Übersicht der Verschlüsselungstechnologien bei WLAN Netzen für mobile Datenterminals (MDE´s)

 

Wired Equivalent Privacy

WEP ist der ehemalige Standard-Verschlüsselungsalgorithmus für WLAN. Er soll sowohl den Zugang zum Netz regeln, als auch die Vertraulichkeit und Integrität der Daten sicherstellen. Aufgrund verschiedener Schwachstellen wird das Verfahren als unsicher angesehen. Zum Entschlüsseln müssen ausreichende Datenmengen mitgeschnitten werden, was nur einige Minuten dauert. Anschließend können diese Daten in wenigen Sekunden analysiert und der Schlüssel berechnet werden. Daher sollten WLAN-Installationen die sicherere WPA-Verschlüsselung verwenden.

 

Wi-Fi Protected Access

WPA ist eine Verschlüsselungsmethode für ein Wireless LAN. Nachdem sich die Wired Equivalent Privacy (WEP) des IEEE-Standards 802.11 als unsicher erwiesen hatte und sich die Verabschiedung des neuen Sicherheitsstandards IEEE 802.11i verzögerte, wurde durch die Wi-Fi Alliance eine Teilmenge von IEEE 802.11i vorweggenommen und unter dem Begriff WPA als Pseudostandard etabliert. Die Zertifizierung nach diesem Standard begann im April 2003. Der Nachfolger ist WPA2.

Funktionsweise
WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Teilnehmern Pre-Shared Keys (PSK) oder Extensible Authentication Protocol (EAP) über IEEE 802.1x an.

WPA basiert auf dem RC4-Stromchiffre, der schon für WEP genutzt wurde. Im Gegensatz zu WEP benutzt WPA nicht nur einen 48Bit langen Initialisierungsvektor (IV), sondern auch eine "Per Packet Key Mixing"-Funktion, einen "Re Keying"-Mechanismus sowie einen Message Integrity Check (MIC).

Die Authentifizierung über EAP wird meist in großen Wireless-LAN-Installationen angewendet, da hierfür eine Authentifizierungsinstanz in Form eines Servers (z.B. ein RADIUS-Server) benötigt wird. In kleineren Netzwerken, wie sie im SoHo-Bereich (Small Office, Home Office) häufig auftreten, werden meist PSK (Pre-Shared-Keys) benutzt. Der PSK muss somit allen Teilnehmern des Wireless LAN bekannt sein, da mit seiner Hilfe der Sitzungsschlüssel generiert wird.

Am 3.Februar 2004 wurde die Erweiterung von WPA (WPA2) angekündigt. In WPA2 wurde nicht nur der vollständige 802.11i-Standard umgesetzt, sondern es verwendet auch einen anderen Verschlüsselungsalgorithmus: AES (Advanced Encryption Standard). Es gibt aber auch WPA-fähige Geräte, die AES beherrschen, ohne WPA2 zu unterstützen.

Angriffsmöglichkeiten
Bei der Benutzung von Pre-Shared-Keys ist unbedingt auf die Qualität des verwendeten Passworts zu achten. Ein möglicher Angreifer kann über die Brute-Force-Methode oder einen Wörterbuchangriff das benutzte Passwort erraten und so alle möglichen Varianten des Pre-Shared-Keys generieren. Um zu sehen, welcher der generierten Schlüssel der richtige ist, muss ein Anmeldevorgang mitgehört werden (der von einem Angreifer jederzeit initiiert werden kann). Bei jeder Anmeldung findet ein Schlüsselaustausch statt, der über einen MD5-Hash gesichert wird und mit dessen Hilfe man die generierten Schlüssel auf ihre Richtigkeit überprüfen kann.

Seit dem 28.April 2004 existiert für einen möglichen Wörterbuchangriff ein Proof of Concept, das im Mac-OS-X-Programm KisMAC implementiert wurde Seit November 2004 existiert auch ein weiteres Programm, WPA Cracker für Linux, das einen Offline-Wörterbuchangriff anhand mitprotokollierter Pakete durchführt und mittlerweile im Quelltext vorliegt. Ein Brute-Force- oder Wörterbuchangriff auf den aufgezeichneten 4-Way-Handshake des TKIP-Protokolls ist mit dem Programm Cowpatty möglich.

Sicherheitsmaßnahmen
An erster Stelle sollte die Wahl einer sicheren pass phrase (Pre-Shared-Key) stehen. Diese sollte die maximale Schlüssellänge von 63 Zeichen ausnutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren.

Weitere Sicherheitsmaßnahmen sind:

  • Das Standard-Passwort des Access-Points sollte geändert bzw. überhaupt erst einmal ein Passwort gesetzt werden.
  • Die SSID des Access-Point sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen.
  • Umstritten ist die Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID auch bei deaktiviertem Broadcasting mit einem Sniffer ausgelesen werden.
  • WLAN-Geräte (z.B. der Access Point) sollten nicht per WLAN konfiguriert werden, sondern ausschließlich über eine kabelgebundene Verbindung.
  • Im Access Point sollte, sofern vorhanden, die Fernkonfiguration abgeschaltet werden.
  • WLAN-Geräte sollten ausgeschaltet werden, solange sie nicht genutzt werden.
  • Die Reichweite des WLANs sollte minimiert werden. Dies kann durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes durchgeführt werden.
  • Regelmäßige Firmware-Aktualisierungen des Access-Points sollten durchgeführt werden, um sicherheitsrelevante Verbesserungen zu erhalten

