WPA2 (Wi-Fi Protected Access):

Das auf dem Wireless-Sicherheitsstandard 802.11i basierende Protokoll wurde 2004 eingeführt. Die wichtigste Verbesserung von WPA2 gegenüber WPA war die Verwendung des Advanced Encryption Standard (AES). AES ist von der US-Regierung für die Verschlüsselung von als streng geheim eingestuften Informationen zugelassen, so dass es gut genug sein muss, um Heimnetzwerke zu schützen. Für die genauere Funktionsweise und für Details, können Sie auf unserer Homepage unter #Sicherheit und #Verschlüsselung danach suchen und fündig werden. 

Zu diesem Zeitpunkt ist die Hauptanfälligkeit eines WPA2-Systems dann gegeben, wenn der Angreifer bereits Zugang zu einem gesicherten WiFi-Netzwerk hat und sich Zugang zu bestimmten Schlüsseln verschaffen kann, um einen Angriff auf andere Geräte im Netzwerk durchzuführen. Abgesehen davon sind die Sicherheitsvorschläge für die bekannten WPA2-Schwachstellen vor allem für Netzwerke auf Unternehmensebene von Bedeutung und für kleine Heimnetzwerke nicht wirklich relevant. Leider ist die Möglichkeit von Angriffen über das Wi-Fi Protected Setup (WPS) in den aktuellen WPA2-fähigen Zugangspunkten immer noch hoch, was auch das Problem mit WPA darstellt. Und obwohl das Eindringen in ein WPA/WPA2-gesichertes Netzwerk durch diese Lücke etwa 2 bis 14 Stunden dauern wird, ist es immer noch ein echtes Sicherheitsproblem, daher sollte WPS deaktiviert werden, und es wäre gut, wenn die Firmware des Access Points auf eine Distribution zurückgesetzt werden könnte, die WPS nicht unterstützt, um diesen Angriffsvektor völlig auszuschließen.

Eine Empfehlung in Bezug auf WiFi-Sicherheitsmethoden, jedoch auf Routern, welche nach 2006 verfügbar sind: 

WPA2 + AES-(256)

WPA + AES-(256)

Am besten deaktiviert man die Wi-Fi Protected Setup (WPS) und stellt den Router auf WPA2 + AES-(256) ein.
Die AES-256 bit Verschlüsselung ist mittlerweile ein goldener Standard und gilt nach heutigem Stand sowie im Rahmen der menschlichen Lebenserwartung als "unknackbar".

Worin liegt der Nutzen begründet?

Sowohl WPA als auch WPA2 sollen drahtlose Internet-Netzwerke vor unberechtigtem Zugriff schützen. Sollten Sie Ihren Router unverschlüsselt oder ohne Sicherheitsmaßnahmen zu treffen, nutzen, ist es ein Leichtes, illegale Aktonen über Ihre Verbindung und in Ihrem Namen durchzufühen, die Bandbreite zu stehlen, Ihre Surfgewohnheiten mitzusniffen (überwachen, mitschneiden) und zusätzlich Schadsoftware, bzw. schädliche Anwendungen in Ihrem Netzwerk zu installieren. 

WiFi-Router unterstützen eine Vielzahl von Sicherheitsprotokollen zur Absicherung von drahtlosen Netzwerken: WEP, WPA und WPA2. WPA2 wird jedoch gegenüber seinem Vorgänger WPA (Wi-Fi Protected Access) empfohlen.

Der einzige Nachteil von WPA2 ist die erforderliche Rechenleistung zum Schutz Ihres Netzwerks. Das bedeutet, dass eine leistungsfähigere Hardware erforderlich ist, um eine geringere Netzwerkleistung zu vermeiden. Dieses Problem betrifft ältere Access Points, die vor WPA2 implementiert wurden und WPA2 nur über ein Firmware-Upgrade unterstützen. Die meisten der aktuellen Access Points wurden mit leistungsfähigerer Hardware geliefert.

