Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  How to  
  SecureDoc - Screens etc.  
  User authentication  
  E-Mail Security  
  MS-Enterprise-CA  
  Secure WLAN  
  Web authentication  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Secure WLAN
 
INFO & KNOWLEGDE
 
Die Sicherheit eines WLAN bedeutet im Konkreten die Sicherstellung der Vertraulichkeit, der Authentizität und der Integrität der übertragenen Informationen. Dies soll mit Authentifizierung und Verschlüsselung erreicht werden, wobei der Einsatz von WEP dafür nicht ausreicht.

WLAN Authentifizierung
Bei WLAN wird Authentifizierung primär über ein geteiltes Geheimnis durchgeführt. Dieses Geheimnis ist der WEP-Schlüssel, der auf den Clients und den Basis Stationen eingetragen werden muss. Die Kenntnis dieses Schlüssels, sprich sind die ankommenden Daten richtig verschlüsselt, autorisiert den Zugriff.

Eine weitere Information, die für den Zugriff notwendig ist, ist die richtige SSID (Service Set Identifier), welche zur Unterscheidung verschiedener Funknetze dient. Sollten mehrere Funknetze vorhanden sein, kann über die ausgestrahlten Beacons der Basisstation das richtige Funknetz ermittelt werden. D.h. im Grund ist diese Information dadurch schon öffentlich und kann auch von Sniffern aufgefangen werden. Noch dazu kann die SSID für einen Known-Plaintext Angriff auf WEP genützt werden. Deshalb sollte die SSID nicht über Broadcasts (in den Beacons) gesendet werden und möglichst lange und nicht zu erraten sein. Vor Entdeckung eines WLAN durch einen Sniffer und Brechen des WEP-Schlüssels schützt dies trotzdem nicht - es wird nur die erste Möglichkeit verhindert.

Weitere Absicherung bietet die Filterung auf MAC-Adressen bei den Access Points, aber auch diese Konfiguration bietet keinen endgültige Sicherheit, da MAC-Adressen ja änderbar sind und spätestens nach Brechen des WEP-Schlüssels in Erfahrung gebracht werden können. Im Gegenzug kann die Wartung dieser Access Control Lists erheblichen Aufwand verursachen.

Soll die Authentifizierung weiterhin am Layer 2 stattfinden sollte gleich auf 802.1X gesetzt werden. Dies ist schlussendlich auch für die WEP-Nachfolger WPA und 802.11i notwendig, oder die Authentifizierung auf eine höhere Netzwerk-Schicht legen, z.B. auf ein VPN.

Verschlüsselung
Bevor man gar keine Verschlüsselung und Authentisierung einsetzt, weil sie zu aufwendig ist, sollte man zumindest WEP aktivieren - sicher ist man dabei aber nicht.

Ein erster Schritt ist die Verbesserung des Schlüsselmanagements von WEP. Zusammen mit einer sicheren Authentifizierung kann mit den richtigen EAP-Typen (z.B. EAP-TLS), bietet 802.1X die Generierung von Schlüssel an, die dynamisch und sicher an die einzelnen WLAN-Stationen übermittelt werden können. Konfiguriert man die Austauschzeit entsprechend kurz, kann man den gewünschten oder notwendigen Sicherheitslevel erreichen - man sollte sich dabei an den Häufigkeiten der Schwachen Schlüssel und am Birthday-Paradoxon für IV-Kollisionen orientieren.

Besser ist gleich der Einsatz von WPA , bzw. später von 802.11i , im sicheren Enterprise Mode, wo mit TKIP (und AES) bessere Algorithmen zur Verfügung stehen. Allerdings bauen auch diese neuen und sicheren Standards auf 802.1X als Authentifizierungsframework auf.

Eine dritte Möglichkeit ist, das WLAN wie ein externes Netz, zu betrachten, und WLAN wie Remote-Zugriffe zu handhaben. D.h. über den "insecure Layer 2" wird auf höherer Ebene eine gesicherte Verbindung aufgebaut, z. B. übernimmt ein VPN die Authentifizierung und die Verschlüsselung des Zugriffs.

Komponenten bei 802.1X
Um 802.1X einzusetzen müssen natürlich alle Komponenten die mit der Kommunikation zu tun haben 802.1X unterstützen, das heißt, der Access Point fungiert als Authenticator und muss die entsprechenden Funktionen implementiert haben. Der Radius-Server im LAN muss EAP für RADIUS implementiert haben und der Client (Supplicant) muss eine entsprechende Authentisierungssoftware installiert haben. Microsoft bietet mit Windows Server 2003 und XP eine umfassende 802.1X Unterstützung.

Linktipps
http://www.ieee802.org/
Überblick über 802.11i
http://www.open1x.org/


DOWNLOADS
 
Einrichten einer Windows-PKI Testinfrastruktur [854 KB]
WLAN mit Smart Cards absichern in 15 Min. [315 KB]



802.1X and Microsoft


WLAN - encryption


WLAN security - checklist


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  802.1X and Microsoft  
  WLAN - encryption  
  WLAN security - checklist  
 
  Special offer of the month!  
  Cryptoshop Bundles!  
 
  EAP, PEAP, 802.1X  
  WEP  
  WPA und 802.11i  
  Streamciphers  
  AES  
  VPN  
  Risk Management  
  KonTraG  
  Confidentiality and authenticity  
  Definition: Identity vs. Authenticity  
  Knowing - Passwords  
  Having - Token  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved