WPA2

Wi-Fi Protected Access 2 (WPA2) ist ein Sicherheitsstandard für Funknetzwerke nach den Standards IEEE 802.11a, b und g. Er basiert auf dem Advanced Encryption Standard (AES) und stellt den Nachfolger von WPA dar, das auf dem mittlerweile als unsicher geltenden Wired Equivalent Privacy basiert. Er implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i.

WLANs erfreuen sich seit einigen Jahren großer und zunehmender Beliebtheit. Zum Schutz der übertragenen Daten und der teilnehmenden Clients, wurde der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Schon nach relativ kurzer Zeit stellte sich dieser Standard als anfällig für Angriffe heraus. Durch Aufzeichnung und Analyse größerer Datenmengen kann der Netzwerkschlüssel ermittelt werden. Auch die im WEP integrierte Authentifizierung stellt kein nennenswertes Hindernis für Angreifer dar.

Für WPA und WPA2 sind bis jetzt nur Passwort Attacken bekannt. Aus diesem Grund ist es dringend zu empfehlen ein ausreichend langes Passwort (wenn möglich 63 Zeichen lang mit Groß-, Kleinbuchstaben sowie Sonderzeichen und Zahlen) zu verwenden. Der Passwortschlüssel kann z.B. mit einem USB Stick einfach auf die angeschlossenen Clients übertragen werden und muss nach der einmaligen Installation nicht mehr geändert werden. Ein mit ausreichend langem Passwort geschützter Wireless Router mit WPA oder WPA2 Verschlüsselung gilt aus heutiger Sicht als praktisch unknackbar.

Ein weiterführender, sehr umfangreicher Standard für Sicherheit in WLANs (IEEE 802.11i) war zu diesem Zeitpunkt zwar in Arbeit, aber eine Verabschiedung war nicht in Sicht. Daher wurde ein Zwischenstandard auf Basis mehr oder weniger verabschiedeten Teile geschaffen: WPA. Dieser konnte durch Funktionen wie dynamische Schlüssel, vernünftige Authentifizierung und Unterstützung von Radius-Authentifizierung den Funknetzen ihre Sicherheit zurückgeben.

Mit fortschreitender Entwicklung des Standards IEEE 802.11i, der auf dem Verschlüsselungsalgorithmus AES basiert, wurden auch Anstrengungen unternommen, AES in WPA zu integrieren. Daraus entstand der Standard WPA2.

WPA2 nutzt den Verschlüsselungsstandard AES, WPA hingegen den bei WEP eingesetzten Stromchiffre RC4. Des Weiteren wurde bei WPA2 zusätzlich zu TKIP noch das Verschlüsselungsprotokoll CCMP hinzugefügt, welches nun auch WPA2 im ad-hoc-Modus ermöglicht. Dieses soll auf lange Sicht auch TKIP ablösen.

Eine einfache Umstellung wie von WEP auf WPA durch ein Firmware-Update ist nicht bei jedem Gerät möglich. Zum Teil ist die Hardware zu langsam, um die AES-Verschlüsselung in Software zu emulieren. Abhilfe schaffen dann nur neue Endgeräte mit Spezialhardware für AES.

Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES).

Zur Authentifizierung des Clients am Access Point und umgekehrt kann sowohl ein geheimer Text, der "Pre-Shared-Key", als auch ein RADIUS-Server verwendet werden.

Die Authentifizierung mit einem Pre-Shared-Key wird oft bei kleinen Installationen, also z.B. im Home-Bereich, benutzt. Diese Variante wird auch als "Personal" bezeichnet.

In größeren Netzen ermöglicht die Verwendung von RADIUS eine zentrale Benutzeradministration inkl. Accounting. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt - je nach Erfolg - den Zugriff zu. WPA und WPA2 per RADIUS ermöglichen zusätzliche Authentifizierungsmethoden durch die Verwendung von EAP und TTLS. Diese Variante von WPA2 wird oft als "Enterprise" bezeichnet.

WPA2 und WPA können gemeinsam eingesetzt werden, sofern WPA2 vom Access Point unterstützt wird.

WPA2 und WEP können nur bei wenigen speziellen Access Points gemeinsam verwendet werden.

Alle Geräte, die für WPA2 von der Wi-Fi Alliance zertifiziert werden sollen, müssen den Standard IEEE 802.11i erfüllen.

WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden nach FIPS 140-2.

An erster Stelle sollte beim PSK-Verfahren die Wahl eines sicheren WPA-Netzwerkschlüssel (auch Passphrase oder Pre-Shared-Key genannt) stehen. Dieser sollte die maximale Schlüssellänge von 63 Zeichen nutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren.

Weitere Sicherheitsmaßnamen sind:

• das Standard-Passwort des Access-Points ändern bzw. überhaupt erst mal ein Passwort setzen
• die Zugriffskontrollliste (ACL = Access Control List) aktivieren, um vom Access-Point nur Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist kein wirklicher Sicherheitsgewinn, da MAC-Adressen leicht manipulierbar sind.
• die SSID des Access Point sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen
• Umstritten ist die Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID bei deaktiviertem Broadcasting mit einem Sniffer mitgelesen werden, wenn sich etwa ein Endgerät beim Access-Point anmeldet.
• WLAN-Geräte (z.B. der Access Point) sollten nicht per WLAN konfiguriert werden, sondern ausschließlich über eine kabelgebundene Verbindung
• im Access-Point sollte, sofern vorhanden, die Fernkonfiguration abgestellt werden
• WLAN-Geräte ausschalten, wenn sie nicht genutzt werden
• Reichweite des WLANs durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN Gerätes beeinflussen.
• DHCP-Server deaktivieren und IP-Adressen manuell zuweisen
• regelmäßige Firmware-Updates vom Access Point durchführen, um sicherheitsrelevante Aktualisierungen zu erhalten

• Fragen und Antworten zu WPA2 (pdf; engl.)
• Seite der WiFi-Alliance zu WPA2 (engl.)
• Heise Security - Angriffe auf WPA
• Freeware zum Generieren von WEP- und WPA-Schlüsseln