Verwenden Sie auf jeden Fall WPA2, wenn Sie WPA2 verwenden können, und nur dann, wenn es keine Möglichkeit gibt, dass Ihr Access Point WPA2 unterstützt. Die Verwendung von WPA ist auch eine Möglichkeit, wenn Ihr Access Point regelmäßig hohe Lasten erfährt und die Netzwerkgeschwindigkeit unter der WPA2-Nutzung leidet. Wenn die Sicherheit an erster Stelle steht, dann ist ein Rollback keine Option, sondern man sollte ernsthaft darüber nachdenken, bessere Access Points zu integrieren.
Je nachdem, welche Sicherheitsprotokolle Sie verwenden, kann die Datengeschwindigkeit beeinträchtigt werden. WPA2 ist das schnellste der Verschlüsselungsprotokolle, während WEP das langsamste ist.

Exkurs:

Die WiFi-Sicherheitsalgorithmen haben seit den 1990er Jahren viele Änderungen und Upgrades durchlaufen, um sicherer und effektiver zu werden. Für den Schutz von drahtlosen Heimnetzwerken wurden verschiedene Arten von drahtlosen Sicherheitsprotokollen entwickelt. Bei den drahtlosen Sicherheitsprotokollen handelt es sich um WEP, WPA und WPA2, die den gleichen Zweck erfüllen, aber gleichzeitig unterschiedlich sind.

Die drahtlosen Sicherheitsprotokolle verhindern nicht nur, dass sich unerwünschte Personen mit Ihrem drahtlosen Netzwerk verbinden, sondern verschlüsseln auch Ihre privaten Daten, die über das Medium Luft gesendet werden. Unabhängig davon, wie geschützt und verschlüsselt sie sind, drahtlose Netzwerke können nicht mit der Sicherheit von kabelgebundenen Netzwerken mithalten. Letztere übertragen auf ihrer einfachsten Ebene Daten zwischen zwei Punkten, A und B, die durch ein Netzwerkkabel verbunden sind. Um Daten von A nach B zu senden, übermitteln drahtlose Netzwerke diese innerhalb ihrer Reichweite in jede Richtung an jedes angeschlossene Gerät, das gerade empfängt.Schauen wir uns daher die drahtlosen Sicherheitsprotokolle WEP, WPA, WPA2 und WPA3 genauer an.

WEP (Wired Equivalent Privacy):

WEP wurde für drahtlose Netzwerke entwickelt und im September 1999 als Wi-Fi-Sicherheitsstandard freigegeben. WEP sollte das gleiche Sicherheitsniveau bieten wie kabelgebundene Netzwerke, jedoch gibt es eine Menge bekannter Sicherheitsprobleme im WEP, das zudem leicht zu hacken und schwer zu konfigurieren ist.

Trotz all der Arbeit, die zur Verbesserung des WEP-Systems geleistet wurde, stellt es immer noch eine sehr anfällige Lösung dar. WEP wurde 2004 offiziell von der Wi-Fi-Allianz aufgegeben und ist somit obsolet, bzw. nicht mehr im Einsatz -zumindest sollte es nicht mehr im Einsatz sein, da es zu große Sicherheitslücken aufweist!  

WPA (Wi-Fi Protected Access):

Für die Zeit, in der sich der 802.11i-Wireless-Sicherheitsstandard in der Entwicklung befand, wurde WPA als vorübergehende Sicherheitserweiterung für WEP verwendet. Ein Jahr, bevor WEP offiziell aufgegeben wurde, erhielt WPA eine formelle Verabschiedung. Die meisten modernen WPA-Anwendungen verwenden einen Pre-Shared Key (PSK), der meist als WPA Personal bezeichnet wird, und das Temporal Key Integrity Protocol oder TKIP zur Verschlüsselung. WPA Enterprise verwendet einen Authentifizierungsserver für die Erzeugung von Schlüsseln und Zertifikaten.

WPA war eine bedeutende Verbesserung gegenüber WEP, aber da die Kernkomponenten so hergestellt wurden, dass sie durch Firmware-Upgrades auf WEP-fähigen Geräten eingeführt werden konnten, stützten sie sich immer noch auf Elemente, welche ein Ausnutzen von Sicherheitslücken möglich machte.

