Notizen zu den
Bürgernetzvorträgen
vom 4.1. (Putzbrunn) und
17.1.2005 (Heimstetten)
„Sicheres WLAN mit der Fritz!Box“
Referent: Rüdiger
Zwarg
Das Netzwerk
wurde in Putzbrunn ja nicht vollständig aufgebaut. Einiges gibt es also
nachzutragen, ein paar Dinge auch zu korrigieren. So z.B. die
WPA-Verschlüsselung unter Windows XP. Es scheint tatsächlich so zu sein, dass
unabhängig von der die Hardware begleitenden Software-Treiber, das Service Pack
2 notwendig ist. Ferner hatte ich beim Aufbau einer Verbindung zum Netzwerk
Probleme, wenn sofern die Aussendung der SSID unterdrückt war. Ich ziehe also
die Empfehlung, die Aussendung der Kennung auszuschalten, zurück. Das Plus an
Sicherheit ist ohnehin gering, da die Kennung von Snifferprogrammen mühelos erkannt
wird. Umso mehr Sorgfalt sollte bei der Suche nach einer neutralen Kennung, die
keine Rückschlüsse auf den Betreiber erlaubt, aufgewandt werden.
Bitte
schauen Sie sich vorab mal das folgende Tutorial an, so dass Sie die folgenden
Zeilen besser verstehen:
http://www.geizkragen.de/forum/das-forum-fuer-soft-und-hardware-c8/das-forum-fuer-tutorials-f55/tutorial-einrichten-eines-netzwerkes-unter-windows-p156189/
Trennen Sie die Fritz!Box vom DSL-Netz und bauen
Sie erst einmal das Netzwerk mit der Grundkonfiguration auf:
SSID aussenden
WEP-Verschlüsselung
Fritz!Box als DHCP-Server
(d.h. für die
TCP/IP-Eigenschaften: IP-Adressen und DNS-Serveradressen automatisch beziehen)
Für alle Rechner dieselbe
Arbeitsgruppe definieren und jedem Rechner einen eigenen Namen vergeben (Start > Systemsteuerung > System > (Reiter)Computername)
Wenn jetzt die Rechner in der
Netzwerkumgebung alle erscheinen und ein Zugriff auf freigegebene Ordner
möglich ist, können Sie nun herangehen und die Sicherheit des
Netzwerks zu erhöhen.
Als erstes die Option „Experteneinstellungen anzeigen“ in der Fritz!Box-GUI (will heißen:
Benutzeroberfläche) aktivieren (Fritz!Box-GUI unter System > Ansicht)
DHCP in der Fritz!Box deaktivieren: System > Netzwerkeinstellungen > IP-Einstellungen;
als IP-Adresse ändern Sie den letzten, d.h. rechten, Zahlenblock. Die
Subnetzmaske ist 255.255.255.0 und alle Computer befinden sich im selben
IP-Netzwerk. Egal was Sie ein- bzw. verstellen, die GUI der Fritz!Box erreichen
Sie stets auch wenn Sie die Adresse 192.168.178.254 statt der vergebenen im
Browser eingeben.
An allen PCs des Netzwerks müssen Sie jetzt die TCP/IP-Eigenschaften der (drahtlosen) Netzwerverbindung ändern: Die soeben vergebene IP-Adresse als Standardgateway und DNS-Serveradresse eintragen. Jeder Rechner bekommt einen eigenen, noch nicht vergebenen vierten Nummernblock (also 192.168.178.xxx, mit xxx zwischen 2 und 253).
Die Rechner werden jetzt nicht mehr ohne weiteres in der
Netzwerkumgebung aufgeführt, sondern müssen konkret über die IP-Adresse
angesprochen werden. (Start > Netzwerkumgebung > Arbeitsgruppencomputer
anzeigen > Suchen (hier statt des Namens die vergebene IP-Adresse eingeben)
Wenn alles richtig gemacht wurde sollte das Netzwerk weiterhin funktionieren. Am besten jetzt Verknüpfungen zu freigegebenen Ordnern erstellen - für den zukünftigen einfachen Zugriff
Dann gehen Sie heran und wechseln von WEP zu WPA (WPA-PSK/TKIP) und wählen eine sichere Passphrase. (Fritz!Box-GUI: WLAN > Sicherheit)
Vergeben
Sie für den Zugang zur Fritz!Box ein Kennwort (Fritz!Box-GUI: System > Kennwort)
Als letztes
schalten Sie noch den MAC-Filter ein (Fritz!Box-GUI: System > Netzwerkgeräte (Keine
neuen…))
Anm.: Die Liste ist flüchtig, wird also immer wieder zurückgesetzt, wenn die
Fritz!Box vom Stromnetz getrennt wird. Dabei geht die Option aber auch wieder
auf „Neue Geräte zulassen“.
Wenn Sie die Fritzbox also regelmäßig abschalten, kümmern Sie sich nicht um den
MAC-Filter. Ansonsten erneuern Sie diese Einstellungen nach einer
Stromunterbrechung nachdem alle WLAN Geräte
eine Verbindung zur Fritz!Box hatten und somit in der Liste stehen.
Nun stöpseln Sie das DSL-Kabel wieder in die
Fritz!Box. Das WLAN ist jetzt sicher.
Weitere Sicherheitsaspekte (restriktive Freigabe von
Resourcen/Ordnern, aktivierte Firewall und aktueller
Virenscanner auf jedem Rechner) sind zu beachten, gehören aber nicht
unmittelbar hierher, weil sie sich nicht unterscheiden von den Vorkehrungen die
bei jedem sicheren Internetzugang - ob analog, per ISDN oder DSL - zu beachten
sind.
Authentifizierung: Sie ist erforderlich, um die Teilnahme eines Computers an einem WLAN zu regeln.
Verschlüsselung: Sie soll das Abfangen und Verarbeiten der WLAN-Pakete sowie den Zugriff auf Netzwerkressourcen durch unberechtigte Dritte verhindern.
AP (wireless access point)
SSID (Service-Set-Identifier)
Name Ihres Access-Point ändern und die
Übertragung der SSID abschalten.
MAC-Adresse (Medium
Access Control)
12 stellige, hexadecimale Nummer. Sie
können ihren Access-Point so konfigurieren, dass nur Computer und Notebooks mit
bestimmten MAC-Adressen zugreifen können.
WEP
(Wired Equivalent Privacy) verschlüsselt den Datenfluss in Ihrem Netzwerk,
sodass nur die an Ihr Netzwerk angeschlossenen Geräte ihn lesen können. WEP ist
nicht perfekt, bietet aber ein gewisses Maß an Sicherheit. Besser ist die neue…
WPA-Authentifizierung (Wi-Fi Protected Access) mit einem gemeinsamen Schlüssel (PSK - Preshared Key) zusammen mit einer TKIP-Verschlüsselung (Temporal Key Integrity Protocol) – Dieser Zugang wird auch als WPA-PSK/TKIP bezeichnet.
Firewall-Systeme auf Basis von
Hard- und Software überwachen und kontrollieren den Datenfluss zu und von
Computern. Eine Firewall kann Ihr Netzwerk für das Internet unsichtbar machen
und nicht autorisierte und unerwünschte Benutzer von Ihren Dateien und Systemen
fernhalten. Viele Hardware-Router bereits eine integrierte Firewall.
802.11:
Synonym verwendet für die Protokolle 802.11a, 802.11b und 802.11g oder für WLAN
im allgemeinen. Tatsächlich bezieht es sich auf ein kaum noch anzutreffendes
Protokoll mit 2Mbps im 2.4Ghz Band (Microwelle!) mit 15/13 Kanälen
802.11b:
weit verbreitetes Protocol im 2.4Ghz Band mit 11Mbps.
802.11g: abwärtskompatible
Weiterentwicklung von 802.11b mit bis zu 54Mbps.
AES
(Advanced Encryption Standard)
Nachfolger von Data Encryption Standard
(DES).
Wireless Router – A wireless
router combines the functions of an access point with those of a router. Thus
it will have both a WAN and LAN interface. The WAN interface is most often used
for connection to a broadband modem. The router uses NAT to allow the computers
on the LAN to share the one WAN connection.
WLAN
networks exist in either infrastructure or ad hoc mode. Ad hoc
networks have multiple wireless clients talking to each other as peers to share
data among themselves without the aid of a central Access Point. An
infrastructure WLAN consists of several clients talking to a central device
called an Access Point (AP), which is usually connected to a wired network like
the Internet or a corporate or home LAN.
48-bit
initialization vectors. WEP produces what's referred to as a "keyschedule" by
concatenating a shared secret key with a randomly-generated 24-bit
initialization vector (IV). WEP inputs the resulting keyschedule into a
pseudo-random number generator that produces a keystream equal to the length of
the 802.11 frame's payload. With a 24 bit IV, though, WEP eventually uses the
same IV for different data packets. In fact, the reoccurrence of IVs with WEP
can happen within an hour or so in busy networks. This results in the
transmission of frames having encrypted frames that are similar enough for a
hacker to collect frames based on the same IV and determine their shared
values, leading to the decryption of the 802.11 frames. WPA with TKIP, however,
uses 48-bit IVs that significantly reduce IV reuse and the possibility that a
hacker will collect a sufficient number of 802.11 frames to crack the
encryption.
http://www.n-tv.de/5431555.html
http://www.n-tv.de/5431572.html
http://www.wi-fiplanet.com/tutorials/article.php/1586861
http://www.wi-fiplanet.com/tutorials/article.php/2148721
http://www.wi-fiplanet.com/tutorials/article.php/1368661
http://arstechnica.com/articles/paedia/security.ars/1