Xbox WLAN sicher konfiguriert

Von Boris, Di, 8. Mai 2007 16:15

Wer zu Hause ein Wireless LAN betreibt, will keine “Mithörer”. Der Datenverkehr im Funknetz sollte verschlüsselt sein, damit niemand Mails mitlesen oder den Internetzugang kostenlos mitbenutzen kann. Leider ist WLAN bei gleichzeitigem Einsatz von Geräten von mehreren Herstellern nicht ganz sorgenlos zu konfigurieren. Insbesondere die dringend zu empfehlende WPA-Verschlüsselung ist nur dann trivial, wenn man Geräte eines Herstellers kauft und die richtig vorkonfiguriert sind. Der Xbox 360 WLAN Adapter hatte bis vor kurzem durchaus Probleme, mit jedem WPA-kompatiblen Router im Markt zu kommunizieren.

Glücklicherweise hat der jüngste System-Update für Xbox 360 auch deutliche Verbesserungen für den WLAN-Adapter im Gepäck. Jetzt sollte er sich problemlos mit allen gängigen WPA-Routern verstehen. Das WPA2-Protokoll wird zwar weiterhin nicht unterstützt, aber mit einer langen, zufallsmässigen Passphrase ist WPA zur Zeit zumindest als sicher zu erachten. Im Folgenden zeige ich an Deutschlands verbreitestem Router, der Fritz.Box, wie man sein Wireless LAN sicher einstellt.

Zum einen sollte das Wireless LAN mit einem eindeutigen Namen gekennzeichnet werden, insbesondere in dichtbesiedelten Wohngebieten. Eine SSID wie “WLAN” oder “Name des Routers” führt zu Problemen, wenn gleich benamste Netzwerke in der Nähe sind. Warum nicht gleich einen Zufallsnamen wie “MYZTNF” nehmen und auch noch im Router ausschalten, daß die SSID bekannt gegeben (broadcasted) wird? Dann findet der Nachbar den WLAN-Anschluß nicht gleich auf Anhieb. Zur einfacheren Lesbarkeit habe ich hier das Funknetz “meinnetz” genannt.

Window_2007-4-24@23.6.51.774

Im Menü-Punkt Sicherheit muß dann das richtige Protokoll gewählt werden – und das sieht bei anderen Router-Typen natürlich auch immer anders aus. Wichtig ist die WPA-Verschlüsselung (WEP ist geknackt und unsicher) und am besten für die Xbox 360 ist der kombinierte WPA + WPA2 Modus. Als Netzwerkschlüssel nehme man eine möglichst lange, wirre Buchstabenfolge wie “o!”Ujkmdsa98dkash8/uoapf8pfuhfu” (am besten 63 Zeichen lang). Der Einfachheit halber heisst es hier “meinschluessel” – aber das ist definitiv unsicher und sollte nicht nachgemacht werden.

Window_2007-4-24@23.7.28.748

Auf der Xbox 360 steckt man nun den WLAN Adapter an und begibt sich auf der System-Seite zu den Netzwerkeinstellungen. Die unterste Gruppe von Daten betrifft den WLAN-Adapter. Wenn man diese markiert und A drückt, wird ein Netzwerk gesucht.

IMG_0626  IMG_0627

Nach einer Weile hört die Xbox auf, ein Netzwerk zu suchen, und der  oberste (abgeschnittene) Menüpunkt “Nicht aufgeführtes Netzwerk angeben” ist der Richtige.

IMG_0628 IMG_0629

Hier geben wir den Namen des Netzwerks ein (“meinnetz”) und werden darauf nach der Verschlüsselung gefragt. Bitte “WPA” auswählen. (Ja, WPA2 ist inaktiv und wird zur Zeit nicht unterstützt). Die WPA-Passphrase ist, wie sollte es anders sein, das oben angebene 63 Zeichen lange, wirre Passwort.

 IMG_0630 IMG_0631

Und jetzt kommt der Knackpunkt: Warten.  Bei der Fritz.Box erntet man jedenfalls in den ersten 15 Sekunden wieder eine Fehlermeldung und  glaubt schon, alles sei falsch. In Wirklichkeit verhandeln WLAN-Adapter und Router immer noch. Bei mir hat es bis zu einer Minute gedauert, bis die zwei sich gefunden haben. Wenn es nach einer Minute immer noch nicht geht, ist allerdings  vielleicht doch die WPA Passphrase nicht korrekt.  Auch beim  Einschalten der fertig konfigurierten Xbox kann es durch das WPA-Protokoll eine halbe Minute dauern, bis die Xbox 360 endlich online ist.

IMG_0633

Zum Schluß sollte es jedenfalls so aussehen: Wir sind in “meinnetz” mit WPA-Verschlüsselung eingeloggt. Auf zum Spielen!

