WLAN-Sicherheit mit IEEE 802.11i

Abhörsicherer Funkverkehr

9. März 2005, 0:16 Uhr | Dr. Alfred Arnold/pf Dr. Ing. Alfred Arnold ist Experte für Firmware- Entwicklung bei Lancom Systems.

Durch unzureichende Sicherheitsstandards haben Wireless LANs anfänglich viele professionelle Anwender verschreckt. Der erste Verschlüsselungsmechanismus WEP entwickelte sich bald zu einem Synonym für mangelnde Sicherheit. Inzwischen hat die IEEE mit dem Standard 802.11i nachgebessert. Der Beitrag erklärt die Unterschiede der Sicherheitsmechanismen und auch das Zusammenspiel der Einzelkomponenten von 802.11i.

WLANs nach dem Standard des Institute of Electrical and Electronics Engineers (IEEE) 802.11 sind
bereits seit einigen Jahren sowohl im privaten als auch professionellen Bereich im Einsatz. Ihr
großer Erfolg bestätigt, dass sie durch ihre Möglichkeiten eine Reihe von Anwendungslücken
schließen: im LAN-Bereich endlich "Mobile Computing" mit Datenraten, die zwar kabelgebundenen LANs
immer noch eine Größenordnung hinterherhinken, aber doch so hoch sind, dass sie einen Großteil der
mobilen Bedürfnisse befriedigen. Im Bereich der Gebäudevernetzung ist eine lizenzfreie Technik
gefragt, die gemietete Standleitungen überflüssig macht. Und in öffentlichen Bereichen bietet sich
WLAN als kostengünstige Möglichkeit an, Internetdienste mit hoher Bandbreite bereitzustellen.

Die Schöpfer des IEEE-802.11-Standards haben also ohne Zweifel eine ganze Menge richtiger
Entscheidungen getroffen. An einigen anderen Stellen hatten sie jedoch ein nicht so glückliches
Händchen: Neben der relativ geringen Effizienz des MAC-Protokolls (Media Access Control), die von
der Rohdatenrate eines WLANs bestenfalls etwa die Hälfte beim Anwender ankommen lässt, war die
mangelnde Sicherheit von WLANs in den letzten Jahren der Hauptkritikpunkt.

Mit der Erweiterung IEEE 802.11i hat sich das Normungskomitee daran gemacht, diese Scharte
auszuwetzen. Der Standard wurde im Juni 2004 verabschiedet. Derzeit sind alle Hersteller von
WLAN-Equipment dabei, neue Produkte auf den Markt zu bringen, die 802.11i unterstützen, oder
liefern Firmware-Upgrades für bestehende Produkte aus. Der Beitrag soll beleuchten, welche Vorteile
802.11i gegenüber dem bisherigen WLAN-Sicherungsmechanismus bietet, der auf den Name WEP (Wired
Equivalent Privacy) hört und in den vergangenen Jahren beinahe zu einem Synonym für mangelnde
Sicherheit geworden ist.

Schlechte Erfahrungen mit WEP

WEP ist ein auf dem RC4-Verschlüsselungsalgorithmus aufsetzendes Verfahren, das bereits im
originalen IEEE-802.11-Standard als "Option" definiert wurde. In der Tat muss eine WLAN-Karte nicht
einmal dieses vergleichsweise einfache Verfahren unterstützen, um sich als "standardkonform"
bezeichnen zu dürfen. Daher haben vielen WLAN-Karten der ersten Generation (bis zu 2 MBit/s
Datenübertragungsrate) WEP nicht unterstützt. Erst mit der zweiten Generation von WLAN-Hardware
nach IEEE 802.11b (11 MBit/s Datenübertragungsrate) setzte sich WEP im Markt tatsächlich als
Standard durch und darf daher heute als allgemein vorhanden vorausgesetzt werden.

Die Kritikpunkte an WEP beruhen auf zwei unterschiedlichen Aspekten: zum einen dem
administrativen und zum anderen dem kryptologischen. Aus administrativer Sicht ist zu sagen, dass
die Schöpfer von WEP diesen Mechanismus als reines PSK-Verfahren (Pre Shared Key) ausgelegt hatten.
Sie machten jedoch im Standard keinerlei Vorgaben, wie diese Schlüssel auf den einzelnen
Teilnehmern eines WLANs installiert werden sollen. Eine gängige und im Heimbereich durchaus
akzeptable Methode ist die manuelle Eingabe durch den Benutzer. Diese hat jedoch ihre Tücken, wie
der Vergleich von Konfigurations-Tools unterschiedlicher Hersteller schnell zeigt. Ein
WEP-Schlüssel ist im IEEE-Standard nur als eine Folge von Bytes definiert – woraus diese erzeugt
wird, bleibt aber der Fantasie der Entwickler überlassen. Gängig sind sowohl die Eingabe in
hexadezimaler als auch die in ASCII-Form, wobei die Verwendung eines ASCII-Strings zwar für den
Anwender verständlicher ist, den vorhandenen Schlüsselraum aber nicht ausnutzt. Einige Hersteller
meinten es besonders gut und sahen nur die Eingabe einer "Passphrase" vor, aus der dann der
WEP-Schlüssel berechnet wurde. Dummerweise kochten aber auch hier verschiedene Hersteller jeweils
ihr eigenes Süppchen: Die Berechnungsvorschrift war nicht standardisiert, und im Ergebnis konnte
ein Gerät oft nur mit seinesgleichen verschlüsselt kommunizieren.

Unabhängig davon, wie die Eingabe der WEP-Schlüssel erfolgt – in einer größeren Installation ist
eine derartige Konfiguration ohnehin nicht praktikabel. Da der verwendete WEP-Schlüssel auf
sämtlichen Clients identisch ist, lässt er sich ab einer gewissen Anzahl von Benutzern praktisch
nicht mehr geheim halten. Nötig wären unterschiedliche WEP-Schlüssel pro Client, die in einem
Nebensatz des IEEE-Standards zwar vorgesehen waren, aber auch hier wurden keine Hinweise gegeben,
wie die Verteilung dieser Schlüssel erfolgen soll.

Große Wellen hat in den letzten Jahren das Auftauchen von Tools wie Wepcrack oder Airsnort
geschlagen, die sich konzeptionelle Schwächen von WEP zunutze machen und allein durch das passive
Mithören des Datenverkehrs den verwendeten WEP-Schlüssel ableiten können. Diesen Tools ließ sich
durch das Vermeiden bestimmter "schwacher" Schlüssel zwar recht schnell ein Riegel vorschieben ("
WEPplus2"). Dies änderte aber nichts daran, dass durch den kleinen Schlüsselraum von 224 ein
WEP-Schlüssel nach 16 Millionen Paketen streng genommen als "verbrannt" gelten muss.

Während der Heimnutzer wegen der geringeren Anzahl von Clients und dem potenziell niedrigeren
Risiko von Angriffen mit den genannten Problemen vielleicht noch leben kann, sind diese in einem
Unternehmensszenario inakzeptabel. Recht früh wurde für solche Umgebungen daher der Einsatz von
EAP/802.1x (Extensible Authentication Protocol) mit Schlüsselrotation angeboten. EAP erlaubt durch
seine flexible Struktur die Einbindung nahezu beliebiger Verfahren, mit denen sich ein Client
gegenüber dem Netz authentisieren kann. Dazu gehören neben Passwortverfahren auch
zertifikatsbasierende Methoden, die zum Beispiel die nachträgliche Deaktivierung von
Benutzerkennungen erlauben, ohne dass globale Änderungen vorgenommen werden müssen. Des Weiteren
kommen bei diesem Verfahren keine statischen WEP-Schlüssel mehr zum Einsatz: Der Access Point (AP)
wechselt die WEP-Schlüssel stattdessen regelmäßig aus und übermittelt sie den Clients über einen
während der EAP-Anmeldephase ausgehandelten Tunnel. Der Schlüsselwechsel erfolgt dabei so häufig,
dass der Schlüsselraum nie ausgeschöpft wird und ein potenzieller Angreifer nicht genügend Material
zum Angriff auf den Schlüssel erhält.

EAP/802.1x schafft es daher in der Tat, durch eine aufgesetzte Infrastruktur die Sicherheit so
zu erweitern, dass sich damit sowohl die administrativen als auch die mathematischen Schwächen von
WEP auffangen lassen. Leider ist EAP in seiner Konfiguration recht komplex: Es erfordert einen
zentralen Radius-Server (Remote Authentication Dial-in User Service) und – bei Verwendung von
Zertifikaten (EAP-TLS, die von Windows XP bevorzugte Methode) – das Aufsetzen einer
Public-Key-Infrastruktur (PKI). Zudem hat es in der Vergangenheit immer wieder Probleme mit der
Interoperabilität von EAP-Implementationen verschiedener Hersteller gegeben. Aus diesem Grund
scheuen viele Administratoren in mittleren Unternehmen den Einsatz von EAP/802.1x. Ferner droht dem
auch diesem Verfahren zugrunde liegenden WEP weiteres Ungemach: So ist im Internet bereits eine
neue Generation von WEP-Crack-Tools aufgetaucht, die es nicht selten schafft, durch statistische
Analysen einen WEP-Schlüssel bereits nach wenigen tausend Paketen zu erraten – unabhängig davon, ob
WEPplus verwendet wird oder nicht. Dem ließe sich nur durch sehr häufige Schlüsselwechsel begegnen,
die den EAP-Overhead in die Höhe treiben.

All dies legt die Erkenntnis nahe, dass WEP generell – gleichgültig ob mit oder ohne 802.1x –
auf den Müllhaufen der Geschichte gehört und die Sicherheitsmechanismen auf eine grundsätzlich neue
Basis gestellt werden müssen. Dies ist mit IEEE 802.11i erfolgt.

WPA versus IEEE 802.11i

Bisweilen herrscht etwas Verwirrung darüber, welcher Sicherheitsvariante bei der Installation
der Vorzug zu geben ist – dem schon länger verfügbaren WPA (Wi-Fi Protected Access) oder dem neuen
802.11i. Tatsächlich stellt WPA jedoch nichts anderes dar als eine Vorabversion von IEEE 802.11i.
Da sich die Verabschiedung von 802.11i länger hinzog, als der Markt bereit war, auf Lösungen zu
warten, hatte die Wi-Fi Alliance die bis dahin beschlossenen Punkte des neuen Standards zu WPA
zusammengefasst. 802.11i ist somit eine Obermenge von WPA. Die Wi-Fi Alliance hat dafür übrigens
den Begriff WPA2 eingeführt, um das im Markt bekannte "WPA" weiter nutzen zu können.

Das vordringlichste Thema der Standardisierung war naturgemäß die Ablösung des
WEP-Verschlüsselungsalgorithmus. IEEE 802.11i beziehungsweise WPA/WPA2 definieren dazu die zwei
Verfahren "Temporal Key Integrity Protocol" (TKIP) und "Advanced Encryption Standard" (AES).

TKIP versus AES

TKIP basiert wie WEP auf einer RC4-Verschlüsselung und zielt darauf ab, auf "alter"
WLAN-Hardware Teile der WEP-Engine mitbenutzen zu können. Ältere WLAN-Karten verwenden häufig nur
recht einfache und langsame Mikro-Controller zur Steuerung, die nicht in der Lage sind, ein neues
Verschlüsselungsverfahren gänzlich in Software abzuwickeln. TKIP verändert lediglich die Art und
Weise, wie aus dem vorgegebenen Schlüssel und dem jedem Paket anhängenden "Initialization Vector"
(IV) der für dieses Paket gültige RC4-Schlüssel berechnet wird. Zum einen verwendet TKIP einen
längeren IV (48 statt 24 Bit), der eine Schlüsselwiederholung praktisch ausschließt, zum anderen
fließt in die Berechnung die eigene MAC-Adresse ein, sodass gleiche IVs von unterschiedlichen
Stationen dennoch verschiedene RC4-Schlüssel ergeben. Des Weiteren versieht TKIP jedes Paket mit
einer Prüfsumme, dem eigens dafür entwickelten Michael-Hash, der die Erkennung manipulierter Pakete
erlaubt. Wiederum mit Rücksicht auf die Nachrüstbarkeit in alter Hardware ist diese Prüfsumme
allerdings kryptografisch relativ schwach. So führt die Erkennung von Michael-Fehlern dazu, dass
Access Point und Client die Kommunikation für eine Minute einstellen und danach neue Schlüssel
verhandeln. Dieses Vorgehen ist in der Vergangenheit kritisiert worden, weil es einen möglichen
Ansatzpunkt für DoS-Attacken darstellt. Praktische Angriffe dieser Art sind bisher jedoch nicht
bekannt geworden – vermutlich, weil es wesentlich einfachere Möglichkeiten gibt, Funkkommunikation
zu stören.

In der Summe kann aber gesagt werden, dass TKIP und Michael das Beste sind, was aus alter
(WEP-)Hardware herauszuholen war, und konsequenterweise hat die WPA-Spezifikation auch nicht mehr
als TKIP verlangt. 802.11i beziehungsweise WPA2 jedoch führen AES als neues (obligatorisches)
Verfahren ein. AES ist als Nachfolger von DES (Data Encryption Standard) allgemein bekannt und vor
seiner Standardisierung weithin untersucht worden, ohne dass schwerwiegende Mängel bekannt geworden
wären. Leider ist die Arbeitsweise dieser Methode komplett anders und deutlich komplizierter,
sodass eine effiziente Implementierung nur mit neuer Hardware möglich ist. Vereinzelt werden auch
Treiber-Updates angeboten, die AES in Software implementieren. Doch zumindest auf der Seite des
Access Points wird sich damit aufgrund des Rechenaufwands nicht der volle Durchsatz eines aktuellen
WLANs erzielen lassen.

