Ein „DHCP“ genanntes Verfahren teilt jedem PC, der darum bittet, eine IP-Adresse zu, auch den PCs ungebetener Besucher. Es ist sicherer, den DHCP-Mechanismus auszuschalten und jedem PC manuell eine feste IP-Adresse zuzuordnen. Wie das geht, ist auf der übernächsten seite beschrieben. Damit ein Hacker die IP-Adresse des Routers nicht erraten kann, sollten sie nicht den Standard-Bereich 192.168.1.x nehmen. Für das dritte Oktett können sie statt der „1“ jede Zahl bis zur 254 nehmen.
Feste IP-Adressen vergeben – am Beispiel der Fritz!Box
• Melden Sie sich an Ihrer Fritz!Box an. Klicken Sie am unteren Fensterrand auf „Ansicht: Standard“, damit die Anzeige zu „Ansicht: Erweitert“ wechselt. Auch bei einigen anderen Routern muss man erst in einen „Expertenmodus“ o. Ä. wechseln, damit die Menüpunkte zur Änderung der IP-Adresse angezeigt werden.
• „Heimnetz“ → „Netzwerk“ → „Netzwerkeinstellungen“. Scrollen Sie zu „IP-Adressen“ und klicken Sie auf „IPv4-Adressen“.
• Vom Standardwert 192.168.178.1 (siehe Bild 8.6) ändern Sie die Netzwerknummer „178“ in eine beliebige Zahl zwischen 2 und 254, ratsam ist eine schwer zu erratende Zahl zwischen 101 und 199, z. B. die 131.
• Deaktivieren Sie den DHCP-Server, dann „OK“. Nach einer Sicherheitsabfrage werden die Einstellungen übernommen. Viele Router führen jetzt einen Neustart durch, der ein bis drei Minuten dauern kann.
• Während eines Router-Neustarts verlieren alle PCs den Kontakt, und wegen der Adressänderung des Routers können sie die Verbindung nach dem Neustart des Routers nicht automatisch wiederstellen.
• Ändern Sie jetzt an jedem PC dessen IP-Adresse. Die ersten drei Oktette müssen mit der IP des Routers übereinstimmen, also 192.168. gefolgt von der neuen Netzwerknummer (im Beispiel wurde die 131 verwendet). Das vierte Oktett muss an jedem PC ein anderes sein. Jede Zahl zwischen 2 und 254 ist möglich (die „1“ oder die „100“ wird meist vom Router verwendet). Wählen Sie Nummern, die nicht leicht zu erraten sind.
• Gehen Sie zum „Netzwerk- und Freigabecenter“ wie unter 8.10.2 beschrieben, dann in der linken Spalte auf „Adaptereinstellungen ändern“. Im Kontextmenü des LAN- oder WLAN-Adapters gehen Sie auf „Eigenschaften“.
• Markieren Sie „Internetprotokoll 4“ und klicken Sie auf „Eigenschaften“, siehe Bild 8.7.
• Markieren Sie „Folgende IP-Adresse verwenden“. Tragen Sie die IP-Adressen ein wie im Bild 8.8. „131“ ist die Netzwerkadresse, und „27“ die Adresse des PCs.
• Es ist zweckmäßig, die „Einstellungen beim Beenden überprüfen“ zu lassen. Nach einigen „OK“ startet der PC neu. Nun sollte er sich mit der neuen IP-Adresse am Router anmelden können.
8.10.4 Ist Ihr Netzwerk nun sicher?
Selbst wenn Sie alle beschriebenen Sicherheitsmaßnahmen einsetzen, bleibt ein Restrisiko. Ihre Datenpakete können von jedermann mit geeigneten Geräten aufgefangen werden. Wenn ein Auto mit einem Hacker auf dem Beifahrersitz die Straße entlangfährt und dabei nach WLAN sucht, nennt man das „Wardriving“. Mit einem WLAN-Sniffer (deutsch: „WLAN-Schnüffler“) kann er die Verschlüsselungsmethode und die MAC-Adresse Ihres WLAN-Routers ermitteln. Das dauert nicht einmal eine Minute. Doch die WPA2-Verschlüsselung kann er nicht mit mathematischen Methoden knacken. Doch das ist kein Problem: Er muss nur warten, bis jemand einen PC einschaltet. Der PC schickt ein Datenpaket mit Benutzernamen und Passwort ab, um sich am Router anzumelden. Diese Anmeldedaten sind leider unzureichend verschlüsselt.
Und wenn der Hacker nicht so lange warten will, bis Sie endlich Ihren PC einschalten? Er sendet Störsignale und versucht damit, „Ihren PC aus dem Netz zu werfen“. Wenn das gelingt, meldet sich der PC automatisch wieder an – und der Hacker schneidet die Zugangsdaten mit! Sie meinen, das ist zu kompliziert für einen Amateur-Hacker? Auf YouTube gibt es Schritt-für-Schritt-Anleitungen, wie man mit Gratis-Programmen ein WLAN-Netzwerk knacken kann … Dagegen hilft wohl nur, die oben genannte Liste der erlaubten MAC-Adressen einzurichten. Für ein privates Netzwerk dürfte das sicher genug sein.
Ein Hacker könnte ein Firmennetz knacken, indem er einen WLAN-Router in Firmennähe betreibt, mit dem gleichen SSID-Namen wie der Firmen-Router. Mit Störsignalen zwingt er die Firmen-PCs, sich neu anzumelden. Ein Teil von ihnen wird versuchen, sich am Hacker-Router anzumelden. Dabei wird der Benutzer aufgefordert, das WLAN-Passwort erneut einzugeben. Würde es Sie stutzig machen, wenn Sie ohne erkennbaren Anlass aufgefordert werden, Ihr Passwort erneut einzugeben? Das sollte es aber.
Der Hacker-Router analysiert die Daten der auf ihn „hereingefallenen“ PCs und leitet den Datenverkehr zum Firmenrouter weiter (das nennt man einen Angriff „man-in-the-middle“ (Mann in der Mitte)). Der Firmenrouter merkt davon nichts.
Wirkliche WLAN-Sicherheit haben Sie nur, wenn Sie alle PCs mit Kabeln verbinden und das WLAN abschalten.