SSID verstecken und Sicherheit
Jetzt möchte ich doch mal meinen Senf zum Thema SSID verstecken und erhöhte Sicherheit dazugeben.
WLAN hat definitionsgemäß was mit Funk zu tun. Damit sich Geräte innerhalb einer Funkzelle/WLAN-Netz verständigen können, braucht das Kind immer einen Namen, eben die SSID.
Selbst wenn man „verstecken“ aktiviert, so ist die SSID eben nur „versteckt“ und das auch nur indem Sinne, dass man auf offener Flur deutlich sicht- bzw. erkennbar Leuchtschild hinhält, auf dem statt „Bin da“ eben nur „Bin unsichtbar“ steht ...
Der NetStumbler findet tatsächlich „versteckte“ Netze, aber die SSID bleibt meistens … ähmm, versteckt/unbekannt/unbenannt - aber nicht unsichtbar eben, was technisch auch nicht geht.
Anders liegt die Sache mit ein bisschen Linux (muss nicht mal installiert sein, CD-Rom mit Live-System geht sehr gut, zumindest mit ASUS-Notebook, HPs machen Probleme) und Kismet (je nach Live-System auch schon intergriert!). Um es mal klartext zu formulieren, Kismet zeigt mir die noch so „versteckteste“ SSID im K L A R T E X T an - ohne Probleme. Was also in diesem Punkt „Sicherheit“ bringen kann, ist die Default-SSID zu ändern, damit nicht jeder sofort weiß, dass man mit einem AVM, Netgear, Sinus- oder was weiß ich Router unterwegs ist.
Warum also nicht gleich ein bisschen Service für seine Mitmenschen betreiben und eine Kontaktadresse per SSID bekannt geben. Wenn Funkprobleme bestehen, man per DHCP quasi „gezwungen“ ist, in einem anderen Netz eingeloggt zu sein, … braucht es dann nur eine kurze Mail und eben keinen Erkundungsgang mit eingeschalteten und möglicherweise heißen Laptop, um eventuell vor einem größeren Wohnblock zu landen und eine Klingel-Orgie zu starten. Ja lacht nur, ist mir schon passiert ...
***
Soweit zum „mythischen“ Thema SSID und nun noch eine kurze Sicherheitsanleitung in aufsteigender Reihenfolge:
- WLAN ein, alles offen, DHCP ein = 100% unsicher (und leider immer noch sehr verbreitet!).
- SSID aus/versteckt (naja, siehe oben)
- DHCP aus, ich muss niemanden zwingen sich mit meinem Netz zu verbinden (Gut ich weiß, ist lästige Arbeit und beim Thema WDS durchaus auch schwierig).
- MAC-Adressfilter (well good, mar … es hält aber auch Niemanden auf, der sich seit Basic- und DOS-Zeiten mit dem Thema auseinandergesetzt hat. Nur soviel: MAC-Adressen sind nicht in Stein gemeißelt oder auf Platinen geschweißt und das Modifizierungs-Handwerk ist durchaus erlernbar!)
- Kennwort für den Router (Jep, schon erstaunlich wie viele Router mit 0000, 1234, Hinz und Kunz [+Geburtsdatum] gesichert sind … und - bei den bisher beschriebenen Einstellungen -kommt man dann auf einmal nicht mehr auf seinen eigenen Router, so was?!)
- So, jetzt ziehen wir den Schutzzaun mal wirklich höher mit einer WEP-Verschlüsselung. Ok, ich weiß „WEP ist geknackt“. Nur soviel, wer als Durchschnittsuser eine WEP-Verschlüsselung mit einem v e r n ü n f t i g e n Schlüssel knacken will, der muss auch heute noch gewaltige Klimmzüge veranstalten. Im Übrigen steht die Häufigkeit der Meldung WEP sei geknackt, in einem krassen Missverhältnis zu Meldungen der Art wie „Betroffener berichtet über einen WEP-Hack“. Gehackte und WEP-geschützte WLAN-Betreiber also bitte mal melden und berichten ( - dieser Aufruf ist im Übrigen schon über sechs Monate alt; gemeldet hat sich bisher nur ein freundlicher Mensch, der meinte, er könnte zwar "einbrechen", aber er würde dies aus gewissensgründen nicht tun)!
So lange sich keine in meiner Umgebung melden, möchte ich also davon ausgehen, das WDS zwischen FBF und beispielsweise meiner Sinus 1054 durchaus (noch) sicher ist.
- Echte Kostbarkeiten wie Firmengeheimnisse, Adressdatenbanken, Diplomarbeiten und … Familienfotos gehören aber hinter einen dicken, bisher nicht zu knackenden Schutzwall. Der heißt zurzeit WPA/WPA 2, wenn man einen v e r n ü n f t i g e n Schlüssel benutzt!
Dabei ist CCMP/AES besser als TKIP/RC4 (ist eigentlich ein modifiziertes WEP). Anleitung siehe hier im Unterforum unter „Wichtig“; allerdings kann AES mit einigen WLAN-Clients zu Problemen führen.
- Wer dann noch meint eine weitere Sicherung einbauen zu wollen, bitte, der muss sich mit Themen VPN und/oder Virtuelle PCs mal auseinandersetzen.
- Der ultimative WLAN-Sicherheitstipp ist natürlich WLAN aus (wobei man sicherlich darüber diskutieren kann, wie sicher ein Netzwerk über LAN ist.)
Soweit dazu ...
Zusammengefasst ergibt sich daraus folgendes Bild: Eine gute WPA-2-Verschlüsselung gleicht einem Schutzwall, vier Meter hoch und mindestens so dick, eine versteckte SSID wäre im Vergleich gerade mal die kleine Zierleiste obendrauf. Und ob ausgerechnet die einen Einbrecher aufhält …
@ H4cker-4-l!fe und telefonfreak.67
:lach: :kasper: :lach:, ist schon wieder Vollmond?
Tot ziens
