Wi-Fi Protected Access 2


Wi-Fi Protected Access 2

Wi-Fi Protected Access 2 (WPA2) ist die Implementierung eines Sicherheitsstandards für Funknetzwerke nach den WLAN-Standards IEEE 802.11a, b, g, n und basiert auf dem Advanced Encryption Standard (AES). Er stellt den Nachfolger von WPA dar, das wiederum auf dem mittlerweile als unsicher geltenden Wired Equivalent Privacy (WEP) basiert. WPA2 implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i.

Inhaltsverzeichnis

Hintergrund

Zum Schutz der übertragenen Daten in einem WLAN und der teilnehmenden Clients wurde der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Schon nach relativ kurzer Zeit stellte sich dieser Standard als anfällig für Angriffe heraus. Durch Aufzeichnung und Analyse größerer Datenmengen kann der Netzwerkschlüssel ermittelt werden. Auch die im WEP integrierte Authentifizierung stellt kein nennenswertes Hindernis für Angreifer dar.

Ein weiterführender, sehr umfangreicher Standard für Sicherheit in WLANs (IEEE 802.11i) war zu diesem Zeitpunkt zwar in Arbeit, aber eine Verabschiedung war nicht in Sicht. Daher wurde ein Zwischenstandard auf Basis mehr oder weniger verabschiedeter Teile geschaffen: WPA. Dieser konnte durch Funktionen wie dynamische Schlüssel, vernünftige Authentifizierung und Unterstützung von Radius-Authentifizierung den Funknetzen ihre Sicherheit zurückgeben.

Mit fortschreitender Entwicklung des Standards IEEE 802.11i, der auf dem Verschlüsselungsalgorithmus AES basiert, wurden auch Anstrengungen unternommen, AES in WPA zu integrieren. Daraus entstand der Standard WPA2.

Für WPA und WPA2 sind bis jetzt nur Passwort-Angriffe bekannt. Aus diesem Grund ist es dringend zu empfehlen, ein ausreichend langes Passwort (wenn möglich 63 Zeichen lang mit Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen) zu verwenden. Der Passwortschlüssel kann z. B. mit einem USB-Stick einfach auf die angeschlossenen Clients übertragen werden und muss nach der einmaligen Installation nicht mehr geändert werden. Ein mit ausreichend langem Passwort geschützter Wireless-Router mit WPA2-Verschlüsselung gilt aus heutiger Sicht als praktisch unknackbar.

Unterschiede zu WPA

WPA2 nutzt den Verschlüsselungsstandard AES, WPA hingegen die bei WEP eingesetzte Stromchiffre RC4. Des Weiteren wurde bei WPA2 zusätzlich zu TKIP noch das Verschlüsselungsprotokoll CCMP hinzugefügt, welches nun auch WPA2 im Ad-hoc-Modus ermöglicht. Dieses soll auf lange Sicht auch TKIP ablösen.

Eine einfache Umstellung wie von WEP auf WPA durch ein Firmware-Update ist nicht bei jedem Gerät möglich. Zum Teil ist die Hardware zu langsam, um die AES-Verschlüsselung in Software zu emulieren. Abhilfe schaffen dann nur neue Endgeräte mit Spezialhardware für AES.

Technische Eckdaten

Verschlüsselung

Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES).

Authentifizierung

Zur Authentifizierung des Clients am Access Point und umgekehrt kann sowohl ein geheimer Text, der pre-shared key, als auch ein RADIUS-Server verwendet werden.

Die Authentifizierung mit einem Pre-Shared-Key wird oft bei kleinen Installationen wie bei Privatanwendern üblich benutzt und daher auch als „Personal“ bezeichnet.

In größeren Netzen ermöglicht die Verwendung von RADIUS eine zentrale Benutzeradministration inkl. Accounting. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt – je nach Erfolg – den Zugriff zu. WPA und WPA2 per RADIUS ermöglichen zusätzliche Authentifizierungsmethoden durch die Verwendung von EAP und TTLS. Diese Variante von WPA2 wird oft als „Enterprise“ bezeichnet.

Kompatibilität

WPA2 und WPA können einzeln eingesetzt, sofern WPA2 vom Access Point unterstützt wird, sowie nur bei wenigen speziellen Access Points gemeinsam verwendet werden.

Alle Geräte, die für WPA2 von der Wi-Fi Alliance zertifiziert werden sollen, müssen den Standard IEEE 802.11i erfüllen.

Sicherheit

WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden nach FIPS 140-2.

Sicherheitsmaßnahmen

An erster Stelle sollte beim PSK-Verfahren die Wahl eines sicheren WPA-Netzwerkschlüssel (auch Passphrase oder Pre-Shared-Key genannt) stehen. Dieser sollte die maximale Schlüssellänge von 63 Zeichen nutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren. Jedoch können Sonderzeichen im Passwort bei älteren Betriebssystemen Probleme bereiten. Besondere Vorsicht ist bei Sonderzeichen aus dem internationalen Sprachraum (z. B. ü, ö, ä oder auch §) geboten. Je nach Betriebssystem (Microsoft Windows, Mac OS X, Unix) werden diese völlig verschieden kodiert und sind dann nicht kompatibel zueinander. Ein Wechsel des Netzwerkschlüssels hin und wieder erhöht die Sicherheit gegen langandauerndes Belauschen.

Weitere Sicherheitsmaßnahmen sind:

  • das Standard-Passwort des Access Points ändern bzw. überhaupt erst mal ein Passwort setzen;
  • die SSID des Access Point sollte keine Rückschlüsse auf verwendete Hardware, Software, Einsatzzweck oder Einsatzort zulassen. Die Default-SSID sollte auf jeden Fall geändert werden.
  • WLAN-Geräte (z.B. der Access Point) sollten nicht per WLAN konfiguriert werden (können), sondern ausschließlich über eine kabelgebundene Verbindung.
  • Im Access Point sollte, sofern vorhanden, die Fernkonfiguration abgestellt werden.
  • WLAN-Geräte ausschalten, wenn sie nicht genutzt werden.
  • Die Reichweite des WLANs durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes beeinflussen.
  • Regelmäßige Firmware-Updates vom Access Point durchführen, um sicherheitsrelevante Aktualisierungen zu erhalten.
  • Trennung des Access Points vom restlichen (kabelgebundenen) Netzwerkteil mit Hilfe von VLANs und gleichzeitiger Einsatz einer Firewall zwischen den Netzwerkteilen.

Weniger geeignete Sicherheitsmaßnahmen, die den Zugriff nur geringfügig erschweren, sind:

  • eine andere als die Default-IP-Adresse (oft 192.168.1.1) des Routers verwenden;
  • die Zugriffskontrollliste (ACL = Access Control List) aktivieren, um vom Access Point nur Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist kein wirklicher Sicherheitsgewinn, da MAC-Adressen leicht manipulierbar sind.
  • Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID bei deaktiviertem Broadcasting mit einem Sniffer mitgelesen werden, und moderne Client-Software zeigt zudem auch standardmäßig WLANs mit deaktiviertem SSID Broadcast an, so dass faktisch keinerlei praktischer Nutzen vorhanden ist, da die Netzwerke auch für den normalen Benutzer sichtbar sind.

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Wi-Fi Protected Access — (WPA and WPA2) is a certification program administered by the Wi Fi Alliance to indicate compliance with the security protocol created by the Wi Fi Alliance to secure wireless computer networks. This protocol was created in response to several… …   Wikipedia

  • Wi-Fi protected access — (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans fil de type Wi Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la… …   Wikipédia en Français

  • Wi-fi protected access — (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans fil de type Wi Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la… …   Wikipédia en Français

  • Wi-Fi Protected Access — (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans fil de type Wi Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la… …   Wikipédia en Français

  • Wi-Fi Protected Access — (WPA) ist eine Verschlüsselungsmethode für ein Drahtlosnetzwerk (Wireless LAN). Nachdem sich die Wired Equivalent Privacy (WEP) des IEEE Standards 802.11 als unsicher erwiesen hatte und sich die Verabschiedung des neuen Sicherheitsstandards IEEE… …   Deutsch Wikipedia

  • Wi-Fi Protected Access — WPA (Wi Fi Protected Access, Acceso Protegido Wi Fi) es un sistema para proteger las redes inalámbricas (Wi Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy Privacidad Equivalente a Cableado).[1] Los… …   Wikipedia Español

  • protected — adjective a) defended. b) Having the protected access modifier, indicating that a program element is accessible to subclasses but not to the program in general. Ant: unprotected …   Wiktionary

  • Access control — is the ability to permit or deny the use of a particular resource by a particular entity. Access control mechanisms can be used in managing physical resources (such as a movie theater, to which only ticketholders should be admitted), logical… …   Wikipedia

  • Protected Geographical Status — Protected Designation of Origin (PDO), Protected Geographical Indication (PGI) and Traditional Speciality Guaranteed (TSG) are geographical indications, or more precisely regimes within the Protected Geographical Status (PGS) framework [… …   Wikipedia

  • Access management — Access management, When used in traffic and traffic engineering circles, generally refers to the regulation of interchanges, intersections, driveways and median openings to a roadway. Its objectives are to enable access to land uses while… …   Wikipedia


Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.