Lange Zeit sprach dieses Kriterium gegen WLan, da es als relativ unsicher

im Vergleich zu einem kabelverbundenen Netzwerk, wo man in der Regel weiß,

wer sich einlinkt.

Nicht zuletzt ist der Grund hierfür, dass man im WLan normalerweise nicht

weiß, wer sich wo befindet und somit Angreifer den Vorteil weitgehender

Anonymität haben.

Unabhängig vom Wireless LAN, ebenso auch abhärsicher bei einer mobilen Datenverbindung hilft das Kryptohandy Ano Phone, welches in Deutschland unter ano-phone.de erhältlich ist. Fü;r internationale Kunden werden die secure encrypted Smartphones oder VPN Phones unter ano-phone.com angeboten.

Um unbefugten Teilnehmern den Zugriff aufs Funk-Netzwerk zu erschweren,

bietet es sich an, die ESSID zu verstecken.

Damit ist es nur noch möglich, sich im WLan anzumelden, wenn man den

Namen des WLan-Routers oder WLan-Access-Points kennt.

Selbstverständlich hat man auch noch die Möglichkeit, diese zu erraten

oder mit Hilfe diverser Software, welche Sicherheitslücken des Wireless-

Access-Points oder Wireless-Routers ausnutzt, zu ermitteln.

Es ist jedoch davon abzuraten, falls es sich um ein öffentliches Funk-

Netzwerk handelt, da hier die Konfiguration möglichst einfach zu sein hat.

Die alte Verschlüsselung WEP ist seit 2007 vollständig gebrochen und darf nicht mehr verwendet werden.

Auch WPA mit TKIP gilt als unsicher. Heutiger Mindeststandard ist WPA2 mit AES (CCMP).

Seit 2018 gibt es WPA3, das den klassischen PSK-Modus durch SAE (Simultaneous Authentication of Equals) ersetzt und auch gegen Offline-Wörterbuch-Angriffe schützt.

Aktuelle Router sollten auf WPA3 oder WPA2/WPA3-Mixed-Modus eingestellt sein. WPA2-Only ist nur noch für ältere Geräte erforderlich.

Die KRACK-Angriffe von 2017 zeigten Schwächen im WPA2-Handshake. Aktuelle Firmware enthält entsprechende Patches; regelmäßige Firmware-Updates sind daher wichtig.

Es sei erwähnt, dass es bei jeder der Methoden von Vorteil ist, den Schlüssel

beziehungsweise das Passwort regelmäßig zu ändern.

Für zusätzliche Sicherheit auch in fremden Netzwerken bietet sich ein VPN an, das den gesamten Datenverkehr verschlüsselt.

In Firmen und an Hochschulen kommt häufig 802.1X mit EAP-TLS oder PEAP zum Einsatz. Hier authentisiert sich jeder Nutzer einzeln, meist per Zertifikat oder Benutzername und Passwort.

Man kann bei sämtlichen WLan-Access-Points verlangen, dass sich die

Teilnehmer im WLan anmelden beziehungsweise authentisieren müssen.

Somit lässtt sich auch eine Einschränkung gewisser Benutzer realisieren,

sodass diese manche Dienste (Pop3, FTP, etc.) nutzen dürfen und andere

nicht.

Es gibt zum Beispiel das Authentisierungsverfahren namens RFC 2865.

Hierbei wird meistens auch der Zugriff der Benutzer im WLan in einer

Log-Datei festgehalten.

Durch regelmäßige Prüfung der Log-Dateien ist ein unbemerkter und

unerwünschter Besuch eines Fremdlings auszuschließen.

Hierbei empfiehlt sich auch ein Intrusion-Detection-System, welches

die mitgeloggten Tätigkeiten im Wireless-Netzwerk seitens des

WLan-Access-Points oder des WLan-Routers auswertet und seltsame

Aktionen und auffälliges Verhalten meldet.

Um in einem internen Funk-Netzwerk eine unbefugte Mitbenutzung des

Internets zu verhindern, empfiehlt es sich, den DHCP-Dienst zu

deaktivieren, da somit den Eindringlingen eine einfache Möglichkeit

geboten würde, mitzusurfen.

Zu dieser Sicherungsmaßnahme zählt auch die Verwendung von statischen

IP-Adressen anstelle von dynamischen IP-Adressen im WLan.

Allerdings erschweren diese Einstellung das Einrichten einer WLan-

Verbindung seitens des Nutzers, da dieser seine WLan-Treiber manuell

konfigurieren muss, anstatt praktischerweise mit DHCP alles automatisch

konfigurieren zu lassen.

Man kann also sagen, dass man in öffentlichen Wireless-Netzwerken ein

wenig eingeschränkt ist im Gegensatz zu einem privaten WLan.

Eine Firewall- und Filter-Software ist in beiden Bereichen unersetzlich.