Bundesamt für Sicherheit in der Informationstechnik

G 2.119 Ungeeignete Auswahl von WLAN-Authentikationsverfahren

Die Auswahl der zu verwendenden Authentikationsverfahren muss sich am Schutzbedarf der in einem WLAN transportierten Daten orientieren. Zunächst ist WEP als unsicher einzustufen und bietet eine Vielzahl von Angriffsmöglichkeiten, wie beispielsweise das Extrahieren der Schlüssel aus den Datenpaketen. Diese könnten dann zu einem erfolgreichen Zugriff auf ein WLAN benutzt werden.

Wird das Schlüsselmaterial, das für die Authentikation bzw. Verschlüsselung im WLAN verwendet wird, nicht sorgfältig verteilt oder ausreichend sicher gespeichert, so sind darauf aufbauende Methoden, um ein entsprechendes Sicherheitsniveau zu erreichen, eventuell vollkommen wertlos. Zu einfache Passwörter oder unzureichend geschützte Zertifikate bieten jedem Angreifer einen gültigen Zugang zu einem WLAN. Bei einem WPA -gesicherten WLAN stellen beispielsweise Pre-Shared Keys eine Sicherheitslücke dar, wenn diese nicht geeignet ausgewählt wurden, also nicht kompliziert genug sind.

Es gibt aber auch EAP -Methoden, die aufgrund einiger Schwachstellen eine Bedrohung darstellen. Beispielsweise wird bei EAP-MD5 CHAP als Authentisierungsmethode verwendet, das unter anderem die beidseitige Kenntnis eines unverschlüsselten Passworts erfordert. Weiterhin unterstützt EAP-MD5 keine Schlüsselerzeugung und kann daher nicht unmittelbar mit IEEE 802.11i benutzt werden. Darüber hinaus sind inzwischen auch kryptographische Schwächen von MD5 bekannt, sodass dieses Hash-Verfahren heute nicht mehr als sicher gilt.

Bei EAP-PEAP ist aus kryptographischer Sicht zu beanstanden, dass PEAP zur Sicherung des äußeren Tunnels nur die Identität des Servers prüft, nicht aber die des Clients.

Einige Implementationen von EAP-Methoden enthalten auch Schwachstellen. So ist das proprietäre EAP-LEAP von Cisco anfällig für sogenannte Wörterbuch-Attacken und es gibt Tools, die diese Schwachstelle bereits gezielt ausnutzen und selbst starke Passwörter wirkungslos sind.

Ebenso ist es von Nachteil, dass EAP-LEAP explizit von allen WLAN-Komponenten unterstützt werden muss und es keine Interoperabilität zwischen EAP-LEAP und anderen EAP-Methoden besteht, wie es in IEEE 802.1X gefordert ist.

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK