Bundesamt für Sicherheit in der Informationstechnik

M 2.384 Auswahl geeigneter Kryptoverfahren für WLAN

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Um einen sicheren Betrieb eines WLANs zu gewährleisten, ist es notwendig, die Kommunikation über die Luftschnittstelle komplett abzusichern. Ohne ausreichende Verschlüsselung besteht die Gefahr, dass unberechtigte Personen über das WLAN übertragene Daten mitlesen können. Ebenso bietet ein nicht ausreichend geschütztes WLAN einen Angriffspunkt auf ein eventuell damit verbundenes LAN. Darüber hinaus ist die Integrität der Daten sicherzustellen, damit Manipulationen an diesen Daten erkannt werden. Ebenso ist eine (gegenseitige) Authentisierung der WLAN-Komponenten untereinander wichtig.

In den WLAN-Standards IEEE 802.11 und 802.11i sind diverse Kryptoverfahren beschrieben, die zur Absicherung eines WLANs verwendet werden können. Diese sind je nach Einsatzgebiet, Schutzbedarf und Größe der Institution auszuwählen und anzuwenden.

Wired Equivalent Privacy (WEP)

WEP ist der älteste und am weitesten verbreitete Verschlüsselungsstandard für WLANs und ist im Standard IEEE 802.11 beschrieben. WEP bietet nur das absolute Minimum an Schutz, um zufälliges Mitlesen oder zufälliges Einbuchen zu verhindern.

WEP gilt mittlerweile als veraltet und unsicher, da eine Vielzahl von Sicherheitslücken nachgewiesen wurden. WEP ist daher für die Absicherung von WLANs als ungenügend einzustufen und sollte nicht mehr eingesetzt werden.

Falls keinerlei anderen Kryptoverfahren außer WEP zur Verfügung stehen und die WLAN-Komponenten weiter betrieben werden sollen, sollte WEP aktiviert werden. Dann muss die maximale Schlüssellänge gewählt werden und die Schlüssel regelmäßig manuell gewechselt werden (mindestens einmal täglich). Eine solche Entscheidung ist zu dokumentieren und allen Benutzern des WLAN mitzuteilen. Ein solches ungenügend abgesichertes WLAN darf höchstens in einem unkritischen Bereich eingesetzt werden, beispielsweise zum reinen Zugriff auf das Internet. Es ist aber sicher zu stellen, dass über ein WLAN, dass nur durch WEP abgesichert wurde, keine sensiblen Daten übertragen werden oder über die beteiligten WLAN-Komponenten erreichbar sind.

WPA, WPA2 und IEEE 802.11i

IEEE 802.11i gilt als neuer Sicherheitsstandard für WLANs, das in Teilen auch dem Wi-Fi Protected Access 2 (WPA2) der Wi-Fi Alliance entspricht. Im Gegensatz zu WPA, das dem Draft 3.0 von IEEE 802.11i entspricht und ebenfalls von der Wi-Fi Alliance veröffentlicht wurde, wird in WPA2 und IEEE 802.11i der Advanced Encryption Standard ( AES ) als Verschlüsselungsalgorithmus verwendet. In WPA, genauso wie in WEP, kommt weiterhin RC4 zum Einsatz. Sowohl WPA als auch WPA2 bzw. IEEE 802.11i bieten mit dem optional anzuwendenden Temporary Key Integrity Protocol (TKIP) durch eine dynamische Schlüsselgenerierung zusätzlichen Schutz.

Bei WPA2 und IEEE 802.11i ist darüber hinaus die Verwendung von CCMP als Implementierungsmethode für AES zur Integritätssicherung zwingend vorgeschrieben.

Nach Möglichkeit sollte ein WLAN flächendeckend einheitlich mit WPA2 unter Verwendung von CCMP (zumindest WPA mit TKIP) abgesichert werden, da hier stärkere Algorithmen zur Verschlüsselung und Integritätssicherung verwendet werden. Schwächere Verfahren sind nach dem Stand der Technik inakzeptabel.

Für die Authentisierung von Benutzern können Pre-Shared Keys (PSK) verwendet werden. Diese werden beim ersten Verbindungsaufbau zur Authentisierung gegenüber einer anderen WLAN-Komponente verwendet. Bei den Pre-Shared Keys sollte darauf geachtet werden, dass diese wesentlich länger sein sollten, als die üblichen sechs bis acht Zeichen, da davon die Sicherheit der Verschlüsselung abhängt. Dieses Verfahren ist allerdings nur für kleinere WLAN-Installationen praktikabel, für große WLANs sollte eine EAP -Methode nach IEEE 802.1X verwendet werden.

Zum besseren Überblick über die verschiedenen Sicherheitsmechanismen dient folgende Tabelle:

  WEP WPA 802.11i (WPA2)
Verschlüsselungs-Algorithmus RC4 RC4 AES
Schlüssellänge 40 bzw. 104 Bit 128 Bit (64 Bit bei der Authentisierung) 128 Bit
Schlüssel statisch dynamisch
(PSK)
dynamisch
(PMK)
Initialisierungsvektor 24 Bit 48 Bit 48 Bit
Datenintegrität CRC-32 MICHAEL CCMP

TKIP und CCMP

Das Temporary Key Integrity Protocol (TKIP) basiert als abwärtskompatible Lösung auf WEP, es beseitigt jedoch dessen gröbsten Schwächen. Für TKIP ist in IEEE 802.11i das Problem der mangelhaften Integritätsprüfung in WEP durch den Einsatz des zusätzlichen Verfahrens MICHAEL (zum Message Integrity Check) gelöst worden. TKIP und MICHAEL sind als temporäre Lösung zu verstehen.

CCMP steht für CTR mode (Counter Mode) with CBC -MAC Protocol (Cipher Block Chaining Message Authentication Code). Hierbei wird nicht direkt der Klartext mit AES verschlüsselt, sondern ein aus dem symmetrischen Schlüssel gebildeter Zähler. Das eigentliche Verschlüsselungsergebnis entsteht dann aus der XOR-Verknüpfung eines Blocks des Klartexts mit dem AES-verschlüsselten Zähler. Außerdem wird die Methode Cipher Block Chaining (CBC) zur Integritätssicherung der Daten verwendet.

Zur Schlüsselverwaltung und -verteilung wird wieder IEEE 802.1X vorausgesetzt. Die in IEEE 802.11i verwendete Schlüssellänge beträgt 128 Bit.

Extensible Authentication Protocol (EAP)

Als zusätzlicher Schutz der Authentisierung kann das Extensible Authentication Protocol (EAP) gemäß Standard IEEE 802.1X verwendet werden. EAP wird im RFC 3748 genau beschrieben. Der Benutzer meldet sich hier bei einer Authentisierungsinstanz, z. B. an einem RADIUS-Server, an und dieser prüft die Zugangsberechtigung, bevor der Sitzungsschlüssel ausgehandelt wird. EAP unterstützt eine Reihe von Authentisierungsmethoden, so dass auch Zertifikate und Zwei-Faktor-Authentisierungen genutzt werden können.

EAP-Methoden, die in einem WLAN verwendet werden können sind z. B.:

