Dienstag, 20. Januar 2009

Absicherung meines WiFi Netzwerkes

So langsam kehrt nach dem Weihnachts/Neujahrs Rummel wieder die (relative) Normalität ein.
Nachdem die ganze Familie dier erste Wintergrippe erfolgreich überwunden hat (wir haben hier eine Schneesituation wie in Oberösterreich und teilweise Temperaturen wie in Sibirien ;) und auch aus der Tatsache heraus, das sich hier in der Nachbarschaft mindestens 5 Netzwerke befinden, die kaum oder gar nicht geschützt sind, hier einmal mein "Take" on "Wie sichere ich mein WiFi-Netzwerk gescheit ab"

Zur Hardware: Ich hatte mich für den Linksys WRT 110 entschieden, eine Accesspoint/Router/Switch-Kombination, die den 802.11n Standard beherrscht, aber auch, bei Bedarf, langsamere Komponenten bedienen kann. Darüber verbinden sich nun 4 Rechner (2x XP Pro SP3, 2x Vista Home Premium) mit dem Internet und über den Switch in ein eigenes LAN mit Daten/Printersharing etc. Also nicht mehr Daten per CD/DVD oder USB Stick im Hause herumtragen ( das sogenannte Adidas-Netzwerk;)

Die Rechner verbinden sich teilweise per CatV Ethernetkabel zum AP und die Anderen (aus dem 1. Stock) per USB-Wireless Network Adapter Linksys WUSB 100 (da kann man eigentlich jeden beliebigen WiFi Adapter nehmen...trotzdem sollte man sich, hier nach Möglichkeit, des gleichen Hardware-Herstellers zu bedienen).
Die Installation war absolut schmerzlos: CD einwerfen und den Anweisungen auf dem Bildschirm folgen.

Die eigentlichen Sicherheitsaspekte werden dann im 2.Schritt behandelt. Man gehe einmal davon aus, das es 100%ige Sicherheit nie geben kann. Deshalb verwendet man sinnvollerweise einen sogenannten "layered approach" also eine Art Schalen-Modell, bei der sich der Angreifer durch möglichst viele Sicherungs-Schalen/Schichten "kämpfen" muss ;)
Nachdem das Netzwerk als solches vorhanden ist, verbindet man sich per Browser mit dem Setup des APs/Routers (bei Linksys heißt die Adresse http://192.168.1.1).
Da diese Router alle mit voreingestelltem Passwort kommen, besteht die erste Aktion darin, hier ein gescheites Passwort einzustellen. (Am Besten eine Kombination aus Groß- und Kleinbuchstaben und Zahlen...wie immer leicht zu merken und möglichst schwer zu erraten). Als nächstes habe ich die SSID (quasi die Netzwerkkennung) geändert. Hier werden meist Herstellervorgaben übernommen, so dass man in der Nachbarschaft oft Netzwerke findet, die "linksys" oder "netgear" heißen. Dieser Name wird über die Broadcast-Funktion ausgesendet, damit externe Rechner das Netzwerk auch finden. Was für öffentliche Netze  Sinn macht, muss ich hier nicht haben, also diese Broadcast-Funktion gleich abgeschaltet. (Wer nicht sieht, das hier ein Netzwerk existiert, versucht auch nicht, sich dort hineinzuhacken).
Für die Verschlüsselung der Übertragung, verwende ich WPA2 mit einem 64 Bit langem Schlüssel (die sogenannte Passphrase).
Es gibt da verschiedene Sicherheitsstufen, angefangen bei WEP (relativ unsicher) über WPA (schon besser) hin zu WPA2 in diversen encyption modi.
Bei den Enterprise-Modellen, lässt sich eine Telefonnummer hinterlegen, so dass die eigentliche Authentifizierung per Telefon erfolgt.
Mein nächster Layer der Zugriffsbeschränkungen besteht einmal darin, das ich sowohl die Anzahl der gleichzeitigen Verbindungen auf die Anzahl der vorhandenen Rechner begrenzt habe (wenn alle Rechner laufen, kann sich niemand einbuchen, selbst wenn er alle anderen Sicherheitslayer geknackt hat).
Außerdem habe ich den IP-Pool verändert, aus dem an eingebuchte Rechner IPs vergeben werden und als, wie ich finde wirkungsvollste Maßnahme eine Tabelle angelegt, in der sich die MAC Adressen aller Geräte befinden, die sich überhaupt verbinden dürfen. Die aktuellen MAC Adressen bekommt man als Physical Adress angezeigt, wenn man an der Eingabeaufforderung (cmd.exe) eingibt:
ipconfig /all
das sieht dann ungefähr so aus:

Physical Address. . . . . . . . . : 00-1B-92-87-44-C0


Achtung! böse Abseits-Falle:
Ich wollte besonders schlau sein und hatte mir alle MAC Adressen bereits besorgt, bevor ich die USB-Netzwerkadapter anschloss, mit dem Resultat, das sich kein Rechner per WiFi einbuchen konnte. Da hier nicht, wie bei kabelgebundenen Verbindungen die MAC Adresse der Netzwerkkarte verwendet wird, sondern die des WiFi-Adapters...also, erst USB-WiFi Stick oder Karte installieren, dann MAC Adresse auslesen und in die Routertabelle eintragen.

Weiter geht es mit einer zeitlichen Einschränkung, wann sich Geräte überhaupt einbuchen können.

Damit mir nicht irgendwer "ins Kreuz tritt" habe ich noch eingerichtet, das die Router-Konfiguration nur von meinem Rechner aus und nur per Kabel stattfinden darf.

Das wäre so ziemlich alles was mir dazu im Moment einfällt.

Falls jemand eine Idee hat, wie das Sicherheit noch verbessert werden kann, bitte hinterlasst einen Kommentar.

-DG




Keine Kommentare:

Kommentar veröffentlichen