Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Die Abkürzung WPA im Zusammenhang mit Funknetzwerken (Wireless LAN) bezeichnet eine heute recht sichere Verschlüsselungsart. Die Abkürzung WPA heißt ausgeschrieben "Wi-Fi Protected Access".

Der Hintergrund:

Über Funknetzwerke werden Computer untereinander vernetzt, um Daten auszutauschen oder z.B. um das Internet zu nutzen. Das kann entweder über eine direkte Verbindung (Ad-hoc) oder über so genannte Basisstationen oder auch "Wireless Access Point" oder "Hot-Spot" genannt, erfolgen. Heute ist auch in viele DSL-Router eine Basisstation für ein Funknetzwerk integriert. Die Wireless LAN Verbindung wird über frei zugängliche und festgelegte Funkkanäle aufgebaut. Wird keine Verschlüsselung verwendet, könnte sich im Prinzip jeder mit einer Wireless LAN Netzwerkkarte in diese Verbindung einklinken und den Datenverkehr so abfangen, mitlesen oder einfach selber nutzen.

WEP:

So entwickelte man die "WEP" Verschlüsselung. Die WEP Verschlüsselung nutzt einen 24-Bit Initialisierungsvektor (IV) und das eingegebene Zugangskennwort um daraus einen Bitstrom mit Hilfe der "RC4-Stromchiffre" Methode zu erzeugen. Die eigentlichen Nutzdaten, die verschlüsselt werden sollen, durchlaufen eine so genannte "CRC32-Funktion (Cyclic Redundancy Check 32 Bit oder auf Deutsch: zyklische Redundanzprüfung)" und erzeugen so eine 32-Bit-Prüfsumme, die den Nutzdaten angehängt werden. Nun werden diese beiden Datenströme (RC4 Bitstrom und der Nutzdatenstrom mit der Prüfsumme) einfach durch eine logische "XOR Verknüpfung" zusammen gefügt.
Bereits kurz nach der Einführung von WEP wurde diese Verschlüsselung geknackt. Sie hindert zwar einen Leihen vor dem eindringen in ein solches Netzwerk, stellt aber für einen Profi nur eine kleine Hürde dar. Es kursieren diverse Programme im Internet, mit denen eine WEP-Verschlüsselung in wenigen Minuten umgangen werden kann.
Das sollte einen aber dennoch nicht davon abhalten diese Verschlüsselung zu aktivieren, wenn ein Gerät die WPA-Verschlüsselung nicht unterstützt. Eine einfachere Verschlüsselung ist immer besser als keine Verschlüsselung! Der Vorteil der WEP-Verschlüsselung ist, dass diese heute fast von jedem Wireless-LAN Gerät verwendet werden kann.

WPA:

Als Nachfolger von "WEP" gilt die WPA-Verschlüsselung. Es wurde nach bekannt werden der Schwachstellen in der WEP Verschlüsselung gleich an einem besseren Verfahren gearbeitet. Da die Arbeiten aber länger dauerten aber man unbedingt eine bessere Verschlüsselung benötigte, wurde im Jahr 2003 WPA eingeführt. Bei dieser wird die Verschlüsselung mit einem 48-bit Schlüssel durchgeführt, allerdings wird weiterhin dazu die "RC4-Stromchiffre" Methode benutzt. Um eine sichere Authentifizierung zu schaffen, wurden bei WPA nun aber bereits dynamische Schlüssel, die sich bei jeder Anmeldung ändern, eingeführt. Zur Authentifizierung (Anmeldung) benutzt WAP so genannte PSKs (Pre-Shared-Keys) oder EAP (Extensible Authentication Protocol). EAP benutzt man meist in großen (Firmen) Wireless-LAN Netzwerken, da hierfür eine zusätzliche Authentifizierungsinstanz in Form eines Servers zwischengeschaltet werden muss. Dieser übernimmt dann die Anmeldung (Erstellung der Zugangsschlüssel) im Netzwerk. PSKs werden meist in kleineren (Home) Netzwerken verwendet, da hierfür der "Schlüssel" jedem Netzwerkteilnehmer bekannt sein muss und am Computer einzustellen ist. Aus diesem "Schlüssel" wird dann der Zugangsschlüssel für die aktuelle Sitzung des Computers generiert. Die WPA-Verschlüsselung gilt als (fast) nicht knackbar, wenn gewisse Regeln bei der Vergabe der Passwörter beachtet werden.
Der Nachteil ist nur, dass WPA nicht von jedem Wireless-LAN Gerät unterstützt wird. Gerade ältere Wireless-LAN Geräte können noch kein WPA verwenden. Basisstationen ("Wireless Access Points" oder "Hot-Spots") können meistens nur eine Verschlüsselung gleichzeitig verwenden. Muss also ein Gerät ohne WPA eingebunden werden, müssen auch die anderen Geräte auf WPA verzichten und alle können nur mit der WEP-Verschlüsselung arbeiten.

