Da ja immer und immer wieder die Diskussion über einen gesicherten und ungesicherten W-Lan Zugang hochkommt, hier mal die zehn wichtigsten WLAN-Tipps für mehr Sicherheit im Netz!

Ein W-Lan ist praktisch, aber ein hohes Sicherheitsrisiko:

Nicht jeder User, der per W-LAN kabellos ins Internet gelangt, hat auch ausreichend Vorkehrungen zum Schutz des eigenen Rechners und der eigenen Daten getroffen. Viele private Netzwerke bieten Eindringlingen (Datenklau, Filesharing , File und Passwortspionen ein leichtes Spiel. Mit den zehn wichtigsten W-LAN Tipps gehst Du auf Nummer sicher.

1.Das Funknetzwerk bei Nichtgebrauch abschalten
Es klingt sehr einfach, ist aber enorm effektiv: Schalte das Funknetzwerk bei Nichtgebrauch stets ab! Ein Funknetzwerk ist nur angreifbar, wenn es funkt. Da viele Router nicht über eine Ausschaltfunktion verfügen, musst Du den Stecker vom Gerät ziehen.
Verwende eine Steckdosenleiste, die über einen Schalter verfügt. Damit kannst Du den Router bequem vom Stromnetz trennen. Vorteil: Du sparst zusätzlich Strom.

2. Verschlüsselung aktivieren
Aktiviere stets die Verschlüsselung, um Dein Funknetzwerk zu schützen. Ältere WLAN-Router arbeiten mit der so genannten WEP-Verschlüsselung. Sicherer und längst bei neuen WLAN-Geräten Standard: WPA und WPA2.

3. Namen des Funknetzwerks (SSID) ändern
Ändere die so genannte SSID. Das ist die Kennung Deines Funknetzwerks. Geb als Namen am besten eine Kombination aus Zeichen und Buchstaben an. Durch die neue Namensgebung ist das WLAN-Netzwerk nicht direkt mit Dir als Person in Verbindung zu bringen.

Hintergrund: In der Regel musst Du den Namen bereits bei der ersten Einrichtung nennen. Ist anhand des Namens der verwendete Router oder der Hersteller ersichtlich, ist es leichter, in Deinem Funknetzwerk einzudringen, da bestimmte Standardeinstellungen leicht zu ermitteln sind.

4. Netzwerk unsichtbar machen
Schalte die Übertragung des Funknetzwerknamens (die so genannte SSID) ab. Dann wird das Funknetzwerk vor der Suchfunktion anderer WLAN-Karten „versteckt“.

5. WLAN-Router durch Kennwortvergabe sichern
Schütz Deinen Router durch Kennwortvergabe. Selbst wenn jemand den Weg in Ihr WLAN-Netz findet, kann er in dem Fall keine Router-Einstellungen verändern.

6. Sichere Passwörter erzeugen
Sichere Deine W-LAN Geräte nur mit komplizierten und damit sichereren Passwörtern ab. Nutze dazu einen Passwort-Generator.

7. Feste IP-Adressen vergeben
Vergieb am besten nur feste IP-Adressen. Schalte dazu den DHCP-Server im Router ab. Es ist dadurch schwieriger, von fremden Computern ins Netzwerk zu gelangen. Sobald Du die DHCP-Server Funktion abgeschaltet hast, müssen die Computer im Netzwerk über feste IPs verfügen. Unter Start, Systemsteuerung, Netzwerk- und Internetverbindungen, Netzwerkverbindungen findest Du Deine Netzwerkkarte. Mit Rechtsklick auf Eigenschaften und Auswahl Eigenschaften von Internetprotokoll (TCP/IP) erreichst Du die notwendigen Einstellungen.

8. Keine Standard-IP-Adressen verwenden
Sobald Du den DHCP-Server im WLAN-Router abschaltest, müssen in Deinem Computern feste IPs eingetragen werden. Verwende keine Standard-IP-Adressen wie 192.168.0.1. Nutze besser Adressen wie 192.168.11.25. Die ersten Stellen 192.168. sind nicht veränderbar. Trage zusätzlich bei Subnetzmaske 255.255.255.0 ein. Bei Standardgateway kannst Du die IP-Adresse des Routers eintragen. In vielen Fällen ist das aber nicht notwendig.
Wichtig
Du darfst nur die letzten beiden Stellen der IP-Adresse ändern. Achte darauf dass sich Router und Computer im gleichen Adressraum befinden. Hat Dein WLAN-Router die Adresse 192.168.88.1, dann darfst Du die Adressen von PC oder Notebook nur an der letzten Stelle ändern, etwa 192.168.88.11.

