Dass die ursprünglichen Schutzvorkehrungen der WLANs nicht in der Lage sind, versierte Angreifer abzuwehren, erkannten auch die im Industriekonsortium Wifi Alliance zusammengeschlossenen Hersteller. Die Schwächen von WEP vor Augen und in dem Bewusstsein, dass eine standardisierte Sicherheitslösung in Form der IEEE-Spezifikation 802.11i nicht vor Ende 2004 erhältlich sein wird, entwickelte die Organisation im letzten Jahr WPA: Der "Wifi Protected Access" soll als Interimslösung vor allen bisher bekannten Angriffsverfahren gegen WEP und Co schützen.
Die Entwicklung bestimmten im Wesentlichen drei Ziele: Unter Gesichtspunkten der Investitionssicherheit sollte vorhandenes 802.11-Equipment per Soft- oder Firmware-Upgrade auf WPA auszubauen sein. Ferner sah das Pflichtenheft eine verbesserte Verschlüsselung vor sowie eine im Vergleich zu WEP echte Benutzerauthentifizierung. Last, but not least trägt das neue Verfahren nun den unterschiedlichen Sicherheitsbedürfnissen von Heimbenutzern und Enterprise-Anwendern Rechnung.
Auf den ersten Blick bringt WPA im Klein- und Heimbürobereich hinsichtlich der Authentisierung keine wesentliche Verbesserung gegenüber WEP, denn auch hier wird ein "Preshared Key" verwendet, den der Benutzer beim Einbuchen in das Funknetz eingeben muss. Erfährt ein Angreifer diesen Schlüssel, der auch als Master Key bezeichnet wird, ist die Sicherheit des gesamten Funknetzes gefährdet. Bleibt dieser Schlüssel jedoch geheim, bietet WPA selbst Heimanwendern einen deutlich besseren Schutz als WEP, denn nur Endgeräte mit dem passenden Schlüssel werden im Funknetz akzeptiert, was Lauschern die Arbeit erschwert. Zudem besteht die Gefahr, dass ein Angreifer den Schlüssel im Zuge einer Dictionary-Attacke knackt.
Hat der User sich am Access Point authentifiziert, initiiert WPA automatisch die Verschlüsselung der zu übertragenden Daten. Hierbei kommt mit dem Temporal Key Integrity Protocol (TKIP) ein besseres Verfahren als bei WEP zum Einsatz. Es zeichnet sich unter anderem dadurch aus, dass grundsätzlich 128 Bit lange Schlüssel verwendet werden. Ferner erfolgt die Schlüsselvergabe dynamisch pro User und Datenpaket und nicht mehr statisch wie bei WEP. Dabei stehen etwa 500 Trillionen Kombinationen zur Verfügung, was eine Errechnung der Schlüssel mit heutiger Hardware fast unmöglich macht. Zudem ist mit "Michael" ein Message Integrity Check implementiert, der verhindern soll, dass Angreifer Datenpakete auffangen und in veränderter Form an den Access Point weiterleiten.
|
So wird das WLAN sicherer Standardmäßiges WEP bietet nur geringen Schutz, da Einbruchs-Tools im Internet erhältlich; Optionen wie MAC-Filter, SSID-Ausschalten nutzen; WPA bietet mehr Sicherheit, erfordert aber Authentifizierungs-Server; WPA 2 beziehungsweise 802.11i verschlüsselt stärker, jedoch muss in neue Hardware investiert werden; E-Mail- und Browser-Verkehr per SSL verschlüsseln; VPNs einrichten, um Daten im WLAN zu schützen; dedizierte WLAN-Gateways; WLAN-Switching, um unter anderem Benutzergruppen abzuschotten; WLAN per Firewall vom restlichen Netz trennen; bauliche Maßnahmen, um Empfang der WLAN-Signale außerhalb des Gebäudes zu verhindern. |