WLAN Security

Auf KlagenfurT verwenden wir derzeit 128 bit WEP in unserem WLAN. WEP bietet zwar gegenueber keiner Verschlüsselung bereits deutlich mehr Sicherheit, ist aber keineswegs der Weisheit letzter Schluss.

Die Verschlüsselung mit 128 bit hört sich zwar stark an, ist aber aufgrund eines Designfehlers kaum besser als 48/64 bit WEP (Link?). Ein Fremder kann den Datenstrom mitprotokollieren und das WEP-Passwort ermitteln und damit den gesamten vergangenen und zukünftigen Datenstrom entschlüsseln. Ausserdem kann ein Fremder die MAC-Adressen der WLAN-Netzwerkkarten im Netzwerk herausfinden, diese fälschen und während eine Karte nicht in Betrieb ist, sich für diese ausgeben und bekommt dann einfach eine interne IP-Adresse, wahrscheinlich noch völlig unbemerkt.

Unser AccessPoint (D-Link DI-624) beherrscht neben WEP auch die verbesserten Methoden WPA-PSK und WPA. Bei WPA-PSK trägt man den PSK (Pre Shared Key, also ein gemeinsames, vordefiniertes Passwort) ein, bei WPA ist zusätzlich ein RADIUS-Server anzugeben, der dann die Authentifizierung vornimmt (802.1x).

WPA-PSK benutzt den Pre Shared Key nur am Anfang, handelt aber sofort ein neues Schlüsselpaar aus, welches sich während der Verbindung auch regelmässig ändert. Dadurch wird das Entschlüsseln des mitprotokollierten Datenstroms praktisch unmöglich gemacht.

WPA-PSK bietet jedoch keinen Schutz dagegen, dass sich ein Fremder unter Kenntnis des PSK (der ja für alle Clients im WLAN gleich ist) durch Fälschung einer beliebigenen bekannten MAC-Adresse eine IP-Adresse besorgt. Besser ist hier WPA (wegen 802.1x).

Unter Windows XP ist die Verwendung von WPA und WPA-PSK grundsätzlich möglich (WindowsUpdate erforderlich), aber nur wenn der Treiber das unterstützt. Und da ist auch schon der Haken. Von vier vorhandenen Karten, beherrschen nur drei WPA. Konkret können die 11 Mb/s Karte DWL-650+ und die 11 Mb/s Cisco Aironet 340 (jeweils nach Treiberupdate) WPA und WPA-PSK. Das eingebaute 54 Mb/s WLAN des Powerbook (MacOS X) kann neben WEP auch WPA Home bzw. WPA Personal und WPA EAP, was offensichtlich WPA-PSK und WPA entspricht. Die 54 Mb/s D-Link DWL-G650+ kann das nicht, aktualisierte Treiber sind nicht verfügbar.

Unter FreeBSD gibt es heute überhaupt keine Möglichkeit, WPA oder WPA-PSK zu verwenden.

Eine Alternative zu WPA erscheint die Verwendung von VPN. Windows XP beherrscht hier PPTP ("PPTP-VPN") und IPSec ("L2TP-IPSec-VPN"). Wenn man dafür sorgt, dass die Maschinen im WLAN nur dann Zugriff auf das Internet erhalten, wenn sie eine VPN-Verbindung aufbauen, hat man die Nachteile von WEP umgangen, man kann dann sogar WEP abschalten, um die damit verbundenen Performance-Einbussen zu eliminieren.

FreeBSD hat die Möglichkeit als VPN-Server zu fungieren, sowohl PPTP als auch L2TP. Diese ports sind dazu notwendig:

Auch Windows Mobile 2003 (auf dem O2 XDA II) beherrscht PPTP und L2TP/IPSec, unter FreeBSD würde man ohnehin gleich IPSec mit racoon einsetzen.

Ausblick: Es gibt noch viele Möglichkeiten und auch die Notwendigkeit, die Sicherheit zu verbessern. Man könnte meinen, dass die Tatsache, dass heute nahezu alle WLAN-AccessPoints ohne Sicherheit und "Plug and Play" ausgeliefert werden und dass nicht nur die Presse, sondern auch unser Innenminister darüber Bescheid weiss, dazu führen würde, das Bewusstsein der Endbenutzer zu schärfen. Falsch gedacht. Es wird nichts helfen. Der Internetbenutzer ist dumm. Und noch dümmer. Oder wie erklären Sie sich, dass heute nahezu jede EMail unverschlüsselt verschickt wird und der Absender leichter zu fälschen ist als eine Unterschrift?

Interessante Links:

Allgemein: WPA/802.1x: VPN:

Glossar:


Zurück zu www.server.king.de.
Copyright 2004, Frank Bartels (knarf) - 2004/03/21

Valid HTML 4.01! Valid CSS!