9. Mac-Filter aktivieren
Viele Router sind so einstellbar, dass sich nur bestimmte Geräte im Netzwerk anmelden können. Jede Netzwerkkarte eines PCs oder Notebooks hat eine unverwechselbare Kennung, die Mac-Adresse. Diese wird pro Karte weltweit nur einmal vergeben.
Wichtig
Schau ins Handbuch Deines Routers, wie Du die Mac-Adressen Deiner Geräte finden und im Routermenü eingeben kannst.

10. Datei- und Druckerfreigabe abschalten
Bei Dir sind mehrere Computer in einem Netzwerk zusammengeschlossen und Du nutzt die Datei- und Druckerfreigabe? Falls nicht, kannst Du die Funktion und den dafür notwendigen Windows-Server-Dienst abschalten. Bei Deaktivierung der Funktion ist es für Eindringlinge schwieriger, Dateien auf Deinem Computer aufzuspüren und zu verändern.
Nachteil: Du kannst im Netzwerk Dateien oder Ordner nicht mehr frei geben und gemeinsam nur einen Drucker nutzen.

Wenn Du diese von mir angesprochenen Punkte als Betreiber eines W-Lan beachtest, hat es Dein Nachbar und andere ungebetene Gäste nicht mehr so leicht Deinen Anschluss zu "missbrauchen" .....

P.S.: Einige Wlangeräte bieten die Möglichkeit die Sendeleistung zu drosseln ,dies ist abhängig von den Gegebenheiten auch sehr sinnvoll.

Werbung

@ Ulrich: Zu Deinen "WLAN-Tips"... ja, diese Liste findet man oft. Aber die meisten Experten widersprechen dann einem Teil der darin gegebenen Hinweise, primär sind das die Punkte

4. Netzwerk unsichtbar machen

7. Feste IP-Adressen vergeben

9. Mac-Filter aktivieren

Grund? Das sind wesentliche "Komfort-Funktionen", um "mal eben" einen neuen Rechner ins WLAN reinzubringen (Freund zu Besuch, Leihrechner, Nachbar mal reinlassen).

UND es sind Funktionen, die lediglich den "ich schau mal eben, ob das WLAN ungesichert ist" abhalten.

Den Crack aber, der sich auch mit einer Verschlüsselung noch rumschlagen würde, den stören diese paar Hürden auch nicht. Auch ohne SSID kann man ein WLAN finden, MAC-Adressen kann man verändern, und eine fixe IP auch vergeben.

Man sitzt also mit einem WLAN da, das wesentlichen Komfort vermissen lässt, und der 08/15-Nachbar wäre von einer Verschlüsselung schon abgehalten gewesen.

Das is' der Grund, warum ich diese paar Punkte nicht unbedingt empfehlen würde - sie fördern die Sicherheit nicht wesentlich (klar, sie machen's auch nicht unsicherer), stören aber den Komfort.

Nur so als technischer Zwischenwurf

Zumindest bei folgenden Punkten muss ich ein Veto einlegen:

Zitat:

Zitat von ulrich

3. Namen des Funknetzwerks (SSID) ändern

Der Name sollte einmalig sein, um Anmeldeprobleme der einzelnen Clienten zu vermeiden. Schutz bietet ein einmaliger Name nicht, er erleichtert die Konfiguration der eigenen Clients aber erheblich. Auch sollten Umlaute und andere Sonderzeichen vermieden werden, denn diese erschweren bei manchem Clienten nur die Verbindungsaufnahme, aber schützen nicht das eigene Netz vor Hackern.

Zitat:

Zitat von ulrich

4. Netzwerk unsichtbar machen

Dies nutzt nur bei absoluten Laien! Jede vernünftige WLAN-Scansoftware zeigt die unbekannten Netze an. Mit dem nächstbesten Sniffer werden dann die Datenpakete und auch der WLAN-Router ausgelesen. Es ist gegen die Standards und manch ein eigenes Gerät kann Probleme damit bekommen. Selbst wenn dies im Moment nicht der Fall ist, kann es dann bei neuen Geräten oder auch simplen Firmware-Updates auf einmal auftauchen und die Fehlersuche ist schier unmöglich, da nicht reproduzierbar. Meist wird dann an der komplett falschen Stelle der Fehler vermutet (und nicht vor dem Bildschirm ). Das ist genau so sicher, wie jemand, der sich mit großem Schild mit dem Schriftzug "Ich bin unsichtbar" in ein Gefecht stellt und darauf baut, dass man mit dieser Maßnahme unangreifbar ist.

Zitat:

Zitat von ulrich

7. Feste IP-Adressen vergeben
Vergieb am besten nur feste IP-Adressen. Schalte dazu den DHCP-Server im Router ab.

Gehackte Netze kann man auch nach IP-Adressen durchforsten und schwupps hat man eine eines anderen Gerätes und kann surfen oder auch Unsinn anstellen. Ein Schutz ist das nicht. Eher stellt das eine Möglichkeit dar, sein eigenes LAN zu strukturieren.

Zitat:

Zitat von ulrich

8. Keine Standard-IP-Adressen verwenden ...Verwende keine Standard-IP-Adressen wie 192.168.0.1. Nutze besser Adressen wie 192.168.11.25. Die ersten Stellen 192.168. sind nicht veränderbar.

Der auswählbare IP-Bereich kommt auf den jeweiligen Router an. Jedoch sollten immer private Netzbereiche gewählt werden (u.a. ruhig auch 10.x.y.z), um Routigkonflikte innerhalb des I-Nets vorzubeugen. Was den Sicherheitsaspekt angeht: Siehe oben. Wichtig ist einer geänderter IP-Bereich hauptsächlich, wenn subnetz-übergreifend gearbeitet wird (z.B. VPN), damit der Router weiß, was wohin geroutet werden muss.

Zitat:

Zitat von ulrich

9. Mac-Filter aktivieren
Viele Router sind so einstellbar, dass sich nur bestimmte Geräte im Netzwerk anmelden können. Jede Netzwerkkarte eines PCs oder Notebooks hat eine unverwechselbare Kennung, die Mac-Adresse. Diese wird pro Karte weltweit nur einmal vergeben.

...und kann u.a. mit einfachsten Windows-Boardmitteln geändert werden. Beim Sniffen wird als erstes innerhalb der gesnifften Datenpakete die MAC-Adresse ausgelesen - diese wird niemals(!!!) verschlüsselt übertragen, ist also sogar vor dem erfolgreichen Hack schon einsehbar und damit für jeden potentiellen Hackern nutzbar. Grundsätzlich werden die verschlüsselten Datenpakete mit unverschlüsseltem Header (=Adressdaten / MAC-Adresse) verschickt, sonst würden diese nämlich nie ihr Ziel erreichen.

Zitat:

Zitat von ulrich

10. Datei- und Druckerfreigabe abschalten

Das nutzt nicht der Internetsicherheit, denn der Hacker ist schon im Netz, wenn er die Drucker bzw PCs schon ansprechen kann. Nur beugt das einer weiteren Angriffen innerhalb des Netzes vor, um z.B. Trojaner zu plazieren. Im Allgemeinen ist der bessere Weg hier aber, sämtliche(!) Patches der entsprechenden Betriebssystemsoftware einzuspielen, denn entgegen vielen Unkenrufen dichtet MS sein OS seit längerem doch recht gut ab.

Zitat:

Zitat von ulrich

Wenn Du diese von mir angesprochenen Punkte als Betreiber eines W-Lan beachtest, hat es Dein Nachbar und andere ungebetene Gäste nicht mehr so leicht Deinen Anschluss zu "missbrauchen" .....

Wenn diese obigen Einschränkunden auch beachtet werden, so sorgt das für etwas mehr Transparenz und echte Sicherheit, denn falsche Sicherheitsmaßnahmen wiegen einen in falscher Sicherheit
z.B. "Ich habe MAC-Filter, IP-Beschränkung und mein Netz/SSID unsichtbar, also brauche ich keinen vernünftigen Verschlüsselungsschutz mit WPA(2) und vernünftige Passwörter...