17 Antworten für “Xbox WLAN sicher konfiguriert”

  1. manudaskanu sagt:

    Die fritz!box ist echt der beste router. auf den neuen modellen kann man sogar bit torrent clienten installieren und via upnp av direkt auf die xbox streamen. ganz ohne computer.

    mfg

  2. Muvon53 sagt:

    Schöne Anleitung, klasse geschrieben. Danke :)

  3. pash sagt:

    Super! Auf jeden Fall kann man da ja dann auch froh sein das es demnächst eine Tastatur für die Controller geben wird. (MUSS ich unbedingt haben, hoffentlich kommen die bald! :o ) ) Der wird auch dazu führen das manche XBOX WLANs sicherer werden. (63 Zeichen mit dem Stick einzugeben ist wohl mehr als langwierig…)

    Leider kann ich das jetzt noch nicht ausprobieren da meine XBOX beim Support ist.. :O(

  4. Eine hervorragende Anleitung für Menschen, die sich mit der Thematik noch nicht so gut auskennen. :)

  5. mnemo sagt:

    Schöner und klarer Artikel, drei kleine Hinweise hätte ich aber:

    1. Den SSID-Broadcast abzuschalten bringt nicht allzuviel, denn erstens wird der Beacon weiterhin gesendet und nur der Netzname mit Null-Bytes geschickt, zweitens kann man sich dadurch Probleme mit manchen Netzwerkkomponenten oder Software-Produkten einhandeln, die bei “verstecktem” SSID nicht einwandfrei funktionieren. Sicherer wird es dadurch nicht, dafür ist ja die Verschlüsselung da, und DIE ist wirklich wichtig! Ein WLAN-Sniffer sieht auch das Vorhandensein der vermeintlich versteckten Netze.

    2. Der Tipp mit dem möglichst zufälligen SSID ist gut, denn man sollte ihn möglichst nicht mit persönlichen Daten versehen, also nicht “MEYER-NETZ” oder “USCHIS_WLAN”, damit nicht jeder Wardriver gleich die genaue Lokalität zuordnen kann.

    3. Wer es ganz sicher haben möchte, erlaubt im WLAN-Router nur explizite MAC-Adressen der Hardware, die auf das WLAN zugreifen darf. Diese Adresse steht normalerweise auf einem Aufkleber direkt auf der Hardware. Die meist verfügbare Client-Liste im Router zeigt auch alle angemeldeten Adressen an, solange das freie Verbinden im Router noch aktiviert ist.

  6. Mr. Mosquito sagt:

    Ich hoffe das Update löst das Problem mit dem neuen Apple Airport Extreme. Stinkt mir nämlich die Box immer extra an den Laptop zu hängen damit ich Online zocken kann.

  7. daniel c w sagt:

    @mnemo:
    den Zugriff auf bestimmte MAC-Adressen zu beschränken bringt ähnlich wenig für die Sicherheit wie eine versteckte SSID (wo Du natürlich völlig recht hast), den MAC Adressen lassen sich ohne Probleme fälschen.

  8. empe sagt:

    Boris, bitte erkläre doch mal, warum WPA2 nicht unterstützt wird! Wird es irgendwann mit einem update eine Unterstützung von WPA2 geben? Ich würde es gerne verwenden, aber die Xbox ist das einzige Gerät im Netzwerk, dass es nicht beherrscht.

  9. BleedingGuitar sagt:

    Leider funktioniert der WLAN-Adapter nicht mit meinem Lancom WRT-54ag – den ich mir noch dazu extra für die 360 angeschafft habe, um 802.11a zu verwenden, wie von Microsoft für Videostreaming/MediaCenter empfohlen. Mit 802.11g funktioniert es interessanter Weise, 802.11a will aber nicht. Ich bin der letzte der immer die Schuld auf Microsoft schiebt, aber bei Lancom vermute ich den Fehler ganz bestimmt nicht, die Qualität der Lancom Hard- und Software ist bei mir über jeden Zweifel erhaben ;-) … sehr schade, so kann ich MediaCenter nicht sinnvoll nutzen weil es immer wieder zu Streaming-Aussetzern kommt. Vielleicht bringt das aktuelle Update aber auch hier eine Besserung – auch wenns an der Verschlüsselung nicht liegen kann (denn auch mit ausgeschaltener funktioniert es im 802.11a-Band nicht).
    Aber ich bin guter Dinge, vielleicht entschädigt ein funktionierender WLAN-Adapter im 802.11a-Band dafür, dass es keinen Fix für die ärgerlichen Dynamikprobleme bei der HD-DVD-Wiedergabe mit Dolby Digital Plus Tonspuren geben wird (AFAIK).

