Sicheres WLAN durch WPA und 802.11i, Teil 2

Sicherheit durch automatischen Schlüsselwechsel

Mit diesem Sitzungsschlüssel übernimmt der Access Point jetzt den gebildeten Tunnel. Er kann ihn nutzen, um dem Client die eigentlichen WEP-Schlüssel mitzuteilen. Je nach Access-Point-Hardware kann das ein echter Sitzungsschlüssel sein, also ein WEP-Schlüssel, der nur für Datenpakete zwischen dem Access Point und genau diesem Client benutzt wird. Alternativ kann der Access Point einen so genannten Gruppenschlüssel nutzen, den der Access Point für die Kommunikation mit mehreren Clients einsetzt. Klassische WEP-Hardware kennt meistens nur die im Kapitel über WEP erwähnten vier Gruppenschlüssel.

Der besondere Vorteil dieses Verfahrens besteht darin, dass der Access Point über den EAP-Tunnel die WEP-Schlüssel regelmäßig wechseln und ein so genanntes Rekeying durchführen kann. Auf diese Weise lassen sich WEP-Schlüssel gegen andere ersetzen, lange bevor sie durch IV-Kollisionen Gefahr laufen, geknackt zu werden. Eine gängige Nutzungszeit für einen WEP-Schlüssel sind fünf Minuten.

Zu den weiteren Vorteilen dieses Verfahrens zählt die einfache Implementation im Access Point, die nur geringe Erweiterungen der existierenden Hardware benötigt. Nachteilig ist bei diesem Verfahren seine Komplexität: Die Pflege des zentralen RADIUS-Servers und der dort gespeicherten Zertifikate ist im Allgemeinen nur in größeren Einrichtungen mit separater IT-Abteilung möglich. Für den Heimgebrauch oder für kleinere Unternehmen eignet es sich weniger.

Des Weiteren ist bisher nirgendwo eine Mindestausstattung an Kommunikationsverfahren festgelegt, die ein Client oder ein Server unterstützen müssen. Es sind also durchaus Szenarien denkbar, in denen ein Client und ein Server keinen EAP-Tunnel aufbauen können, weil die Menge unterstützter Verfahren nicht übereinstimmt. Diese praktischen Hürden haben den Einsatz von EAP/802.1x daher bisher auf den professionellen Bereich beschränkt. Der Heimanwender musste sich weiterhin bestenfalls mit WEPplus begnügen oder sich selber auf Anwendungsebene um das Sicherheitsproblem kümmern.