wlan sicherheit

SicherheitsmechanismenFür das Betreiben von WLAN

Phil, Funker, Wolle, Chris

• Sicherheitsmechanismen und ihre Lücken1. SSID2. MAC-Filtering3. WEP / WEP2(TKIP)4. WPA25. FPK

• Empfohlene Schutzmaßnahmen des BSI

01. SSID / SSI

• Dient der namentlichen Identifikation eines WLAN

• Maximale Länge 32 Byte

• Übertragung SSID Layer 2

• Übermittelt Verschlüsselungsverfahren

• lässt sich anzeigen / verbergen

• SSID wird unverschlüsselt gesendet

1. SSID/SSI (Service Set Identifier)

4

02. MAC-Filtering

• Tabelle mit MAC-Adressen steuert Zugriff (Access Point, Client etc.)

• Muss manuell gepflegt werden (aufwändig)

• Schwächen:

• Unsicher (ARP- Spoofing)

MAC – Filtering (Media Access Control Adress)

6

03. WEP / WEP2(TKIP)

• Unterschied WEP und WEP2:

• WEP: Ein (General-)Schlüssel für alle Pakete

• WEP2: Jedes Datenpaket besitzt einen gesonderten Schlüssel

• Beide verwenden den selben Logarithmus (RC4)

WEP / WEP2(TKIP) (Wired Equivalent Privacy)

8

YOUR LOGO

• Älteste und unsicherste Verschlüsselung der drei Standards

• Basiert auf Stromchiffre RC4

(Schlüssel + Initialisierungsvektor)

• Schlüssellänge wahlweise 40/104bit

• Authentisierung:

• “Open” (keine Authentisierung)

• “Shared Key”( Challenge-Response-Verfahren)

WEP / WEP2(TKIP) (Wired Equivalent Privacy)

9

YOUR LOGO

WEP / WEP2(TKIP) (Wired Equivalent Privacy)

• Schwächen:

• Verfälschung von Paketen (durch CRC-Mechanismus)

• Re-Injection-Angriffe (künstlich erzeugte Pakete)

10

YOUR LOGO

04. WPA2

WPA2 (Wi-Fi Protected Access 2)

12

• Aktuellste und sicherste Verschlüsselung

• Verschlüsselung nach AES (Advanced Encryption Standard)

Algorithmus Typ CCMP(Counter-Mode)

• Wird von älteren Geräten evtl. nicht unterstützt

Mixed-Mode Lösung (WPA/WPA2)

• Cipher-Key zur Erstellung der Verschlüsselung wird generiert

13

WPA2 (Wi-Fi Protected Access 2)

14

• Schwächen:

• Wörterbuchattacke(Großrechner)

• Offline-Attacke (ersten zwei Pakete des 4-Way-Handshakes werden aufgezeichnet)

05. FPK

FPK (Fast Packet Keying)

16

• Verfahren für Schlüsselgenerierung

• Beim FPK-Verfahren wird zuerst ein temporärer Schlüssel erzeugt. Dieser temporäre Schlüssel wird mit der TransmitterAdresse in einer XOR-Verknüpfung verknüpft. Daraus entsteht der Temporal Transmitter Adress Key (TTAK), der zwischengespeichert wird. Aus dem TTAK wird mittels eines 48 Bitlangen Initialisierungsvektors (IV) der Per Packet Key (PPK) berechnet, ein Schlüssel, der sich pro Datenpaket ändert. Dabei darf jeder Initialisierungsvektor nur einmal inVerbindung mit dem temporären Schlüssel verwendet werden.

Empfohlene Schutzmaßnahmen des BSI

(Bundesamt für Sicherheit in der Informationstechnik)

06. Einige Schutzmaßnahmen des BSI

18

• A1:Sorgfältige Planung

• A2:Schutzmaßnahmen aktivieren

• A3:Schlüssel und Zugangspasswörter von hoher Komplexität nutzen

• A4:Pre-Shared Keys (PSKs) regelmäßig wechseln

• A5:Aufstellort und Antennencharakteristik der Access Points optimieren

06. Einige Schutzmaßnahmen des BSI

19

• A6:Sendeleistung an den Access Points optimieren

• A7:Regelmäßiges Einspielen von Firmware-Upgrades / Software-Updates auf den WLAN-Komponenten

• A8:Konfiguration der Access Points nur über sichere Kanäle

• A9:WLAN-Komponenten nur bei Gebrauch einschalten

Vielen Dank für Ihre Aufmerksamkeit