  10. vvingo sagt:

    Kleiner Tip: Für die Eingabe des WPA Schlüssels kann man auch eine handelsübliche USB-Tastatur an die Xbox anschliessen.

  11. mindVex sagt:

    Der Xbox-WLAN-Adapter hat meiner Erfahrung nach ausserdem noch Probleme, wenn der WPA-Schlüssel nach einer bestimmten Zeit (die kann man ja meist im Router einstellen) geändert wird. Anfangs war diese Zeit in meinem Router (o2, irgendein Zyxel-Teil) auf 10 Minuten eingestellt, mit dem Ergebnis, dass die Xbox alle 10 Minuten die Verbindung zu Xbox Live unterbrochen hat. Ich habe diese Zeit jetzt auf 999 Minuten hochgestellt, seitdem geht es.
    Aber es wäre trotzdem schön, wenn das behoben werden könnte. Ebenso wie in Zukunft vielleicht auch endlich WPA2-Unterstützung. Ich denke, für den sündhaft teuren Preis von 70-80 EUR kann man das schon erwarten.

  12. mnemo sagt:

    pash, man kann jede noch so billige USB-Tastatur an die Xbox anschließen und damit auch die Texte eingeben. Die Dinger gibt’s schon für unter 10 Euro und man hat damit auch gleich einen Ersatz auf Lager, falls die PC-Tastatur den Geist aufgibt.

  13. Pengo sagt:

    @ Boris: Und wenn man in der FritzBox die “Expertenansicht” aktiviert, kann man nach dem Aktivieren aller eigenen WLAN-Clients die FritzBox für weitere fremde WLAN-Clients sperren. Das wäre dann noch ein zusätzliches Sicherheitsmerkmal mehr.

  14. NeoCool sagt:

    Nur explizite MAC-Adressen zuzulassen macht nur die Konfiguration unhandlicher, wenn man neue Geraete ins Netz bringen will. Ein WLAN-Sniffer zeigt die MAC-Adressen an, man sucht sich eine vorhandene aus und stellt sie bei sich ein, die Adresse ist naemlich mitnichten fest, unter Linux laesst sie sich bereits mit Bordmitteln aendern. Die Verschluesselung ist das wichtigste, die anderen Massnahmen helfen nicht wirklich und sind bei gut gewaehlter Passphrase auch nicht noetig.

  15. Oliver sagt:

    @ Mr. Mosquito – soweit ich das beurteilen kann ist dein Problem kein explizietes Apple Airport Extreme Problem. Der neue Apple wireless Router arbeitet ja schon mit dem zukünftigen 802.11 n Standard (Wireless N Entwurf). Mit diesem Standard wird die Verschlüsselungsmethode stringent vorgegegeben und just damit hat die 360 ein Problem. Ist diese WPA Kombi Verschlüsselung eingeschaltet sehen sich die Geräte nicht, bzw. die 360 den Router nicht.

    Momentane Lösung ist den Router nur im alten b & g Standard zu berteiben (wenn das bei dir geht), dann klappts auch mit WPA. So habe ich es jedenfalls mit meinem Netgear Router in den Griff bekommen. Nachteil keine höhere Übertragungsrate als 54 Mbit.

    @Boris – Hast Du schon Feedback ob dieses Problem ebenfalls behoben wurde? Du hast es ja bereits weitergeleitet …

    Greetz
    Oliver

  16. ay caramba sagt:

    @mnemo

    Sorry, aber im Zusammenhang mit dem MAC-Filter tauscht man hier einiges an Komfort gegen einen längst geknackten Schutz. Die MAC-Adresse ist ohne viel Expertenwissen bei jedem NIC veränderbar (ein Linux-Kommando, bzw. Treibereinstellung bei Windows), die für das Netzwerk verwendeten werden mit jedem Paket übermittelt. Wer also die Verschlüsselung erst einmal überwunden hat, den hält der MAC-Filter bestimmt nicht mehr auf.

    Die einzige nicht geknackte Methode zur Absicherung ist WPA2, bzw. WPA mit AES Schlüssel. Mit langen kryptischen Passwörtern ist auch TKIP durchaus sicher.

    Und zum Thema SSID würde ich mich eher freuen, wenn diese Informationen über den Standort enthält, perfekt wäre eine Email-Adresse als SSID – Dann könnte man zum Beispiel in Gebieten mit vielen WLANs die Kanalwahl besser abstimmen.

  17. SilentBOB sagt:

    Also mit meinem Speedport W700V von T-Com geht Wpa immer noch net.
    Schade, muss halt jedesmal wenn ich online gehe auf wep umstellen.
    Kommt denn Wpa2 irgendwann ?

    mfg
    SilentBOB

Panorama Theme by Themocracy