Wlan-Sicherheit; Grundbegriffe; Authentifizierung; Authentizität - LANCOM LCOS 9.00 Referenzhandbuch

12.5 WLAN-Sicherheit

12.5.1 Grundbegriffe

Auch wenn immer wieder in Zusammenhang mit Computernetzen pauschal von 'Sicherheit' gesprochen wird, so ist es
doch für die folgenden Ausführungen wichtig, die dabei gestellten Forderungen etwas näher zu differenzieren.

Authentifizierung

Als ersten Punkt der Sicherheit betrachten wir den Zugangsschutz:
1 Dabei handelt es sich zum einen um einen Schutzmechanismus, der nur autorisierten Nutzern den Zugang zum
Netzwerk gewährt.
1 Zum anderen soll aber auch sichergestellt werden, dass der Client sich mit genau dem gewünschten AP verbindet,
und nicht mit einem von unbefugten Dritten eingeschmuggelten AP mit dem gleichen Netzwerk-Namen. So eine
Authentifizierung kann z. B. durch Zertifikate oder Passwörter gewährleistet werden.
Authentizität
Authentizität: Nachweis der Urheberschaft von Daten und der Echtheit des Datenmaterials; die Durchführung eines
solchen Nachweises bezeichnet man als Authentifizierung
Integrität
Ist der Zugang einmal gewährt, so möchte man sicherstellen, dass Datenpakete den Empfänger unverfälscht erreichen,
d. h. dass niemand die Pakete verändert oder andere Daten in den Kommunikationsweg einschleusen kann. Die
Manipulation der Datenpakete selbst kann man nicht verhindern; aber man kann durch geeignete Prüfsummenverfahren
veränderte Pakete identifizieren und verwerfen.

Vertraulichkeit

Vom Zugangsschutz getrennt zu sehen ist die Vertraulichkeit, d. h. unbefugte Dritte dürfen nicht in der Lage sein, den
Datenverkehr mitzulesen. Dazu werden die Daten verschlüsselt. Solche Verschlüsselungsverfahren sind z. B. DES, AES,
RC4 oder Blowfish. Zur Verschlüsselung gehört natürlich auf der Empfängerseite eine entsprechende Entschlüsselung,
üblicherweise mit dem gleichen Schlüssel (so genannte symmetrische Verschlüsselungsverfahren). Dabei ergibt sich
natürlich das Problem, wie der Sender dem Empfänger den verwendeten Schlüssel erstmalig mitteilt – eine einfache
Übertragung könnte von einem Dritten sehr einfach mitgelesen werden, der damit den Datenverkehr leicht entschlüsseln
könnte.
Im einfachsten Fall überlässt man dieses Problem dem Anwender, d.h. man setzt die Möglichkeit voraus, dass er die
Schlüssel auf beiden Seiten der Verbindung bekannt machen kann. In diesem Fall spricht man von Pre-Shared-Keys oder
kurz 'PSK'.
Ausgefeiltere Verfahren kommen dann zum Einsatz, wenn der Einsatz von Pre-Shared-Keys nicht praktikabel ist, z. B. in
einer über SSL aufgebauten HTTP-Verbindung – hierbei kann der Anwender nicht so einfach an den Schlüssel von einem
entfernten Web-Server gelangen. In diesem Falle werden so genannte asymmetrische Verschlüsselungsverfahren wie
z. B. RSA eingesetzt, d.h. zum Entschlüsseln der Daten wird ein anderer Schlüssel als zum Verschlüsseln benutzt, es
kommen also Schlüsselpaare zum Einsatz. Solche Verfahren sind jedoch viel langsamer als symmetrische
Verschlüsselungsverfahren, was zu einer zweistufigen Lösung führt:
1
Der Sender verfügt über ein asymmetrisches Schlüsselpaar. Den öffentlichen Teil dieses Schlüsselpaares, also den
Schlüssel zum Verschlüsseln, überträgt er an den Empfänger, z. B. in Form eines Zertifikats. Da dieser Teil des
Schlüsselpaares nicht zum Entschlüsseln genutzt werden kann, gibt es hier keine Bedenken bzgl. der Sicherheit.
1
Der Empfänger wählt einen beliebigen symmetrischen Schlüssel aus. Dieser symmetrische Schlüssel, der sowohl zum
Ver- als auch zum Entschlüsseln dient, muss nun gesichert zum Sender übertragen werden. Dazu wird er mit dem
öffentlichen Schlüssel des Senders verschlüsselt und an den Sender zurückgeschickt. Der symmetrische Schlüssel
Referenzhandbuch
12 Wireless LAN – WLAN
689