Sicherheit im WLAN: Fakten und Mythen

Thomas Reichhart, 123RF

Kabellose Mythen

Das drahtlose Netzwerk bringt Komfort für Nutzer und Eindringlinge. Wir erklären die grundlegenden Konzepte und Begriffe und klären über Mythen auf.
Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Die Strippenzieher kommen aus der Mode: So mancher Laptop hat nicht einmal mehr eine Buchse fürs Netzwerkkabel, von Smartphones und Tablets ganz zu schweigen. Trotzdem erwarten ihre Besitzer, dass sie mit ihren Geräten im Büro wie zu Hause einfach loslegen können. Ein drahtloses Netz ist schnell aufgesetzt, aber wie verhindert der Admin, dass Außenstehende darüber an die Firmeninterna gelangen?

Verschlüsselung statt Kabel?

Mit dem Einzug der drahtlosen Vernetzung verschwand ein Prinzip, das sicherheitsbewusste Admins liebgewonnen hatten: Schirmte eine Firewall das interne Netz ausreichend vor Attacken von außen ab, brauchten Angreifer eine physische Verbindung. Vor einem echten Einbruch ins Büro schreckten dann wohl doch die meisten Hacker zurück, während sie für den Einbruchsversuch ins drahtlose Netz lediglich einen gemütlichen Platz in der Nachbarschaft benötigen.

Die typischerweise unverschlüsselte Kommunikation im internen Netz wird damit zum potenziellen Sicherheitsproblem. Manche Firmen sperrten sich anfangs komplett gegen drahtlose Netzwerke, aber inzwischen können sich kaum noch Admins dem Komfortgewinn der WLANs verweigern; spätestens wenn der Chef mit seinem neuen Macbook Air ohne Netzwerkbuchse ins Netz möchte.

Anfangs sollte die Lösung für das Problem WEP (Wired Equivalent Privacy) heißen. Die versprochene, dem Kabel entsprechende Sicherheit lieferte das WEP-Verfahren allerdings nicht. Nachdem mehrere Methoden und Tools aufgekommen waren, die eine WEP-Verschlüsselung teils in wenigen Minuten knackten, verabschiedete das Institute of Electrical and Electronics Engineers IEEE 2003 den WPA-Standard (Wi-Fi Protected Access) als Nachfolger für das unsichere WEP.

Verschlüsselte Unsicherheit

WPA war zunächst ein angesichts der Unzulänglichkeiten von WEP eilig eingeführter Ersatz. Der neue Standard führte das TKIP-Verfahren in die WLAN-Verschlüsselung ein (Temporal Key Integrity Protocol), das zwei neue Mechanismen mitbrachte. Zum einen generiert TKIP für jedes Datenpaket einen eigenen Schlüssel von 128 Bit Länge nach dem RC4-Verschlüsselungsalgorithmus, der etwa auch beim TLS-Protokoll zum Einsatz kommt; ein Verfahren, das als Nachfolger von SSL diversen Übertragungsprotokollen eine Verschlüsselungsebene überstülpt. WEP verzichtete auf solche dynamisch generierten Schlüssel, unter anderem weil die Urheber nicht sicher waren, dass jeder Client über die erforderliche Prozessorleistung verfügte; doch Anfang des Jahrtausends war dieser Einwand schon hinfällig.

Zum anderen prüft WPA die Integrität eingehender Pakete. Damit verhindert es Angriffe mithilfe abgefangener und kopierter oder manipulierter Datenpakete eines anderen Clients.

Als weitere Verbesserung folgte 2004 der bis heute empfohlene Standard WPA2, teilweise auch bekannt unter der Abkürzung RSN (Robust Security Network). Seit 2006 ist WPA2-Unterstützung für WLAN-Geräte verpflichtend, damit die IEEE sie zertifiziert. WPA2 ersetzt das TKIP-Verfahren durch CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol), da TKIP ebenfalls sicherheitstechnische Schwachstellen offenbart hatte. 2012 erklärte die IEEE TKIP für überholt und rät von der weiteren Benutzung ab, auch wenn es weiter unterstützt wird. CCMP basiert auf dem AES-Verschlüsselungsalgorithmus, den zahlreiche Sicherheitsanwendungen einsetzen und der weiterhin als sicher gilt.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019