Wireless LANs optimieren

 

 

 

 

 

Funknetze sind auf Grund rapide fallender Einstiegspreise inzwischen für jedermann erschwinglich. Die Einrichtung eines eigenen WLANs ist einfach, doch ohne Reue funkt nur, wer Sicherheit groß schreibt.

 

 

Die Installation und Konfiguration von Funknetzen ist heute dank vorkonfigurierter Hardware verhältnismäßig leicht. Bei kleinen Netzen, die meist aus nur wenigen Stationen bestehen, geschieht dies in der Regel fast automatisch. Der Nachteil dieses Luxus: fehlende Sicherheit. Denn praktisch alle Funknetze sind in der werksseitigen Voreinstellung offen für jedermann. Es reicht, dass ein  WAN-Notebook zufällig in die Funkzelle eines anderen Netzes gerät - schon bucht es sich automatisch in dies fremde Netz ein,  DHCP auf Server und Client vorausgesetzt.

Manchmal mag das sogar erwünscht sein, zum Beispiel in Meetings, wenn Präsentationen ohne weitere Konfiguration auf den Notebooks der Teilnehmer erscheinen sollen, oder an kostenpflichtigen, öffentlich zugänglichen Hot Spots wie etwa Flughäfen. Für den Einsatz im Firmen- LAN oder zu Hause müssen allerdings zusätzliche Sicherungsmaßnahmen gegen unbefugtes Einloggen oder Mithören getroffen werden.

Dieser Beitrag liefert Ihnen wichtige Informationen zur Installation von WLAN-Clients und Access Points (APs) und beschreibt empfehlenswerte Verfahren zur Optimierung der Sicherheit in Funknetzen

 

Client-Installation

Bei der Client-Einrichtung sind in der Regel Treiber des Herstellers sowie zusätzliche Software zur Konfiguration (Betriebsmodus,  SSID, Kanalnummer) und zur Messung der Signalqualität zu installieren. Windows XP enthält die erforderlichen Treiber in den meisten Fällen, ältere Windows-Versionen benötigen zusätzliche Treiber. Bei Einsatz von  DHCP muss auch der Client entsprechend konfiguriert werden.

In der werksseitigen Voreinstellung steht die SSID üblicherweise auf "Any" und  WEP ist abgeschaltet. Der Client bucht sich damit automatisch in jedes Funknetz ein, das er findet, sofern das Netz dies nicht verhindert, zum Beispiel mit einer  WEP-Verschlüsselung. Für einen Test auf bereits vorhandene WLANs ist das eine sinnvolle Einstellung. Wird ein fremdes WLAN gefunden, zeigt die Client-Software die SSID an, die dem Namen des Funknetzes entspricht, und die Kanalnummer. Es empfiehlt sich, die eigene Kanalnummer mit einem Abstand von vier zum fremden Netz zu wählen, damit es zu möglichst wenig Störungen kommt. Die 13 hier zu Lande in einem  802.11-Funknetz möglichen Kanäle liegen nämlich so eng beieinander, dass nur vier Netze gleichzeitig störungsfrei betrieben werden können.

Für ein Ad-hoc-Netzwerk stellt der Anwender auf allen Clients den entsprechenden Modus ein (Ad-hoc-Modus) sowie gegebenenfalls die gleiche SSID und die gleiche Kanalnummer (1 bis 13), falls nicht sofort eine Verbindung zustande kommt. Normalerweise ist das jedoch nicht nötig. Wird ein Access Point (AP) verwendet, ist der Infrastruktur-Modus zu wählen.

Bildgröße: 29 kByte

[29 kByte]

  Nur einige wenige Parameter sind auf einem Funk-Client überhaupt einzustellen, meistens reichen die Voreinstellungen.

Ist kein DHCP-Server vorhanden, müssen die statischen  InfoIP-Adressen aller Clients aus dem gleichen Subnetz stammen, zum Beispiel 192.168.0.1 für den ersten Client, 192.168.0.2 für den zweiten und so weiter. Mit dem Befehl "ipconfig" in der Kommandozeile von Windows XP lässt sich das leicht kontrollieren, mit dem Kommando "Ping ip-adresse" wird die Erreichbarkeit der anderen Clients geprüft. Für  Hot Spots und Ad-hoc-Netzwerke ist allerdings ein DHCP-Server erste Wahl.

Treten Verbindungsprobleme auf, ist der Grund meist eine falsche SSID oder Kanalnummer oder die Stationen liegen zu weit auseinander.

 

Access-Point-Einrichtung

Der Access Point (AP) stellt die Verbindung ins Festnetz her und die Kommunikation der Clients untereinander. Er wird normalerweise an einen vorhandenen Switch oder Hub angeschlossen. Optional ist über eine zusätzliche Netzwerkkarte die Anbindung an den Server möglich, der für die Kommunikation zuständig ist. Dieser Server kann dann auch gleich weitere Sicherheitsmaßnahmen gegen unerwünschte Eindringlinge treffen.

Die Access-Point-Konfiguration erfolgt über herstellerspezifische Software - häufig bequem über ein Web-Interface. Damit überhaupt eine Verbindung vom  LAN zum AP hergestellt werden kann, muss dieser eine  IP-Adresse verwenden, die im Festnetz gültig ist. Einige APs haben jedoch fest voreingestellte IP-Adressen, wie zum Beispiel 192.168.0.1, so dass der zur Konfiguration genutzte Rechner gegebenenfalls kurzfristig umzukonfigurieren ist.

Bildgröße: 17 kByte

[17 kByte]

  Definition eines IP-Bereichs, der vom DHCP-Server des Access Points verwaltet wird.

Heute verfügen selbst preiswerte APs oder Kombigeräte über integrierte  DHCP-Server, so dass der AP die IP-Verwaltung des LAN komplett übernehmen kann. Für kleinere Netzwerke ist dies eine praktische Lösung, da sich der Anwender nicht mehr um die  TCP/IP-Einstellungen kümmern muss. Wird bereits ein DHCP-Server eingesetzt, ist der AP entsprechend zu konfigurieren, damit keine IP-Kollisionen entstehen.

Bei nur einem AP ist die gesamte Einrichtung und Konfiguration sehr einfach, bei größeren Installationen mit mehreren APs, etwa für  Hot Spots in Bahnhöfen oder Flughäfen, können jedoch Schwierigkeiten auftreten. Die Größe der Funkzellen wird entscheidend von der Umgebung bestimmt. Die Dichte der APs muss durch sinnvolles Planen und Ausprobieren ermittelt werden, auch unter Berücksichtigung der geplanten Anzahl von Anwendern pro Funkzelle. Die Protokolle für die Kommunikation der APs untereinander, die das Roaming der Anwender ermöglichen, sind derzeit noch nicht standardisiert. Die Anwender sind hier also auf Produkte eines Herstellers angewiesen.

 

Absicherung des Access Points

Nachdem der Access Point (AP) angeschlossen und die Software auf einem Client-Rechner installiert ist, sollte der Benutzer als Erstes das Administrator-Passwort ändern. Denn der AP ist sofort online und somit auch für Fremde sichtbar. Die werksseitig voreingestellten Passwörter sind bekannt, entsprechende Listen kursieren im Internet.

Viele APs bieten die Möglichkeit, die Konfiguration nur über Clients im  LAN zu erlauben. Mit dieser Einstellung verhindern Sie, dass ungebetene Besucher im Funknetz Ihren AP umkonfigurieren.

Ein betriebsbereiter AP sendet regelmäßig so genannte Beacons aus, um seine Anwesenheit bekannt zu machen. Schon allein dadurch erfährt ein potenzieller Angreifer, wo ein WLAN läuft, selbst wenn gerade kein normaler Datenverkehr stattfindet. Schalten Sie, falls möglich, diese Beacons aus und verbieten Sie gleichzeitig die Anmeldung mit der  SSID"Any". Befugte Clients können sich immer noch im WLAN anmelden, weil sie auf die richtige SSID konfiguriert sind. Unerwünschte Gäste haben es schwerer: Sie müssen schon Datenverkehr belauschen, um herauszufinden, ob ein AP vorhanden ist und auf welche SSID er konfiguriert wurde.

Die SSID des APs sollten Sie auf jeden Fall ändern. Damit verhindern Sie von vornherein Probleme, so beispielsweise wenn die Nachbarfirma einen AP desselben Herstellers betreibt. Verwenden Sie allerdings dabei keine SSID, die Rückschlüsse auf Ihre Firma oder Organisationsstrukturen erlaubt. Über solche Informationen können gewiefte Hacker mittels "Social Engineering" Ansatzpunkte für den Angriff auf Ihr WLAN erhalten.

 

Erweiterte Sicherheit

Die beschriebenen Verfahren sichern ein WLAN nur bedingt ab. Für kleine Firmen oder Heimbüros mögen diese Methoden angemessen sein, mittelständische Betriebe oder große Firmen haben zumeist ein erheblich größeres Sicherheitsbedürfnis. Hier reichen die Standardverfahren zur Absicherung drahtloser Netzwerke nicht aus. Stattdessen wird mit virtuellen privaten Netzwerken ( VPN) gearbeitet. Der Access Point (AP) verbindet dabei die drahtlosen Clients mit einem Security Gateway, über das ein verschlüsselter Tunnel ins eigentliche Netz erzeugt wird.

Bei dem Gateway kann es sich um einen Rechner unter Windows oder Linux handeln oder um eine so genannte Appliance. Das ist eine auf genau diesen Einsatzzweck zugeschnittene Hardware-Lösung, die lediglich ins Netz integriert werden muss. Der Vorteil: Das Betriebssystem dieser Lösung ist weit weniger anfällig für Hackerangriffe.

Die Verschlüsselung bei VPNs ist deutlich effektiver als mit  WEP und also sicherer. Zudem bietet das Security Gateway, unabhängig von der Anzahl der eingesetzten APs, eine zentrale und somit leicht zu verwaltende Stelle im  LAN.

Zurück