Wlan Sicherheit - welche Sicherheit?

In der letzten Ausgabe ging es um die Hintergründe, warum Funknetzwerke im besten Fall nur den blassen Farbton Eurer Haut aufbessern. Jetzt soll es um die Sicherheit in Funknetzwerken gehen- bei Euch und vor allem bei allen anderen zu Hause. Was passieren kann, wenn der Nachbar seine Videosammlung onLine stellt, obwohl er kein Telefon, geschweige denn einen Breitbandanschluss hat und wie die Sache an unserer Fakultät aussieht, erfahrt Ihr hier.

Die eine Gruppe kann ihn sich erst kurz vor Beginn der Diplomarbeit leisten und freut sich, nun endlich den Punkt erreicht zu haben, an dem reiche BWLer schon im ersten Semester sind, nämlich selbst in langweiligen Vorlesungen hoch konzentriert im Internet zu surfen.

Immer mehr Laptops verfügen über ein Feature, das ganz besondere Freuden verspricht: Die eingebaute WLAN-Karte. Zwar gibt es das WLAN in seiner jetzigen Form schon seit 1997, doch für den normalen Endbenutzer, der seinen Computer als internetfähige Schreibmaschine benutzt, wird die Sache erst seit kurzem interessant. Die einfachen PCMCIA-Karten, die in der Regel nicht mehr als 30 Sekunden Aufmerksamkeit benötigen, stellen für viele eine zu große Hürde dar.

Das passende Gegenstück, den Accesspoint gibt es günstig zum DSL-Anschluß dazu. Auch diese sind einfach zum Laufen zu bekommen: Strom- und Netzwerkkabel einstecken genügen in der Regel. Nur leider geht die einfache Installation auf Kosten der Sicherheit. In der Vorkonfiguration sind die Sicherheitsfunktionen abgeschaltet, damit es wirklich für jeden funktioniert.

Wie sieht es an der HU aus?

Es wird der WiFi-Standard (802.11b) benutzt. Diesen sollte die eigene Funknetzwerkkarte unterstützen, wenn man auch im Aquarium nur einen Klick von den neusten Börsenkursen entfernt sein will.

Die HU setzt auf drei Mechanismen damit das Netzwerk sicher wird. Um das WLAN der HU benutzen zu können, muss sich der Surfer authentisieren, was für Studenten oder anderweitig Berechtigte zulässig ist. Anonyme Benutzung ist theoretisch nicht möglich. Außerdem wird der Datenstrom verschlüsselt und es gibt geschlossene Benutzergruppen.

1. Authentisierung

Die Erstanmeldung erfolgt über eine Website. Dort gibt der Funknetzwerkkartenbesitzer seinen Namen sowie die MAC-Adresse der WLAN-Karte ein. Das hat nichts mit Apple Macintosh zu tun, sondern ist eine auf jeder Netzwerkkarte gespeicherte eineindeutige Nummer.

Es gibt zwei Möglichkeiten diese Nummer zu ändern. Die hardwarebasierte liegt nicht jedem, zumal sie die Garantie unter Umständen beendet. Der Chip auf der Karte wird überschrieben. Der andere Weg geht über die Software. Die MAC-Adresse wird vom Betriebssystem zwischengespeichert. Der Speicherbereich läßt sich zum Beispiel mit Hilfe der Software SMAC beliebig ändern. So ist es möglich, sich der Nummer eines Kommilitonen zu bedienen, um bestimmte Seite aufzurufen.

2. Verschlüsselung

Es gibt zwei Arten der WLAN-Verschlüsselung: WEP und WPA. Die HU setzt auf WEP, wo der verschlüsselte Datenverkehr einen 40bit langen Code verwendet. Das hört sich nach einer Menge Möglichkeiten an. Allerdings wurde bei der Entwicklung der WEP-Verschlüsselung geschlampt, so dass 6 Millionen abgefangene Datenpakete ausreichen um zum Beispiel mit der Software WEPCrack oder AirSnort den Code zu cracken. Das dauert unter günstigen Umständen 40 Minuten und ist in der Regel nach vier Stunden abgeschlossen. Die bei uns nicht verwendetete WPA-Verschlüsselung stellt allerdings nur bedingt eine Alternative dar. Sie kann seit November 2004 ebenfalls gecrackt werden, wie TinyPEAP gezeigt hat.

Das ist natürlich illegal! Zwar ist die Chance auf Entdeckung ist gering, aber die Polizei ist Verdachtsfällen schon nachgegangen. Seit es WLAN auch für PDAs gibt, ist es nicht einmal mehr notwendig, mit dem recht auffälligen Laptop irgendwo herumsitzen, sondern es reicht ein eingeschaltetes Pad in der Innenjackentasche.

Auf der Seite der HU wird darauf hingewiesen: „Bei der Verschlüsselung selbst handelt es sich um ein symmetrisches Verfahren, mit den bekannten Nachteilen.“

3. Geschlossene Benutzergruppe (WNN)

Die Erwähnung lohnt kaum. Auf der Webseite des Rechenzentrums heißt es dazu: „Die schützende Wirkung des WNN ist aber in letzter Konsequenz gering […]“

WEP-Pin ausgelesen – Na und?

Alles was nicht über eine extra verschlüsselte Verbindung wie SSL oder IPsec läuft ist im Klartext sichtbar. Eine Firewall hat damit überhaupt nichts zu tun. Es ist möglich den Datenstrom zwischen Netzwerkkarte und Accesspoint in Kopie mitzulesen. In der Regel betrifft das alle Webseiten mit Inhalt, die besucht wurden, Formularfelder inklusive der Passwortfelder, die Passwörter für eMail-Konten und natürlich den Inhalt der eMails.

Wohlgemerkt: Dies gilt nicht für Daten die mit SSL übertragen werden! Doch leider bieten das nur die wenigsten Webseiten und oft erfordert es einen extra Klick. Im Falle von IPsec wird sogar eine separate Installation fällig.

Was tun zu Hause?

Wem jetzt Angst und Bange geworden ist, ob sein Netzwerk zu Hause sicher ist, hier noch ein wenig Hintergrundwissen für die gesundende Paranoia: In bestimmten Kreisen ist der Bau von entsprechenden Spezialantennen mit Hilfe leerer Pringles-Packungen im Moment hip. Doch wer nicht nur einen halben, sondern einen ganzen Kilometer weit entfernt sein Lauschquartier aufschlagen möchte, der kann mit wenig finanziellen Aufwand noch bessere Antennen bauen. Kaufen geht natürlich auch.

Wem es nichts ausmacht, dass Fremde einen Teil der Datenrate für sich benutzen und wer außerdem seine Firewall hinter und nicht vor das WLAN gepackt hat, der läuft immer noch Gefahr, unbegründet verdächtigt zu werden, weil über die eigene IP-Adresse ein krummes Ding gedreht wurde. Und im harmlosen Fall sind es bloß Musikvideos.

Das sollte getan werden: Passwort des Accesspoints auf zwölf Stellen ändern. Keine Wörter verwenden, die in der eigenen oder einer fremden Sprache vorkommen. Eigenen SSID-Namen vergeben. SSID Broadcast ausschalten. Trotz der Möglichkeit MAC-Nummern zu ändern, sollte nur bestimmten Nummern der Zugang erlaubt sein. Das gleiche gilt für WEP und WPA: Am besten mit der höchsten Verschlüsselung einschalten.

Fazit

Eines sollte klar sein: Es wird immer Mittel und Wege geben, um an geschützte Daten zu kommen. Es lässt sich ein wenig mit der Wohnungstür vergleichen. Die lässt sich abschließen, einfach zuziehen oder ganz offen lassen. Für den letzten Fall ist nur eine gewisse Hemmschwelle zu überwinden, bei den beiden anderen steigt der Aufwand.

So lange es zahllose Wohnungen gibt, die im Ein-Kilometer-Radius um ihre Wohnungen Netzwerkanschlüsse mit Jeder-Freigaben liegen haben, wird sich kaum einer die Mühe machen drei Stunden im Auto vor dem Haus zu hocken um den WEP- oder WPA-Key zu cracken.

Totale Sicherheit gibt es nicht. Das lässt sich einfach und eindringlich am Beispiel Amerika vor Augen führen. Dass US-Amerikaner, wenn sie nicht weiterwissen, zu Mitteln greifen, die eher einem Schurkenstaat zuzuschreiben sind, ist Netznutzern seid den Anfängen von Echelon im Internet 1995 bekannt. Seid dem Skandal, bei dem die Vereinigten Staaten von Amerika den Chef der Internationalen Atomenergiebehörde (IAEA) El Baradei abgehört haben, ist es auch zu den Feuilleton-Lesern vorgedrungen.

Wer wirklich sicher sein will, dem bleibt bloß eine permanente Verschlüsselung aller Daten mit GnuPG oder PGP. Zumindest letztes Programm verschlüsselt so stark, dass es Waffencharakter besitzt und aus den USA nicht exportiert werden darf.

Das Kleingedruckte

Der Artikel soll aufzeigen, wie einfach es ist, in fremde Netze einzudringen und eventuell fremde Daten mitzulesen. Sinn ist es, Euch für die Sicherheit zu sensibilisieren. Bevor Ihr davon irgendetwas ausprobiert, lest das Telekommunikationsgesetz in seiner aktuellen Fassung. Allein der Versuch ist unter Umständen strafbar!

Selbst wenn sich Eure Unschuld herausstellt, wie erklärt Ihr dem Staatsanwalt Eure vielen Filme auf dem Rechner, wenn der Kinostart noch in der Zukunft liegt?

Also seid wachsam, Euer Heinrich