Wie WEP erwies sich auch WPA, nachdem es den Proof-of-Concept und öffentliche Demonstrationen durchlaufen hatte, als ziemlich anfällig für Einbrüche. Die Angriffe, die die größte Bedrohung für das Protokoll darstellten, waren jedoch nicht die direkten, sondern die Angriffe auf Wi-Fi Protected Setup (WPS) - ein Hilfssystem, das entwickelt wurde, um die Verbindung von Geräten mit modernen Zugangspunkten zu vereinfachen.

Netzwerksicherheit steht bei Ihnen an oberster Stelle?

Auch wir legen sehr viel Wert auf eine gut geschützte Kommunikation zwischen zwei und mehr Endpunkten. Eine Netzwerk über W-LAN birgt immer Risiken mit sich und sollte deshalb von einem professionellen IT Service vorgenommen werden. Als IT Systemhaus in München bieten wir unseren Kunden den Aufbau von Mesh-Netzwerken, sodass Sie von allen Ecken in ihrem Haus oder Büro die bestmögliche Bandbreite erhalten. Lassen Sie sich von uns unverbindlich beraten unter unserer Rufnummer 0176 / 75 19 18 18 oder schreiben Sie uns ganz einfach eine E-Mail an This email address is being protected from spambots. You need JavaScript enabled to view it. 

Rekapitulation: 

Auf Basis IEEE 802.11 WLAN ist es mit minimalem Aufwand möglich, schnell eine drahtlose Verbindung aufzubauen und bietet zusätzlich eine hohe Flexibilität in der Administration und Konfiguration.

Dies geht jedoch mit der Möglichkeit der Angreifbarkeit des Systems einher, da die Übertragung der Daten via Luftschnittstellen erfolgt. Hiesige Schnittstelle wird auch als "shared medium" bezeichnet (geteiltes Medium) und eröffnet Angreifern die Gelegenheit, diese zu attackieren. Manipulationen bzw. Angriffsversuche dieser Systeme lassen sich mit relativ einfachen Mitteln realisieren. Dies bringt uns zum Thema der WLAN-Sicherheit und die damit verbundenen Schutzmaßnahmen sowie Gefährdungen, welche auf unterschiedlichen Ebenen vorgenommen werden können bzw. existent sind. 

 Mögliche Gefährdungen: 

Vorsätzliche Handlungen

• das Abhören von WLAN Kommunikation
• die Angriffe auf WLAN Komponenten
• das Lauschen bzw. Auswerten von Verbindungsdaten drahtloser Kommunikation
• das Missachten schützenswerter Informationen (Vertraulichkeitsverlust) 

Höhere Gewalt

• Störung in der Stromversorgung 
• Störung durch Witterungsbedingungen
• Störung und/oder Ausfall des Funknetzes 

Menschliche Fehlhandlung 

• vorsätzliche Missachtung von IT-Sicherheitsmaßnahmen
• fehlerbehaftete Administration des IT-Systems
• unzulängliche Konfiguration und Bedienung
• unzureichender Umgang mit Passwortregeln (Länge, Komplexität etc.) 
• fehlerhafte Konfiguration des WLAN

Organisatorische Mängel

• mangelhafte Restriktion zum WLAN-Gebrauch
• ungeeignete Authentifikationsverfahren 
• insuffiziente Kontrolle von IT-Sicherheitsmaßnahmen 
• fehlende und/oder mangelhafte Regelungen 
• marginale Kenntnis von Regelungen 
• fehlende oder schlechte Planung des WLAN-Einsatzes 

Technisches Versagen: 

• unkontrollierte Expansion der Funkwellen
• unsolide bzw. mangelhafte WLAN-Sicherheitsmechanismen

Schutzmaßnahmen

Um Missbrauch durch Unbekannte zu verhindern, ist die Absicherung des WLANs durch die deutsche Rechtssprechung, in Bezug auf Authentifizierung und Verschlüsselung, zwingend vorgeschrieben. 

Unter Anwendung diverser Maßnahmen kann dies - u.a. in Abhängigkeit der Größe eines Netzwerkes - realisiert werden. 

Wesentliche Maßnahmen für ein SOHO-WLAN (Small Office Home Office) sind:

• genutzte WLAN-Geräte kabelgebunden zu konfigurieren
• User und Passwort am AP (Access Point, in dem Fall Router) ändern
• ein starkes Passwort verwenden, mittlerweile sind wir bei 10 Zeichen angekommen, Länge schlägt Komplexität, jedoch sollten Sonderzeichen, Großbuchstaben und keine kohärenten (zusammenhängenden) Wörter verwendet werden, die man in einem Wörterbuch abfragen bzw. finden und somit für eine Brutforce-Attacke (durch das Ausprobieren) leicht knacken/erraten kann
• aktuelle Frimware des Geräteherstellers installieren bzw. updaten 
• Zugriffssteuerungsliste, sogenannte ACL (Access Control List) verwenden sowie registrierte MAC-Adressen vom AP genehmigen (durch MAC-Filter möglich) 
• solide Kryptografie nutzen wie z. B. WPA2 (Wi-Fi protected Access, WPA ist der Vorgänger aber nicht mehr sicher!) 
• SSID (Service Set Identifier) umändern, um keine Rückschlüsse bzw. Assoziationen in Bezug auf Anwender oder Ort zu ermöglichen sowie Aussendung deaktivieren
• Fernkonfiguration im AP (hier Router) deaktivieren
• WLAN-Reichweite eingrenzen, indem man die Sendeleistung minimiert 
• Firewall einrichten!
• die sogenannten LOG-Dateien kontinuierlich auf fremde MAC-Adressen kontrollieren, um Fremdzugriff zu registrieren

 Sicherheitsverfahren

Hierbei sei nochmal der Artikel der Schutzziele in der Informationssicherheit erwähnt, bei dem CIA einge tragende Rolle einnimmt.

Exkurs: wesentliche Sicherheitsmechanismen, die Anwendung durch Verfahren und Kommunikationsprotokollen erfahren, sind der Garant bzw. die Sicherstellung der: 

Vertraulichkeit (Confidentiallity)

Integrität (Integrity)

Authentizität (Authenticity) 

und somit der Daten im WLAN. 

Vertraulichkeit im Kontext WLAN: Informationen (Daten) nur für Berechtigte zugänglich machen!

Integrität in Bezug auf WLAN: Datensicherheit (Schutz vor Verlust) und Erkennen von Manipulation!

Authentizität im Kontext WLAN: Eindeutige Zuordnung einer Information zum Absender!

WEP und WPA sind ungenügend und nicht mehr sicher, deshalb werden diese hier nicht genauer beschrieben. 

Sichere Verfahren hierfür sind: 

• WPA2 (nicht abwärtskompatibel zu den vorhandenen Verfahren, in Nutzung ist hier CCMP(Counter mode with CBC-MAC Protokol, CBC-MAC: Cipher Block Chaining Message Authetication Code)
• AES-128/192/256 bit, wobei der goldene und sichere Standard AES-256 ist! 

Vertraulichkeit/ Confidentiality:

Die Daten und Systeme dürfen nur für berechtigte Personen zugänglich sein, daher ist es wichtig, zu verschlüsseln und Zugangskontrollen durchzuführen.

Integrität/ Integrity:

Die Daten dürfen nicht manipuliert worden sein. Dies impliziert, dass man die Manipulation oder Veränderung von Daten bemerkt, daher verwendet man sogenannte digitale Signaturen.

Verfügbarkeit/Availability:

Die Daten und Systeme müssen zu definierten Zeiten verfügbar bzw. abrufbar sein, daher ist es notwendig, diese mit Backups zu sichern, eine USV (Unterbrechungsfreie Stromversorgung) zu besitzen und Systeme regelmäßig zu warten. Dies sind nur ein paar der Beispiele, um dieses Ziel zu erreichen.

Authentizität/Authenticity:

Die Authentizität besagt, dass die Quelle der Daten verifizierbar sein muss. Ergo, ob der Gegenüber wirklich jener ist, wofür er sich ausgibt.

Um dieses Schutzziel zu erreichen, ist der Gebrauch von digitalen Zertifikaten im Einsatz.

Symmetrische und Asymmetrische Verschlüsselung - Kryptographie

Was heißt verschlüsseln?

Eine Datenmenge wird unter Anwendung eines Schlüssels und eines Algorithmus so in eine andere Datenmenge überführt, dass nur von berechtigten Personen die Ursprungsmenge hergestellt werden kann.

Bei der symmetrischen Verschlüsselung ist ein Schlüssel bzw. “gemeinsames Geheimnis” existent, um Klartext in ein Chiffrat zu überführen und somit zu verschlüsseln sowie zu entschlüsseln.

Somit wird ein Algorithmus verwendet, eine Art Werkzeug, ein Verfahren, mit einer eindeutigen Vorschrift, um ein Problem zu lösen bzw. Klassen davon.

Klartext -> Schlüssel/Algorithmus -> Chiffrat

Chiffrat -> Schlüssel/Algorithmus -> Klartext

Schlüssel = Daten / Algorithmus ist die Rechenregel, die mit dem Klartext verknüpft wird und das Chiffrat entsteht

Key/Schlüssel = binäre Datei, ergo: Bits

Schlüssellänge = Quantität der Bits im Schlüssel

Auguste Kerckhoffs von Nieuwenhof (1835-1903)

Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Verfahrens abhängig sein, sie gründet allein auf der Geheimhaltung des Schlüssels.

Grund:

Es ist einfacher, einen Schlüssel geheim zu halten als einen Algorithmus.

Hängt die Sicherheit von der Geheimhaltung des Algorithmus ab und wird dieser bekannt, ist das gesamte System korrumpiert.

Hängt die Sicherheit von der Geheimhaltung des Schlüssels ab, ist nur die mit diesem Schlüssel verschlüsselte Kommunikation betroffen.

Es ist sehr viel einfacher, einen Schlüssel zu tauschen als einen Algorithmus.

"Peer Review": Der Algorithmus wird öffentlich diskutiert, Fehler fallen schneller und zuverlässiger auf.

Verfahren bzw. Beispiele für symmetrische Verschlüsselung sind:

AES (Advanced Encryption Standard)

AES-256 bit gilt bisher als “unknackbar bzw. sicher" und findet bei Militär sowie Geheimdiensten mit einer hohen Sicherheitsstufe und Geheimhaltung aber auch als Standard eine tragende Rolle bei der symmetrischen Verschlüsselung.

Mit “unknackbar bzw. sicher" ist gemeint, dass es mit einem Brute-Force-Angriff (das Ausprobieren aller Möglichkeiten) mehrere hundert Jahre brauchen würde, um auf den Schlüssel zu kommen. Da AES-256 bit = 2^256= 1.15792E+77 mögliche Schlüssel impliziert und ein handelsüblicher Computer als Beispiel 16.8 Milliarden Versuche pro Sekunde schafft, würde dies dementsprechend 2.18556E+59 Jahre benötigen.

Blowfish

DES (Data Encryption Standard)

Entwickelt: Mitte der 70er Jahre (IBM)

ab 1977 offizieller Standard in den USA

blockbasiert, 64 Bit (Schlüssel: 56 Bit)

erster erfolgreicher Angriff: Ende der 90er

Juli 1998: EFF baut Supercomputer, knackte

DES in 56 Stunden

Januar 1999: DES in 22 Stunden geknackt

FOX

Der wohl größte Vorteil der symmetrischen Verschlüsselung liegt in der Tatsache begründet, dass diese sehr schnell und daher auch in Echtzeit möglich ist. Des Weiteren bedient sich die symmetrische Verschlüsselung eines einfachen Schlüsselmanagement, da lediglich ein Schlüssel (gemeinsames Geheimnis) für das Ver- und Entschlüsseln benötig wird.

Der größte Nachteil ist, dass der Schlüssel nicht in unbefugte Hände geraten darf, da man sonst alles, was damit verschlüsselt wurde, lesen bzw. entschlüsseln kann.

Auch die Quantität der Schlüssel, bezogen auf die Teilnehmer, wächst quadratisch.

Letztendlich ist ein sicherer Transportweg notwendig.