Zitat:

Zitat von ulrich

2. Verschlüsselung aktivieren
Aktiviere stets die Verschlüsselung, um Dein Funknetzwerk zu schützen. Ältere WLAN-Router arbeiten mit der so genannten WEP-Verschlüsselung. Sicherer und längst bei neuen WLAN-Geräten Standard: WPA und WPA2.
[/B]

Mit ein wenig Glück ist es ein leichtes auch eine WPA-Verschlüsselung zu knacken.
WPA2 dagegen gilt bislang noch als sicher.

Zitat:

Zitat von Dr. Gonzo

Mit ein wenig Glück ist es ein leichtes auch eine WPA-Verschlüsselung zu knacken.
WPA2 dagegen gilt bislang noch als sicher.

Was ist heutzutage nicht mehr zu Knacken? Selbst Fort Knox ist nicht mehr sicher .

Am sichersten wäre es wohl alles per Kabel zu verbinden.
Ich finde die Empfehlungen von Ullrich schon als sinnvoll und hilfreich und wegen dem sogenannten Komfort auf einige Sachen verzichten zu wollen entbehrt jeglicher Grundlage.
Einen zusätzlichen Clienten zuzulassen ist in kürzester Zeit erledigt.

Zitat:

Zitat von Spiderx2

Am sichersten wäre es wohl alles per Kabel zu verbinden.

Logisch

Zitat:

Ich finde die Empfehlungen von Ullrich schon als sinnvoll und hilfreich und wegen dem sogenannten Komfort auf einige Sachen verzichten zu wollen entbehrt jeglicher Grundlage.
Einen zusätzlichen Clienten zuzulassen ist in kürzester Zeit erledigt.

Naja, es geht ja nicht darum, dass das "in kürzester Zeit möglich" ist, sondern dass es unnötig ist. Es gibt Dir keinen Sicherheitsgewinn (Popi hat's etwas ausführlicher ausgeführt als ich) und bringt nur unnötigen Aufwand mit sich. Gerade fixe IPs werden heutzutage in Netzwerken eher als Übel denn als "Gewinn" angesehen.

Und wenn diese tollen "Optimierungen" dann mal Probleme machen, darf man eher fluchen. Wozu? Damit ich einer 10 Punkte-Liste von ComputerBild gefolgt bin & effektiv keine Sicherheit gewonnen habe

Ich wollte damit nur zum Ausdruck bringen das wegen Komfort nicht auf diese Dinge verzichten muss.
Die Notwendigkeit kann man sicher diskutieren.

Sicherlich findet man diese Liste auch fast überall.
Interessant wäre es Tipps zu geben die alternative Möglichkeiten bieten .

Zitat:

Zitat von Spiderx2

Interessant wäre es Tipps zu geben die alternative Möglichkeiten bieten .

Wer hier im Forum der "Abgemahnten" immer und immer wieder die Problematik mit den W-LAN-Anschlüssen ließt, (sind ja alles „Laien") der müsste wissen, was ich damit bezwecken wollte!
Nicht mehr und nicht weniger!!!
Es soll nicht als Anleitung für "Experten" herhalten.

Dass keinerlei böse Absicht hinter irgendwelchen Postings stand, ist mir fraglos klar.

Es geht nur darum, dass auch für den Laien einige der genannten Tips unsinnig sind. Sie bringen eben auch dem Laien keinen Vorteil und nur potentielle Nachteile.

Man verzichtet nicht auf Komfort und "bekommt" dafür irgendetwas. Man verzichtet auf Features, die heutzutage Standard sind (DHCP-Server..) und bekommt dafür mehr Aufwand, aber keine zusätzliche Sicherheit. Deshalb haben Popi und ich halt von den unsinnigen Tips abgeraten. Dass bspw. das WLAN zu verschlüsseln sei, würde niemand in Zweifel stellen, und so sollte auch nicht die ganze Liste runtergemacht werden, sondern lediglich um die "falschen Tips" bereinigt werden.

Sicherheit: Das Passwort entscheidet
15. Juli 2009

Anfang des Jahres waren sich die Experten noch einig: Wer auf die aktuelle WLAN-Verschlüsselung WPA-AES setzt, muss keinen Hacker fürchten. Vor knapp drei Monaten hat ein Forscherteam aber gezeigt, wie es den vermeintlich sicheren Key knacken kann. Letztendlich kam vor zwei Monaten das erste Tool auf den Markt, das mit der Rechenleistung von Grafikkarten das Passwort findet.

Hackersicher: Der WLAN-Schlüssel sollte mindestens 20 Zeichen lang sein und aus einer Kombination von willkürlich zusammengewürfelten Buchstaben und Ziffern bestehen.
Hackersicher: Der WLAN-Schlüssel sollte mindestens 20 Zeichen lang sein und aus einer Kombination von willkürlich zusammengewürfelten Buchstaben und Ziffern bestehen.
Trotzdem können Sie Ihr Funknetz weiterhin hackersicher machen. Sie brauchen dazu nur eines: Viel Geduld beim Eintippen des WLAN-Schlüssels. Der sollte mindestens 20 Zeichen lang sein und aus einer Kombination von willkürlich zusammengewürfelten Buchstaben und Ziffern bestehen. Jede Annäherung an ein existierendes Wort aus irgendeiner Sprache erkennt die Software.

Hacker-Anfänger können Sie zusätzlich per MAC-Filterung draußen halten. Dabei lässt der Router nur Komponenten ins Netz, deren interne Netzwerkadresse freigegeben ist. Diese Filterung können gewiefte Angreifer leicht umgehen, die Sicherheit des Funk*netzes steht und fällt daher mit dem WPA-Key. Manche Router unterscheiden bei WPA zwischen der Verschlüsselung nach dem RC4-Algorithmus und dem AES-Verfahren. Verwenden Sie nach Möglichkeit die AES-Variante – Hacker haben den RC4-Modus bereits mehrfach geknackt.

MAC-Address-Filter: Der Router lässt nur Komponenten ins Netz, deren interne Netzwerkadresse freigegeben ist.
MAC-Address-Filter: Der Router lässt nur Komponenten ins Netz, deren interne Netzwerkadresse freigegeben ist.
Wir zeigen anhand der FritzBox, wie Sie einen sicheren Schlüssel einstellen. Bei Modellen anderer Hersteller können Sie meist analog vorgehen. Bei der FritzBox geben Sie in die Adresszeile Ihres Browsers »http://fritz.box« ein. Danach fragt das Gerät nach dem Admin-Kennwort. Lassen Sie »Benutzername« leer und geben Sie als Kennwort »admin« ein. Diese Login-Daten sollten Sie schnell ändern, da Hacker sonst nur das Standardkennwort eintippen müssen. Klicken Sie dazu auf »Einstellungen | Erweiterte Einstellungen | System« und auf »Fritz-Box-Kennwort«. Markieren Sie das Kästchen vor »Kennwortschutz für diese FritzBox aktivieren« und tippen Sie ein neues Passwort ein. Es sollte mindestens sechs Zeichen lang sein, aus Buchstaben und Zahlen bestehen und kein echtes Wort als Basis haben. Mit »Übernehmen« speichern Sie die Einstellungen.

Nun zum eigentlichen Netzkennwort: Öffnen Sie das Menü »Einstellungen | Erweiterte Einstellungen | WLAN«. Unter »Sicherheit« aktivieren Sie »WPA-Verschlüsselung aktivieren« und wählen als »WPA Modus« den Punkt »WPA2 (CCMP)« aus. Tragen Sie unter »WPA-Netzwerkschlüssel« ein sicheres Passwort ein und aktivieren Sie die Einstellungen mit »Übernehmen«.

1.CHIP Online - Großbildansicht

2.CHIP Online - Großbildansicht

Quelle: chip.de

Jup, das betont halt nochmal, dass ein passwort nicht gerade "anna1" sein sollte.

Zu dem anderen Punkt -

Zitat:

Zitat von ulrich

Hacker-Anfänger können Sie zusätzlich per MAC-Filterung draußen halten. Dabei lässt der Router nur Komponenten ins Netz, deren interne Netzwerkadresse freigegeben ist. Diese Filterung können gewiefte Angreifer leicht umgehen, die Sicherheit des Funknetzes steht und fällt daher mit dem WPA-Key.

gilt das Gleiche wie oben (und auch in der Quelle selbst) geschrieben - spart Euch Mac-Filter, setzt auf eine effektive Verschlüsselung (=effektives System + gutes Passwort).
Wer die Verschlüsselung knacken kann, den juckt der MAC-Filter nicht... und der Möchtegern-"Hacker" scheitert halt an der Verschlüsselung.

Es heißt immer man muss sein W-Lan absichern. Wenn man alle Möglichkeiten des Routers ausnützt und das Netz trotzdem geknackt wird ist der Anschlussinhaber trotzdem haftbar.
Finde ich eine riesige Gesetzeslücke.

Wenn ich mein Auto, mit den normalen Mitteln absichere sprich einfach abschließe, und jemand stielt mein Auto und baut damit einen Unfall welcher erheblichen Schaden anrichtet, bin dann ich als Halter verantwortlich?
Den Autodiebstahl kann ich sofort nach Feststellung bei der Polizei melden und mich so Absichern. Wie kann ich aber, bevor eine Abmahnung kommt feststellen und ggf. Strafanzeige gegen Unbekannt stellen, dass jemand meinen Router geknackt hat und über meinen Anschluss dubiose Dinge anstellt?

Wie kann ein Betroffener sich den dagegen wehren?

Zitat:

Zitat von snooze1

Wie kann ich aber, bevor eine Abmahnung kommt feststellen und ggf. Strafanzeige gegen Unbekannt stellen, dass jemand meinen Router geknackt hat und über meinen Anschluss dubiose Dinge anstellt?
Wie kann ein Betroffener sich den dagegen wehren?

Ich sag es mal ganz "salopp", hacken ist mit Sicherheit nicht illegal, sonst wären die Gefängnisse voll mit Linux Kernel Entwicklern .

Aber die beste Absicherung in diesen schwierigen Zeiten in Bezug auf Filesharing ist die, solche Geräte einfach nicht zu benutzen

Bei meinem Anschluß über das große T ist eben dieser Router dabei und somit nutze ich ihn für meinen 2 ten Rechner im anderen Stockwerk. Die Verschlüsselung habe ich als Laie so gut wie möglich gemacht. Kann ich an dem Speedport Router "nachschauen" ob ein fremder Eingriff vorlag?

Zitat:

Zitat von snooze1

Kann ich an dem Speedport Router "nachschauen" ob ein fremder Eingriff vorlag?

Ich selber benutze solche "Hilfsmittel" nicht, aber ich meine zu wissen Du kannst im Router feststellen, ob und wann sich ein weiterer LAN-Teilnehmer eingeklinkt hat?

Was er meint, wäre wohl einer eine Logging-Funktion.
Wieviele Router das anbieten und wie lange der Router die Logs speichert, sei dann dahingestellt. Und beweisen würde ein Login eines Rechners ja auch noch nichts, könnte ja ein eigener Rechner sein..? (wäre aber zumindest eine glaubhafte Erklärung).

Zitat:

Zitat von snooze1

Es heißt immer man muss sein W-Lan absichern. Wenn man alle Möglichkeiten des Routers ausnützt und das Netz trotzdem geknackt wird ist der Anschlussinhaber trotzdem haftbar.
Finde ich eine riesige Gesetzeslücke.

Wenn ich mein Auto, mit den normalen Mitteln absichere sprich einfach abschließe, und jemand stielt mein Auto und baut damit einen Unfall welcher erheblichen Schaden anrichtet, bin dann ich als Halter verantwortlich?
Den Autodiebstahl kann ich sofort nach Feststellung bei der Polizei melden und mich so Absichern. Wie kann ich aber, bevor eine Abmahnung kommt feststellen und ggf. Strafanzeige gegen Unbekannt stellen, dass jemand meinen Router geknackt hat und über meinen Anschluss dubiose Dinge anstellt?

Wie kann ein Betroffener sich den dagegen wehren?

Hat sich aber glaube ich mittlerweile geändert, wenn ich das richtig in Erinngerung habe?

Zitat:

Zitat von m0wlwUrf

Hat sich aber glaube ich mittlerweile geändert, wenn ich das richtig in Erinngerung habe?

Hast Du mal auf das Datum des letzten Post´s geschaut?