Erweiterter Schutz für private WLAN-Netzwerke
Dieser Artikel behandelt Verbesserungsmöglichkeiten, wie Sie den Schutz Ihres WLANs verbessern bzw. aufrechterhalten können, da sich die Sicherheit von Verfahren im Laufe der Zeit wandelt.
1. Netzwerknamen ändern
Der Netzwerkname wird auch als SSID (Service Set Identifier) bezeichnet. Diese gibt typischerweise in der initialen Auslieferungseinstellung Aufschluss über den Hersteller und den Typ des verwendeten Gerätes (z.B.: Internet-Modem mit WLAN-Funktionalität). Dies sind leider auch wertvolle Informationen für etwaige Angreifer. Damit diese Werkskonfiguration nicht präsentiert wird, ist es dringend anzuraten den Netzwerknamen zeitnah zu ändern. Idealerweise sollte ein Netzwerkname vergeben werden, welchen weder Rückschlüsse auf den Betreiber des WLANs noch auf den Hersteller und den Typ des Gerätes zulässt. Ein deaktivieren des Aussendens des SSID klingt zwar auf den ersten Blick nach einem Sicherheitsplus, dies ist aber nicht der Fall. Es wird zwar unterbunden dass der Netzwerkname nicht mehr in der Liste erkennbar ist, wenn jemand in der Reichweite des Geräts nach einem WLAN sucht, allerdings verschwindet das Netz nicht. Denn auch derart scheinbar versteckte Netzwerke senden laufend Datenpakete in Ihre Umgebung.
2. Fernzugriff deaktivieren
Bei handelsüblichen Routern können Sie die wesentlichen Einstellungen über ein Webinterface vornehmen. Um die Fernwartung zu erleichtern ist meist der Zugriff auch von außen, über Fernzugriff möglich. Diese Einstellung sollten Sie dahingehend ändern, sodass dieser Zugriff nur mehr über das lokale Netzwerk möglich ist. So können Sie verhindern, dass Router-Einstellungen von außen manipuliert werden.
3. Firmware regelmäßig aktualisieren
Die Firmware ist das Betriebssystem eines Gerätes. Dabei handelt es sich im Fall des WLANs etwa um die Firmware des Routers bzw. des Modems oder eines WLAN-Repeaters, welche das WLAN bereitstellen sowie das WLAN-Signal erweitern (Repeater). Genauso wie bei Betriebssystemen für PCs treten mit der Zeit auch Sicherheitslücken auf. Darauf folgend stellen die jeweiligen Hersteller üblicherweise zeitnah auch Verbesserungen der integrierten Funktionen und auch relevante Sicherheitsaktualisierungen bereit. Aktualisieren Sie die Firmware in regelmäßigen Abständen und bei Bedarf, wenn Sie Angreiferinnen bzw. Angreifern kein offenes Tor bieten wollen. Sie können die Firmware auf zwei Arten aktualisieren. Zum einen ist eine manuelle Aktualisierung durchführbar, indem Sie die neue Firmware von einer autorisierten Webseite des Herstellers laden und installieren. Andererseits bieten manche Gerätehersteller für WLAN-Router die Möglichkeit, automatische Updates der Firmware einzuspielen. Berücksichtigen Sie dies, damit Ihre Firmware für das WLAN immer aktuell ist.
4. Gäste-WLAN sichern, deaktivieren oder abtrennen
Gewähren sie Ihren Gästen keinen Zugriff auf Ihr primäres WLAN. Ist das doch erforderlich, können Sie ein zweites, sogenanntes „Gäste-WLAN“ einrichten, das von Ihrem primären WLAN isoliert ist. Das bedeutet, die Zugriffe auf alle verbundenen Geräte bzw. Netzwerkfreigaben sind vom Gäste-WLAN abgetrennt. Zusätzlich umgehen Sie damit die Problematik, dass sie zum Verbinden der Gastgeräte ihr WLAN-Passwort preisgeben müssten. Besonders bei der Verwendung von IoT-Geräten, wo die unterschiedlichsten Geräte an das Netzwerk angeschlossen sind, ist so eine Trennung zu empfehlen. Achten Sie bei diesem zusätzlichen WLAN ebenso auf die Sicherheit und deaktivieren Sie das Gäste-WLAN, wenn es nicht benötigt wird.
5. Feste IP-Adresse wählen und DHCP abschalten
Ein Feature, welches die Geräteverbindung vereinfacht, ist das dynamische und automatische Vergeben von IP-Adressen. Wird dieser Dienst deaktiviert, können Geräte erst nach manueller Konfiguration mit dem WLAN-Router verbunden werden. Dies bedeutet zwar mehr Aufwand beim Verbinden von neu hinzugekommenen Geräten, dafür haben Sie dezidiert die Kontrolle welche Geräte sich verbinden können. Darüber hinaus ist üblicherweise die Dynamik bei privaten WLANs erfahrungsgemäß überschaubar, da nicht oft neue Devices integriert werden.
6. WLAN mit MAC-Filtern sichern
Das ungewollte Eindringen können Sie auch mittels aktivierter MAC-Filter erschweren. Mit einem sogenannten White-Listing legen Sie in der Konfiguration des WLAN-Routers fest, welche Geräte – anhand ihrer MAC-Adresse – eine Verbindung zum WLAN aufbauen dürfen. Dieser Schutzmechanismus ist zwar kein idealer Schutz, da die MAC-Adresse fälschbar ist. Aber Sie können einer Angreiferin bzw. einem Angreifer das Eindringen in Ihr WLAN in Kombination mit den weiteren aufgelisteten Schutzmechanismen erschweren.
7. Leistung drosseln
Wie im Artikel zu Gefahren für private WLAN-Netzwerke beschrieben, wird das WLAN über ein Funksignal bereitgestellt. Damit ist es technisch für die Reichweite des Funksignals nutzbar. Wird die Leistung des Signals gedrosselt, reduziert sich auch der Bereich in welchem das WLAN verfügbar ist. Somit beschränken Sie physikalisch die Angriffsfläche. Wird das Signal nun soweit gedrosselt, dass dieses nur mehr innerhalb der eigenen vier Wände nutzbar ist, erschweren Sie Angriffe zunehmend. Der Nebeneffekt ist leider auch, dass Sie unter Umständen selbst Verbindungsprobleme aufgrund der gedrosselten Leistung haben.
8. Zeitlich beschränktes WLAN
Eine zeitliche Beschränkung für das WLAN ist ebenfalls sinnvoll. Sie können bei vielen WLAN-Routern bzw. Modems ein Zeitfenster definieren, in welchem das Gerät deaktiviert ist. Dies macht überwiegend nur dann Sinn, wenn es auch Zeiten gibt, in denen Sie das WLAN nicht nützen. Wenn etwa tagsüber niemand zuhause ist oder über Nacht empfiehlt es sich, das WLAN zu deaktivieren. Sind allerdings Geräte der Hausautomation oder Hilfsgeräte wie Saugroboter und dergleichen über WLAN verbunden, macht diese Option wenig Sinn. Diese Methode bietet auch keinen absoluten Schutz, sie verringert jedoch das Zeitfenster für ein ungewolltes Eindringen.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria