11/2003
150
1 sprich: „Nettgihr“ 2 sprich: „Äckßess Point“ 3 sprich: „Äi Pi“ 4 sprich: „Dainämmick Hohst Konfiggjuräischn Progrämm“ 5 sprich: „Ssörwer“
Was Sie in diesem Artikel
erwartet
●
So verschlüsseln Sie
die Datenübertragung
im Funknetzwerk
●
So sichern Sie Ihr Funk-
netzwerk zusätzlich ab
V
iele Firmen und Haushal-
te betreiben ihr Compu-
ter-Netzwerk nicht per
Kabel, sondern per Funk. Das
ist praktisch, aber auch ein
Sicherheitsproblem. So kön-
nen sich Unbefugte einwäh-
len, um auf fremde Kosten im
Internet zu stöbern oder Da-
ten auszuspionieren. COMPU-
TERBILD sagt Ihnen, wie Sie
ein Funknetzwerk schützen.
Wie wirkungsvoll lässt
sich ein Funknetzwerk
abschotten?
Hundertprozentige Sicher-
heit gibt es auch in Funknetz-
werken nicht.Mit Hilfe dieses
Ratgebers können Sie aber
möglichen „Datendieben“ die
Arbeit sehr schwer machen.
Denn diese brauchen dann
mehrere Tage,
fundiertes
Fachwissen und eine Profi-
Ausrüstung,um Ihr Netzwerk
zu knacken.Trotzdem:Sorgen
Sie dafür, dass sich geheime
oder persönliche Daten nicht
über das Funknetzwerk ab-
rufen lassen.
Wie lässt sich die
Funkübertragung
sicherer machen?
Schalten Sie die Verschlüsse-
lung ein! Das ist ein einfa-
cher, aber wirkungsvoller
Tipp, den jedoch über die
Hälfte aller Betreiber von
Funknetzwerken nicht be-
herzigt (siehe Ausgabe 10/
2003, Seite 18.) Dabei ist das
Verschlüsseln der Datenüber-
tragung ganz einfach. Wie
Sie dazu beim „Netgear
1
ME102“ (Test-Sieger in Heft
10/2002) und der dazu pas-
senden PC-Karte „Netgear
MA401“ vorgehen, lesen Sie
im Abschnitt „Verschlüsse-
lung einschalten“.
Welche weiteren Schutz-
maßnahmen gibt es?
●
Ordnen Sie beispielsweise
jedem PC im Netzwerk eine
feste
IP-Adresse
zu. Lesen
Sie dazu den Abschnitt „IP-
Adressen und Netzwerkauf-
bau“ auf Seite 153.
●
Einen Überblick darüber,
wie Sie Ihr Funknetzwerk zu-
sätzlich absichern können,
finden Sie im Abschnitt „Wei-
tere Maßnahmen“ (Seite 153).
01
Netzwerke
Ratgeber: Funknetzwerke absichern
IP
3
-Adresse
Für die Datenübertragung
im Internet und in Netz-
werken wird das „Inter-
net-Protokoll“, kurz „IP“,
benutzt. Jeder Computer
erhält dabei eine eigene
IP-Adresse, unter der
er erreichbar ist. Diese
setzt sich aus vier Zah-
len zusammen, die durch
Punkte voneinander
getrennt sind, zum Bei-
spiel 192.168.1.5. Je-
de dieser Zahlen kann
einen Wert zwischen
0 und 255 haben.
USB
Der „Universelle Seri-
elle Bus“ ist eine An-
schlussform für Com-
puter. Moderne Com-
puter erkennen daran
angeschlossene Zusatz-
geräte und installieren
automatisch die erforder-
lichen Steuerungs-Pro-
gramme („Treiber“). Ge-
räte mit der USB-Technik
„1.1“ übertragen bis zu
1,5
Megabyte
Daten pro Sekunde, bei
der Version „USB 2.0“
sind bis zu 60 Megabyte
pro Sekunde möglich.
DHCP
DHCP steht für „Dynamic
Host Configuration Pro-
gram“
4
und ist ein Ver-
fahren, bei dem ein spe-
zieller PC den anderen
Computern im Netz-
werk beim Einschalten
automatisch eine
IP-
Adresse
zuweist.
Das erspart die Arbeit,
diese Adressen von
Hand einzustellen.
Server
5
Server, auf Deutsch „Die-
ner“, sind Computer, die
Dienstleistungen in Netz-
werken auf Abruf bereit-
halten. Der häufigste
Dienst eines Servers ist
die Bereitstellung von
Speicherplatz, auf den
mehrere Benutzer zu-
greifen können. Darüber
hinaus können Server
mit entsprechenden Pro-
grammen elektronische
Post und Internet-Seiten
verwalten.
04
01
03
(S.154) 08
02
01
Was ist eigentlich…
Schlüssel erzeugen
Das müssen Sie wissen
COMPUTERBILD zeigt Ihnen
hier, wie Sie die Verschlüsse-
lung besonders sicher machen.
Ein Schlüssel besteht aus einer
Folge von Ziffern und Buchsta-
ben: von „0“ bis „9“ und von „A“
bis „F“. In jedes Feld des Schlüs-
sels muss eine Kombination aus
zwei Werten eingegeben wer-
den, etwa „0A“ oder „12“.
Wichtig: Sie sollten keine einfa-
chen Muster für den Schlüssel
wählen, etwa „AA AA AA AA …“
oder „E1 E1 E1 E1…“. Denn so
steigt das Risiko, einen „schwa-
chen Schlüssel“ zu erzeugen,
der leicht zu knacken ist.
Am besten denken Sie sich ei-
ne zufällige Ziffern- und Buch-
stabenfolge aus. Dabei kann
Ihnen ein ganz normaler Würfel
helfen:
Würfeln Sie jeweils dreimal.
Zählen Sie die „Augen“ zusam-
men. Sie erhalten mindestens
3, höchstens 18 Punkte. In der
folgenden Tabelle können Sie
ablesen, welches Zeichen Sie
für den „Würfelwert“ in den
Schlüssel eintippen.
Ein Beispiel: Sie würfeln 6, 3
und 2 – also insgesamt 11. In
den Schlüssel tragen Sie das
Zeichen „B“ ein.
Wurf
Zeichen
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
A
11
B
12
C
13
D
14
E
15
F
16
0
17
1
18
2
Funknetzwerke absichern
▼
Netzwerke
151
11/2003
Im Funknetzwerk sind die ange-
schlossenen Computer über eine
Einbaukarte mit einer Basis-Station
(„Access Point“
2
) verbunden. Um
die Datenübertragung zu verschlüs-
seln, müssen Sie jeden Computer
und die Basis-Station neu einstellen.
Die folgende Anleitung funktioniert
nur, wenn das Netzwerk ohne Ver-
schlüsselung problemlos arbeitet.
Falls nicht, lesen Sie zuerst in Ausga-
be 17/2002 ab Seite 122, wie Sie es
einrichten.
Um die Basis-Station einzustellen,
muss sie per
USB
-Kabel an einem
Computer angeschlossen sein, auf
dem das nötige Steuerungs-Pro-
gramm installiert ist. So ge-
hen Sie vor:
1
Klicken Sie nacheinan-
der auf
, auf
sowie auf
die Zeilen
und .
Auf dem Bildschirm öffnet
sich das Fenster
●
.
2
Nach einem Klick auf
erscheint ein Fenster wie
●
.
3
Klicken Sie in diesem Fenster
oben auf
.
4
Sie haben die Wahl zwischen
zwei Verschlüsselungsverfahren:
64 Bit und 128 Bit. Falls Ihre Ausrüs-
tung recht neu ist und alle Teile vom
selben Hersteller stammen, sollten
Sie 128 Bit einstellen. Dieses Verfah-
ren ist sicherer als 64 Bit.
Befindet sich im Netzwerk eine
Karte, die 128 Bit nicht beherrscht,
müssen Sie auf die 64-Bit-Verschlüs-
selung ausweichen. Klicken Sie al-
so wahlweise auf den weißen Kreis
vor
●
oder vor
●
, so dass dort
jeweils ein schwarzer Punkt er-
scheint.
Dadurch ändert sich auch die Dar-
stellung im unteren Teil des Fens-
ters, der nach Auswahl der 64-Bit-
Verschlüsselung zum Beispiel so
aussieht:
●
. Bei einer 128-Bit-Ver-
schlüsselung sind in jeder Reihe
mehr Sternchen zu sehen.
5
Klicken Sie hinter
das Ende der ersten
Sternchenreihe,im Bei-
spiel also hierhin
●
,
halten Sie die Maustas-
te gedrückt, und zie-
hen Sie die Maus nach
links, bis die ganze Zei-
le blau hinterlegt ist:
●
.
6
Sie müssen nun
den ersten „Schlüs-
sel“ eintippen. Bei der 64-Bit-
Verschlüsselung besteht er aus 5
Gruppen, bei der 128-Bit-Verschlüs-
selung aus 13 Gruppen von je zwei
Zeichen. Wie Sie einen solchen
Schlüssel erzeugen, lesen Sie im
Kasten „Schlüssel erzeugen“ auf der
linken Seite.
Wichtig: Verwenden Sie nicht die
in diesem Beispiel angegebenen
Schlüssel, sondern erzeugen Sie ei-
nen eigenen Schlüssel, den außer
Ihnen niemand kennt.
02
Verschlüsselung einschalten
11/2003
152
Wenn Sie einen Schlüssel
erzeugt haben, tippen Sie ihn
ein. Im Beispiel sieht das Er-
gebnis so aus:
●
.
7
Wiederholen Sie dann die
Schritte 5 und 6 mit den
übrigen, bisher noch leeren
Schlüsselzeilen. Dabei sollten
Sie für jede Zeile eine neue
Schlüsselfolge festlegen. Das
Ergebnis könnte danach so
●
aussehen.
8
Haben Sie alle Schlüssel
eingegeben,bestätigen Sie
Ihre Eingabe zunächst mit
einem Mausklick auf
.
Schließen Sie als Nächstes
das noch offene Fenster
●
per Klick auf
.
Damit ist die Verschlüsse-
lung an der Basis-Station ein-
geschaltet. Um Daten zu
übertragen, müssen Sie die
Verschlüsselung noch auf den
angeschlossenen Computern
einschalten. So geht’s:
9
Klicken Sie an einem an-
geschlossenen Computer
auf ,
,
und .
10
Klicken Sie im sich öff-
nenden Fenster auf
und anschließend
auf
●
.Wählen Sie aus der auf-
klappenden Liste per Maus-
klick die gleiche Zahl, die Sie
an der Basis-Station einge-
stellt haben, also entweder
oder . Wichtig:
Bei allen Geräten im Funk-
netzwerk muss der gleiche
Wert ausgewählt sein, sonst
lassen sich keine Daten über-
tragen.
11
Nach einem Mausklick
auf den weißen Kreis
●
werden die
Felder für die Schlüsseldaten
weiß hinterlegt:
●
.
12
Klicken Sie rechts in
das erste Feld
●
, halten
Sie die Maustaste gedrückt,
und ziehen Sie die Maus nach
links,so dass die beiden Stern-
chen blau hinterlegt sind:
●
.
13
Tippen
Sie als
Nächstes die
Schlüsselwer-
te ein, die Sie
beim Einstel-
len der Basis-
Station in der
ersten Zeile
verwendet ha-
ben. Im vorlie-
genden Bei-
spiel handelt
es sich bei
diesem zuerst eingegebe-
nen Wert um die beiden Zei-
chen .
Drücken Sie danach die Tas-
te
Á. Ohne Mausklick wer-
den so automatisch die bei-
den Sternchen im zweiten
Eingabefeld ausgewählt, also
blau hinterlegt:
.
14
Wiederholen Sie Schritt
13, bis alle Schlüssel-
werte eingegeben sind. Im
Beispiel sieht das Ergebnis so
aus:
●
.
15
Bestätigen Sie Ihre Ein-
gabe mit einem Klick
Netzwerke
Ratgeber: Funknetzwerke absichern
IP-Adresse und Subnetz-Maske
Um auf Ihrem Computer ei-
ne feste
IP-Adresse
sowie eine
Subnetz-Maske
einzurichten, gehen
Sie bei Windows XP so vor:
1
Klicken Sie auf
und anschließend mit der
rechten Maustaste einmal auf
.
2
Wählen Sie per Mausklick
aus der aufklappenden Liste
den Eintrag
●
.
3
Klicken Sie mit der rechten
Maustaste auf das Symbol
Ihrer Netzwerk-Verbindung, zum
Beispiel
.
4
Wählen Sie in der aufklap-
penden Liste per Mausklick
noch einmal
.
5
Klicken Sie in der Liste
●
einmal auf die Zeile
, so
dass sie blau hinterlegt wird
, und
anschließend auf
. Es öff-
net sich ein weiteres Fenster:
●
.
6
Klicken Sie auf den kleinen
leeren Kreis vor der Zeile
,
so dass dort ein grüner Punkt
erscheint.
7
Nach einem Mausklick auf
das weiße Eingabefeld hinter
tippen Sie die IP-
Adresse dieses Computers ein,
zum Beispiel
.
Wenn Sie dabei eine dreistellige
Zahl verwenden, können Sie die
nächste Zahl sofort eintippen.
Hat die Zahl dagegen nur eine
oder zwei Stellen, müssen Sie
vor der Eingabe der nächsten
Zahl auf die Taste . drücken.
Achtung: Die letzte Ziffer der IP-
Adresse muss bei jedem Com-
puter im Netzwerk unterschied-
lich sein, beim ersten Computer
also „1“, beim
zweiten „2“
und so weiter.
8
Nach ei-
nem Klick
auf das weiße Eingabefeld hinter
erscheinen dort
automatisch die Zahlen der Sub-
netz-Maske, in diesem Fall
.
9
Falls Sie die letzte Zahl der
Subnetz-Maske nicht ändern
möchten, machen Sie gleich mit
Schritt 10 weiter.
Andernfalls klicken Sie auf die
Stelle
●
,
halten die Maustaste gedrückt
und bewegen die Maus nach
rechts, so dass die Ziffer blau
hinterlegt ist:
. Tippen Sie da-
nach die neue letzte Zahl der
Subnetz-Maske ein.
10
Falls Sie für diesen Com-
puter keinen Zugriff auf
das Internet eingerichtet haben,
machen Sie gleich mit Schritt 12
weiter. Andernfalls klicken Sie
auf das weiße Eingabefeld hinter
und tippen die
IP-Adresse des Computers in
Ihrem Netzwerk ein, der die
Verbindung mit dem Internet
herstellt, zum Beispiel
.
11
Klicken Sie einmal auf das
weiße Eingabefeld hinter
. Falls es
sich bei dem PC, der die Verbin-
dung zum Internet herstellt, um
einen Windows-XP-, -Me- oder
-98-Computer handelt, tippen
Sie hier erneut dessen IP-Ad-
resse ein, im Beispiel also
.
Verwenden Sie eine andere Art
der Internet-Verbindung, kön-
nen Sie an dieser Stelle auch
die IP-Adresse des „DNS-Ser-
vers“ Ihres Internet-Anbieters
eintragen. Diese wurde Ihnen
vom Anbieter mitgeteilt.
12
Schließen Sie dieses und
das dahinter liegende
Fenster mit je einem Klick auf
sowie das letzte noch offe-
ne Fenster per Klick auf
.
(S.154) 06
(S.150) 01
IP-Adresse einrichten
Mit Hilfe der folgenden Anlei-
tung können Sie Ihr Netzwerk
absichern, wenn höchstens 254
Computer angeschlossen sind.
Für größere Netze sollte ein
Spezialist die Einstellungen vor-
nehmen.
Die ersten drei Zahlen der
Sub-
netz-Maske
sollten
jeweils den Wert „255“ haben.
Die letzte Zahl der Subnetz-
Maske richtet sich nach der An-
zahl Ihrer Computer: Sind mehr
als 126 Computer vorhanden,
tippen Sie als letzte Zahl „0“ ein,
sind es zwischen 63 und 127,
lautet die letzte Zahl 128. Die
folgende Tabelle zeigt Ihnen im
Überblick, welche Werte Sie je-
weils verwenden sollten:
Computer-Anzahl Letzte Zahl
nur 2
252
bis 6
248
bis 14
240
bis 30
224
bis 62
192
bis 126
128
bis 254
0
Damit das System funktio-
niert, müssen die
IP-Adressen
aufsteigend durch-
nummeriert werden: Der erste
Computer erhält etwa die IP-
Adresse 192.168.0.1, der zwei-
te die Adresse 192.168.0.2 und
so weiter. Die Subnetz-Maske
sorgt dafür, dass IP-Adressen
jenseits der gewählten PC-An-
zahl ungültig sind.
Wie Sie IP-Adresse und Sub-
netz-Maske eintragen, lesen Sie
im Kasten „IP-Adresse einrich-
ten“ unten auf dieser Seite.
(S.150) 01
(S.154) 06
■
Netzwerke
153
11/2003
Ein einfacher Trick: Speichern Sie
wichtige Daten (etwa den Kunden-
stamm eines Unternehmens) nur in
einem
Ordner
, der nicht
für den Zugriff im Netzwerk freige-
geben ist. Allerdings können in die-
sem Fall Ihre Mitarbeiter diese Da-
ten ebenfalls nicht mehr ansehen
und bearbeiten. Es sei denn, Sie fas-
sen deren Computer in einer „Do-
mäne“ zusammen und erlauben nur
den „Mitgliedern“ der Domäne den
Zugriff auf den Ordner.
Dazu muss ein PC die Funktion
des „Domänen-Controllers“ über-
nehmen. Das kann er aber nur,
wenn ein Server-
Betriebsprogramm
wie Windows NT Server,
Windows 2000 Server, Windows
Server 2003 oder das deutlich güns-
tigere Linux installiert ist.
In den nächsten beiden Ausgaben
finden Sie in dieser Rubrik einen
Kurs zur Einrichtung eines Linux-
Computers als Domänen-Controller
im Windows-Netzwerk.
(S.154) 09
(S.154) 07
IP-Adressen und Netzwerkaufbau
Weitere Maßnahmen
Viele Einstellungen erleichtern die
Einrichtung und Wartung eines
Funknetzwerks, machen es aber
gleichzeitig anfällig für Eindringlin-
ge. Ein Beispiel: Wenn Sie Ihr Netz-
werk entsprechend eingerichtet ha-
ben, erhält jeder Computer, der sich
im Netzwerk anmeldet, vom
DHCP-
-
Server
eine IP-
Adresse. Und zwar auch dann, wenn
der PC dem Server nicht bekannt ist.
Die Anmeldung erfolgt dadurch
zwar schnell und einfach, aber
„Spione“ können sich mit externen
Computern auch sehr einfach Zu-
tritt ins Netzwerk verschaffen. Das
lässt sich nur verhindern, wenn
dem DHCP-Server die
MAC-Adres-
sen
aller zugangsberech-
tigten Computer bekannt sind. Dies
ist allerdings kompliziert einzustel-
len. Zur Einrichtung sollten Sie also
besser Fachleute heranziehen.
Viel einfacher und fast genauso
sicher: Verzichten Sie auf einen
DHCP-Server, und ordnen Sie statt-
dessen jedem Computer im Funk-
netzwerk eine feste IP-Adresse zu.
Stellen Sie außerdem in der
Subnetz-
Maske
genau die Anzahl
der tatsächlich angeschlossenen
Computer ein.
Wie Sie die genauen Zahlenwerte
für Ihre Subnetz-Maske herausfin-
den, lesen Sie im Kasten „IP-Adresse
und Subnetz-Maske“ auf Seite 152.
Und wie sich die IP-Adresse sowie
die gefundene Subnetz-Maske auf
einem Computer einstellen lassen,
steht im Kasten „IP-Adresse einrich-
ten“ auf Seite 152.
Falls Ihr Netzwerk über einen
Windows-XP-Computer mit dem
Internet verbunden ist, müssen
Sie zwangsweise die IP-Adressen
192.168.0.1 bis 192.168.0.254
verwenden. Da haben es Angreifer
leicht, denn sie müssen nur diese
254 Nummern prüfen, um eine Lü-
cke im Netzwerk aufzuspüren. Mit
einem Linux-Computer lassen sich
sehr viel mehr IP-Adressen verwen-
den (beispielsweise im Bereich von
10.0.0.1 bis 10.254.254.254). Falls
Sie die Wahl haben, sollten Sie als
erste Zahl der IP-Adresse immer die
10 eingeben, als zweite und dritte
Zahl wählen Sie jeweils einen Wert
zwischen 0 und 254. Dadurch müs-
sen Angreifer rund 65 000 Kombina-
tionen „abklappern“, um eine Si-
cherheitslücke zu finden.
Als letzte Zahl und als Subnetz-
Maske geben Sie wieder die Zahlen
ein, die Sie im Kasten „IP-Adresse
und Subnetz-Maske“ ermittelt ha-
ben.Wie Sie einen Linux-Computer
so einrichten, dass er allen anderen
Computern im Netzwerk einen
Internet-Zugang zur Verfügung
stellt, hat COMPUTERBILD zuletzt
in Ausgabe 11/1999 ab Seite 138
gezeigt.
Wer einen Linux-Server verwen-
det, kann sein Funknetzwerk noch
sicherer machen: Schließen Sie es
mit einer separaten Netzwerkkarte
als „Unternetz“ (Subnetz) an den
Linux-Internet-Server an. Der Vor-
teil: Alle Computer haben Zugang
ins Internet, per Kabel angeschlos-
sene Computer sind jedoch von
außen nicht sichtbar, also auch
nicht angreifbar. Wie Sie ein Netz-
werk in solche „Subnetze“ untertei-
len, hat COMPUTERBILD in Ausga-
be 13/2002 ab Seite 144 Schritt für
Schritt beschrieben.
(S.154) 06
(S.154) 05
(S.150) 04
(S.150) 03
auf . Das
Programm
verwan-
delt daraufhin alle Groß- in Klein-
buchstaben:
●
.
16
Um die Eingabe zu bestätigen
und das Programm zu been-
den,klicken Sie auf
.
17
Wiederholen Sie danach
die Schritte 9 bis 16 auf je-
dem Computer, der mit einer
entsprechenden Einsteckkarte
an Ihrem Funknetzwerk ange-
schlossen ist.