Schlüsselverteilung mit IEEE 802.11i

Analog zu WEP lassen sich auch WPA beziehungsweise 802.11i in zwei Modi betreiben: zum einen in
einem einfachen Pre-Shared-Key-Modus (PSK-Modus), der für Heimanwender und kleine Firmen gedacht
ist, zum anderen wie bei WEP in Kombination mit EAP/802.1x. Unabhängig davon, welcher Modus zum
Einsatz kommt, wird jedoch eine weitere Schlüsselverhandlung zwischengeschoben, bevor Client und
Access Point miteinander Daten austauschen können. Diese beinhaltet den Austausch von
Zufallswerten, mit deren Hilfe ein für diese Verbindung einmaliger TKIP- oder AES-Sitzungsschlüssel
berechnet wird. Das bedeutet, dass auch im einfachen PSK-Modus jeder Client seinen eigenen
Schlüssel benutzt und dieser bei jedem Einbuchvorgang unterschiedlich ist – ganz im Gegensatz zum
statischen WEP, bei dem der eingegebene Schlüssel unverändert von allen verwendet wird. In
Verbindung mit EAP/802.1x eröffnet sich die Möglichkeit des PMK-Cachings (Pairwise Master Key):
Wenn ein mobiler Client mehrfach zwischen verschiedenen Access Points hin- und herwechselt, muss
dann nicht jedes Mal die komplette 802.1x-Verhandlung wiederholt werden. Nach einem erneuten
Schlüsselaustausch (sechs kurze Pakete) steht die Verbindung wieder mit frischen Schlüsseln. Diese
Eigenschaft des schnellen Roamings ist wichtig für Voice-over-IP-Anwendungen (VoIP), bei denen auch
kurze Unterbrechungen störend wären.

Für den PSK-Modus definiert 802.11i die Verwendung einer Passphrase sowie einen Hash-Algorithmus
(Prüfsumme), mit dem das für den Schlüsselaustausch erforderliche "Master Secret" berechnet wird.
Konfigurationsprobleme bei Verwendung von WLAN-Komponenten unterschiedlicher Hersteller sollten
damit der Vergangenheit angehören. Vorsicht ist allerdings bei der Auswahl der Passphrase
angeraten, da an ihrer Geheimhaltung die ganze Sicherheit eines PSK-Netzes hängt. Zu kurze (weniger
als acht Zeichen) oder mithilfe eines Wörterbuchs zu erratende Wörter sind tabu.

WPA und IEEE 802.11i in der Praxis

Aus den vorangegangenen Ausführungen sollte deutlich geworden sein, dass sowohl WPA als auch
802.11i einen so massiven Sicherheitsfortschritt bedeuten, dass im professionellen Umfeld reines
WEP auf keinen Fall mehr eingesetzt werden sollte – die damit verbundenen Risiken sind zu hoch. Im
Einzelfall mag die Kombination mit 802.1x und schnellen Schlüsselwechseln noch tolerabel
erscheinen, der Anwender sollte jedoch im Hinterkopf behalten, dass dies nur noch eine Lösung auf
Zeit sein kann.

Wird ein Firmen-WLAN komplett neu aufgebaut, so ist die Entscheidung gegen WEP problemlos. Alle
aktuell auf dem Markt angebotenen WLAN-Komponenten unterstützen mindestens WPA und TKIP, einige
bereits AES-Verschlüsselung. Die Mischung von TKIP und AES in einer Installation sollte keine
Probleme bereiten: Das IEEE hat Methoden vorgesehen, wie sich Access Point und Client auf die
jeweils bestmögliche Verschlüsselung einigen können.

Problematisch wird es immer dann, wenn bereits eine WEP-basierende Installation existiert. Hier
wäre zuerst zu klären, ob von den Herstellern Firmware-Upgrades verfügbar sind, die zumindest TKIP
anbieten. TKIP wurde ja speziell für den "Upgrade" alter Hardware konzipiert. Leider stellt sich in
der Praxis immer wieder heraus, dass Hersteller für ältere, abgekündigte Komponenten keine Updates
mehr anbieten, auch wenn der darin verwendete WLAN-Chipsatz prinzipiell dazu in der Lage wäre.

In solchen Fällen ist zwischen Sicherheit und Investitionsschutz abzuwägen. Natürlich lässt sich
ein WEP-basierendes oder komplett unverschlüsseltes WLAN stets auch durch andere Methoden wie SSL,
SSH, Firewalls und VPN-Gateways auf ein akzeptables Sicherheitsniveau heben. Diese Methoden sind
für den Anwender in der Praxis jedoch immer mit einem Komfortverlust verbunden.

Zudem sollte nicht vergessen werden, dass eine Kette nur so stark ist wie ihr schwächstes Glied.
Ein insbesondere in großen Installationen wichtiges Thema ist das Auffinden von so genannten "Rogue
APs", die ohne Einverständnis der IT-Abteilung von Mitarbeitern installiert werden und die
Sicherheit jedes WLANs aushebeln können. Der Einsatz von WPA oder IEEE 802.11i entbindet also nicht
von der Nutzung geeigneter Intrusion-Detection-Systeme.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+