternet liegen. Nicht zuletzt würde eine solche Rechner-zu-Rechner-Kommunikation die Möglichkeit des Funknetzbetreibers unterminieren, die verfügbare Bandbreite des ortsinternen Funknetzes angemessen zu verteilen.