Grundlagen in der InformationstechnikNetzwerktechnik

Kenntnis der aktuellen WLAN Verschlüsselungs-Technologien

Funksignale bewegen sich im freien Raum. Das bedeutet, jeder kann die gesendeten Daten abhören oder stören.

Um zumindest das Abhören zu verhindern, werden WLANs mit Verschlüsselung betrieben.

Der Betreiber eines ungesicherten WLANs kann rechtlich in die Verantwortung und damit Haftung genommen werden, wenn ihm unbekannte Personen seinen Internet-Zugang für Rechtsverletzungen missbrauchen.

10 Maßnahmen zur WLAN-Sicherheit

 eigenes Admin-Passwort für den Access Point vergeben

 WPA2-Verschlüsselung einschalten

 undefinierbare SSID vergeben (sehr empfehlenswert)

 MAC-Adressfilter einsetzen

 SSID-Broadcast abstellen (nicht empfehlenswert)

 WLANs von anderen Netzwerk-Segmenten logisch trennen

 VPN einsetzen

 Firewall zwischen WLAN und LAN installieren

 IDS im WLAN aufstellen

 regelmäßige Audits mit aktuellen Hacker-Tools

WPA – WiFi Protected Access

In WPA kommt TKIP (Temporal Key Integrity Protocol) als Verschlüsselungsmethode zum Einsatz.

TKIP setzt auf den RC4-Algorithmus mit einer verbesserten Schlüsselberechnung (Fast Packet Keying, FPK).

WPA2 – WiFi Protected Access 2

WPA2 gibt es in zwei Varianten, die beide nicht identisch mit IEEE 802.11i sind.

Im Regelfall arbeitet die Verschlüsselung der üblichen WLAN-Komponenten mit WPA2 als Verschlüsselungsverfahren.

Der wesentliche Unterschied zwischen WPA und WPA2 ist die Verschlüsselungsmethode.

Während WPA das weniger sichere TKIP verwendet, kommt in WPA2 das sichere AES zum Einsatz.

AES (Advanced Encryption Standard) ist der Nachfolger des veralteten DES (Data Encryption Standard).

In der Regel bringt AES mehr Datendurchsatz als TKIP. Moderne WLAN-Chipsätze enthalten einen Hardware-Beschleuniger für AES. Bei TKIP muss in der Regel der interne Prozessor die Arbeit erledigen.

Ab 2014 dürfen Access Points nur noch WPA2-AES anbieten.

Bei WPA bzw. WPA2 erfolgt die Netzwerk-Authentifizierung mit einem Pre-Shared-Key (PSK) oder alternativ über einen zentralen 802.1x/Radius-Server.

Dabei wird ein Passwort mit 8 bis 63 Zeichen Länge verwendet.

Das Passwort ist Teil eines 128 Bit langen individuellen Schlüssels, der zwischen WLAN-Client und dem Access Point ausgehandelt wird.

Der Schlüssel wird zusätzlich mit einem 48 Bit langen Initialization Vector (IV) berechnet.

Dadurch wird die Berechnung des WPA-Schlüssels für den Angreifer enorm erschwert.

Die Schwachstelle von WPA2 ist der Schlüssel, der bei Broadcasts und Multicasts die Datenpakete verschlüsselt (Groupkey).

Dieser Schlüssel ist allen Stationen bekannt.

Bekommt eine nicht autorisierte Person diesen Schlüssel heraus, ist sie in der Lage den anfänglichen Schlüsselaustausch zwischen Client und Access Point zu belauschen.

Die Aushandlung dieses Schlüssels ist zumindest bei IEEE 802.11i täglich vorgesehen (86.400 Sekunden).

Eine weitere Schwachstelle ist das Passwort (PSK).

Je kürzer oder simpler diese Phrase ist, desto schneller bekommt ein Hacker Zugriff auf das geschützte Netzwerk.

Eine lange Phrase mit zufälligen Buchstaben, Zeichen und Zahlen, dürfte zumindest nicht zu erraten sein.

WPA2-personal

WPA2-personal ist eine abgespeckte WPA2-Variante, die hauptsächlich in SOHO-Geräten für Privatanwender und kleine Unternehmen gedacht ist, auf einige Funktionen verzichten können.

Dazu gehören Funktionen, die in größeren Netzwerken verwendet werden. Z. B. auch die RADIUS-
Authentifizierung.

WPA2-enterprise

WPA2-enterprise ist mit IEEE 802.11i fast identisch. Der Unterschied ist die fehlende Funktion Fast Roaming, die für VoIP-, Audio- und Video-Anwendungen interessant ist. Mit dieser Funktion wird der Wechsel zwischen zwei Access Points (AP) schneller durchgeführt. Die Verbindung verläuft damit unterbrechungsfrei.

Schreibe einen Kommentar