Sicherheit im WLAN
Da ein Wireless LAN wie Sie bereits in den letzten Artikeln erfahren haben über Funk arbeitet, bietet es vor allem auch große Angriffsflächen. Um einen potentiellen Angreifer den Zugriff so schwer wie Möglich zu gestalten empfiehlt es sich seinen Router zu verschlüsseln. Im folgenden werden wir die einzelnen Verschlüsselungsverfahren etwas genauer betrachten.
Bevor wir uns nun aber den einzelnen Verschlüsselung Techniken widmen wollen wir kurz auf zwei Arten der zusätzlichen Wireless LAN Sicherheit eingehen.
WLAN Unsichtbar machen (SSID ausblenden)
Sehr häufig liest man auf Webseiten und auch in ältere Literatur das es ausreicht sein Netzwerk nicht sichtbar zu machen. Da ein Angreifer das Netzwerk nicht sehen kann. Wir wollen hier an der Stelle mit dieser Behauptung aufräumen. Es ist richtig das zu der Zeit der Entstehung des WLANs das ausblenden der SSID ein gewisses Maß an Sicherheit bot. Diese Sicherheit hat leider in der heutigen Zeit keinerlei Funktion mehr. Es gibt mittlerweile genügend Freeware Programmen wie zum Beispiel Networkstumbler die es ermöglichen nicht sichtbare Netzwerke anzuzeigen. Aber auch immer mehr Herstellertools und sogar ab Windows 7 zeigen unsichtbare Netzwerke an.
Aus diesem Grund können Sie die SSID auch sichtbar lassen und sich den Aufwand ein Nichtsichtbares Netzwerk zu konfigurieren ersparen. Da der Sicherheitsaspekt gleich null ist!
MAC Adress Filter
Ein MAC Filter ist eine Funktion des Routers einen Rechner anhand seiner Hardware Adresse (MAC) zu authentifizieren. Dieser Schutz lohnt sich lediglich wenn Sie eine WEB Verschlüsselung einsetzen müssen um einen zusätzlichen Schutz zu erreichen. Leider gilt ein MAC Filter heute auch nicht mehr als Sicher. Da ein Angreifer durch sogenanntes MAC Spoofing Ihre MAC Adresse ohne weiteres emulieren kann. Aus diesem Grund sollten Sie immer versuchen eine WPA2 oder WPA Verschlüsselung einzusetzen. In diesem Fall können Sie auf den MAC Filter verzichten.
WEB Verschlüsselung
WEB steht für (Wired Equivalent Privacy) und Arbeitet mit einer Verschlüsselung von 64 bis 128 Bit. Dieser von Ihnen eingegebene Schlüssel wird hierbei nicht direkt zur Verschlüsselung des so genannten RC4-Algorithmus zum Verschlüsseln genutzt. Der AP oder Router kombiniert Ihren Eingegebenen Schlüssel mit dem sogenannten Initialisierungsvektor (IV) zur eigentlichen WEB Verschlüsselung. Hierbei wird der IV vom Sender automatisch erstellt und von Datenpaket zu Datenpaket gewechselt, zum Beispiel durch einfaches Hochzählen eines Zahlenwertes. Danach wird der Initialisierungsvektor mit dem von Ihnen eingegeben Schlüssel verknüpft. Dieser Schlüssel codiert dann das zu sendende Datenpaket.
Der Empfänger nutzt wiederum den Initialisierungsvektor um das empfangende Datenpaket erst mal zu entschlüsseln und den WEB Schlüssel und das Paket zu lesen. Der IV besitzt bei einer WEB 64 Verschlüsselung eine Länge von 24 Bit und der eigentliche von Ihnen eingegebene Schlüssel 40 Bit. Bei WEB 128 beträgt der IV ebenfalls 24 Bit und der Eingegeben Schlüssel 104 Bit. Wichtig bei der WEB Verschlüsselung ist das alle Geräte im Netzwerk die selbe Verschlüsselung verwenden. Leider bietet dieses Verfahren eine Schwachstelle. Da der IV zum einem Statisch hochgezählt wird und der Schlüssel sich nicht ändert besteht für einen Angreifer durch Brute Force Attacken die Möglichkeit den Schlüssel zu entschlüsseln. Der IV ist mittels Sniffern sehr einfach zu lokalisieren. Sie sollten wenn Möglich eine WAP/WPA2 Verschlüsselung einsetzen.
WPA/WPA2 Verschlüsselung
Eine sehr viel sicherere Verschlüsselung als WEB ist die WPA Verschlüsselung (WPA = Wi-Fi Protected Access). WPA greift in erster Linie wie WEP auf den selben Verschlüsselungsalgorithmus zurück wie WEB.
Im Gegensatz zu WEP verwendet WPA nicht nur 24Bit für den Initialisierungsvektor, sondern auch zusätzliche Verfahren zu Verschlüsselung durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP), basieren, und für die Authentifizierung der Nutzer PSK (Pre-Shared-Keys).
TKIP verwendet hier wie auch WEP den RC4 Algorithmus für die Verschlüsselung. Der Schlüssel ändert sich allerdings temporär und zwar immer dann wenn ein Datenpaket von 10k übertragen worden ist. Der temporäre Schlüssel wird dabei wiederum mit dem RC4-Algorithmus verschlüsselt.
WPA bietet durch TKIP gegenüber WEP eine bessere verbesserte Aushandlung von Schlüsseln. Der Aushandlungsschlüssel wird zu Beginn einer Session verwendet und danach durch einen Sitzungsschlüssel ersetzt, der sich in Regelmäßigen Abständen erneuert. In Routern wird diese Funktion oft als TKIP Key Liftime oder Schlüsselerneuerung definiert. Hier können Sie den Wechsel des Sitzungsschlüssels selber bestimmen. Empfohlene Einstellung sind 3600 Sekunden. Zum Vergleich, bei WEP wird immer ein fester Schlüssel genutzt, der sich nicht ändert. Aus diesem Grund ist WEP für Angreifer anfälliger.
WPA2 basiert auf WPA, nutzt aber einen anderen Verschlüsselungsalgorithmus, den AES (Advance Encryption Standard), also nicht den RC4-Algorithmus. Hierbei handelt es sich um einen Algorithmus der Hardwareseitig ausgeführt wird, daher Schneller als der RC4 Algorithmus ist.
Zusammengefasst:
Wir hoffen wir konnten Ihnen mit dieser Einführung in die Unterschiedlichen Verschlüsselungsalgorithmen einführen. Wie Sie bestimmt erkannt haben ist die sicherste Methode die WPA/WPA2 Verschlüsselung. Aus diesem Grund sollten Sie versuchen diese Verschlüsselung einzusetzen. Sollten Sie eine WEB Verschlüsselung verwenden müssen nutzen Sie als Zusatzmaßnahme einen MAC Filter. Beachten Sie aber das auch durch den MAC Filter ein Angreifer nicht abgehalten werden kann.