WLANWi-Fi für Gäste und Mitarbeiter sicher einrichten

Wi-Fi für Angestellte und Gäste gehört längst zum guten Ton bei Unternehmen. Mitarbeiter und Partner sollen schnell und einfach ihre Mobilgeräte auf dem Firmengelände nutzen können. Doch es gibt einige Punkte, die man beim Einrichten eines Wi-Fi-Access Points beachten muss, damit das drahtlose Netzwerk nicht zum Einfallstor für Cyberkriminelle wird.

Aus der Sicht eines Angreifers sind WPS-fähige Netzwerke ein Glücksfall. Mit einem einzigen Befehl kann ein Hacker den lokalen Bereich nach Netzwerken durchsuchen, die WPS unterstützen und ein gutes Ziel für einen Angriff darstellen. Über einen Reaver- oder WPS-Pixie-Angriff kann er die WPS-Setup-PIN erhalten. Damit verfügt er auch über das Passwort – egal wie lang, einzigartig oder sicher es ist.

Wenn ein Angreifer erstmal über die WPS-Setup-PIN verfügt, reicht es also nicht, das Passwort zu ändern, vielmehr muss auch die WPS-Setup-PIN geändert werden. Falls dies nicht möglich ist (einige Router lassen eine Änderung nicht zu), muss man sich wohl oder übel einen neuen Router besorgen. Um also sicherzustellen, dass Ihr langes, sicheres Passwort geheim bleibt, sollten Sie die WPS-Setup-PIN-Option in den Menüeinstellungen Ihres Routers deaktivieren.

Hintergrund: Viele Versionen von WPS sind sowohl für PIN-Brute-Force-Angriffe als auch für WPS-Pixie-basierte Angriffe anfällig. Angreifer können in weniger als 15 Sekunden Zugang zu einem anfälligen Netzwerk erhalten. Das Beängstigende an WPS-Setup-PIN-Angriffen ist, dass die Auswirkungen eines erfolgreichen Angriffs über die einfache Änderung des Passworts hinausgehen. Denn mit der WPS-Setup-PIN verfügt er auch über das Passwort. Dies liegt daran, dass die WPS-Setup-PIN in erster Linie dazu entwickelt wurde, verlorene Passwörter wiederherzustellen, sodass der Hacker durch Missbrauch den gleichen Zugriff hat wie der Besitzer des Geräts.

Einer der größten Mängel des aktuellen Wi-Fi-Standards WPA2 liegt darin, dass schwache Passwörter es Angreifern sehr leicht machen, in das Netzwerk einzudringen. Alles, was sie dazu tun müssen, ist einen Handshake von einem Gerät, das sich mit dem Wi-Fi verbindet, zu erfassen, in ein Tool wie Hashcat zu laden und die Software ihre Arbeit machen zu lassen. Je stärker das Passwort ist, desto schwieriger ist es dabei für die Angreifer. Wobei „stark“ in diesem Zusammenhang zwei Aspekte hat: Zum einen müssen sie schwer zu erraten sein, zum anderen müssen sie einzigartig sein.

Verwendet man dieselben oder sehr ähnliche Passwörter für andere Konten, kann eines dieser Passwörter irgendwann in einer Liste von gestohlenen Passwörtern auftauchen. Und da Angreifer wissen, dass Nutzer gerne ihr bevorzugtes „starkes“ Passwort in mehreren Accounts verwenden, werden sie diese im Rahmen von Brute-Force-Attacken genauso benutzen wie die üblichen schwachen Passwörter. Insofern kommt es nicht auf die Länge, die Verwendung von Sonderzeichen und ähnlichem an, sondern vor allem darauf, Passwörter (inklusive Variationen) nicht wiederzuverwenden – nirgends!

Viele Unternehmen bieten ihren Partnern, Gästen und Kunden Wi-Fi-Zugang an, der sie direkt ins Firmennetzwerk lässt. Im Firmennetz kann jeder alle angeschlossenen Geräte sehen und mit ihnen interagieren. Dadurch sind Sicherheitskameras, DVR-Systeme, der Router selbst sowie NAS- oder Dateiserver im Netzwerk für einen Hacker in dem Moment zugänglich, in dem er das Netzwerk betritt. Das macht einem Angreifer die Suche nach dem schwächsten Glied des Netzwerkes sehr einfach.

Trennen Sie das Netzwerk für die Gäste vom Firmennetzwerk. Legen Sie für den Wi-Fi-Zugang ein eigenes Gäste-Subnetz an. Wer im Gäste-Subnetz ist, kann das Firmennetz nicht erreichen.

Schalten Sie außerdem die „Client Isolierung“ auf Ihrem Router ein. Isolierte Clients im Gäste-Subnetz können nur mit dem Wi-Fi-Router kommunizieren. Clients sind nicht in der Lage, andere Geräte im Gäste-Netzwerk zu scannen oder zu versuchen, sich mit offenen Ports zu verbinden. Entsprechend sollte in einem Netzwerk mit ordnungsgemäßer Client-Isolierung ein Nmap- oder ARP-Scan nichts anzeigen – nur den Router als einziges Gerät im Netzwerk.

Darüber hinaus darf der Router keine Ports zugänglich haben, die Administrations- oder Konfigurationsseiten aus dem Gastnetzwerk hosten, da diese Seiten oft Informationen enthalten, die ein Hacker zum Missbrauch des Routers verwenden kann.

Ein Punkt, der ebenfalls erschreckend häufig vergessen wird, ist das Ändern der Router-Default-Passwörter. Mit voreingestellten, nicht geänderten Admin-Passwörtern wie „admin“ oder „password“ können Hacker recht einfach bösartige Firmware-Updates hochladen, etwa um die Benutzer auszuspionieren.

Durch die genannten Schritte wird die Angriffsfläche deutlich reduziert und damit auch das Risiko verringert, dass Ihr drahtloses Netzwerk für kriminelle Handlungen genutzt oder zum Einfallstor für Datendiebe wird. Sie sind sicherlich kein kompletter Leitfaden zur Wi-Fi-Sicherheit, schützen aber vor einer Vielzahl (einfacher) Angriffe durch Cyberkriminelle.