Mehr Privatsphäre mit Fritzboxen

Seite 2: WLAN absichern

Manche Sicherheitstechnik bekommt im Laufe der Zeit Risse. Bei der WLAN-Verschlüsselung kennt man das schon zur Genüge: Mit WEP und WPA sind schon zwei Methoden gekommen und (hoffentlich rückstandslos) gegangen. Nun sollte man für die dritte Methode, das aktuelle WPA2, den Abschied einläuten.

Zwar ist WPA2 nicht so grundlegend löchrig wie die WLAN-Steinzeittechnik WEP: WPA2-geschützte Funknetze lassen sich bisher nur über hartnäckiges Ausprobieren knacken (Brute Force). Aber Hochrechnungen, laut denen ein erwürfeltes 16-stelliges Passwort dem stumpfen Ausprobieren rund 19 Billionen Jahre lang standhalten soll, sind nun mal Hochrechnungen. Zudem gehen sie von aktuellen Methoden und aktueller Hardware aus. Doch WPA2 fehlt der Vertraulichkeitsschutz Perfect Forward Secrecy (PFS). Deshalb muss eine Attacke nicht zur Laufzeit des angegriffenen WLANs abgeschlossen sein, sondern kann auch aufgezeichnete Daten aufdecken. Falls sich in einigen Jahren Quanten-Computer darauf ansetzen lassen, sind Angreifer vermutlich weit schneller am Ziel als heute prognostiziert.

Je eher Sie auf das bereits verfügbare WPA3 umsteigen, desto besser. Die neue WLAN-Verschlüsselung ist zwar beileibe nicht perfekt. Aber zum Beispiel ist anders als bei WPA2 für jede Passworteingabe ein neuer Verbindungsversuch erforderlich, sodass sich automatisierte Brute-Force-Angriffe auf eine WLAN-Basis derart in die Länge ziehen, dass sie aussichtslos sind. Zudem werten die Basisstationen zu viele misslungene Einbuchungsversuche als Angriffe und zögern ihre Antworten dann hinaus.

Vom konfigurierten DNS-Resolver hängt wesentlich ab, welches Rechenzentrum etwa einen angefragten Netflix-Stream liefert und damit auch die Länge der Übertragungsstrecke. Leider plappern manche Resolver private Daten aus.

DNS-Leckage stopfen

Für manche Privatsphären-Lecks müssen Gegenmittel komplett neu entwickelt und implementiert werden. Dazu zählt die Verschlüsselung der Kommunikation mit DNS-Resolvern, den "Telefonbüchern des Internet". Denn alle Geräte sprechen Server im Internet anhand ihrer IP-Adresse an, die sie von Resolvern hauptsächlich im Klartext abfragen. Als die Technik Mitte der 1980er-Jahre entstand, hatte kein Entwickler auf dem Zettel, dass man anhand von DNS-Anfragen Nutzerprofile erstellen könnte. Auch kam später manche DNS-Erweiterung hinzu, die anderen Zwecken dienen sollte, aber nebenbei User-Tracking ermöglicht.

Dazu zählt insbesondere die Methode, mit der Provider die Betreiber von Content Delivery Networks (CDNs) informieren, wo auf der Welt sich der anfragende Client befindet (Geolocation). Damit können sie den Client zum nächstgelegenen Rechenzentrum leiten, was die Paketlaufzeit verkürzt (EDNS0-Option: edns-client-subnet, ECS). Große Content-Anbieter wie Apple, Microsoft oder Netflix nutzen CDNs, um Weitverkehrsstrecken zu entlasten. Daher ist ECS grundsätzlich von Vorteil.

Aber um Kinderschutzfilter zu implementieren, markieren Provider DNS-Anfragen vor der Weiterleitung – und auf den Strecken zu den Root-Server und zum autoritativen Server können die Anfragen Dritte lesen (zum Beispiel am weltgrößten Internet-Drehkreuz DE-CIX in Frankfurt am Main). Auch dagegen ist erst mal nichts einzuwenden. Zum Markieren lassen sich Hashes nutzen oder andere Merkmale, die keinem User direkt zugeordnet werden können.