Sicherheit bei drahtlosen Verbindungen - Wireless security

Ein Beispiel WLAN - Router , das kann implementieren drahtlose Sicherheitsfunktionen

Drahtlose Sicherheit ist die Verhinderung des unbefugten Zugriffs oder der Beschädigung von Computern oder Daten mithilfe von drahtlosen Netzwerken, einschließlich Wi-Fi-Netzwerken . Der Begriff kann sich auch auf den Schutz des drahtlosen Netzwerks selbst vor Gegnern beziehen, die versuchen, die Vertraulichkeit, Integrität oder Verfügbarkeit des Netzwerks zu beeinträchtigen. Der gebräuchlichste Typ ist die Wi-Fi-Sicherheit , die Wired Equivalent Privacy (WEP) und Wi-Fi Protected Access (WPA) umfasst. WEP ist ein alter IEEE 802.11-Standard aus dem Jahr 1997. Er ist ein notorisch schwacher Sicherheitsstandard: Das verwendete Passwort kann oft in wenigen Minuten mit einem einfachen Laptop und weit verbreiteten Softwaretools geknackt werden. WEP wurde 2003 von WPA oder Wi-Fi Protected Access abgelöst. WPA war eine schnelle Alternative, um die Sicherheit gegenüber WEP zu verbessern. Der aktuelle Standard ist WPA2; Einige Hardware kann WPA2 ohne Firmware-Upgrade oder -Ersatz nicht unterstützen. WPA2 verwendet ein Verschlüsselungsgerät, das das Netzwerk mit einem 256-Bit-Schlüssel verschlüsselt; die längere Schlüssellänge verbessert die Sicherheit gegenüber WEP. Unternehmen erzwingen die Sicherheit häufig mithilfe eines zertifikatbasierten Systems zur Authentifizierung des Verbindungsgeräts gemäß dem Standard 802.11X.

Auf vielen Laptops sind Wireless-Karten vorinstalliert. Die Möglichkeit, mobil in ein Netzwerk einzusteigen, hat große Vorteile. Drahtlose Netzwerke sind jedoch anfällig für einige Sicherheitsprobleme. Hacker haben festgestellt, dass es relativ einfach ist, in drahtlose Netzwerke einzudringen, und verwenden sogar drahtlose Technologie, um sich in kabelgebundene Netzwerke einzudringen. Daher ist es sehr wichtig, dass Unternehmen effektive Richtlinien für die drahtlose Sicherheit definieren, die vor unbefugtem Zugriff auf wichtige Ressourcen schützen. Wireless Intrusion Prevention Systems (WIPS) oder Wireless Intrusion Detection Systems (WIDS) werden häufig verwendet, um Wireless-Sicherheitsrichtlinien durchzusetzen.

Sicherheitseinstellungsfeld für einen DD-WRT- Router

Die Risiken für Benutzer der drahtlosen Technologie sind mit zunehmender Popularität des Dienstes gestiegen. Bei der Einführung der drahtlosen Technologie gab es relativ wenige Gefahren. Hacker hatten noch keine Zeit, sich in die neue Technologie einzuklinken, und drahtlose Netzwerke waren am Arbeitsplatz nicht üblich. Allerdings bergen die aktuellen Funkprotokolle und Verschlüsselungsmethoden sowie die Sorglosigkeit und Unwissenheit auf Benutzer- und Unternehmens-IT-Ebene viele Sicherheitsrisiken . Hacking-Methoden sind beim drahtlosen Zugriff viel ausgeklügelter und innovativer geworden. Hacking ist auch viel einfacher und zugänglicher geworden, da benutzerfreundliche Windows- oder Linux- basierte Tools kostenlos im Internet zur Verfügung gestellt werden.

Einige Unternehmen, die keine Wireless Access Points installiert haben, sind der Meinung, dass sie sich nicht mit Wireless-Sicherheitsproblemen befassen müssen. In-Stat MDR und META Group haben geschätzt, dass 95 % aller Laptop-Computer, die 2005 gekauft werden sollten, mit Wireless-Karten ausgestattet waren. In einer vermeintlich nicht kabellosen Organisation können Probleme auftreten, wenn ein kabelloser Laptop an das Unternehmensnetzwerk angeschlossen wird. Ein Hacker könnte auf dem Parkplatz sitzen und über Laptops und/oder andere Geräte Informationen sammeln oder sogar in diesen mit einer WLAN-Karte ausgestatteten Laptop einbrechen und Zugang zum kabelgebundenen Netzwerk erlangen.

Hintergrund

Jeder innerhalb der geografischen Netzwerkreichweite eines offenen, unverschlüsselten drahtlosen Netzwerks kann den Datenverkehr " schnüffeln " oder erfassen und aufzeichnen, unbefugten Zugriff auf interne Netzwerkressourcen sowie auf das Internet erlangen und dann die Informationen und Ressourcen verwenden, um störende Maßnahmen zu ergreifen oder illegale Handlungen. Solche Sicherheitsverletzungen sind sowohl für Unternehmens- als auch für Heimnetzwerke zu einem wichtigen Anliegen geworden.

Wenn die Router-Sicherheit nicht aktiviert ist oder der Besitzer sie aus Bequemlichkeit deaktiviert, erstellt er einen kostenlosen Hotspot . Da die meisten der 21. Jahrhundert Laptop - PC für drahtlose Netzwerke eingebaut hat (siehe Intel „ Centrino “ -Technologie), sie brauchen keinen Drittanbieter - Adapter wie beispielsweise eine PCMCIA - Karte oder USB - Dongle . Die integrierte drahtlose Vernetzung kann standardmäßig aktiviert sein, ohne dass der Besitzer es merkt, und überträgt so die Erreichbarkeit des Laptops an jeden Computer in der Nähe.

Moderne Betriebssysteme wie Linux , macOS oder Microsoft Windows machen es recht einfach, einen PC mittels Internet Connection Sharing als WLAN-"Basisstation" einzurichten , sodass alle PCs im Haus über die "Basisstation" auf das Internet zugreifen können "PC. Mangelndes Wissen unter den Benutzern über die Sicherheitsprobleme, die beim Einrichten solcher Systeme inhärent sind, kann jedoch anderen in der Nähe den Zugriff auf die Verbindung ermöglichen. Ein solches "Huckepack" wird normalerweise ohne Wissen des Betreibers des drahtlosen Netzwerks erreicht; es kann sogar ohne das Wissen des eindringenden Benutzers geschehen, wenn sein Computer automatisch ein in der Nähe befindliches ungesichertes drahtloses Netzwerk als Zugangspunkt auswählt.