WPA2 ("IEEE 802.11i"):

WPA wurde eigentlich nur eingeführt, weil die Entwicklung zum eigentlichen "IEEE 802.11i" Sicherheitsstandard im Jahr 2003 noch nicht fertig gestellt war. Somit ist der WPA Standard eigentlich nur ein Zwischenschritt zum bereits damals geplanten WPA2 Standard "IEEE 802.11i" gewesen. 2004 wurde dann der WPA2 Standard fertig gestellt und unter der Bezeichnung "IEEE 802.11i" Standardisiert.
WPA2 ist heute die sicherste Verschlüsselung in Funknetzwerken und sollte immer eingeschaltet werden wenn es möglich ist. WPA2 nutzt im Gegensatz zu WPA das "AES (Advanced Encryption Standard)" Verschlüsselungsverfahren. Auch wurde noch das Verschlüsselungsprotokoll "CCMP" hinzugefügt, womit auch eine Verschlüsselung bei direkter Funkverbindung zweier Geräte (Ad-hoc), also ohne "Wireless Access Point" oder "Hot-Spot", möglich wird.
Geräte, die "nur" WPA unterstützen lassen sich selten einfach per Firmware Update auf WPA2 umrüsten, da für WPA2 auch bessere Hardware benötigt wird.
Basisstationen ("Wireless Access Points" oder "Hot-Spots") können oft aber nur eine Verschlüsselung gleichzeitig nutzen. Nur wenige Router kommen gleichzeitig z.B. mit WPA und WPA2 Geräten zurecht. Muss also ein älteres Gerät, dass nur die WPA Verschlüsselung unterstützt, mit der Basisstation verbunden werden, können alle anderen Geräte meistens auch nur die WPA Verschlüsselung nutzen.

Was ist die SSID?

SSID (Service Set Identifier), oder auf Deutsch "Netzwerk Name" ist die Kennzeichnung des Funknetzwerkes. Anhand dieser SSID können Geräte erkennen, ob und zu welcher Basisstation sie gehören. Die SSID macht es möglich, dass in einem Raum zwei Basisstationen stehen und die Geräte sich immer an der richtigen Station anmelden und sich nicht stören. Diese SSID senden die Basisstationen ständig im Funknetz, so dass man einfach durch einschalten eines Gerätes sehen kann, welche Basisstationen erreichbar sind.
Die SSID kann man meistens in den Basisstationen auch frei benennen. Hierbei sollte man auch an die Sicherheit denken. Kann man über die SSID bereits erkennen welche Basisstation das ist, braucht auch ein Eindringling nicht lange suchen. Hier sind sicher allgemeine Bezeichnungen, die keinen Rückschluss auf das Gerät oder die Adresse haben, sinnvoller.
Meistens ist es sogar möglich, die SSID Übertragung ganz abzuschalten. Das macht das Netzwerk zwar auf den Ersten Blick unsichtbar, aber spezielle Empfänger können ein solches Netzwerk dennoch finden. Eine deaktivierte SSID erschwert zudem den Zugang für gewollte Verbindungen.

Welche Sicherheitsmaßnahmen sollte man beachten?

Zuerst einmal sollte die Best mögliche Verschlüsselung aktiviert werden. Viele Basisstationen werden ab Werk ohne eingeschaltete Verschlüsselung verkauft. Achtet man nicht darauf, öffnet man im Prinzip jedem Tür und Tor. Selbst der liebe Nachbar könnte so "versehentlich" auf dieses Netzwerk zugreifen und sich auf der Festplatte mal umsehen.

Die WPA / WPA2 Verschlüsselung gilt als noch nicht geknackt und somit als sehr sicher. Allerdings versuchen auch Eindringlinge in solche Funknetzwerke einzudringen. Das geht aber in Erster Linie nur durch herausbekommen des Pre-Shared-Key (Zugriffspassword). Der "Pre-Shared-Key" darf bis zu 63 Zeichen lang sein. Da man diesen Key immer nur bei der Ersten Anmeldung eines neuen Gerätes eingeben muss, sollte man die kompletten 63 Zeichen auch ausnutzen und dabei keine Namen oder logische Sätze verwenden. Am besten sind eine "wilde" Mischung aus Buchstaben, Zahlen, Sonderzeichen, Groß- und Kleinschreibung. Angreifer versuchen oft mit speziellen Programmen in kurzer Zeit viele Zeichenkombinationen zu senden um dadurch das richtige Passwort heraus zu bekommen. Man nennt solche Angriffe "Brute-Force-" oder "Wörterbuch" Angriffe. Die verwendeten Programme können heute auf Hochleistungs Computern bereits über 160 Millionen (!) Passwörter in der Sekunde "probieren". Ein Passwort, das aus 6 verschiedenen Zeichen besteht, würde ein solches Programm in spätestens 6 Minuten raus haben! Je mehr Zeichen verwendet werden, je länger braucht ein solcher Angriff. Für ein Passwort mit nur 9 Zeichen müsste ein solches Programm etwa 2,5 Jahre arbeiten um alle Kombinationen zu probieren.
Wörterbuch Angriffe versuchen bekannte Wörter wie Eigennamen, Städtenamen, oder Standard Passwörter wie "Admin" zu nehmen. Viele Nutzer geben nämlich z.B. einfach Ihren Namen und das Geburtsdatum als Passwort ein, oder belassen einfach das gesetzte Herstellerpasswort. 

Des Weiteren ist es sehr wichtig, dass das Zugangspasswort zur Basisstation, z.B. dem Router geändert, bzw. angelegt wird. Hier sollte man auch ein möglichst langes Passwort aus verschiedenen Zeichen mit Groß- und Kleinschreibung verwenden. Da die Zugriffsmöglichkeiten zu den Basisstationen meist immer gleich sind, könnte ein Angreifer versuchen hier Zugang zu bekommen. Gelingt ihm das, könnte er auch auf diesem Weg Zugang zum Netzwerk kriegen und im schlimmsten Fall sogar durch ändern der Zugangsdaten den Besitzer aussperren.

Die Betriebssoftware (Firmware) in der Basisstation sollte man immer auf dem aktuellen Stand halten und in regelmäßigen Abständen nach Updates suchen. Oft werden Sicherheitslücken in der Betriebssoftware erst nach Verkaufsstart erkannt und behoben. Arbeitet man weiter mit so einer veralteten Software gibt man je nach dem Angreifern eine leichte Möglichkeit in das Netzwerk einzudringen.
Des Weiteren kann eine neue Betriebssoftware auch neue Funktionen bereitstellen. Bei einigen älteren Basisstationen kann sogar nach dem Update eine bessere Verschlüsselung gewählt werden.

Des Weiteren sollte man Konfigurationen an der Basisstation grundsätzlich nicht über das Funknetzwerk machen. Dafür muss man sich mit dem Passwort in der Basisstation anmelden und eventuell Sicherheitsrelevante Daten übertragen. Werden diese Daten abgehört, steht einem Angreifer der Zugang zur Basisstation offen. Um Änderungen in der Basisstation vorzunehmen sollte man den Computer daher möglichst immer per LAN Leitung direkt mit der Basisstation verbinden.

Hier noch mal die wichtigsten Punkte:

  1. Basisstation anschließen
  2. Computer mit LAN Leitung direkt anschließen
  3. In der Betriebssoftware die Passwörter ändern bzw. anlegen
  4. Die Betriebssoftware auf Aktuelle Version prüfen, gegebenenfalls ein Update durchführen
  5. Die SSID prüfen, gegebenenfalls umbenennen
  6. Verschlüsselung prüfen und auf jeden Fall einschalten! Dabei immer die Beste mögliche Verschlüsselung wählen: 1. WPA2; 2. WPA; 3. WEP
  7. Das Zugriffspassword (Pre-Shared-Key) festlegen. Hier sollte man möglichst viele, unzusammenhängende Zeichen verwenden. Am besten alle 63 ausnutzen. Keinesfalls weniger als 10-12 Zeichen verwenden, die hätte ein Programm je nach dem in wenigen Stunden geknackt.
  8. Jetzt können die Funkverbindungen aufgebaut werden

[Zurück zur Übersicht]

Joomla Toplist

Besucher heute

® Auf im Beitrag genannte Namen und Bezeichnungen, sowie auf Logos können Markenrechte von Firmen im In- und Ausland liegen

www.CompTech-Info.de wird gehostet von:

ALL-INKL.COM - Webhosting Server Hosting Domain Provider

Wer ist online

Aktuell sind 34 Gäste und keine Mitglieder online

Beiträge:

Deine Daten

IP

Kleine Spende

Hier bitte ich Dich um eine kleine Spende für meine Webseite "www.CompTech-Info.de".
Weitere Infos dazu habe ich hier für Dich zusammengestellt.
Vielen Dank!
 

Ziel, mindestens: 119,40 €
Gespendet 2017:  28,37 €
Letzte Aktualisierung: 25.02.2017
Zum Seitenanfang