PC-Forum - Drucken

PC-Forum
https://www.everyscript.de/cgi-bin/pc_forum/YaBB.pl
Netzwerke >> WLAN >> Wlan einrichten und absichern
https://www.everyscript.de/cgi-bin/pc_forum/YaBB.pl?num=1216402477

Beitrag begonnen von Iceman1968 am 18.07.2008 , 19:34:37

Titel: Wlan einrichten und absichern
Beitrag von Iceman1968 am 18.07.2008 , 19:34:37

Wlan einrichten und absichern

1. Routereinstellungen

Die Einrichtung des WLANs beginnt mit dem Router. Einige Router bieten ab Werk eine verschlüsselte WLAN-Verbindung, einrichten solltest Du WLAN aber immer per LAN-Kabel am Router.
In dem entsprechenden Menü gibst Du die gewünschte SSID ein, und stellst danach die WPA oder WPA2 Verschlüsselung ein.
Die SSID ist der name des netzwerks, kann also beliebig vergeben werden. WEP sollte nicht mehr verwendet werden, da es als unsicher gilt. WPA (2) bietet deutlich mehr Schutz, der mit entsprechenden Paßwörtern nur sehr schwer zu knacken ist. Als Methode bietet sich in kleinen Heimnetzwerken PSK (Pre-Shared-Key) an. Dieses Paßwort sollte mindestens 10, besser aber 15 bis 20 Stellen besitzen und hart sein. harte paßwörter sind solche wie P5mnH67jkL89, weiche hingegen die, die man im Duden findet oder Daten des Benutzers.
Der Kanal ist ein eingeschränkter Bereich im 2,4Ghz Funknetz. In Deutschland sind 13 kanäle möglich, die sich aber überlagern. Gibt es also in Deiner Umgebung mehrere Funknetze, die sich übersprechen und gegenseitig stören, solltest Du einen störungsarmen Kanal wählen.

2. Rechnereinstellungen

Alle Rechner benötigen die Daten des WLAN, um sich damit verbinden zu können. Die Die Dateneingabe kann entweder über eine Windows-Maske, oder ein spezielles Programm zum WLAN-Stick oder Karte erfolgen. Exemplarisch wird hier die Eingabe über Windows erklärt.

Hinweis: Benutzt Du die Software des Herstellers, ist es sinnvoll, in der Diensteverwaltung die konfigurationsfreie drahtlose Verbindung zu beenden und zu deaktivieren.

Gehe in die Eigenschaften der Netzwerkumgebung, und wähle dort die drahtlose Verbindung aus, die Dir angezeigt wird.
Über Rechtsklick --> Eigenschaften öffnest Du die Konfiguration der Verbindung.
Hier wählst Du den Reiter Drahtlosnetzwerke, überprüfst ob Windows die Konfiguration verwaltet, und legst unten mit Hinzufügen ein neues Netzwerk an.
In dem sich jetzt öffneneden fenster kannst Du die daten Deines WLAN eingeben, die Du im Router vergeben hast.
Unterstützt Dein Netzwerk AES (Advanced Encryption Standard), und nicht nur TKIP (Temporal Key Integrety Protocol, solltest Du dieses verwenden, da es einen besseren Schutz gegen Auslesen bietet.

3. Sonstige Einstellungen

Router beherrschen viele Funktionen, die im Einzelfall aber auch hinderlich oder sogar gefährlich sein können.
Einstellungen, die gesetzt werden sollten, um den alltäglichen Betrieb sicherer zu machen, werden im folgenden erklärt.

MAC-Filter
MAC-Filter sind eine Erweiterung von Sicherheitseinstellungen, die im Einzelfall durchaus noch sinnvoll sind. Noch deshalb, weil MAC-Adressen prinzipiell zu fälschen sind.
MAC-Adressen sind eindeutige globale Kennungen von Netzwerkadaptern, die eine Karte zweifelsfrei identifizieren sollen. Dementsprechend greift der MAC-Filter nur auf eine Netzwerkkarte.
In den Eigenschaften der Netzwerkumgebung gehst Du per Doppelklick auf die gewünschte Verbindung. Dort wählst Du den Reiter Netzwerkunterstützung, und dann Details.
Die MAC-Adresse wird auch physikalische Adresse genannt, der entsprechende Wert wird übernommen und im Router hinterlegt.
Bietet der Router nur eine entsprechende MAC-Liste für WLAN an, kannst Du kabelgebundenen PCs leider keine Restriktion über die MAC vorschreiben. Du kannst hier also entscheiden, ob eingetragene MAC-Adressen einen Zugang erhalten, oder diesen verwehrt bekommen.

Universeller Plug ´n` Play

UPnP ist ein Dienst, der automatisch Ports öffnen kann. Sofern der Dienst in Windows ebenfalls aktiviert und eingerichtet ist, darf der Router angeforderte Ports öffnen, wenn sie der Rechner benötigt. Die Funktion hat den Vorteil, daß man sich um keine Portfreigaben kümmern muß, da Programme alle Ports bekommen, die sie benötigen.
Der Dienst kann aber genauso leicht von Schädlingen ausgenutzt werden, die eine Internetverbindung herstellen wollen um Inhalte nachzuladen.
UPnP sollte also nicht aktiviert sein, und der Dienst SSPN-Suchdienst deaktiviert sein.
Einige Geräte für den Netzwerkbetrieb, z.B. Kameras, beherrschen ebenfalls UPnP, um Ports zu öffnen und Daten zu senden.
Jeder, der Deine IP hat, kann somit auf die geräte zu greifen. bei Kameras und Netzwerkfestplatten u.U. ein herbes Sicherheitsleck.

Erweiterte WLAN-Einstellungen

Der Access Point im Router bietet Dir noch weitere Einstellungen an.
Die verborgene SSID bringt nur etwas, wenn keiner nach ihr sucht. Will man das Netzwerk finden, benötigt man die entsprechenden Daten dazu. Hat man diese jedoch nicht, ist das netzwerk weder auffindbar noch erreichbar. Gegen gezielte Angriffe, die über eine Suchsoftware laufen, hilft diese Methode aber weniger.
Die Antennen- oder Sendeleistung ist ein wichtiger Punkt. Je höher die Sendeleistung ist, umso weiter dehnt sich das WLAN-Netz aus. Drossel die Leistung am besten so weit, wie es für einen stabilen Betrieb möglich ist. Je kleiner die Ausdehnung des Netzes, desto näher müßen potenzielle Fremdsurfer an Deinen Router heran.
Der b/g Modus stellt eine Zugangskontrolle für Geräte unterschiedlicher Standards dar. Läßt Du nur g Modus geräte zu, werden 54 Mbit angestrebt, und Geräte älteren Standards nicht integriert. Ein Mixed Mode erlaubt hingegen die Anbindung älterer und neuerer Adapter, wobei hingegen die Geschwindigkeit herab gesetzt wird.

Router Dienste deaktivieren

Router bieten auch die Möglichkeit, Potrs und Dienste von außen zu gewährleisten. Dazu gehört unter anderem auch das Remote Managment, also das Konfigurieren des Routers von außen. Die Punkte Remote Web und Remote Telnet sollten also tunlichst gemieden werden.
Die dmz (demilitarized Zone) mappt im Regelfall erstmal allen ankommenden Verkehr auf eine gewählte IP. Die dmz hilft aber im Regelfall nicht, und öffnet eher Sicherheitslücken, als das sie weiterhilft. Benötigt man also Ports, soltten diese nicht über dmz frei geschaltet werden.
Die Unterdrückung des ankommenden Pings ist sinnvoll, um anderen Leuten zu verschleiern, daß man existiert. Wird ein Ping auf eine nicht existierende IP gesandt, dann kommt es zu einer Zeitüberschreitung, der Ping wird "fallen gelassen". Kommt jedoch eine Antwort, dann ist das für entsprechende Leute oder programme ein Anreiz dafür, die IP über den gesamten Portbereich nach Lücken zu scannen.

Edit: Dies ist nur ein kleiner Leitfaden zur Einrichtung eines WLAN-Netzes. Weitere Fragen hierzu werden Dir im Forum beantwortet.

Beiträge die in diesen Foren erscheinen, repräsentieren allein die Meinung der jeweiligen Verfasser.
Der Betreiber dieser Website/Domain erklärt hiermit ausdrücklich dass er keinerlei Einfluss auf die Inhalte der Beiträge dieser Foren hat und er sich, unabhängig davon, ausdrücklich von den Inhalten sämtlicher Beiträge dieser Foren distanziert und er sich die Inhalte dieser Beiträge unter keinen Umständen zu Eigen macht.
Der Betreiber dieser Website/Domain erklärt hiermit ausdrücklich dass er keinerlei Einfluss auf die Gestaltung und auf die Inhalte von gelinkten Internet-Seiten hat, er sich deshalb in jeglicher Form von den Inhalten der gelinkten Internet-Seiten distanziert und er sich diese Inhalte unter keinen Umständen zu Eigen macht.
Diese Erklärungen gelten für alle im Rahmen dieser Website/Domain veröffentlichten Beiträge wie auch für alle im Rahmen dieser Website/Domain angezeigten Links sowie für alle Inhalte der Internet-Seiten zu denen diese Links führen.