Die Bedrohungslage

Wireless-Sicherheit ist nur ein Aspekt der Computersicherheit; Unternehmen können jedoch besonders anfällig für Sicherheitsverletzungen sein, die durch Rogue Access Points verursacht werden .

Wenn ein Mitarbeiter (vertrauenswürdige Einheit) einen WLAN-Router einbringt und ihn an einen ungesicherten Switchport anschließt, kann das gesamte Netzwerk für jeden in Reichweite der Signale exponiert werden. Wenn ein Mitarbeiter einem vernetzten Computer über einen offenen USB-Port eine drahtlose Schnittstelle hinzufügt, kann dies eine Verletzung der Netzwerksicherheit darstellen , die den Zugriff auf vertrauliche Materialien ermöglicht. Es gibt jedoch wirksame Gegenmaßnahmen (wie das Deaktivieren offener Switchports während der Switch-Konfiguration und der VLAN-Konfiguration, um den Netzwerkzugriff einzuschränken), die verfügbar sind, um sowohl das Netzwerk als auch die darin enthaltenen Informationen zu schützen, aber solche Gegenmaßnahmen müssen einheitlich auf alle Netzwerkgeräte angewendet werden.

Bedrohungen und Schwachstellen im industriellen (M2M) Kontext

Aufgrund ihrer Verfügbarkeit und geringen Kosten nimmt der Einsatz drahtloser Kommunikationstechnologien in Domänen über die ursprünglich vorgesehenen Einsatzgebiete hinaus zu, zB M2M-Kommunikation in industriellen Anwendungen. Solche industriellen Anwendungen haben oft besondere Sicherheitsanforderungen. Daher ist es wichtig, die Eigenschaften solcher Anwendungen zu verstehen und die Schwachstellen mit dem höchsten Risiko in diesem Zusammenhang zu bewerten. Auswertungen dieser Schwachstellen und daraus resultierende Schwachstellenkataloge im industriellen Kontext unter Berücksichtigung von WLAN, NFC und ZigBee liegen vor.

Der Mobilitätsvorteil

Drahtlose Netzwerke sind sowohl für Organisationen als auch für Einzelpersonen weit verbreitet. Auf vielen Laptops sind Wireless-Karten vorinstalliert. Die Möglichkeit, mobil in ein Netzwerk einzusteigen, hat große Vorteile. Drahtlose Netzwerke sind jedoch anfällig für einige Sicherheitsprobleme. Hacker haben festgestellt, dass es relativ einfach ist, in drahtlose Netzwerke einzudringen, und verwenden sogar drahtlose Technologie, um sich in kabelgebundene Netzwerke einzudringen. Daher ist es sehr wichtig, dass Unternehmen effektive Richtlinien für die drahtlose Sicherheit definieren, die vor unbefugtem Zugriff auf wichtige Ressourcen schützen. Wireless Intrusion Prevention Systems (WIPS) oder Wireless Intrusion Detection Systems (WIDS) werden häufig verwendet, um Wireless-Sicherheitsrichtlinien durchzusetzen.

Die Luftschnittstelle und das Link-Korruptionsrisiko

Bei der Einführung der Funktechnologie gab es relativ wenige Gefahren, da der Aufwand für die Aufrechterhaltung der Kommunikation hoch und der Aufwand für das Eindringen immer höher ist. Die Vielfalt der Risiken für Benutzer von drahtloser Technologie hat zugenommen, da der Dienst populärer und die Technologie allgemein verfügbarer wird. Die heutigen Funkprotokolle und Verschlüsselungsverfahren bergen heute eine Vielzahl von Sicherheitsrisiken , da auf Anwender- und Unternehmens-IT-Ebene Unachtsamkeit und Unwissenheit herrscht . Hacking-Methoden sind mit Wireless viel ausgefeilter und innovativer geworden.

Modi des unbefugten Zugriffs

Die Modi des unbefugten Zugriffs auf Links, Funktionen und Daten sind so variabel, wie die jeweiligen Instanzen Programmcode verwenden. Es gibt kein umfassendes Modell einer solchen Bedrohung. Zum Teil stützt sich die Prävention auf bekannte Angriffsarten und -methoden und entsprechende Methoden zur Unterdrückung der angewandten Methoden. Jede neue Betriebsart wird jedoch neue Möglichkeiten der Bedrohung schaffen. Daher erfordert Prävention ein stetiges Streben nach Verbesserung. Die beschriebenen Angriffsarten sind nur eine Momentaufnahme typischer Methoden und Anwendungsszenarien.

Zufällige Assoziation

Die Verletzung des Sicherheitsbereichs eines Unternehmensnetzwerks kann aus einer Reihe verschiedener Methoden und Absichten resultieren. Eine dieser Methoden wird als „zufällige Assoziation“ bezeichnet. Wenn ein Benutzer einen Computer einschaltet und dieser sich von einem überlappenden Netzwerk eines benachbarten Unternehmens mit einem drahtlosen Zugangspunkt verbindet, weiß der Benutzer möglicherweise nicht einmal, dass dies passiert ist. Es stellt jedoch eine Sicherheitsverletzung dar, da proprietäre Unternehmensinformationen offengelegt werden und nun eine Verbindung von einem Unternehmen zum anderen bestehen könnte. Dies gilt insbesondere, wenn der Laptop auch an ein kabelgebundenes Netzwerk angeschlossen ist.

Eine versehentliche Assoziation ist ein Fall einer drahtlosen Schwachstelle, die als "Fehl-Assoziation" bezeichnet wird. Eine falsche Assoziation kann versehentlich oder absichtlich erfolgen (z. B. zur Umgehung der Unternehmens-Firewall) oder aus absichtlichen Versuchen von Wireless-Clients resultieren, sie dazu zu bringen, sich mit den APs des Angreifers zu verbinden.

Schädliche Verbindung

Von „bösartigen Assoziationen“ spricht man, wenn drahtlose Geräte von Angreifern aktiv dazu gebracht werden können, sich über ihren Laptop anstelle eines Firmen-Access Points (AP) mit einem Firmennetzwerk zu verbinden. Diese Art von Laptops sind als „Soft-APs“ bekannt und werden erstellt, wenn ein Cyberkrimineller eine Software ausführt , die seine drahtlose Netzwerkkarte wie einen legitimen Zugangspunkt aussehen lässt. Hat sich der Dieb Zugang verschafft, kann er Passwörter stehlen, Angriffe auf das kabelgebundene Netzwerk starten oder Trojaner einpflanzen . Da drahtlose Netzwerke auf Layer-2-Ebene arbeiten, bieten Layer-3-Schutzmaßnahmen wie Netzwerkauthentifizierung und virtuelle private Netzwerke (VPNs) keine Barriere. Drahtlose 802.1X-Authentifizierungen tragen zu einem gewissen Schutz bei, sind jedoch immer noch anfällig für Hacker. Die Idee hinter dieser Art von Angriff besteht möglicherweise nicht darin, in ein VPN oder andere Sicherheitsmaßnahmen einzubrechen. Höchstwahrscheinlich versucht der Kriminelle nur, den Client auf Ebene 2 zu übernehmen.

