WEP staat voor Wired Equivalent Privacy ofwel de privacy van kabels. WEP was het eerste wat de fabrikanten van draadloze netwerken bedachten voor het beschermen van draadloze netwerken. WEP moest onze communicatie door de lucht veilig maken. Net zo veilig als wanneer we kabels gebruikten voor communicatie. Het veilige van kabels, is dat je er fysiek (bijna) contact mee moet maken om ze goed af te kunnen luisteren.
Dit is iets dat ze met WEP niet voor elkaar konden krijgen. WEP is niet het middel om de pakketjes lucht te beschermen die we gebruiken voor onze communicatie. WEP is versleuteling. WEP is hele slechte versleuteling. WEP is niet slecht omdat de onderliggende algoritmen zo slecht zijn. Nee, WEP is slecht omdat de bedenkers de algoritmen verkeerd hebben gebruikt en vervolgens alle regels die gelden voor veilige communicatie aan hun laars hebben gelapt.
Door Raymond P.L. Comvalius
WEP
Eigenlijk is vertrouwelijke communicatie door de lucht in grote mate te vergelijken met vertrouwelijke communicatie over het internet. Dat is een materie waar we al langere tijd ervaring mee hebben. Ook in 1999 toen WEP werd gelanceerd. Op het internet werd ook toen al gebruik gemaakt van versleutelde verbindingen. SSL en VPN of virtual private networking werden al veel toegepast. Ook IPSec werd in die tijd bedacht. Voor beide technieken gelden 3 basisregels die er tot nu toe voor gezorgd hebben dat alle VPN-protocollen van toen ook nu nog als veilig gelden.
- Iedere gebruiker moet zich uniek identificeren voor zijn verbinding
- Iedere verbinding heeft een unieke sleutel voor versleuteling van de betreffende verbinding
- Iedere sleutel heeft een afgebakende geldigheidsduur en wordt na die geldigheidsduur vervangen door een nieuwe sleutel.
De ontwerpers van WEP wilden waarschijnlijk het wiel opnieuw uitvinden en lapten deze regels aan hun laars. Het gevolg hiervan, is dat WEP inmiddels - iets meer dan vijf jaar na dato - binnen drie minuten is te kraken. Gelukkig hebben de fabrikanten van draadloze netwerken geleerd van hun fouten. Eerst bedachten ze dat 802.1x wellicht een handige aanvulling is voor WEP. Hiermee wordt iedere gebruiker uniek te identificeren en worden unieke sleutels gebruikt die regelmatig ververst kunnen worden. 802.1x werd ook meteen een verplicht onderdeel van Wireless Protected Access of WPA.
WPA
WPA is de onofficiële opvolger van WEP die met de hardware die voor WEP bedacht was toch een betere versleuteling moest opleveren. WPA moest heel snel worden gelanceerd omdat - in tegenstelling tot wat de fabrikanten gehoopt hadden - het algoritme van WEP in no-time was gekraakt. Het lanceren van een officieel algoritme duurt in de regel vier tot vijf jaar. Na de eerste hack van WEP was er niet zo veel tijd om te reageren en besloot men het snel te doen. Ondanks de snelheid waarmee WPA is gelanceerd, is WPA sindsdien nog niet succesvol gekraakt. Wel kent het algoritme zijn zwakke kanten, waardoor het met name minder geschikt is voor bedrijfstoepassingen.
De definitieve oplossing voor versleutelde communicatie door de lucht moet komen uit de lancering van WPA2. WPA2 is de officiële opvolger van WEP en ook wel bekend als 802.11i. In WPA2 wordt AES gebruikt voor de versleuteling en is ondersteuning voor 802.1x wederom verplicht. Eigenlijk lijkt WPA2 wel erg veel op WPA alleen is nu het versleutelingsalgoritme (RC4 in WEP) vervangen door AES.
AES
AES of Advanced Encryption Standard is de versleuteling die door de Amerikaanse overheid is aangewezen als de enige door de overheid erkend veilige versleuteling. Voor ingewijden is het de officiële opvolger van DES. AES wordt algemeen als veilig gezien en er is dus in ieder geval geen discussie meer over de kraakbaarheid van de versleuteling. Wat nog wel te kraken is, is de sleutel. Met name bij thuisgebruikers zal het gebruik van WPA2 nog geen garantie zijn voor een onkraakbaar netwerkje door de lucht. Thuis wordt namelijk nog steeds gebruik gemaakt van een sleutel die door de beheerder moet worden bedacht. Als die sleutel te simpel is, is het kraken van die sleutel nog steeds een peulenschil. Vanaf dat moment is de burcht om je nieuwe draadloze netwerk alsnog veranderd in een luchtkasteel.
In een bedrijfsomgeving is dit scenario een stuk minder waarschijnlijk wanneer gebruik wordt gemaakt van 802.1x met certificaten. Hierbij heeft ieder systeem en/of gebruiker de beschikking over een uniek certificaat met een lange tot zeer lange sleutel. Met deze sleutel wordt vervolgens voor iedere verbinding een aparte sleutel gegenereerd die ook nog eens regelmatig zal veranderen. Het implementeren van een dergelijke infrastructuur is helaas nog niet voor iedere organisatie weggelegd. Laat staan dat de gemiddelde organisatie klaar is voor de implementatie van een PKI.
De techniek is er in ieder geval klaar voor.
Wie geïnteresseerd is in het opbouwen van een veilig draadloos netwerk, kan onder andere via de volgende links zeer interessante informatie vinden:
Over Raymond Comvalius
Raymond Comvalius is Microsoft Certified Professional/Trainer en werkzaam als zelfstandig consultant/trainer op het gebied van Active Directory en beveiliging. Raymond is mede-auteur van het Handboek Windows Security van WEKA Uitgeverij. Zijn website is te vinden op www.xpworld.com (US).