WPA2 – Wi-Fi Protected Access 2

Was ist WPA2?

WPA2 ist die Abkürzung für Wi-Fi Protected Access 2 und der in 2004 eingeführte Nachfolger von WPA. Der Standard dient der Authentifizierung und Verschlüsselung von WLANs und basiert auf der IEEE-Norm 802.11i. Dies bedeutet nicht, dass WPA2 identisch mit 802.11i ist, es enthält lediglich einen Teil des IEEE 802.11i Standards. WPA2 sichert das drahtlose Netzwerk vor unbefugten Zugriffen und verhindert das Mitlesen von ausgetauschten Daten durch Dritte. Im Vergleich zu seinem Vorgänger WPA verwendet WPA2 eine deutlich sicherere Verschlüsselungsmethode namens AES (Advanced Encryption Standard). Damit gilt es bis heute unter Verwendung eines starken Passworts als eine sehr sichere Verschlüsselungs- und Authentifizierungsmethode. 

 

Funktionsweise von WPA2

Der wesentliche Unterschied zwischen WPA und WPA2 ist die Verschlüsselungsmethode. Anders als bei WPA verwendet WPA2 das AES Verfahren, ein symmetrisches Verschlüsselungsverfahren. Es wird ein 128 Bit langer individueller Schlüssel durch ein acht bis 63 Zeichen langes Passwort ermittelt. Der Schlüssel wird dann zwischen dem WLAN-Client und dem Access Point über einen 48 Bit langen Initialisierungsvektor (IV) berechnet. Dabei handeln WLAN-Client und Access Point den Schlüssel in regelmäßigen Intervallen neu aus, um Wiederholungen des Schlüssels zu verhindern. Trotz einer bekannten Angriffsmethode gilt dieses Verfahren bis heute als sehr sicher.

Das Sicherheitsprotokoll TKIP (Temporal Key Integrity Protocol) wurde zuletzt von WPA genutzt. Nun wurde es bei WPA2 durch CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) abgelöst. Der Sicherheitsstandard nutzt eine Kombination von verschiedenen kryptografischen Algorithmen.

Die Authentifizierungsmethode per Pre-shared Key (PSK) oder einem zentralen Authentifizierungsserver wie beispielsweise einem RADIUS-Server, ist auch bei WPA2 gleich geblieben. Die PSK Authentifizierung wird auch Personal-Mode und die zentrale Authentifizierung Enterprise-Mode genannt.

 

Sicherheitskonzept von WPA2

Wie bereits erwähnt, gibt es bei der Authentifizierung der Daten zwei Möglichkeiten: Den Enterprise-Mode und den Personal-Mode.

Enterprise-Mode 

Beim Enterprise-Mode geschieht die Authentifizierung per RADIUS-Server und ist fast identisch mit IEEE 802.11i. Es fehlt nur die Fast Roaming Funktion, die für VoIP-, Audio- und Video-Anwendungen verwendet wird. Diese Funktion dient dem schnellen Wechsel zwischen zwei Access Points und ermöglicht so eine unterbrechungsfreie Verbindung. Im Falle eines Verbindungsaufbaus mit dem Access Point durch den WLAN-Client sperrt der Access Point die Nutzung des WLANs bis auf den Authentifizierungsverkehr. Anschließend leitet der Access Point die Anfrage auf Authentifizierung an den RADIUS-Server. Dieser entscheidet dann, ob der Zugriff genehmigt oder verweigert wird. Die Authentifizierung des Clients geschieht durch das EAP (Extensible Authentication Protocol).

Personal-Mode

Der Personal-Mode eignet sich für Privatnutzer und kleine Unternehmen und wird fast ausschließlich auf SOHO-Geräten (Small Office/ Home Office-Geräten) genutzt. Hierbei erfolgt die Authentifizierung mit einem Pre-Shared-Key über den sowohl der WLAN-Client als auch der Access Point verfügt. 

 

Wie sicher ist WPA2?

Im Vergleich zu WEP und WPA ist WPA2 deutlich sicherer als seine beiden Vorgänger. Die bei WPA2 verwendete AES Verschlüsselung ist schwer angreifbar und kann nur mit großem Aufwand gehackt werden.