Ad-hoc-Netzwerke

Ad-hoc- Netzwerke können eine Sicherheitsbedrohung darstellen. Ad-hoc-Netzwerke werden als [Peer-to-Peer]-Netzwerke zwischen drahtlosen Computern definiert, die keinen Zugangspunkt dazwischen haben. Während diese Arten von Netzwerken normalerweise wenig Schutz bieten, können Verschlüsselungsverfahren verwendet werden, um Sicherheit zu bieten.

Die Sicherheitslücke, die Ad-hoc-Netzwerke bieten, ist nicht das Ad-hoc-Netzwerk selbst, sondern die Brücke, die es zu anderen Netzwerken bereitstellt, normalerweise in der Unternehmensumgebung, und die unglücklichen Standardeinstellungen in den meisten Versionen von Microsoft Windows, um diese Funktion zu aktivieren, sofern sie nicht ausdrücklich deaktiviert ist . So weiß der Benutzer möglicherweise nicht einmal, dass auf seinem Computer ein ungesichertes Ad-hoc-Netzwerk in Betrieb ist. Wenn sie gleichzeitig ein kabelgebundenes oder kabelloses Infrastrukturnetzwerk verwenden, stellen sie über die ungesicherte Ad-hoc-Verbindung eine Brücke zum gesicherten Unternehmensnetzwerk bereit. Die Überbrückung gibt es in zwei Formen. Eine direkte Brücke, die erfordert, dass der Benutzer tatsächlich eine Brücke zwischen den beiden Verbindungen konfiguriert und es daher unwahrscheinlich ist, dass sie initiiert wird, es sei denn, es wird ausdrücklich gewünscht, und eine indirekte Brücke, die die gemeinsam genutzten Ressourcen auf dem Computer des Benutzers sind. Die indirekte Bridge kann private Daten, die vom Computer des Benutzers freigegeben werden, für LAN-Verbindungen offenlegen, wie freigegebene Ordner oder privater Network Attached Storage, ohne zwischen authentifizierten oder privaten Verbindungen und nicht authentifizierten Ad-Hoc-Netzwerken zu unterscheiden. Dies stellt keine Bedrohungen dar, die offenen/öffentlichen oder ungesicherten WLAN-Zugangspunkten nicht bereits bekannt sind, aber Firewall-Regeln können bei schlecht konfigurierten Betriebssystemen oder lokalen Einstellungen umgangen werden.

Nicht-traditionelle Netzwerke

Nicht-traditionelle Netzwerke wie persönliche Netzwerk- Bluetooth- Geräte sind nicht vor Hackern sicher und sollten als Sicherheitsrisiko angesehen werden. Auch Barcode-Lesegeräte , tragbare PDAs und drahtlose Drucker und Kopierer sollten gesichert werden. Diese nicht-traditionellen Netzwerke können von IT-Mitarbeitern, die sich nur auf Laptops und Access Points konzentriert haben, leicht übersehen werden.

Identitätsdiebstahl (MAC-Spoofing)

Identitätsdiebstahl (oder MAC-Spoofing ) tritt auf, wenn ein Hacker in der Lage ist, den Netzwerkverkehr abzuhören und die MAC-Adresse eines Computers mit Netzwerkprivilegien zu identifizieren . Die meisten drahtlosen Systeme ermöglichen eine Art von MAC-Filterung , um nur autorisierten Computern mit bestimmten MAC-IDs den Zugriff und die Nutzung des Netzwerks zu ermöglichen. Es gibt jedoch Programme, die über Netzwerk- Sniffing- Fähigkeiten verfügen. Kombinieren Sie diese Programme mit anderer Software, die es einem Computer ermöglicht, so zu tun, als hätte er eine beliebige MAC-Adresse, die der Hacker wünscht, und der Hacker kann diese Hürde leicht umgehen.

Die MAC-Filterung ist nur für kleine Heimnetzwerke (SOHO) wirksam, da sie nur dann Schutz bietet, wenn das drahtlose Gerät "off the air" ist. Jedes 802.11-Gerät "on the air" überträgt seine unverschlüsselte MAC-Adresse frei in seinen 802.11-Headern und erfordert keine spezielle Ausrüstung oder Software, um es zu erkennen. Jeder mit einem 802.11-Empfänger (Laptop und Wireless-Adapter) und einem Freeware-Wireless-Packet-Analyzer kann die MAC-Adresse jedes sendenden 802.11 in Reichweite abrufen. In einer Unternehmensumgebung, in der die meisten drahtlosen Geräte während der aktiven Arbeitsschicht „on air“ sind, vermittelt die MAC-Filterung nur ein falsches Gefühl der Sicherheit, da sie nur „beiläufige“ oder unbeabsichtigte Verbindungen zur Unternehmensinfrastruktur verhindert und nichts dagegen tut gerichteter Angriff.

Man-in-the-Middle-Angriffe

Ein Man-in-the-Middle- Angreifer verleitet Computer dazu, sich an einem Computer anzumelden, der als Soft-AP ( Access Point ) eingerichtet ist. Sobald dies erledigt ist, verbindet sich der Hacker über eine andere drahtlose Karte mit einem echten Zugangspunkt, der einen stetigen Datenfluss durch den transparenten Hacker-Computer zum echten Netzwerk bietet. Der Hacker kann dann den Datenverkehr erschnüffeln. Eine Art von Man-in-the-Middle-Angriff beruht auf Sicherheitsfehlern in Challenge- und Handshake-Protokollen, um einen „De-Authentifizierungsangriff“ auszuführen. Dieser Angriff zwingt Computer, die mit einem AP verbunden sind, ihre Verbindungen zu trennen und sich wieder mit dem Soft-AP des Hackers zu verbinden (trennt den Benutzer vom Modem, sodass er sich erneut mit seinem Passwort verbinden muss, das man aus der Aufzeichnung des Ereignisses entnehmen kann). Man-in-the-Middle - Angriffe werden durch Software- Interpolation wie LANjack und Airjack die Automate mehrere Schritte des Prozesses, was bedeutet , was einmal etwas Geschick erforderlich ist, kann nun getan werden Script - Kiddies . Hotspots sind besonders anfällig für Angriffe, da es in diesen Netzwerken wenig bis gar keine Sicherheit gibt.

Denial of Service

Ein Denial-of-Service-Angriff (DoS) tritt auf, wenn ein Angreifer kontinuierlich einen anvisierten AP ( Access Point ) oder ein Netzwerk mit gefälschten Anfragen, verfrühten erfolgreichen Verbindungsnachrichten, Fehlermeldungen und/oder anderen Befehlen bombardiert . Diese führen dazu, dass legitime Benutzer nicht in der Lage sind, auf das Netzwerk zuzugreifen, und können sogar zum Absturz des Netzwerks führen. Diese Angriffe beruhen auf dem Missbrauch von Protokollen wie dem Extensible Authentication Protocol (EAP).

Der DoS-Angriff an sich trägt wenig dazu bei, Unternehmensdaten einem böswilligen Angreifer auszusetzen, da die Unterbrechung des Netzwerks den Datenfluss verhindert und die Daten sogar indirekt schützt, indem sie deren Übertragung verhindert. Der übliche Grund für einen DoS-Angriff besteht darin, die Wiederherstellung des drahtlosen Netzwerks zu beobachten, bei der alle anfänglichen Handshake-Codes von allen Geräten erneut übertragen werden, was dem böswilligen Angreifer die Möglichkeit bietet, diese Codes aufzuzeichnen und verschiedene Cracking-Tools zu verwenden um Sicherheitslücken zu analysieren und diese auszunutzen, um sich unbefugten Zugriff auf das System zu verschaffen. Dies funktioniert am besten auf schwach verschlüsselten Systemen wie WEP, wo eine Reihe von Tools verfügbar sind, die einen Wörterbuchangriff auf "möglicherweise akzeptierte" Sicherheitsschlüssel basierend auf dem während der Netzwerkwiederherstellung erfassten "Modell"-Sicherheitsschlüssel starten können.

Netzwerkinjektion

Bei einem Netzwerkinjektionsangriff kann ein Hacker Zugangspunkte nutzen, die nicht gefiltertem Netzwerkverkehr ausgesetzt sind, insbesondere Netzwerkverkehr wie „ Spanning Tree “ (802.1D), OSPF , RIP und HSRP übertragen . Der Hacker fügt gefälschte Befehle zur Neukonfiguration von Netzwerken ein, die Router, Switches und intelligente Hubs betreffen. Ein ganzes Netzwerk kann auf diese Weise heruntergefahren werden und erfordert einen Neustart oder sogar eine Neuprogrammierung aller intelligenten Netzwerkgeräte.

Caffe Latte-Angriff

Der Caffe Latte-Angriff ist eine weitere Möglichkeit, WEP zu besiegen. Der Angreifer muss sich bei diesem Exploit nicht im Bereich des Netzwerks aufhalten. Mithilfe eines Prozesses, der auf den drahtlosen Windows- Stack abzielt, ist es möglich, den WEP- Schlüssel von einem Remoteclient abzurufen. Durch das Senden einer Flut von verschlüsselten ARP- Anfragen nutzt der Angreifer die Shared-Key-Authentifizierung und die Nachrichtenmodifikationsfehler in 802.11 WEP. Der Angreifer verwendet die ARP-Antworten, um den WEP-Schlüssel in weniger als 6 Minuten zu erhalten.

Wireless Intrusion Prevention-Konzepte

Es gibt drei prinzipielle Möglichkeiten, ein drahtloses Netzwerk zu sichern.

  • Für geschlossene Netzwerke (wie Heimanwender und Organisationen) besteht die gängigste Methode darin, Zugriffsbeschränkungen in den Zugangspunkten zu konfigurieren . Diese Einschränkungen können Verschlüsselung und Überprüfungen der MAC-Adresse umfassen . Wireless Intrusion Prevention Systems können in diesem Netzwerkmodell verwendet werden, um die Sicherheit des drahtlosen LANs zu gewährleisten.
  • Für kommerzielle Anbieter, Hotspots und große Organisationen ist die bevorzugte Lösung häufig ein offenes und unverschlüsseltes, aber vollständig isoliertes drahtloses Netzwerk. Die Benutzer haben zunächst weder Zugang zum Internet noch zu lokalen Netzwerkressourcen. Kommerzielle Anbieter leiten in der Regel den gesamten Web-Traffic an ein Captive-Portal weiter, das die Zahlung und/oder Autorisierung vorsieht. Eine andere Lösung besteht darin, von den Benutzern zu verlangen, dass sie sich über VPN sicher mit einem privilegierten Netzwerk verbinden .
  • Drahtlose Netzwerke sind weniger sicher als kabelgebundene; In vielen Büros können Eindringlinge problemlos ihren eigenen Computer besuchen und problemlos mit dem kabelgebundenen Netzwerk verbinden, um Zugang zum Netzwerk zu erhalten, und es ist auch für entfernte Eindringlinge oft möglich, über Hintertüren wie Back Orifice Zugang zum Netzwerk zu erhalten . Eine allgemeine Lösung kann die Ende-zu-Ende-Verschlüsselung mit unabhängiger Authentifizierung für alle Ressourcen sein, die der Öffentlichkeit nicht zugänglich sein sollten.

Es gibt kein fertig entwickeltes System, um eine betrügerische Nutzung der drahtlosen Kommunikation zu verhindern oder Daten und Funktionen mit drahtlos kommunizierenden Computern und anderen Einheiten zu schützen. Es besteht jedoch ein System, die ergriffenen Maßnahmen insgesamt nach einem gemeinsamen Verständnis zu qualifizieren, was als Stand der Technik anzusehen ist. Das Qualifizierungssystem ist ein internationaler Konsens gemäß ISO/IEC 15408 .

Ein drahtloses Intrusion-Prevention-System

Ein Wireless Intrusion Prevention System (WIPS) ist ein Konzept für den robustesten Weg, um drahtlosen Sicherheitsrisiken entgegenzuwirken. Ein solches WIPS existiert jedoch nicht als fertige Lösung zur Implementierung als Softwarepaket. Ein WIPS wird in der Regel als Overlay zu einer bestehenden WLAN- Infrastruktur implementiert , kann aber auch eigenständig eingesetzt werden, um Richtlinien ohne WLAN innerhalb einer Organisation durchzusetzen. WIPS wird für die Wireless-Sicherheit als so wichtig erachtet, dass der Payment Card Industry Security Standards Council im Juli 2009 Wireless-Richtlinien für PCI DSS veröffentlicht hat , in denen die Verwendung von WIPS zur Automatisierung von Wireless-Scans und -Schutz für große Unternehmen empfohlen wird.

Sicherheitsmaßnahmen

Es gibt eine Reihe von drahtlosen Sicherheitsmaßnahmen mit unterschiedlicher Wirksamkeit und Praktikabilität.

SSID versteckt

Eine einfache, aber ineffektive Methode, um ein drahtloses Netzwerk abzusichern, besteht darin, die SSID (Service Set Identifier) zu verbergen . Dies bietet nur sehr wenig Schutz gegen alles andere als die beiläufigsten Eindringversuche.

MAC-ID-Filterung

Eine der einfachsten Techniken besteht darin, nur den Zugriff von bekannten, vorab genehmigten MAC-Adressen zuzulassen . Die meisten drahtlosen Zugangspunkte enthalten eine Art von MAC- ID-Filterung. Ein Angreifer kann jedoch einfach die MAC-Adresse eines autorisierten Clients ausspähen und diese Adresse fälschen .

Statische IP-Adressierung

Typische Wireless Access Points stellen Clients IP-Adressen über DHCP zur Verfügung . Die Anforderung, dass Clients ihre eigenen Adressen festlegen, erschwert es einem zufälligen oder unerfahrenen Eindringling, sich beim Netzwerk anzumelden, bietet jedoch wenig Schutz gegen einen ausgeklügelten Angreifer.

802.11-Sicherheit

IEEE 802.1X ist der IEEE-Standard- Authentifizierungsmechanismus für Geräte, die an ein Wireless LAN angeschlossen werden möchten.

Regelmäßige WEP

Der Verschlüsselungsstandard Wired Equivalent Privacy (WEP) war der ursprüngliche Verschlüsselungsstandard für Wireless, aber seit 2004 mit der Ratifizierung von WPA2 hat das IEEE ihn für "veraltet" erklärt, und obwohl er oft unterstützt wird, ist er selten oder nie der Standard auf modernen Geräten.

Bereits 2001 wurden Bedenken hinsichtlich der Sicherheit geäußert, die 2005 vom FBI dramatisch demonstriert wurden , doch 2007 gab TJ Maxx eine massive Sicherheitsverletzung zu, die teilweise auf die Abhängigkeit von WEP zurückzuführen war, und die Zahlungskartenindustrie brauchte bis 2008, um ihre Verwendung zu untersagen – und ließ selbst dann die bestehende Nutzung bis Juni 2010 weiterlaufen.

WPav1

Die Sicherheitsprotokolle Wi-Fi Protected Access (WPA und WPA2) wurden später erstellt, um die Probleme mit WEP zu beheben. Wenn ein schwaches Passwort verwendet wird, beispielsweise ein Wörterbuchwort oder eine kurze Zeichenfolge, können WPA und WPA2 geknackt werden. Die Verwendung eines ausreichend langen zufälligen Passworts (zB 14 zufällige Buchstaben) oder Passphrase (zB 5 zufällig gewählte Wörter ) macht Pre-Shared Key WPA praktisch unknackbar. Die zweite Generation des WPA-Sicherheitsprotokolls (WPA2) basiert auf der letzten IEEE 802.11i- Ergänzung zum 802.11- Standard und ist für die FIPS 140-2- Konformität qualifiziert. Mit all diesen Verschlüsselungsschemata kann jeder Client im Netzwerk, der die Schlüssel kennt, den gesamten Datenverkehr lesen.

Wi-Fi Protected Access (WPA) ist eine Software-/Firmware-Verbesserung gegenüber WEP. Alle gängigen WLAN-Geräte, die mit WEP arbeiten, können einfach aufgerüstet werden und es müssen keine neuen Geräte gekauft werden. WPA ist eine abgespeckte Version des 802.11i- Sicherheitsstandards, der von IEEE 802.11 entwickelt wurde , um WEP zu ersetzen. Der TKIP- Verschlüsselungsalgorithmus wurde für WPA entwickelt, um WEP-Verbesserungen bereitzustellen, die als Firmware- Upgrades für vorhandene 802.11-Geräte eingesetzt werden können. Das WPA-Profil bietet auch optionale Unterstützung für den AES-CCMP- Algorithmus, der der bevorzugte Algorithmus in 802.11i und WPA2 ist.

WPA Enterprise bietet RADIUS- basierte Authentifizierung mit 802.1X. WPA Personal verwendet einen Pre-Shared Shared Key ( PSK ), um die Sicherheit mit einer Passphrase mit 8 bis 63 Zeichen zu gewährleisten. Der PSK kann auch als 64-stelliger Hexadezimalstring eingegeben werden. Schwache PSK-Passphrasen können mit Offline-Wörterbuchangriffen gebrochen werden, indem die Nachrichten im Vier-Wege-Austausch erfasst werden, wenn der Client nach der Deauthentifizierung wieder eine Verbindung herstellt. WLAN-Suiten wie aircrack-ng können eine schwache Passphrase in weniger als einer Minute knacken. Andere WEP/WPA-Cracker sind AirSnort und Auditor Security Collection . Dennoch ist WPA Personal sicher, wenn es mit „guten“ Passphrasen oder einem vollständigen 64-stelligen Hexadezimalschlüssel verwendet wird.

Es gab jedoch Informationen, dass Erik Tews (der Mann, der den Fragmentierungsangriff gegen WEP verursachte) auf der PacSec-Sicherheitskonferenz in Tokio im November 2008 einen Weg zum Brechen der WPA-TKIP-Implementierung aufdecken würde, indem er die Verschlüsselung eines Pakets zwischen 12 . knackte -15 Minuten. Dennoch wurde die Ankündigung dieses "Cracks" von den Medien etwas übertrieben, denn seit August 2009 ist der beste Angriff auf WPA (der Beck-Tews-Angriff) nur teilweise erfolgreich, da er nur auf kurzen Datenpaketen funktioniert, es kann den WPA-Schlüssel nicht entschlüsseln, und es erfordert sehr spezifische WPA-Implementierungen, um zu funktionieren.

Ergänzungen zu WPAv1

Neben WPAv1 können auch TKIP, WIDS und EAP hinzugefügt werden. Auch VPN- Netzwerke (nicht-kontinuierliche sichere Netzwerkverbindungen) können nach dem 802.11-Standard eingerichtet werden. VPN-Implementierungen umfassen PPTP , L2TP , IPsec und SSH . Diese zusätzliche Sicherheitsebene kann jedoch auch mit Tools wie Anger, Deceit und Ettercap für PPTP geknackt werden ; und ike-scan , IKEProbe , ipsectrace und IKEcrack für IPsec-Verbindungen.

TKIP

Dies steht für Temporal Key Integrity Protocol und das Akronym wird als Tee-Kip ausgesprochen. Dies ist Teil des IEEE 802.11i-Standards. TKIP implementiert eine Schlüsselmischung pro Paket mit einem Re-Keying-System und bietet auch eine Nachrichtenintegritätsprüfung. Diese vermeiden die Probleme von WEP.

EAP

Die WPA-Verbesserung gegenüber dem IEEE 802.1X-Standard hat bereits die Authentifizierung und Autorisierung für den Zugriff auf drahtlose und drahtgebundene LANs verbessert . Darüber hinaus haben zusätzliche Maßnahmen wie das Extensible Authentication Protocol (EAP) noch mehr Sicherheit eingeleitet. Dies, da EAP einen zentralen Authentifizierungsserver verwendet. Leider entdeckte ein Professor aus Maryland im Jahr 2002 einige Mängel. In den nächsten Jahren wurden diese Mängel durch den Einsatz von TLS und anderen Verbesserungen behoben. Diese neue Version von EAP heißt jetzt Extended EAP und ist in mehreren Versionen verfügbar; dazu gehören: EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAPv2 und EAP-SIM.

EAP-Versionen

EAP-Versionen umfassen LEAP, PEAP und andere EAPs.

SPRUNG

Dies steht für das Lightweight Extensible Authentication Protocol. Dieses Protokoll basiert auf 802.1X und hilft, die ursprünglichen Sicherheitslücken durch die Verwendung von WEP und einem ausgeklügelten Schlüsselverwaltungssystem zu minimieren. Diese EAP-Version ist sicherer als EAP-MD5. Dies verwendet auch die MAC-Adressauthentifizierung. LEAP ist nicht sicher; THC-LeapCracker kann verwendet werden, um Ciscos Version von LEAP zu knacken und in Form eines Wörterbuchangriffs gegen Computer, die mit einem Zugangspunkt verbunden sind, eingesetzt zu werden . Anwrap und asleap sind schließlich andere Cracker, die LEAP brechen können.

PEAP

Dies steht für Protected Extensible Authentication Protocol. Dieses Protokoll ermöglicht einen sicheren Transport von Daten, Passwörtern und Verschlüsselungsschlüsseln, ohne dass ein Zertifikatsserver erforderlich ist. Diese wurde von Cisco, Microsoft und RSA Security entwickelt .

Andere EAPs Es gibt andere Arten von Extensible Authentication Protocol-Implementierungen, die auf dem EAP-Framework basieren. Das etablierte Framework unterstützt sowohl bestehende EAP-Typen als auch zukünftige Authentifizierungsmethoden. EAP-TLS bietet aufgrund seiner gegenseitigen Authentifizierung einen sehr guten Schutz. Sowohl der Client als auch das Netzwerk werden mithilfe von Zertifikaten und WEP-Schlüsseln pro Sitzung authentifiziert. Auch EAP-FAST bietet einen guten Schutz. EAP-TTLS ist eine weitere Alternative von Certicom und Funk Software. Es ist bequemer, da keine Zertifikate an Benutzer verteilt werden müssen, bietet jedoch etwas weniger Schutz als EAP-TLS.

Netze mit eingeschränktem Zugang

Zu den Lösungen gehört ein neueres Authentifizierungssystem , IEEE 802.1X , das verspricht, die Sicherheit sowohl in kabelgebundenen als auch in drahtlosen Netzwerken zu verbessern. Drahtlose Access Points, die solche Technologien beinhalten, haben oft auch Router eingebaut und werden so zu drahtlosen Gateways .

Ende-zu-Ende-Verschlüsselung

Man kann argumentieren, dass sowohl Layer-2- als auch Layer-3- Verschlüsselungsmethoden nicht gut genug sind, um wertvolle Daten wie Passwörter und persönliche E-Mails zu schützen. Diese Technologien verschlüsseln nur Teile des Kommunikationsweges und ermöglichen es den Leuten trotzdem, den Datenverkehr auszuspionieren, wenn sie irgendwie Zugang zum kabelgebundenen Netzwerk erhalten haben. Die Lösung kann eine Verschlüsselung und Autorisierung in der Anwendungsschicht sein , unter Verwendung von Technologien wie SSL , SSH , GnuPG , PGP und ähnlichem.

Der Nachteil der End-to-End-Methode besteht darin, dass sie möglicherweise nicht den gesamten Datenverkehr abdeckt. Mit Verschlüsselung auf Router-Ebene oder VPN verschlüsselt ein einzelner Switch den gesamten Datenverkehr, sogar UDP- und DNS-Lookups. Bei der Ende-zu-Ende-Verschlüsselung muss dagegen jeder abzusichernde Dienst seine Verschlüsselung „angeschaltet“ haben und oft muss auch jede Verbindung separat „angeschaltet“ werden. Zum Versenden von E-Mails muss jeder Empfänger das Verschlüsselungsverfahren unterstützen und Schlüssel korrekt austauschen. Für das Web bieten nicht alle Websites https an, und selbst wenn, sendet der Browser IP-Adressen im Klartext.

Die wertvollste Ressource ist oft der Zugang zum Internet. Ein Büro-LAN-Besitzer, der einen solchen Zugriff einschränken möchte, steht vor der nicht trivialen Durchsetzungsaufgabe, dass sich jeder Benutzer für den Router authentifizieren muss.

802.11i-Sicherheit

Die neueste und strengste Sicherheit, die heute in WLANs zu implementieren ist, ist der 802.11i RSN-Standard. Dieser vollwertige 802.11i-Standard (der WPAv2 verwendet) erfordert jedoch die neueste Hardware (im Gegensatz zu WPAv1) und erfordert daher möglicherweise den Kauf neuer Geräte. Diese neue erforderliche Hardware kann entweder AES-WRAP (eine frühe Version von 802.11i) oder die neuere und bessere AES-CCMP-Ausrüstung sein. Man sollte darauf achten, dass man WRAP- oder CCMP-Equipment benötigt, da die beiden Hardware-Standards nicht kompatibel sind.

WPav2

WPA2 ist eine WiFi Alliance-Markenversion des endgültigen 802.11i-Standards. Die wichtigste Verbesserung gegenüber WPA ist die Aufnahme des AES-CCMP- Algorithmus als obligatorische Funktion. Sowohl WPA als auch WPA2 unterstützen EAP-Authentifizierungsmethoden mit RADIUS-Servern und Preshared Key (PSK).

Die Anzahl der WPA- und WPA2-Netzwerke nimmt aufgrund der Sicherheitslücken in WEP zu, während die Anzahl der WEP-Netzwerke abnimmt.

Es wurde festgestellt, dass WPA2 mindestens eine Sicherheitslücke mit dem Spitznamen Hole196 aufweist. Die Sicherheitslücke nutzt die WPA2 - Gruppe Temporal Key (GTK), die einen gemeinsamen Schlüssel unter allen Benutzern derselben ist BSSID , um Start - Angriffe auf andere Nutzer des gleichen BSSID . Es ist nach Seite 196 der IEEE 802.11i-Spezifikation benannt, wo die Schwachstelle diskutiert wird. Damit dieser Exploit ausgeführt werden kann, muss der GTK dem Angreifer bekannt sein.

Ergänzungen zu WPAv2

Im Gegensatz zu 802.1X verfügt 802.11i bereits über die meisten anderen zusätzlichen Sicherheitsdienste wie TKIP. Ebenso wie WPAv1 kann WPAv2 in Kooperation mit EAP und einem WIDS arbeiten .

WAPI

Dies steht für WLAN Authentication and Privacy Infrastructure. Dies ist ein von der chinesischen Regierung definierter drahtloser Sicherheitsstandard .

Smartcards, USB-Token und Software-Token

Die Verwendung von Sicherheitstoken ist eine Authentifizierungsmethode, bei der nur autorisierte Benutzer im Besitz des erforderlichen Tokens sind. Smartcards sind physische Token in den Karten, die einen eingebetteten integrierten Schaltkreischip zur Authentifizierung verwenden und einen Kartenleser erfordern. USB-Token sind physische Token, die über einen USB-Port verbunden werden, um den Benutzer zu authentifizieren.

HF-Abschirmung

In einigen Fällen ist es praktisch, spezielle Wandfarben und Fensterfolien auf einen Raum oder ein Gebäude aufzubringen, um die Funksignale deutlich zu dämpfen und so die Ausbreitung der Signale außerhalb einer Einrichtung zu verhindern. Dies kann die drahtlose Sicherheit erheblich verbessern, da es für Hacker schwierig ist, die Signale außerhalb des kontrollierten Bereichs einer Einrichtung, beispielsweise von einem Parkplatz, zu empfangen.

Denial-of-Service-Verteidigung

Die meisten DoS-Angriffe sind leicht zu erkennen. Viele von ihnen sind jedoch auch nach der Erkennung schwer zu stoppen. Hier sind drei der gängigsten Methoden, um einen DoS-Angriff zu stoppen.

Schwarze Löcher

Black Holing ist eine Möglichkeit, einen DoS-Angriff zu stoppen. Dies ist eine Situation, in der wir alle IP-Pakete eines Angreifers verwerfen. Dies ist keine sehr gute langfristige Strategie, da Angreifer ihre Quelladresse sehr schnell ändern können.

Dies kann negative Auswirkungen haben, wenn es automatisch durchgeführt wird. Ein Angreifer könnte Angriffspakete mit der IP-Adresse eines Unternehmenspartners wissentlich fälschen. Automatisierte Abwehrmaßnahmen könnten legitimen Datenverkehr von diesem Partner blockieren und zusätzliche Probleme verursachen.

Bestätigung des Handshakes

Das Validieren des Handshakes beinhaltet das Erstellen falscher Öffnungen und das Zurücklegen von Ressourcen, bis der Absender dies bestätigt. Einige Firewalls adressieren SYN-Floods, indem sie den TCP-Handshake vorab validieren. Dies geschieht durch Erstellen von falschen Öffnungen. Immer wenn ein SYN-Segment ankommt, sendet die Firewall ein SYN/ACK-Segment zurück, ohne das SYN-Segment an den Zielserver weiterzugeben.

Erst wenn die Firewall ein ACK zurückbekommt, was nur bei einer legitimen Verbindung passieren würde, würde die Firewall das ursprüngliche SYN-Segment an den Server weiterleiten, für den es ursprünglich gedacht war. Die Firewall stellt beim Eintreffen eines SYN-Segments keine Ressourcen für eine Verbindung bereit, sodass die Handhabung einer großen Anzahl falscher SYN-Segmente nur eine geringe Belastung darstellt.

Ratenbegrenzung

Die Ratenbegrenzung kann verwendet werden, um eine bestimmte Art von Verkehr auf einen Betrag zu reduzieren, mit dem vernünftig umgegangen werden kann. Das Rundsenden in das interne Netz könnte weiterhin genutzt werden, jedoch beispielsweise nur mit begrenzter Rate. Dies ist für subtilere DoS-Angriffe. Dies ist gut, wenn ein Angriff auf einen einzelnen Server abzielt, da er Übertragungsleitungen zumindest teilweise für andere Kommunikation offen hält.

Die Geschwindigkeitsbegrenzung frustriert sowohl den Angreifer als auch die legitimen Benutzer. Das hilft, löst das Problem aber nicht vollständig. Sobald der DoS-Datenverkehr die Zugangsleitung zum Internet blockiert, kann eine Grenz-Firewall nichts mehr tun. Die meisten DoS-Angriffe sind Probleme der Community, die nur mit Hilfe von ISPs und Organisationen gestoppt werden können, deren Computer als Bots übernommen und für Angriffe auf andere Firmen verwendet werden.

Mobile Geräte

Mit zunehmender Anzahl von Mobilgeräten mit 802.1X-Schnittstellen wird die Sicherheit solcher Mobilgeräte zu einem Problem. Während offene Standards wie Kismet auf die Absicherung von Laptops abzielen, sollten Access Point-Lösungen auch mobile Geräte abdecken. Hostbasierte Lösungen für Mobiltelefone und PDAs mit 802.1X-Schnittstelle.

Die Sicherheit von Mobilgeräten fällt in drei Kategorien:

  1. Schutz vor Ad-hoc-Netzwerken
  2. Herstellen einer Verbindung mit nicht autorisierten Zugangspunkten
  3. Gegenseitige Authentifizierungsschemata wie WPA2 wie oben beschrieben

Drahtlose IPS- Lösungen bieten jetzt drahtlose Sicherheit für mobile Geräte.

Mobile Patientenüberwachungsgeräte werden zu einem integralen Bestandteil des Gesundheitswesens und diese Geräte werden schließlich zur Methode der Wahl für den Zugang und die Durchführung von Gesundheitschecks für Patienten in abgelegenen Gebieten. Für diese Arten von Patientenüberwachungssystemen sind Sicherheit und Zuverlässigkeit von entscheidender Bedeutung, da sie den Zustand von Patienten beeinflussen können und medizinisches Fachpersonal über den Zustand des Patienten im Unklaren lassen können, wenn sie beeinträchtigt werden.

Implementieren der Netzwerkverschlüsselung

Um 802.11i zu implementieren, muss zunächst sichergestellt werden, dass sowohl der/die Router/Access Point(s) als auch alle Client-Geräte tatsächlich für die Unterstützung der Netzwerkverschlüsselung ausgestattet sind. Dazu muss ein Server wie RADIUS , ADS, NDS oder LDAP eingebunden werden. Dieser Server kann ein Computer im lokalen Netzwerk, ein Access Point/Router mit integriertem Authentifizierungsserver oder ein Remote-Server sein. APs/Router mit integrierten Authentifizierungsservern sind oft sehr teuer und speziell für den kommerziellen Einsatz wie Hotspots eine Option . Gehostete 802.1X-Server über das Internet erfordern eine monatliche Gebühr; Der Betrieb eines privaten Servers ist kostenlos, hat jedoch den Nachteil, dass man ihn einrichten muss und der Server ständig eingeschaltet sein muss.

Um einen Server einzurichten, müssen Server- und Client-Software installiert sein. Erforderliche Serversoftware ist ein Enterprise-Authentifizierungsserver wie RADIUS, ADS, NDS oder LDAP. Die erforderliche Software kann von verschiedenen Anbietern wie Microsoft, Cisco, Funk Software, Meetinghouse Data und einigen Open-Source-Projekten ausgewählt werden. Software beinhaltet:

Die Client-Software ist in Windows XP integriert und kann mit einer der folgenden Softwares in andere Betriebssysteme integriert werden:

  • AEGIS-Client
  • Cisco ACU-Client
  • Intel PROSet/Wireless-Software
  • Odyssey-Kunde
  • Xsupplicant ( open1X )-Projekt

RADIUS

Remote Authentication Dial In User Service (RADIUS) ist ein AAA-Protokoll (Authentifizierung, Autorisierung und Kontoführung), das für den Remote-Netzwerkzugriff verwendet wird. RADIUS wurde 1991 entwickelt und war ursprünglich proprietär, wurde aber 1997 unter den ISOC-Dokumenten RFC 2138 und RFC 2139 veröffentlicht der Benutzer. Ein RADIUS-Server kann auch so konfiguriert werden, dass er Benutzerrichtlinien und -beschränkungen durchsetzt sowie Abrechnungsinformationen wie die Verbindungszeit für Zwecke wie Abrechnung aufzeichnet.

Offene Zugangspunkte

Heute gibt es in vielen Ballungsräumen eine nahezu vollständige Funknetzabdeckung – die Infrastruktur für das drahtlose Gemeinschaftsnetz (das manche als die Zukunft des Internets bezeichnen) ist bereits vorhanden. Man könnte herumstreifen und immer mit dem Internet verbunden sein, wenn die Knoten für die Öffentlichkeit zugänglich wären, aber aus Sicherheitsgründen sind die meisten Knoten verschlüsselt und die Benutzer wissen nicht, wie sie die Verschlüsselung deaktivieren können. Viele Leute halten es für die richtige Etikette, Zugangspunkte für die Öffentlichkeit zugänglich zu machen, um freien Zugang zum Internet zu ermöglichen. Andere meinen, dass die Standardverschlüsselung mit kleinen Unannehmlichkeiten einen erheblichen Schutz vor den Gefahren des Open Access bietet, von denen sie befürchten, dass sie selbst auf einem DSL-Router zu Hause erheblich sein könnten.

Die Dichte der Zugangspunkte kann sogar ein Problem sein – es gibt eine begrenzte Anzahl von Kanälen, die sich teilweise überschneiden. Jeder Kanal kann mit mehreren Netzwerken umgehen, aber an Orten mit vielen privaten drahtlosen Netzwerken (z. B. Wohnanlagen) kann die begrenzte Anzahl von Wi-Fi-Funkkanälen zu Verlangsamung und anderen Problemen führen.

Laut den Befürwortern von Open Access Points sollte es keine nennenswerten Risiken bergen, drahtlose Netze für die Öffentlichkeit zu öffnen:

  • Das drahtlose Netzwerk ist schließlich auf ein kleines geografisches Gebiet beschränkt. Ein Computer, der mit dem Internet verbunden ist und eine falsche Konfiguration oder andere Sicherheitsprobleme aufweist, kann von jedem auf der ganzen Welt ausgenutzt werden, während nur Clients in einem kleinen geografischen Bereich einen offenen drahtlosen Zugangspunkt ausnutzen können. Somit ist die Gefährdung bei einem offenen drahtlosen Zugangspunkt gering und die Risiken bei einem offenen drahtlosen Netzwerk sind gering. Allerdings sollte man sich bewusst sein, dass ein offener WLAN-Router den Zugriff auf das lokale Netzwerk ermöglicht, häufig auch Zugriff auf Dateifreigaben und Drucker.
  • Die einzige Möglichkeit, die Kommunikation wirklich sicher zu halten, ist eine Ende-zu-Ende-Verschlüsselung . Wenn man beispielsweise auf eine Internetbank zugreift, würde man fast immer eine starke Verschlüsselung vom Webbrowser bis zur Bank verwenden – daher sollte es nicht riskant sein, über ein unverschlüsseltes drahtloses Netzwerk zu tätigen. Das Argument ist, dass jeder den Datenverkehr schnüffeln kann, gilt auch für kabelgebundene Netzwerke, wo Systemadministratoren und mögliche Hacker Zugriff auf die Links haben und den Datenverkehr lesen können. Außerdem kann jeder, der die Schlüssel für ein verschlüsseltes drahtloses Netzwerk kennt, auf die über das Netzwerk übertragenen Daten zugreifen.
  • Stehen im lokalen Netz Dienste wie Fileshares, Zugriff auf Drucker etc. zur Verfügung, empfiehlt sich eine Authentifizierung (zB per Passwort) für den Zugriff (man sollte nie davon ausgehen, dass das private Netz von außen nicht erreichbar ist). Richtig eingerichtet sollte es sicher sein, Außenstehenden den Zugriff auf das lokale Netzwerk zu ermöglichen.
  • Mit den heute gängigsten Verschlüsselungsalgorithmen kann ein Sniffer den Netzwerkschlüssel normalerweise in wenigen Minuten berechnen.
  • Es ist sehr üblich, eine feste monatliche Gebühr für die Internetverbindung und nicht für den Datenverkehr zu zahlen – so dass zusätzlicher Datenverkehr nicht nachteilig ist.
  • Wo Internetverbindungen reichlich und günstig sind, werden Trittbrettfahrer selten ein auffälliges Ärgernis sein.

Andererseits können in einigen Ländern, darunter auch Deutschland, Personen, die einen offenen Zugangspunkt bereitstellen, (teilweise) für illegale Aktivitäten, die über diesen Zugangspunkt durchgeführt werden, haftbar gemacht werden. Außerdem legen viele Verträge mit ISPs fest, dass die Verbindung nicht mit anderen Personen geteilt werden darf.

Siehe auch

Verweise

Externe Links