The Cable Guy – Mai 2005 Überblick zu Wi-Fi Protected Access 2 (WPA2)

Veröffentlicht: 06. Mai 2005

Dn308943.32C339154CF9EB18A2088ACF4850CDEC(de-de,TechNet.10).png

Von The Cable Guy

Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie hier.


Auf dieser Seite

Dn308943.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Einleitung

Dn308943.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png WPA2-Sicherheitsfeatures

Dn308943.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusätzliche WPA2-Features für Fast Roaming

Dn308943.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Gemeinsame Nutzung von WPA2-, WPA- und WEP-WLAN-Clients

Dn308943.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zur Unterstützung von WPA2 erforderliche Änderungen

Dn308943.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusätzliche Informationen


Einleitung

Der ursprüngliche IEEE 802.11-Standard bot zur Absicherung von WLAN-Kommunikation die folgenden Sicherheitsfeatures:

  • Zwei unterschiedliche Authentifizierungsmethoden: Open System und Shared Key
  • Den WEP-Verschlüsselungsalgorithums (Wired Equivalent Privacy)
  • Einen Integrity Check Value (ICV), der mit WEP verschlüsselt wird und die Datenintegrität schützt

Mit der Zeit stellte sich heraus, dass diese Sicherheitsfeatures in den meisten Szenarien zum Schutz der WLAN-Kommunikation nicht ausreichten. Um die Sicherheitsprobleme des IEEE 802.11-Standards zu beheben, wurden die folgenden zusätzlichen Technologien eingeführt:

  • IEEE 802.1X (portbasierter Netzwerkzugriff) - eine optionale Methode zur Authentifizierung von 802.11-WLAN-Clients. IEEE 802.1X bietet eine benutzerbezogene Authentifizierung, erweiterte Authentifizierungsverfahren sowie – abhängig von der gewählten Authentifizierungsmethode – die Verwaltung von Verschlüsselungsschlüsseln: dynamisch pro Arbeitsstation, pro Sitzung oder mit kompletter Neuverschlüsselung.
  • Wi-Fi Protected Access (WPA™) ist ein Interimsstandard, der von der Wi-Fi Alliance (englischsprachig) adaptiert wurde, um bis zur Ratifizierung von IEEE 802.11i eine sicherere Verschlüsselung und eine bessere Datenintegrität zu ermöglichen. WPA unterstützt die Authentifizierung über 802.1X (WPA-Enterprise) oder anhand eines vorab ausgetauschten Schlüssels (WPA-Personal), den neuen Verschlüsselungsalgorithums Temporal Key Integrity Protocol (TKIP) sowie neue Integritätsalgorithmen wie Michael. WPA ist eine Untermenge der 802.11i-Spezifikation.

Offiziell ersetzt der IEEE 802.11i-Standard Wired Equivalent Privacy (WEP) und andere Sicherheitsfeatures des ursprünglichen IEEE 802.11-Standards. WPA2™ ist ein Produktzertifikat, das von der Wi-Fi Alliance vergeben wird, und mit dem WLAN-Geräte bedacht werden, die mit dem 802.11i-Standard kompatibel sind. Ziel der WPA2-Zertifizierung ist die Förderung der zusätzlichen erforderlichen Sicherheitsfeatures von 802.11i, die nicht bereits in Produkten mit WPA-Unterstützung enthalten sind. Wie WPA verfügt auch WPA2 über zwei Betriebsmodi (Enterprise und Personal).

Microsoft hat ein WPA2/WPS IE-Update veröffentlich. Mit diesem kostenlosen Download können WLAN-Clients unter Windows XP Service Pack 2 auf WPA2 aktualisiert werden. In diesem Artikel werden die WPA2-Sicherheitsfeatures und die WPA2-Funktionalitäten beschrieben, die in diesem WPA2/WPS IE-Update enthalten sind.

Dn308943.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

WPA2-Sicherheitsfeatures

Die folgenden WPA2-Sicherheitsfeatures werden vom WPA2/WPS IE-Update unterstützt:

