WPA2

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Wi-Fi Protected Access 2 (WPA2) ist die Implementierung eines Sicherheitsstandards für Funknetzwerke nach den WLAN-Standards IEEE 802.11a, b, g und n und basiert auf dem Advanced Encryption Standard (AES). Er stellt den Nachfolger von WPA dar, das wiederum auf dem mittlerweile als unsicher geltenden Wired Equivalent Privacy (WEP) basiert. WPA2 implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i. In diesem Zusammenhang wird auch der Begriff RSN (Robust Security Network) verwendet.

Hintergrund[Bearbeiten]

Zum Schutz der übertragenen Daten in einem WLAN und der teilnehmenden Clients wurde der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Schon nach relativ kurzer Zeit stellte sich dieser Standard als anfällig für Angriffe heraus. Durch Aufzeichnung und Analyse größerer Datenmengen kann der Netzwerkschlüssel ermittelt werden. Auch die im WEP integrierte Authentifizierung stellt kein nennenswertes Hindernis für Angreifer dar.

Ein weiterführender, sehr umfangreicher Standard für Sicherheit in WLANs (IEEE 802.11i) war zu diesem Zeitpunkt zwar in Arbeit, aber eine Verabschiedung war nicht in Sicht. Daher wurde ein Zwischenstandard auf Basis mehr oder weniger verabschiedeter Teile geschaffen: WPA. Dieser konnte durch Funktionen wie dynamische Schlüssel, vernünftige Authentifizierung und Unterstützung von Radius-Authentifizierung den Funknetzen ihre Sicherheit zurückgeben.

Mit fortschreitender Entwicklung des Standards IEEE 802.11i, der auf dem Verschlüsselungsalgorithmus AES basiert, wurden auch Anstrengungen unternommen, AES in WPA zu integrieren. Daraus entstand der Standard WPA2. Die Herstellervereinigung Wi-Fi Alliance begann zum 1. September 2004 als erste mit der Zertifizierung von WLAN-Geräten mit WPA2.

Für WPA und WPA2 sind bis jetzt nur Passwort-Angriffe bekannt. Aus diesem Grund ist es dringend zu empfehlen, ein ausreichend langes Passwort (mind. 20 Zeichen lang mit Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen) zu verwenden, das möglichst auch nicht vollständig aus sinnvollen Wörtern besteht (siehe Wörterbuchangriff). Einige Hersteller ermöglichen durch proprietäre Verfahren den Passwortschlüssel mit einem USB-Stick auf die anzuschließenden Clients zu übertragen, dieser muss nach der einmaligen Installation nicht mehr geändert werden. Ein mit ausreichend langem Passwort geschützter Wireless-Router mit WPA2-Verschlüsselung und CCMP sowie deaktiviertem WPS[1] gilt aus heutiger Sicht im Unterschied zu WEP als relativ sicher.

Unterschiede zu WPA[Bearbeiten]

WPA2 verwendet den Verschlüsselungsstandard AES, wenn CCMP als Protokoll verwendet wird. WPA hingegen unterstützt nur die bei WEP eingesetzte Stromchiffre RC4, die allerdings mit dem TKIP eingesetzt wird. CCMP soll auf lange Sicht TKIP ablösen.

Eine einfache Umstellung von WEP oder WPA auf WPA2 durch ein Firmware-Update ist bei vielen, aber nicht bei allen Geräten möglich. Zum Teil ist die Hardware zu langsam, um die AES-Verschlüsselung in Software zu implementieren. Abhilfe schaffen dann nur neue Endgeräte mit mehr Rechenleistung oder Spezialhardware für AES.

Technische Eckdaten[Bearbeiten]

Verschlüsselung[Bearbeiten]

Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES).

Authentifizierung[Bearbeiten]

Zur Authentifizierung des Clients am Access Point und umgekehrt kann sowohl ein geheimer Text, der pre-shared key (PSK), als auch ein RADIUS-Server verwendet werden.

Die Authentifizierung mit einem Pre-Shared-Key wird oft bei kleinen Installationen wie bei Privatanwendern üblich benutzt und daher auch als „Personal“ bezeichnet.

In größeren Netzen ermöglicht die Verwendung von RADIUS eine zentrale Benutzeradministration inklusive Accounting. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt – je nach Erfolg – den Zugriff zu. WPA und WPA2 per RADIUS ermöglichen zusätzliche Authentifizierungsmethoden durch die Verwendung von EAP und TTLS. Diese Variante von WPA2 wird oft als „Enterprise“ bezeichnet.

Kompatibilität[Bearbeiten]

WPA2 und WPA können grundsätzlich nur getrennt eingesetzt werden. Einige Access Points unterstützen jedoch die gleichzeitige Nutzung beider Verschlüsselungen innerhalb eines Netzwerks.

Alle Geräte, die für WPA2 von der Wi-Fi Alliance zertifiziert werden sollen, müssen den Standard IEEE 802.11i erfüllen.

Sicherheit[Bearbeiten]

WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden nach FIPS 140-2. In Deutschland erfüllt nach Ansicht des Bundesgerichtshofs (BGH) bereits WPA den notwendigen Sicherheitsstandard. In der Entscheidung bezog sich der BGH allerdings explizit auf den technischen Stand von 2006.[2]

Sicherheitsmaßnahmen[Bearbeiten]

An erster Stelle sollte beim PSK-Verfahren die Wahl eines sicheren WPA-Netzwerkschlüssels (auch Passphrase oder Pre-Shared-Key genannt) stehen. Dieser sollte die maximale Schlüssellänge von 63 Zeichen nutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren (siehe auch entsprechender Abschnitt im Artikel Kennwort). Jedoch können Sonderzeichen im Passwort bei manchen Betriebssystemen Probleme bereiten, insbesondere bei Apple iOS[3]. Besondere Vorsicht ist bei Sonderzeichen aus dem internationalen Sprachraum (z. B. ü, ö, ä oder auch §) geboten. Je nach Betriebssystem (Microsoft Windows, Mac OS X, Unix) werden diese völlig verschieden kodiert und sind dann nicht kompatibel zueinander. Ein regelmäßiger Wechsel des Netzwerkschlüssels erhöht zudem die Sicherheit gegen langandauerndes Belauschen.

Weitere allgemeine Sicherheitsmaßnahmen können dem Abschnitt Grundlegende Sicherheitsmaßnahmen des Hauptartikels Wireless Local Area Network entnommen werden.

Literatur[Bearbeiten]

Heise Security:

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. https://code.google.com/p/reaver-wps/
  2. Urteil des Bundesgerichtshof vom 12. Mai 2010 – Az. I ZR 121/08 (PDF) – „Sommer unseres Lebens“
  3. iOS: Grundlegendes zu persönlichen Hotspots.