 

Wi-Fi Protected Access 2

WPA2 ist die Implementierung eines Sicherheitsstandards für Funknetzwerke nach den WLAN-Standards IEEE 802.11a, b, g und basiert auf dem Advanced Encryption Standard (AES). Er stellt den Nachfolger von WPA dar, das wiederum auf dem mittlerweile als unsicher geltenden Wired Equivalent Privacy (WEP) basiert. WPA2 implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i

Unterschiede zu WAP
WPA2 nutzt den Verschlüsselungsstandard AES, WPA hingegen die bei WEP eingesetzte Stromchiffre RC4. Des Weiteren wurde bei WPA2 zusätzlich zu TKIP noch das Verschlüsselungsprotokoll CCMP hinzugefügt, welches nun auch WPA2 im Ad-hoc-Modus ermöglicht. Dieses soll auf lange Sicht auch TKIP ablösen.

Eine einfache Umstellung wie von WEP auf WPA durch ein Firmware-Update ist nicht bei jedem Gerät möglich. Zum Teil ist die Hardware zu langsam, um die AES-Verschlüsselung in Software zu emulieren. Abhilfe schaffen dann nur neue Endgeräte mit Spezialhardware für AES

Authentifizierung
Zur Authentifizierung des Clients am Access Point und umgekehrt kann sowohl ein geheimer Text, der Pre-Shared-Key, als auch ein RADIUS-Server verwendet werden.

Die Authentifizierung mit einem Pre-Shared-Key wird oft bei kleinen Installationen, also z.B. im Home-Bereich, benutzt. Diese Variante wird auch als „Personal“ bezeichnet.

In größeren Netzen ermöglicht die Verwendung von RADIUS eine zentrale Benutzeradministration inkl. Accounting. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt – je nach Erfolg – den Zugriff zu. WPA und WPA2 per RADIUS ermöglichen zusätzliche Authentifizierungsmethoden durch die Verwendung von EAP und TTLS. Diese Variante von WPA2 wird oft als „Enterprise“ bezeichnet.

Kompatibilität
WPA2 und WPA können einzeln eingesetzt, sofern WPA2 vom Access Point unterstützt wird, sowie nur bei wenigen speziellen Access Points gemeinsam verwendet werden.

Alle Geräte, die für WPA2 von der Wi-Fi Alliance zertifiziert werden sollen, müssen den Standard IEEE 802.11i erfüllen.

Sicherheit
WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden nach FIPS

Sicherheitsmaßnahmen
An erster Stelle sollte beim PSK-Verfahren die Wahl eines sicheren WPA-Netzwerkschlüssel (auch Passphrase oder Pre-Shared-Key genannt) stehen. Dieser sollte die maximale Schlüssellänge von 63 Zeichen nutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren. Jedoch können Sonderzeichen im Passwort bei älteren Betriebssystemen Probleme bereiten. Besondere Vorsicht ist bei Sonderzeichen aus dem internationalen Sprachraum (z.B. ü, ö, ä oder auch §) geboten. Je nach Betriebssystem (Microsoft Windows, Mac OS X, Unix) werden diese völlig verschieden kodiert und sind dann nicht kompatibel zueinander. Ein Wechsel des Netzwerkschlüssels hin und wieder erhöht die Sicherheit gegen langandauerndes Belauschen.

Weitere Sicherheitsmaßnahmen sind:

  • das Standard-Passwort des Access-Points ändern bzw. überhaupt erst mal ein Passwort setzen;
  • die SSID des Access Point sollte keine Rückschlüsse auf verwendete Hardware, Software, Einsatzzweck oder Einsatzort zulassen. Die Default-SSID sollte auf jeden Fall geändert werden.
  • WLAN-Geräte (z.B. der Access Point) sollten nicht per WLAN konfiguriert werden (können), sondern ausschließlich über eine kabelgebundene Verbindung.
  • Im Access-Point sollte, sofern vorhanden, die Fernkonfiguration abgestellt werden.
  • WLAN-Geräte ausschalten, wenn sie nicht genutzt werden.
  • Die Reichweite des WLANs durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes beeinflussen.
  • Regelmäßige Firmware-Updates vom Access Point durchführen, um sicherheitsrelevante Aktualisierungen zu erhalten.
  • Trennung des AP vom restlichen (kabelgebundenen) Netzwerkteil mit Hilfe von WLAN´s und gleichzeitiger Einsatz einer Firewall zwischen den Netzwerkteilen.

Weniger geeignete Sicherheitsmaßnahmen, die den Zugriff nur geringfügig erschweren, sind:

  • eine andere als die Default-IP-Adresse (oft 192.168.1.1) des Routers verwenden;
  • die Zugriffskontrollliste (ACL = Access Control List) aktivieren, um vom Access-Point nur Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist kein wirklicher Sicherheitsgewinn, da MAC-Adressen leicht manipulierbar sind.
  • Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID bei deaktiviertem Broadcasting mit einem Sniffer mitgelesen werden, und moderne Client-Software zeigt zudem auch standardmäßig WLANs mit deaktiviertem SSID Broadcast an, so dass faktisch keinerlei praktischer Nutzen vorhanden ist, da die Netzwerke auch für den normalen Benutzer sichtbar sind.

 

 

 

Quelle: www.wikipedia.de

 

 

 

 

 


Hier geht es zu unseren Mobilen Funk-Datenterminals

 

 
 
© 2007 ProLogis GmbH