  • EAP-TLS
    Bei EAP-TLS, definiert in RFC 2716, wird eine beidseitige Authentisierung anhand von X.509-Zertifikaten durchgeführt. Dazu muss der zu authentisierende Partner beweisen, dass er den privaten Schlüssel kennt, der zu dem öffentlichen Schlüssel gehört, welcher seinem Kommunikationspartner bekannt ist. Folglich müssen Verfahren etabliert werden, die entsprechende Zertifikate verteilen und verwalten können. Eine solche Public Key Infrastructure (PKI) einzurichten und zu betreiben setzt eine sorgfältige Planung voraus (siehe z. B. M 2.232 Planung der Windows-CA-Struktur ab Windows 2000 ). Der Schlüsselaustausch selbst findet über einen durch TLS gesicherten Tunnel statt.
  • EAP-TTLS
    Bei EAP-TTLS wird im Gegensatz zu EAP-TLS auf darauf verzichtet, dass der WLAN-Client ein eigenes Zertifikat besitzen muss. Nur der Server benötigt bei EAP-TTLS ein gültiges Zertifikat. Über den durch TLS gesicherten Tunnel können dann andere, eventuell weniger sichere Verfahren zur Client- bzw. Benutzerauthentisierung benutzt werden. EAP-TTLS ist ebenso wie EAP-TLS ein schlüsselerzeugendes Verfahren, d. h. bei der Kommunikation wird jedes Mal ein neuer Session Key erzeugt, der dann für die Absicherung des Tunnels mittels TLS verwendet wird.
  • EAP-PEAP
    Auch EAP-PEAP ist ein schlüsselerzeugendes Verfahren und erfordert, ähnlich wie EAP-TTLS, nur bei dem Authentisierungsserver ein gültiges X.509-Zertifikat. Im Gegensatz zu EAP-TTLS sind zur Client-Authentisierung im gesicherten Tunnel nur andere EAP-Methoden möglich, wie z. B. EAP-MS CHAP v2 oder EAP-TLS. Dabei ist die Kombination mit EAP-MSCHAPv2 für Netze interessant, die hauptsächlich Windows 2000 oder Windows XP als Client-Betriebssystem einsetzen, die diese Methode hier bereits fest enthalten ist.

Weitere EAP-Methoden sind im Standard IEEE 802.1X oder in der Technischen Richtlinie Sicheres WLAN des BSI beschrieben.

Generell ist es in größeren Installationen sinnvoll, zur Benutzerauthentisierung EAP gemäß IEEE 802.1X zu verwenden.

Aktuelle WLAN-Komponenten unterstützen IEEE 802.11i und damit WPA2 bereits. Bei der Beschaffung neuer WLAN-Komponenten ist auf jeden Fall vorher zu prüfen, ob diese auch entsprechende EAP-Methoden unterstützen.

Schlüsselmanagement

Die kryptographischen Schlüssel zum Schutz der Kommunikation oder zur Authentisierung müssen regelmäßig gewechselt werden (siehe M 2.388 Geeignetes WLAN-Schlüsselmanagement ).

Bei allen WLAN-Komponenten muss darauf geachtet werden, dass diese beim Verbindungsaufbau mit anderen WLAN-Komponenten keine Kryptoverfahren mit geringerer Schutzwirkung als die ausgewählten akzeptieren. Verbindungen mit solchen Komponenten müssen abgelehnt werden.

Prüffragen:

  • Wurde ein ausreichender Verschlüsselungsstandard implementiert?

  • Einsatz von WEP : Entspricht die Güte der eingesetzten Passwörter dem Stand der Technik?

  • Einsatz von WEP : Werden die verwendeten Passwörter/Schlüssel regelmäßig (mindestens einmal täglich) gewechselt?

  • Einsatz von WEP : Ist die Entscheidung zum Einsatz von WEP dokumentiert?

  • Einsatz von WEP : Erfolgt die Nutzung ausschließlich in unkritischen Bereichen?

  • Einsatz von WEP : Ist sichergestellt, dass keine sensiblen Daten übertragen werden?

  • Existiert eine Regelung zur Nutzung von Algorithmen und Verfahren die dem Stand der Technik entsprechen?

  • Einsatz von Pre-Shared-Keys (PSK): Entspricht die Güte der eingesetzten Passwörter/Schlüssel dem Stand der Technik?

  • Werden zur zusätzlichen Absicherung des WLAN s EAP -Verfahren eingesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK