Sicheres WLAN durch WPA und 802.11i, Teil 3

WPA mit Passphrase

Der im vorigen Abschnitt beschriebene Handshake läuft bei WPA grundsätzlich ab. Der Anwender wird niemals selbst irgendwelche TKIP- oder Michael-Schlüssel definieren müssen. In Umgebungen, in denen kein RADIUS-Server zur Erteilung des Master Secrets vorhanden ist (kleinere Firmen oder Heimanwender), sieht WPA deshalb neben der Authentifizierung über einen RADIUS-Server das PSK-Verfahren vor.

Dabei muss der Anwender sowohl auf dem Access Point als auch auf allen Stationen eine zwischen acht und 32 Zeichen lange Passphrase eingeben. Zusammen mit der verwendeten SSID wird daraus das Master Secret über ein Hash-Verfahren berechnet. Das Master Secret ist in so einem PSK-Netz also konstant. Die Nonces sorgen aber dafür, dass sich trotzdem immer unterschiedliche TKIP-Schlüssel ergeben.

In einem PSK-Netz hängen wie bei WEP sowohl Zugangsschutz als auch Vertraulichkeit davon ab, dass die Passphrase nicht in unbefugte Hände gerät. Solange dies gewährleistet ist, bietet WPA-PSK eine deutlich höhere Sicherheit vor Einbrüchen und dem Abhören als jede WEP-Variante. Für größere Installationen, in denen eine solche Passphrase einem zu großen Nutzerkreis bekannt gemacht werden müsste, wird EAP/802.1x in Zusammenhang mit dem hier beschriebenen Key Handshake genutzt.

LANCOM Systems hat mit dem LEPS-Feature (LANCOM Enhanced Passphrase Security) diese potenzielle Sicherheitslücke geschlossen. Ohne komplizierte und aufwendige Server-Infrastruktur wird dabei jedem Client anhand seiner MAC-Adresse über den Eintrag in der ACL (Access-Control-Liste) eine individuelle Passphrase zugewiesen. Firmenweite Passphrases und die damit verbundenen Risiken erübrigen sich damit.