Jacob
Aus ProgrammingWiki
Die WLAN-Sicherheit dient dazu, dass unberechtigte Nutzer nicht auf ein drahtloses lokales Netzwerk zugreifen können, um z.B Daten abfangen zu können. Es gibt verscheidene Arten von Sicherheitssystemen ,welche das Netzwerk vor Angreifern schützt. Als sicherste gilt aktuell das WPA3-System. Dieses ist eine Weiterentwicklung der vorangegangen Standards wie WPA,WPA2 und WEP.
Inhaltsverzeichnis |
WLAN-Sicherheit
Aufgrund der Notwendigkeit der Verschlüsselung und Authentifizierung im WLAN wurde WEP schnell entwickelt. Aber bald wurde entdeckt, dass es auf einfache Weise geknackt werden kann. Die nachfolgende WPA beseitigte diese Schwächen weitgehend. Gleichzeitig entwickelte das IEEE den IEEE 802.11i-Standard durch einen sicheren Verschlüsselungsprozess auf AES-Basis. WPA2 ist vom IEEE 802.11i-Standard abgeleitet. WPA2 wird als ausreichend sicher angesehen und ist WEP und WPA vorzuziehen. WPS wird verwendet, um die Authentifizierung mithilfe von Pins oder Buttons zu vereinfachen, um WLAN-Clients bei WPA- oder WPA2-geschützten WLANs zu registrieren. Leider wird diese Vereinfachung die Sicherheit der Authentifizierung verringern, solange WPS aktiviert ist. Seit 2018 gibt es nun die WPA3-Verschlüsselung, welche die modernste Methode ist, um ihre Sicherheit zu gewährleisten.
WEP - Wired Equivalent Privacy
Zur Verschlüsselung wird das Verfahren RC4 benutzt Mit WEP verschlüsselte WLAN-Datenpakete umfassen folgende Teile:
Ein geheimer WEP-Schlüssel mit einer Länge von 40 oder 104 Bits. 32-Bit-Prüfsumme (Integritätsprüfwert, ICV) unverschlüsselter Daten. Ein 24-Bit-Initialisierungsvektor, der den WEP-Schlüssel für den gesamten Schlüssel auf 64 oder 128 Bit erweitert und für jedes Paket einmal inkrementiert
.png)
Da es ziemlich einfach ist den WEP-Schlüssel zu berchnen und somit Zugriff auf das Netzwerk zu gelangen ist es seit 2013 verboten Access Points mit WEP anzubieten und ab 2014 dürfen Geräte wie Notebooks und WLAN-Sticks auch kein WEP mehr nutzen. Das einfache herausfinden des Netzwerkschlüssels liegt unter anderem daran, dass für Integritätsprüfung, Authentifizierung und Verschlüsselung der gleiche Schlüssel benutzt wird.
WPA - Wi-Fi Protected Access
Ist der direkte Nachfolger von WEP und war zweckmäßig einfach notwendig, da WEP so einfach geknackt werden konnte. Das Sicherheitskonzept von WPA:
für Integritätsprüfung, Authentifizierung und Verschlüsselung werden nicht mehr die gleichen Schlüssel benutzt
Die entscheidende Änderung war es, dass nun TKIP genutzt wurde, dieses nutzt den RC4-Algorythmus aber generiert immer wieder zufällig neue Schlüssel für unterschiedliche Anwendungen.
Auch wenn das neue System alte Schwachstellen behob gibt es immer noch Möglichkeiten auch dieses Verfahren zu entschlüsseln, da das System anfällig auf Known-Plaintext-Angriffe ist, ARP-Spoofing eine Möglichkeit darstellt und kurze Passwörter durch Dictionary Attacks erraten werden können
WPA2 - Wi-Fi Protected Access 2 / IEEE 802.11i
Da die Verschlüsselung von WPA und WEP immernoch nicht optimal war wurde 2004 ein neuer Standard eingeführt, WPA2. Das Sicherheitskonzept dahinter:
Sicherheitskonzept von WPA übernommen und erweitert.
Verschlüsselung: AES statt TKIP (RC4).
Schwachstelle: TKIP als Fallback (schlecht)
.png)
Durch das AES (Advanced Encrypted Standard) wurde ein höherer Datendurchsatz ermöglicht und Verschlüsselungsmethode wurde deutlich sicherer gestaltet, da es das veraltete DES (Data Encryption Standard) ablöste. Durch die neuen Verschlüsselungsmethoden wurde die Verschlüsselung des WLAN-Passwortes nochmal sicherer. Die Verschlüsslleung eines Passwort sieht folgt aus.Ein Passwort mit 8 bis 128 Bit wird Teil eines 128 Bit langen individuellen Schlüssels der zwischen Client und Access Point ausgehandelt wird. Dieser wird anschließend mit einem 48 Bit langen Initialization Vectors berechnet. Die Wiederholung des echten Schlüssels passiert erst nach ca. 16 Mio Paketen, was einige Stunden dauert. Da der echte Schlüssel außerdem oft neu ausgehandelt wird lohnt es sich für Angreifer kaum den Datenverkehr abzuhören. Somit bleibt das Netzwerk sicher solange ein geheimes und komplexes Passwort genutzt wird.
WPA3 - Wireless Protected Access 3
Da WPA2 definitiv keine unischere Lösung ist um sein Netzwerk zu schützen, gab es noch einige Fehler und somit wurde 2018 WPA3 eingeführt. Durch WPA3 wurde die Authentifizierung vereinfacht und eine Erhöhung der Sicherheit der Identitätsprüfung sowie -verschlüsselung sichergestellt. WPA3 gibt weitere Vorteile mit:
Unterstützt keine bekannten unsicheren Methoden wie WEP und TKIP mehr
Stärkere Authentifizierung und verbesserte Verschlüsselung
Konfigurieren Sie Geräte einfach ohne Steuerelemente
Individuelle Verschlüsselung für jedes Gerät
Interoperabilität mit WPA2-Geräten
Bei dem Sicherheitskonzept hat sich zu den Vorgängern nicht viel geändert. Es gibt wieder 2 Varianten der Nutzung des Netzwerks zum einen im "Personal Mode" bei dem alle Nutzer ein allgemeines Passwort benutzen. Zum anderen gibt es den "Enterprise Mode", der besonders für Unternehmen geeignet ist, dabei bekommt jeder Nutzer einen eigenen Account mit Nutzername und Passwort der von einem zentralen Dienst geleitet wird. Desweiteren wird statt des Pre-Shared-Key (PSK), der für das gemeinsame Passwort zuständig ist, durch das Protokoll Simultaneous Authentication of Equals (SAE) gesetzt. Durch dieses wird gewährleistet, dass ein sicherer Schlüssel beim übertragen von Daten zwischen Client und Acces Point vergeben wird und selbst wenn ein Hacker diesen Schlüssel besitzt kann er nicht die im voraus aufgezeicheneten Daten zugreifen (Perfect Forward Secrecy). Leider gibt es in diesen Protokoll einzelne Designfehler wodurch ein Hacker mit Seitenkanal- und Downgrade-Angriffen das WLAN-Passwort rekontruieren kann. Ein weiteres Problem von WPA3 ist, dass viele alte Geräte nicht kompatibel mit dieser Verschlüsselung ist und somit dadurch nicht geschützt werden kann, dies wäre allerdings umgehbar, wenn man sein Netzwerk auf einen Mixed-Modus wie WPA2/WPA3 stellt.
WPS - Wi-Fi Protected Setup
Vereinfacht die WLAN-Konfiguration von WLAN-Clients, durch Pin-Eingabe (WPS-PIN) oder mit Knopfdruck (WPS-PBC). Damit wird die Eingabe des WLAN-Passwortes vereinfacht und automatisiert, allerdings ist so ein WPS-Router ein geliebtes Ziel von Hackern, da nur ein 8-stelliger Code herauszufinden ist was einen geübten Hacker nicht lange abhält und meistens mit dem gewüschten Ziel herauskommt. Deswegen ist es nicht empfehlenswert so eine WPS-Verbindung ununterbrochen aufrecht zuerhalten.
WLAN-Authentifizierung
Um auf ein WLAN-Netzwerk zugreifen zu können muss man sich als ein berechtigter Nutzer gegenüber dem Wireless Acces Point (WAP) authentifiziern können. Dafür gibt es 2 Verfahren zum einen über einen Pre-Shared-Key Zugang zu erlangen. Dabei gibt man eine Zeichenkette ein, welche einem das WLAN zur verfügung stellt und üblicherweise WLAN-Passwort genannt wird. Sobald das richtige Passwort eingegeben wir einem vom WAP Zugang zum WLAN gewährleistet. Die 2. Möglichkeit wäre, dass jeder Nutzer einen eigenene Benutzernamen und Passwort zugeteilt bekommt und diese anschließend abgefrag werden für einen WLAN-Zugriff. Dies hat den Vorteil, dass jeder Benutzer seine eigenen Zugangsdaten hat, die zentral aktiviert und deaktiviert werden können.
Sicherheit im Netzwerk
Schwachstellen von der WLAN-Infrastrukur:
1.Nutzung von Default-Benutzernamen und Passwörter
2.keine aktuellen Sicherheitsstandards (wie z.B.WEP,WPA)
3.Angreifbarkeit durch Denial-of-Service (DoS)
4.Unsichere Benutzer-Access-Points in Enterprise Netzwerken
Mittel zum sicheren Einrichten des WLAN-Netzwerks
1.Komplexes Admin-Passwort für den Router (Acces Point) vergeben. Empfohlen wäre das aufschreiben des Passwortes und dies sicher aufbewahren
2.Eigenes WLAN-Passwort für den Router vergeben mit mindestens 16 Zeichen. Auch dieses aufschreiben und sicher aufbewahren
3.Gäste-WLAN einrichten
4.Am besten WPA3/WPA2-Verschlüsselung verwenden. Keineswegs "WPA/WPA2" oder "WEP"
5.WPS abschalten wenn es nicht im Gebrauch ist
6.Auto-Update-Funtkion am Router einschalten wenn vorhanden, andernfalls regelmäßig manuell updaten
Quellen
https://www.uni-due.de/zim/services/wlan/wlan_sicherheit ;5.1.2021
https://www.gdata.de/tipps-tricks/wlan-sicher-einrichten ;5.1.2021
https://www.elektronik-kompendium.de/sites/net/1403011.htm; 5.1.2021
https://www.teltarif.de/wlan/sicherheit.html; 5.1.2021
