Sicherheit im Netzwerk

0
55

Verschlüsselte Funksignale

Immer mehr audiophile Highlights bieten durch ihre Netzwerkfähigkeiten und den Zugriff auf das Internet spannende Möglichkeiten. Die kabellose Übertragung hat jedoch einige Tücken, die bei der Einrichtung beachtet werden müssen – so etwa die sichere Übermittlung der Funksignale mittels Verschlüsselung.

Media-Server und Audioclients werden in kabelgebundener Variante (Ethernet, zehn bis 1 000 Megabit pro Sekunde) oder übers Drahtlosnetzwerk (Wireless LAN = WLAN) miteinander verbunden. Die Wiedergabegeräte (Clients) greifen über das Netzwerk auf einen Media-Server oder das Internet zu, sofern eine Verbindung über den Internetanschluss möglich ist. Die per WLAN zur Verfügung gestellte Bandbreite reicht für Audioübertragungen vollkommen aus. Videostreaming (auch in HD) über das Drahtlosnetzwerk ist ebenso möglich, jedoch muss auf den schnellen WLAN-Standard IEE 802.11n gebaut werden, der Geschwindigkeiten bis zu 450 Megabit pro Sekunde offeriert. Daneben muss die Funkumgebung den nötigen Freiraum bieten, um eine solch hohe Geschwindigkeit realisieren zu können. Schon eine leichte Überlappung eines Funknetzwerkes mit auf angrenzenden Kanälen befindlichen Fremdnetzen kann zu Einbußen hinsichtlich der Übertragungsgeschwindigkeit und Reaktionszeit führen. Als Faustregel gilt: Drei freie Kanäle sollten zwischen konkurrierenden WLAN-Netzen vorhanden sein.

WLAN-Sicherheit

Das Thema Störerhaftung ist brisant. Nutzen Dritte Ihr Netzwerk für zwielichtige oder verbotene Dinge, etwa um im Internet Spam-Mails zu versenden, Phishing oder File-Sharing zu betreiben, kommen Sie als Betreiber des Funknetzwerkes womöglich in Schwierigkeiten. Höchstrichterlich wird inzwischen verlangt, „marktübliche Sicherungsvorkehrungen“ zu treffen. Die Übertragung in einem Drahtlosnetzwerk kann verschlüsselt erfolgen, um den Zugriff auf Ihr Heimnetzwerk zu verhindern und im Netzwerk vorgehaltene Daten vor Fremden zu schützen. Im Einstellungsmenü der Basisstation, etwa dem DSL-WLAN-Router oder Drahtloszugangspunkt (Access Point), ist dazu im Bereich „WLAN/ Sicherheit“ die WLAN-Verschlüsselung zu aktivieren. Es stehen neben der unverschlüsselten Übertragung auch die Verfahren WEP, WPA und WPA2 sowie oft auch die Mischform WPA/WPA2 bereit.
 
Von der unverschlüsselten Übertragung sollten Sie wohlweislich die Finger lassen! Ebenso können wir nur davon abraten, WEP – auch nur für kurze Zeiträume – zu aktivieren. Dieses Verschlüsselungsverfahren ist antiquiert und kann bereits seit langer Zeit mit einfachsten Mitteln innerhalb von Minuten decodiert werden. Das Verfahren der Stunde ist WPA2, das in Verbindung mit dem AES-Verschlüsselungsalgorithmus die notwendige Sicherheit bietet. Alle halbwegs aktuellen WLAN-Geräte, seien es DSL-Router, Streaming-Clients, Fernseher oder Notebooks, unterstützen WPA2 und den sicheren Verschlüsselungsalgorithmus AES (der oft in einem Atemzug mit WPA2 genannt wird) bereits seit vielen Jahren. Die oftmals noch verwendete Bezeichnung TKIP/PSK mag verwirren, doch steht sie nur für eine Zwischenlösung vor der Einführung des WPA2-Standards, die jedes Datenpaket benutzerunabhängig mit einem anderen WLAN-Schlüssel versieht. WPA-TKIP/PSK arbeitet jedoch immer noch mit der unsicheren RC4-Verschlüsselung und ist somit auch nicht empfehlenswert.

Neuer Schlüssel bringt Sicherheit

Moderne WLAN-Basisstationen haben bereits eine WLAN-Verschlüsselung voreingestellt. Das notwendige Zugangspasswort – der WLAN-Schlüssel – ist meist auf der Rückseite des Geräts oder auf einem Beipackzettel abgedruckt. Dieses müssen Sie während der Einrichtung gegen ein neues Passwort ersetzen. Der WLAN-Schlüssel sollte aus mindestens acht Zeichen bestehen und neben Buchstaben in Groß- und Kleinschreibung auch Sonderzeichen beinhalten. Auf Klarnamen sollte tunlichst verzichtet werden.

Falsche Sicherheit

Bekannte Antivirensoftware ist im Moment nur für den Einsatz auf PCs sinnvoll und für Netzwerkclients noch gar nicht erhältlich. Computerviren sind so alt wie Computer selbst. Neuere Ausprägungen der Schadsoftware wie z. B. trojanische Pferde – kurz Trojaner – oder Würmer machen immer wieder von sich reden. Aktuelle Antivirensoftware schützt aber in heutiger Zeit auch vor Trojanern und anderen gefährlichen Bedrohungen aus dem Internet, die womöglich das Netzwerk so manipulieren, dass Freigaben auch ohne Einwilligung des Nutzers im Internet bereitgestellt werden. Ein Muss ist deswegen der Einsatz auf sämtlichen Computern im Heimnetzwerk. Drahtlosnetzwerkzugangspunkte bieten oftmals die „Sicherheitsfunktion“, nur bestimmten MAC-Adressen den Zugriff auf das Netzwerk zu ermöglichen. Da jedes über den Äther übertragene Datenpaket mit einer MAC-Adresse versehen ist, um den richtigen Adressaten im Netzwerk zu erreichen, ist dies aber kein tatsächliches Sicherheitsmerkmal. Aus abgefangenen und entschlüsselten Paketen kann vom Angreifer einfach die Zieladresse ausgelesen und der WLAN-Adapter des Angreifers mit der ausgespähten MAC-Adresse versehen werden.
 

Einige WLAN-Basisstationen gewähren auch eine Option, die nach der Anmeldung der genutzten WLAN-Clients weiteren WLAN-Geräten den Zugang zum Netzwerk verbietet. Geräte werden anhand der MACAdresse erkannt und stets mit der gleichen IP-Adresse im Netzwerk eingebunden. Nur wenn neue Geräte in das Heimnetzwerk eingebunden werden sollen, wird die Neuanmeldung erlaubt. Das ist für sogenannte Brute-Force-Angriffe keine sinnvolle Erweiterung.
(Thomas Köhre)

Kommentare im Forum