Sicheres WLAN durch WPA und 802.11i, Teil 2

Vorteile von EAP

Dieses Verfahren hat zwei Vorteile:

• Der Implementierungsaufwand im Access Point ist gering. Während Client und Server meist PCs mit vergleichsweise beliebig vielen Ressourcen sind, sind Access Points Geräte, die sowohl hinsichtlich des Speicherplatzes als auch der Rechenleistung beschränkt sind.

• Neue Verfahren zur Authentifizierung erfordern kein Firmware-Upgrade auf dem Access Point.

Über den so gebildeten Tunnel durch den Access Point versichern sich Client und Server nun ihrer gegenseitigen Authentizität. Der Server überprüft die Zugangsberechtigung des Clients zum Netz, und der Client überprüft, ob er wirklich mit dem richtigen Netz verbunden ist. Von Hackern aufgestellte wilde Access Points lassen sich so erkennen.

Es gibt eine ganze Reihe von Authentifizierungsverfahren, die in diesem Tunnel angewendet werden können. Ein gängiges (und von Windows XP unterstütztes) Verfahren ist TLS, bei dem Server und Client Zertifikate austauschen. Ein anderes ist TTLS, bei dem nur der Server ein Zertifikat liefert – der Client authentifiziert sich über einen Benutzernamen und ein Passwort.

Nachdem die Authentifizierungsphase abgeschlossen ist, ist ein auch ohne WEP gesicherter Tunnel entstanden, in den im nächsten Schritt der Access Point eingebunden wird. Dazu schickt der RADIUS-Server das so genannte Master Secret, einen während der Verhandlung berechneten Sitzungsschlüssel, zum Access Point. Das LAN zum Access Point wird in diesem Szenario als sicher betrachtet. Von daher kann diese Übertragung im Klartext erfolgen.