Inhaltsverzeichnis
Werbung
Referenzhandbuch
12 Wireless LAN – WLAN
WLAN-Modul mehr als zwei Michael-Fehler pro Minute erkennt: sowohl Client als auch AP brechen dann für eine Minute
den Datentransfer ab und handeln danach TKIP- und Michael-Schlüssel neu aus.
Verhandlung des Verschlüsselungsverfahrens
Da die ursprüngliche WEP-Definition feste Schlüssellänge von 40 Bit vorschrieb, musste bei der Anmeldung eines Clients
an einem AP lediglich angezeigt werden, ob eine Verschlüsselung genutzt wird oder nicht. Bereits bei Schlüssellängen
von mehr als 40 Bit muss aber auch die Länge des verwendeten Schlüssels bekannt gegeben werden. WPA stellt einen
Mechanismus bereit, mit dem sich Client und AP über das zu verwendende Verschlüsselungs- und
Authentifizierungsverfahren verständigen können. Dabei werden folgenden Informationen bereitgestellt:
1
Eine Liste von Verschlüsselungsverfahren, die der AP für den Pairwise Key anbietet – hier ist WEP explizit nicht mehr
erlaubt.
1
Eine Liste von Authentifizierungsverfahren, über die sich ein Client gegenüber dem WLAN als zugangsberechtigt
zeigen kann – mögliche Verfahren sind im Moment EAP/802.1x oder PSK.
Wie erwähnt, sieht der ursprüngliche WPA-Standard einzig TKIP/Michael als verbessertes Verschlüsselungsverfahren vor.
Mit der Weiterentwicklung des 802.11i-Standards wurde das weiter unten beschriebene AES/CCM-Verfahren
hinzugenommen. So ist es heutzutage in einem WPA-Netz möglich, dass einige Clients über TKIP mit dem AP
kommunizieren, andere Clients jedoch über AES.
12.5.4 WEP
WEP ist eine Abkürzung für Wired Equivalent Privacy. Die primäre Zielsetzung von WEP ist die Vertraulichkeit von Daten.
Im Gegensatz zu Signalen, die über Kabel übertragen werden, breiten sich Funkwellen beliebig in alle Richtungen aus
– auch auf die Straße vor dem Haus und an andere Orte, wo sie gar nicht erwünscht sind. Das Problem des unerwünschten
Mithörens tritt bei der drahtlosen Datenübertragung besonders augenscheinlich auf, auch wenn es prinzipiell auch bei
größeren Installationen kabelgebundener Netze vorhanden ist – allerdings kann man den Zugang zu Kabeln durch
entsprechende Organisation eher begrenzen als bei Funkwellen.
5
WEP bietet deutlich geringere Sicherheit als IEEE 802.1x/WPA2. Aus Gründen der Kompatibilität zu älteren
WLAN-Clients unterstützen LANCOM APs weiterhin dieses Verschlüsselungsverfahren. LANCOM empfiehlt jedoch
ausdrücklich, nach Möglichkeit eine bessere Absicherung der WLANs (z. B. nach IEEE 802.1x/WPA2) zu verwenden.
12.5.5 LEPS – LANCOM Enhanced Passphrase Security
LEPS behebt die Unsicherheit von globalen Passphrases
Mit den modernen Verschlüsselungsverfahren WPA und IEEE 802.11i kann der Datenverkehr im WLAN deutlich besser
als mit WEP gegen unerwünschte „Lauschangriffe" geschützt werden. Die Verwendung einer Passphrase als zentraler
Schlüssel ist sehr einfach zu handhaben, ein RADIUS-Server wie in 802.1x-Installationen wird nicht benötigt.
Dennoch birgt die Verwendung der abhörsicheren Verfahren WPA und IEEE 802.11i einige Schwachstellen:
1
Eine Passphrase gilt global für alle WLAN-Clients
1
Die Passphrase kann durch Unachtsamkeit ggf. an Unbefugte weitergegeben werden
1
Mit der „durchgesickerten" Passphrase kann jeder Angreifer in das Funknetzwerk eindringen
In der Praxis bedeutet das: Falls die Passphrase „verloren geht" oder ein Mitarbeiter mit Kenntnis der Passphrase das
Unternehmen verlässt, müsste aus Sicherheitsaspekten die Passphrase im AP geändert werden – und damit auch in allen
WLAN-Clients. Da das nicht immer sichergestellt werden kann, würde sich also ein Verfahren anbieten, bei dem nicht
eine globale Passphrase für alle WLAN-Clients gemeinsam gilt, sondern für jeden Benutzer im WLAN eine eigene
Passphrase konfiguriert werden kann. In diesem Fall muss z. B. beim Ausscheiden eines Mitarbeiters aus dem Unternehmen
nur seine „persönliche" Passphrase gelöscht werden, alle anderen behalten ihre Gültigkeit und Vertraulichkeit.
Mit LEPS (LANCOM Enhanced Passphrase Security) hat LANCOM Systems ein effizientes Verfahren entwickelt, das die
einfache Konfigurierbarkeit von IEEE 802.11i mit Passphrase nutzt und dabei die möglichen Unsicherheiten bei der
Nutzung einer globalen Passphrase vermeidet.
694
Werbung
Inhaltsverzeichnis