  • WPA2-Authentifizierung
    Bei WPA2-Enterprise ist eine Authentifizierung in zwei Phasen erforderlich. Als erstes wird eine Open-System-Authentifzierung und dann eine 802.1X-EAP-Authentifizierung (Extensible Authentication Protocol) durchgeführt. In Umgebungen ohne eine RADIUS-Infrastruktur (Remote Authentication Dial-In User Service) - zum Beispiel in Heimnetzwerken oder kleinen Unternehmen (Small Office/Home Office - SOHO) – unterstützt WPA2-Personal die Verwendung von vorab ausgetauschten Schlüsseln (Preshared Key - PSK).
  • WPA2-Schlüsselverwaltung
    Wie WPA erfordert auch WPA2 gegenseitige paarweise Masterschlüssel auf Basis des EAP oder PSK-Authentifizierungsprozesses und eine Berechnung von paarweisen wechselnden Schlüsseln über einen 4-Wege-Handshake.
  • Advanced Encryption Standard
    WPA2 erfordert die Unterstützung von AES (Advanced Encryption Standard) mit Counter Mode-Cipher Block Chaining (CBC)-Message Authentication Code (MAC) Protocol (CCMP). AES-Counter-Mode ist eine Blockchiffrierung, die 128-Bit-Blöcke auf einmal mit einem 128-Bit-Verschlüsselungsschlüssel chiffriert. Der CBC-MAC-Algorithmus produziert einen Message Integrity Code (MIC), über die eine Authentifizierung des Senders durchgeführt und die Datenintegrität eine WLAN-Frames überprüft werden können. Eine Paketnummer, die von WPA2 genutzt wird (und mit in die Verschlüsselung einfließt), schützt vor Replay-Angriffen. Die AES-Verschlüsselung erfüllt alle Anforderungen des Federal Information Processing Standard 140-2 (FIPS).

Dn308943.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zusätzliche WPA2-Features für Fast Roaming

Wenn sich ein WLAN-Client mit 802.1X authentifiziert, dann wird eine Serie von Nachrichten zwischen Client und WLAN-Access Point (AP) ausgetauscht. Hierdurch entsteht beim Verbindungsprozess eine kurze Verzögerung. Wenn ein WLAN-Client von einem AP zu einem anderen wechselt, dann kann sich diese Verzögerung bei 802.1X deutlich bemerkbar machen - besonders dann, wenn der Netzwerkverkehr sehr zeitkritisch ist (z. B. bei Videostreams oder Sprachverbindungen). Um diese Verzögerung zu minimieren, können WPA2-Geräte PMK-Caching und das Preauthentication-Feature nutzen.

PMK-Caching

Wenn ein WLAN-Client von einem AP zu einem anderen wechselt, dann muss eine vollständige 802.1X-Authentifizierung für jeden AP durchgeführt werden. WPA2 ermöglicht es Client und AP, die Ergebnisse einer vollständigen 802.1X-Authentifizierung zu cachen. Wenn sich der Client dann erneut mit einem AP verbindet, muss nicht noch der 4-Wege-Handshake ausgeführt werden. Neue Schlüsselpaare werden ohne diese Prozedur ausgetauscht. Der Client fügt in einen entsprechenden Request-Frame einen PMK-Identifier ein, der während der ursprünglichen Authentifizierung festgelegt wurde. Er wird sowohl auf dem Client als auch auf dem AP im PMK-Cache gespeichert. Die Speicherdauer der Einträge im PMK-Cache kann auf dem Client und auf dem AP konfiguriert werden.

Um bei WLAN-Infrastrukturen mit Switches, die als 802.1X-Authentifizierer arbeiten, den Wechsel schneller zu gestalten, berechnet das WPA2/WPS IE-Update den PMK-Identifier-Wert nach einem speziellen Verfahren. Dadurch kann beim Wechsel zu APs, die ebenfalls mit dem Switch verbunden sind, der PMK aus der 802.1X-Authentifizierung mit dem Switch weiter genutzt werden. Dieses Verfahren nennt sich Opportunistic-PMK-Caching.

Weitere Informationen zur Steuerung des PMK-Cachings über Registrierungseinstellungen finden Sie im Artikel WPA2/WPS IE-Update.

Preauthentication

Mit dem Preauthentication-Feature kann ein WPA2-WLAN-Client, der gerade mit einem AP verbunden ist, bereits eine 802.1X-Authentifizierung mit anderen APs in Reichweite durchführen. Der Client sendet hierbei über die bestehende Netzwerkverbindung Preauthentication-Netzwerkverkehr an die zusätzlichen APs. Nach der Authentifizierung mit den zusätzlichen APs und der Speicherung der PMK im PMK-Cache muss der Client bei einer Verbindung mit diesen APs nur noch den 4-Wege-Handshake durchführen.

WPA2-Clients können das Preauthentication-Feature nur einsetzen, wenn die entsprechenden APs über Beacon- und Probe-Response-Frames bekannt geben, dass sie Preauthentication unterstützen.

Weitere Informationen zur Steuerung des Preauthentication-Features über Registrierungswerte finden Sie im Artikel WPA2/WPS IE-Update.

Dn308943.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Gemeinsame Nutzung von WPA2-, WPA- und WEP-WLAN-Clients

WPA2-zertifizierte WLAN-Geräte sind kompatibel mit WPA und WEP. Sie können also eine Mischung aus WPA2-, WPA- und WEP-Geräten in der gleichen Umgebung nutzen.

Dn308943.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zur Unterstützung von WPA2 erforderliche Änderungen

Die folgenden Komponenten müssen geändert werden, damit WPA2 unterstützt werden kann:

  • WLAN-APs
  • WLAN-Netzwerkadapter
  • WLAN-Clientsoftware

Änderungen an WLAN-APs

WPA bietet den Vorteil, dass WLAN-Geräte über ein Update der Firmware aktualisiert werden. Der Grund dafür: Die WPA-Sicherheitsfeatures erweitern einfach die für WEP vorhandenen Funktionen. Bei WPA2 reicht die Rechenleistung von WEP-Geräten jedoch nicht für die komplexeren Berechnungen bezüglich AES-CCMP aus, und daher ist die Aktualisierung über ein Firmware-Update nicht möglich. Die Geräte müssen ersetzt werden. Bei den betroffenen APs handelt es sich jedoch typischerweise um ältere Geräte, die vor der Einführung des 802.11g-Standards hergestellt wurden. Neuere APs - zum Beispiel solche, die den 802.11g-Standard bereits unterstützen - können möglicherweise über ein Update der Firmeware aktualisiert werden.

Prüfen Sie in der Dokumentation oder auf der Website des Herstellers Ihres WLAN-APs, ob Sie den AP ersetzten müssen oder ein Firmeware-Update auf WPA2 vornehmen können.

Weitere Informationen zu den bisher für WPA2 zertifizieren APs finden Sie im Artikel Wi-Fi Alliance Certified Products Listing (englischsprachig).

Änderungen an WLAN-Netzwerkkarten

Wie die APs müssen Sie auch die WLAN-Netzwerkkarten möglicherweise ersetzen. Auch hier gilt, dass ältere Geräte nicht über genügend Rechenkapazität verfügen, um AES CCMP nutzen zu können. Prüfen Sie auch hier in der Dokumentation oder auf der Website des Herstellers, ob Sie die Netzwerkkarten ersetzten müssen oder ein Firmeware-Update auf WPA2 vornehmen können.

Bei WLAN-Clients unter Windows XP Service Pack 2 benötigen Sie einen aktuellen Treiber, der WPA2 unterstützt. Dieser Treiber muss in der Lage sein, die WPA2-Funktionen der Karte an die Windows XP Wireless Auto Configuration weiterzureichen.

Weitere Informationen zu den bisher für WPA2 zertifizierten WLAN-Netzwerkkarten finden Sie im Artikel Wi-Fi Alliance Certified Products Listing (englischsprachig).

Änderungen an WLAN-Clientsoftware

Damit Sie die WPA2-Authentifizierungsoptionen konfigurieren können, müssen sie die entsprechende WLAN-Software aktualisieren. Das WPA2/WPS IE-Update für Computer mit Windows XP Service Pack 2 wirkt sich auf die folgenden Komponenten von Windows aus:

  • Das Dialogfenster Drahtlosnetzwerk auswählen
  • Die Registerkarte Zuordnung der Eigenschaften eines WLANs

Wenn Sie mit einem WPA2-fähigen WLAN verbunden sind, dann wird im Dialogfenster "Drahtlosnetzwerk auswählen" der Netzwerktyp als WPA2 angezeigt. Ein Beispiel hierzu sehen Sie in der folgenden Abbildung.

Dn308943.6E5723279506D07EA9AA714100D55C8D(de-de,TechNet.10).png

In den Eigenschaften eines WLANS stehen auf der Registerkarte Zuordnung im Auswahlfeld Netzwerkauthentifizierung folgende Optionen zur Verfügung: WPA2 (bei WPA2-Enterprise) und WPA2-PSK (WPA2-Personal). Diese Optionen werden jedoch nur dann angezeigt, wenn WLAN-Netzwerkkarte und -Treiber WPA2 unterstützen. In der folgenden Abbildung sehen Sie ein Beispiel.

Dn308943.46F6863112B42740C8BE86CB480E2918(de-de,TechNet.10).png

Dn308943.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zusätzliche Informationen

Weitere Informationen zu WPA2 und zu Windows-Unterstützung von 802.11 WLAN-Technologien finden Sie unter den folgenden Links:

Dn308943.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang


Anzeigen: