Internetanschluss

[Maximin]

Mahlzeit!
Wer kennt sich mit W-LAN aus (Sicherheit, Verschlüsselung usw.)? Dankeschön im voraus.
Maximin grüßt vielmals

[Andreas Ponto]

ich

[Maximin]

Sehr erfreulich! Ich rufe durch.
Micha

[Heidewolf]

Was ist WLAN?

Westerwelle
Lässt
Arbeitern
Nichts

[42]

Was ist WLAN?

Antwort: Eph. 2,2.

=======

Maximin, Du kannst ja in einer Suchmaschine "WLAN" und "Sicherheit" eingeben. Du kuemmerst Dich wenigstens darum, aber was glaubst Du, wie viele WLANs ich finde, die offen wie ein Scheunentor sind.

Zusammenfassung fuer die Fuehrungsetage: Du solltest mindestens WPA oder besser WPA-2 zur Verschluesselung verwenden und im uebrigen moeglichst die unten beschriebenen Massnahmen beherzigen.

Offenes WLAN: Jeder kann ueber das WLAN in Dein privates Netzwerk, an - und, je nach Absicherung, in - Deine Computer und ueblicherweise ins Internet kommen. Du bist verantwortlich fuer das, was andere dann ueber dies Verbindung treiben. So viel Altruismus ist nicht gut fuer Dich und wird von den Gerichten nicht belohnt.

Mit WEP (Wire Equivalent Privacy, was eigentlich eine Falschaussage darstellt) "gesichertes" WLAN: diese Verschluesselung kann wegen Designfehlern kann innerhalb kuerzester Zeit gebrochen werden. Nicht gut.

WPA: bessere Verschluesselung. Akzeptabel.

WPA-2: recht gute Verschluesselung. Die sollte man, sofern alle Netzwerkgeraete dieses Verfahren beherrschen, mindestens verwenden. Fuer WPA und WPA-2 gilt gleichermassen: nur mit einem guten (nicht einfach zu erratendem) Schluessel erreicht die Methode die bestmoegliche Sicherheit. Meist heist der Schluessel auf gut deutsch "pre-shared key" oder kurz PSK.

Achtung: man liest, dass ein Geraet, das nur einen niedrigen Standard erfuellen kann, sogar saemtliche anderen Geraete im Netzwerk veranlasst, nur diesen niedrigen Standard als andere, bessere zu verwenden, die sie ebenfalls beherrschen.

Darueber hinaus kannst Du theoretisch noch ein Virtual Private Network (VPN) ueber Dein WLAN einrichten, aber das sprengt den Rahmen hier. Den Sicherheits-Paranoikern sind zwar fast keine Grenzen gesetzt, aber ueber die persoenlich als notwendig erachteten Minimalanforderungen muss man sich einmal Gedanken gemacht haben.

Keinesfalls sollte man einen Konfigurationszugang ueber das WLAN zu einem Router, WLAN Router oder Access Point (AP) offen lassen oder gar einrichten, sondern die Konfiguration nur ueber das kabelgebundene Netzwerk vornehmen.

Zweitens sollte man das vom Hersteller eingerichtete Passwort durch ein gutes selbst gewaehltes Passwort ersetzen. Die Herstellerpasswoerter sind allgemein bekannt.

Drittens sollte man den Netzwerkkennung, falls man sie aussendet, nicht so waehlen, dass daraus Rueckschluesse auf den Betreiber moeglich sind, also "Praxis Dr. Mueller", "Kanzlei Mayer & Schulze", "Wilhelmstrasse 128", "WLAN Maximin", etc. Eine aus zufaelligen Zeichen zusammengestellte Kennung funktioniert genau so gut

Viertens: Es hilft nicht wirklich viel gegen Eindringlinge, wenn man das Aussenden der Netzwerkkennung (SSID) ganz unterdrueckt, aber das LAN ist dann wenigstens fuer etliche "normale" Sucher unsichtbar. Aehnlich ist es mit der Frage, ob Du DHCP (automatisch / dynamisch zugewiesene IP-Adressen fuer die PCs im WLAN) zulaesst oder nicht und ob Du eine Liste mit MACs (Hardwarekennung der Netzwerkadapter in den PCs) einrichtest, wobei nur die PCs in dieser Liste eine Verbindung aufbauen duerfen.

Deaktiviertes DHCP und eine MAC-Liste stellen einen zusaetzlichen Beitrag zur Sicherheit vor ungebetenen "Gaesten" dar, den ein Angreifer aber jeweils umgehen kann. Wenn DHCP aktiviert ist, erhaelt jeder PC im Netzwerk automatisch eine gueltige IP-Adresse zugewiesen, sobald er sich meldet; das ist fuer die Benutzer bequem, erst recht aber fuer denjenigen der eigentlich keine Verbindungen herstellen soll. Ist DHCP nicht aktiviert, muss der PC-Besitzer eine gueltige IP-Adresse kennen (auch das ist fuer den ungebetenen Gast nicht schwierig zu kombinieren, wenn er den restlichen Verkehr mitliest) und an seinem PC einprogrammieren. Hier folgt in den Gebrauchsanweisungen der uebliche Hinweis: fragen Sie Ihren Netzwerkadministrator, welche Adresse Sie verwenden koennen.

Jede Netzwerkkarte jedes Herstellers uebertraegt neben den Daten und Verbindungsinformationen auch ihre individuelle, einmalige Hardware-Kennung (MAC-Adresse). Diese Kennung kann, muss die Gegenseite aber nicht benutzen, um ggf. zu entscheiden, ob sie eine Verbindung von diesem Geraet mit dieser Kennung akzeptiert. Dafuer bedient sich die andere Seite - z.B. der WLAN Access Point - einer Positiv-Liste mit solchen MAC-Adressen. Die Kennung seiner Netzwerkkarte kann ein technisch einigermassen versierter Mensch fast immer ueberschreiben und sie durch die Kennung eines anderen im Netzwerk autorisierten Geraets ersetzen, womit dieser Schutz ausgehebelt werden kann. Die autorisierten Kennungen hoert ein Angreifer einfach aus dem Netzwerkverkehr ab und programmiert seine Netzwerkkarte entsprechend um.

[Maximin]

Mein lieber 42er,
als mir mein neuer PC eingerichtet wurde hatte ich die Wahl: W-LAN (Funkverbindung ex Telecom) oder nicht. In Kenntnis eines jüngst ergangenen höchstrichterlichen Urteils ließ ich lieber die Finger davon. Ergebnis: Der neue Router steht zwar da, aber ich nutze ihn nur beschränkt. Für das Telefon habe ich nun leider wieder eine stinknormale Leitung (analog). Eine parallele Nutzung von PC und Telefon ist nur mit dem lästigen Umstecken an der Telefonbuchse möglich. Nicht gut, wenn man sich mit einem dreifachen Rippenbruch abplagen muss...

Jedenfalls danke ich Dir einstweilen für Deine aufklärenden Hinweise. Vielleicht sagt das hier ja auch dem einen oder der anderen TeilnehmerIn etwas. Ggf. sollten wir dazu mal telefonieren...?

Brüderliche Grüße vom Maximin