Populäre WLAN-Irrtümer

Ethernet Patchpanel

Es zirkulieren einige Mythen über die Gefahren von drahtlosen Netzwerken (abgekürzt WLAN). Viele weit verbreitete Irrtümer sorgen für irrationale Fehlentscheidungen. Ein sauber eingerichtetes WLAN ist aber sehr bequem und führt zu einer ganz neuen Art der Nutzung des Internets. Mit dem Notebook auf der Terrasse oder dem WLAN-iPod am Küchentisch ist schnell etwas nachgeschlagen oder eingetragen, anstatt erst ins ungemütliche Büro wandern zu müssen.

Die populärsten WLAN-Irrtümer:

  1. WEP ist sicher
  2. WLAN ist unsicher
  3. Ich nutze WPA, bin also unverwundbar
  4. Die SSID ausblenden schützt vor Angriffen
  5. Ein MAC-Adressfilter schützt vor fremder Hardware
  6. Ein fremdes WLAN hacken ist ein Kavaliersdelikt
  7. Die Strahlung ist gefährlich
  8. Auf meinem Rechner ist nichts, was anzugreifen lohnt
  9. Ein offenes WLAN ohne aktive Rechner ist unbedenklich
  10. Ich brauche keine Fritz!-Box Fon, weil ich VoIP nicht nutzen will
  11. Ich statte den Schulungsraum mit WLAN aus, dann spare ich die lästigen Kabel ein
  12. Ich kaufe einen WLAN-Accesspoint, und kann dann im ganzen Haus drahtlos surfen
  13. In mein WLAN kann ich alle Geräte einbinden, die auch WLAN haben
  14. WLAN-Adapter ist gleich WLAN-Adapter
  15. Ein WLAN ist wartungsfrei

1. WEP ist sicher

Ein WLAN, das mit WEP-Verschlüsselung betrieben wird, ist in wenigen Minuten geknackt. Eine Nutzung dieses veralteten Verschlüsselungsalgorithmus ist sträflicher Leichtsinn. Das Verfahren als solches hat immense Schwächen:

We believe that WEP should not be used anymore in sensitive environments.

Quelle und Bericht über ein Angriffs-Tool: TU Darmstadt

2. WLAN ist unsicher

Nein, das ist der falsche Schluss. WEP ist unsicher, dagegen ist das neuere Verfahren WPA nach Stand der Forschung sicher und bisher unknackbar. Es gibt keine bekannten effektiven Angriffe gegen das Verfahren als solches.

3. Ich nutze WPA, bin also unverwundbar

Das gilt nur, sofern das Kennwort gut gewählt ist. Es gibt Wörterbuchattacken, die die beliebtesten Kennwörter der Reihe nach durchprobieren. Ein gutes Kennwort kommt in keinem Wörterbuch vor und enthält Zahlen, Sonderzeichen und gemischte Groß- und Kleinbuchstaben.
Einige tausende Wörter aus einem Wörterbuch sind zwar in einigen Stunden durchgetestet, aber die Aberbilliarden an guten Kennwörtern sind nicht einmal bis zum Untergang der Erde durchzutesten.

4. Die SSID ausblenden schützt vor Angriffen

Die SSID ist die eindeutige Kennzeichnung eines WLANs. Die Ausblendung schützt nicht vor Angriffen, denn die gültige Kennung wird ausgestrahlt, sobald sich einer der erlaubten Clients einbucht.
Ein Netzwerk-Sniffer kann eine SSID automatisch aus dem Datenverkehr herausfiltern.

Ein ausreichender Schutz findet allein per WPA statt. Wenn man eine Rufnummer aus dem Telefonbuch entfernt, ist man dadurch ja auch nicht vor Einbrüchen sicher. Der Nachteil der Unterdrückung der SSID ist, dass man nicht mehr gezielt angesprochen werden kann, zum Beispiel wegen eines Kanalwechsels oder bei Störungen.

Als Netzwerknamen bzw. SSID sollte man entweder Straße und Hausnummer oder eine Wegwerf-E-Mail-Adresse angeben. So ist man leichter ansprechbar bei Problemen oder Störungen. So konnte ich schon einige WLAN-Nachbarn auf Sicherheitsprobleme hinweisen.

5. Ein MAC-Adressfilter schützt vor fremder Hardware

Eine MAC-Adresse ist eine Nummer, die in die Hardware fest eingebrannt ist und weltweit eindeutig ist - soweit die Theorie. In der Praxis aber kann man bei manchen Karten die MAC-Adresse in speziellen Treibern beliebig einstellen. Ein Angreifer kann eine mitgelesene MAC-Adresse benutzen, der Schutzeffekt ist also gleich null.

6. Ein fremdes WLAN hacken ist ein Kavaliersdelikt

Seit Freitag, 10. August 2007 sind in Deutschland die verschärften Hackerparagraphen in Kraft. Alleine schon das Eindringen in fremde Netze ist strafbar, es muss nicht erst zu echtem Schaden kommen wie früher. Die negative Auswirkung dieses Gesetzeswerks ist, dass Sicherheitsexperten die Netzsicherheit nicht mehr durch das Nutzen von Hacker-Tools prüfen können – oder dabei mit einem Bein im Gefängnis stehen.

7. Die Strahlung ist gefährlich

Nur 100 mW beträgt die erlaubte maximale Sendeleistung. Verglichen mit DECT-Telefonen oder Handys mit 2 Watt Sendeleistung ist das sehr gering. Die Stärke ist vergleichbar dem Licht einer Taschenlampe. Die Strahlung ist nicht ionisierend wie Röntgenstrahlung oder der radioaktive Zerfall. Viele Laien glauben, dass Strahlung immer gefährlich sei, ohne zu wissen, das Licht und Wärme auch nur eine Form von Strahlung sind.
Andere Wirkkräfte als bei der altbekannten Wärmestrahlung oder normalem Licht sind nicht nachweisbar.

Natürlich gibt es bei genügend hoher Sendeleistung durchaus körperliche Schäden. Das kann jeder bestätigen, der seinen Zwergpudel in der Mikrowelle trocknen wollte. Die 600 Watt einer Mikrowelle sind aber dabei direkt vergleichbar einer Herdplatte mit 600 Watt Wärmestrahlung, auf die man auch keinen Dackel setzt. Ist aber deswegen Wärmestrahlung per se gefährlich, auch wenn man damit Zwergpudel frittieren kann? Aller Erfahrung nach eher zu verneinen, will ich meinen.

Paracelsus

Es gilt hier der alte Lehrsatz des Paracelsus:

„Dosis sola venenum facit“
Deutsch: „Allein die Menge macht das Gift“
Paracelsus, * 1493; † 1541

Einen endgültigen Beweis der Ungefährlichkeit kann es niemals geben. Genauso aber bleibt für immer unbewiesen, ob Wasser nicht doch tödlich ist. Immerhin stirbt ja jeder, der Wasser trinkt, früher oder später.

8. Auf meinem Rechner ist nichts, was anzugreifen lohnt

Selbst wenn keinerlei private Daten auf einem der Rechner in dem WLAN vorliegen, so droht doch die Kaperung der Rechner in dem LAN, mit anschließender Nutzung als Drohne in einem Botnetz.

9. Ein offenes WLAN ohne aktive Rechner ist unbedenklich

Falls ein Wardriver das WLAN missbraucht für Musiktausch oder das Einschleusen eines neuen Wurms, steht Ärger ins Haus, da die Polizei erstmal das eigene Netz als Ursache ermittelt.

Man kann gemäß eines Urteils als Mitstörer haften, selbst wenn man nachweisen kann, dass ein Fremdnutzer den Schaden anrichtete.

10. Ich brauche keine Fritz!-Box Fon, weil ich VoIP nicht nutzen will

AVM Fritz! Box 7050

Auch wenn man VoIP (Internet-Telefonie) nicht nutzen möchte, kann die eierlegende Wollmilchsau namens Fritz! Box Fon WLAN sinnvoll sein.
Dieser geniale Router und WLAN-Access-Point von AVM kann auch als Telefonanlage für normales IDSN oder das Analognetz eingesetzt werden.

Man kann:

  • per Webinterface die Anrufliste einsehen
  • komfortabel zentral für alle Apparate Kurzwahlen definieren
  • interne kostenlose Anrufe nutzen
  • eine Nachtruhe einstellen
  • Least-Cost-Routing aktivieren
  • von einer einstellbaren Rufumleitung profitieren
  • sich per Anruf wecken lassen
  • gemischt Analog- und ISDN-Telefone betreiben

Für die Apparate meiner Kinder sind Positivlisten konfiguriert, diese können also nur bestimmte Rufnummern überhaupt anwählen – natürlich komfortabel per dreistelliger Kurzwahl, was selbst Vierjährige hinbekommen.

Das wichtigste Feature ist für mich das Sperren von Anrufern ohne Rufnummern-Übermittlung. Hierdurch werden in der Praxis alle Werbeanrufe abgelehnt, bevor es überhaupt klingelt. Das Leben ist dadurch angenehmer geworden, denn wer rennt gerne aus der Dusche zum Telefon, nur um vom Weingut Verkaufnix auf Sonderangebote aufmerksam gemacht zu werden. Und das am besten noch per Anruf-Robot, der einfach seine Leier herunterspielt.

In Konsequenz supporte ich ohne Aufpreis keine Router anderer Firmen im privaten Umfeld. Diese Geräte sind zwar etwas teurer, sparen dafür aber Nerven aufgrund der intuitiven Bedienbarkeit.

11. Ich statte den Schulungsraum mit WLAN aus, dann spare ich die lästigen Kabel ein

Die verfügbare Bandbreite von 54 Megabit pro Sekunde bei einem 802.11g-WLAN wird zwischen allen Clients geteilt, auch für Up- und Download. Die Netto-Datenrate liegt weit unter der angegebenen Brutto-Datenrate von 54 Mbps. Eine Beispielrechnung:

54 Megabit pro Sekunde brutto ≈ 25 Megabit pro Sekunde netto

25 Megabit pro Sekunde netto sind 3,125 Megabyte pro Sekunde auf Leitungsebene

3,125 Megabyte/s teilen aufgeteilt auf Up/Download mit IP-Protokolloverhead sind in der Praxis ca. 2,5 Megabyte pro Sekunde.

Hinzu kommt eine starke Entfernungsabhängigkeit und gegenseitige Störungen, je mehr Clients vorhanden sind. Meist sind es also noch weniger Bytes, die durch die Luft tröpfeln. Oft stehen nur 25 oder 11 oder gar nur 1 Mbit Datenrate brutto zur Verfügung. Fürs surfen im Internet und grottige youtube-Videostreams reicht das, aber HDTV-Empfang ist in der Praxis schwierig bis unmöglich.

Hier ein Bericht aus der Praxis (Auszug aus einem Testbericht zum Eee-PC): (Quelle: golem.de)

Die Netzwerk-Bausteine sind weder besonders schnell noch empfindlich. Wo ein Santa-Rosa-Notebook noch acht benachbarte WLANs fand, entdeckte der Eee-PC nur zwei. Die Reichweite mit einem 802.11-g-Router deckte aber auch noch zwei Stahlbetondecken ab. Dafür ist das WLAN nicht besonders fix:
Auch auf einem ungestörten Kanal ließen sich beim Kopieren von SMB-Freigaben in 2 Metern Distanz mit Sichtkontakt nur 1,93 MByte pro Sekunde erreichen, im selben Netz kamen Windows-Notebooks mit Intel-WLAN-Modulen auf die maximal erreichbaren 2,52 MByte/s.

12. Ich kaufe einen WLAN-Accesspoint, und kann dann im ganzen Haus drahtlos surfen

Das ist leider ein Irrglaube. Je nach baulichen Gegebenheiten sowie Art der Wände und Decken kann die Reichweite stark variieren.
Den zu konfigurierenden Kanal sollte man mit allen direkten Nachbarn absprechen. Die bevorzugte Kanal-Reihenfolge sollte 1, 7 und 13 sein für den linken, mittleren und rechten Anwohner.
Die Qualität des Access-Points und der Clients spielt auch eine wesentliche Rolle, genauso wie die Positionierung der Geräte.

13. In mein WLAN kann ich alle Geräte einbinden, die auch WLAN haben

Manche billigst angebotene Geräte können nur das veraltete und unsichere WEP fahren. Also Augen auf beim Kauf, da ein Access-Point oft nur mit einem Protokoll betrieben werden kann. Und das Protokoll der Wahl ist zur Zeit WPA oder WPA2.

14. WLAN-Adapter ist gleich WLAN-Adapter

Zwar arbeiten Geräte unterschiedlicher Hersteller dank der Standards IEEE 802.11g und neuerdings 802.11n (Draft) mit WPA problemlos zusammen, allerdings gibt es durchaus Unterschiede in der Empfangsgüte und Treiberqualität. Auch hier gilt der eherne Grundsatz:

Etwas Billiges kann nichts sein, etwas Teures muss nichts sein.

Ich habe einige Geräte mit WLAN im Einsatz, bei manchen reicht der Empfang nur einen Raum weiter, bei anderen bis in die letzte Ecke des Grundstücks und Hauses. Sowohl die Qualität des Access-Points als auch des Endgeräts spielen dabei eine Rolle.

Nach Ersetzen meines alten Routers AVM 7050 durch die neuere AVM 7170 erhöhte sich die WLAN-Abdeckung deutlich. Die erste Version hatte Schwächen in der Reichweite. Einige Kollegen besitzen weiterhin die alte 7050, haben aber eine externe Antenne nachgerüstet, was die Empfangs-Situation merklich verbesserte. Überhaupt ist die Positionierung des Access-Points eine wichtige Quelle für eine Optimierung der Reichweite.

15. Ein WLAN ist wartungsfrei

Auch sogenannte Hardware-Router sind letztendlich nur Rechner, die ein Programm abarbeiten, und sind damit gegen Implementierungsfehler nicht gefeit. Das Einspielen von Firmware-Updates auf periodischer Basis ist auch hier Pflicht. Gleiches gilt für die Treibersoftware auf den angebundenen Rechnern.

Kabelverhau

Fazit

Man kann heute WLAN bedenkenlos nutzen, wenn man die WPA-Verschlüsselung mit einem gut gewählten Kennwort einsetzt. Problemlosen Empfang an jeder Stelle im Haus kann man aber nicht erwarten.
Es sollte folglich weiterhin bei jedem Neubau ein qualitativ hochwertiges Ethernet-Kabel in jeden Raum hinein verlegt werden. Notfalls stellt man in von Empfangsproblemen betroffenen Räumen einen zusätzlichen ans LAN angebundenen WLAN-Accesspoint auf.