Besonders wichtig für die Sicherheit des WLANs ist das WPA2 Passwort. Dieses sichert nahezu jedes WLAN und befindet sich an der Unterseite Ihres Routers. Um das WLAN ausreichend zu sichern, sollten Sie ein Passwort von mindesten 20 Zeichen mit Groß-, Kleinbuchstaben, Zahlen sowie Sonderzeichen wählen. Noch besser wird es durch den Einsatz eines zentralen RADIUS-Server für die Authentifizierung gesichert, sprich die Nutzung des Enterprise-Mode.

 

Wo liegen die Schwachstellen?

Obwohl WPA2 als sichere Verschlüsselungsmethode gilt, liegen ein paar Schwachstellen vor. Eine Schwachstelle bei Wi-Fi Protected Access 2 ergibt sich bei der Verwendung eines Wi-Fi Protected Setup (WPS). WPS dient der vereinfachten Konfiguration von WLAN-Geräten. Es empfiehlt sich allerdings, WPS auf allen WLAN-Routern und Access Points zu deaktivieren, da es leicht angreifbar ist.

Ein weiteres Problem ist, dass sich ein WLAN-Client gegenüber einem Access Point mit dem WLAN-PSK authentifiziert, umgekehrt jedoch nicht. Hierbei kann sich ein Angreifer als Access Point ausgeben und in einem vermeintlichen Verbindungsaufbau die erforderlichen Daten für das Passwort herausfinden. Der Angriff erfolgt zwischen dem Client und dem Access Point während der Authentifizierung. So muss sich der Angreifer nicht einmal mit dem Access Point verbinden. Es reicht, die Authentifizierung aufzuzeichnen, um danach per Brute Force den Pre-Shared-Key zu ermitteln. Brute Force ist eine Angriffsmethode, bei der keine Strategie zum Entschlüsseln von Passwörtern verwendet wird. Das Passwort wird durch Ausprobieren entschlüsselt. Der Angreifer muss sich bei dieser Methode nicht in der Nähe des Access Points befinden. Er muss sich lediglich gegenüber dem Client, der angegriffen werden soll, als der passende Access Point ausgeben.

Bei Verwendung des Personal-Modes kann das Passwort eine Sicherheitslücke aufkommen lassen, wenn dieses zu kurz oder einfach zu erraten ist. Daher ist ein langes Passwort mit vielen zufälligen Buchstaben, Sonderzeichen und Zahlen ratsam, weil es den Angriff erschwert.

Eine bekannte Angriffsmethode wird auch als KRACK (Key Reinstallation Attack) bezeichnet. Hier werden Schwächen beim Verbindungsaufbau und bei der Aushandlung der Schlüssel im Handshake-Verfahren genutzt. Das Handshake-Verfahren ist ein Authentifizierungsvorgang im Personal-Mode. Dabei kommunizieren der Access Point und der WLAN-Client viermal miteinander, um die Authentifizierung zu genehmigen oder abzulehnen. Das Verfahren besteht aus vier Schritten, bei dem im dritten Schritt der geheime Schlüssel mehrfach gesendet wird. Dieser Schlüssel kann vom Angreifer abgefangen und manipuliert werden, sodass er die Verschlüsselung aufheben kann. Durch das erneute Senden von Handshake-Nachrichten kann der Client zu einer erneuten Installation eines bereits verwendeten Schlüssels gebracht werden. Aus dem wiederholten Schlüsselstrom lässt sich dann der richtige Schlüssel ermitteln. Von dieser KRACK-Schwachstelle sind vor allem clientseitige Android-, Linux- und GNU-Implementierungen betroffen, Apple- und Windows-Geräte zeigen nur Teile dieser Schwachstelle. Um diese Sicherheitslücke abzudecken, gibt es für die meisten Geräte mittlerweile Patches. 

 

Das sollten Sie bei der WLAN-Verschlüsselung beachten

Um die Sicherheit Ihres WLANs zu erhöhen, haben wir einige Maßnahmen für Sie zusammengefasst, die Ihren Router noch sicherer machen. 

  • Der Netzwerkschlüssel: Der einfachste Weg, Ihr WLAN besser zu schützen ist mit einem starken WLAN-Passwort. Wechseln Sie das vom Hersteller vorgegebene Passwort zu einem individuellen Passwort mit möglichst vielen Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen.

  • Die richtige Verschlüsselungsmethode: Überprüfen Sie, welche Verschlüsselungsmethode Ihr Router unterstützt. Da WEP ein veralteter Standard ist, sollte dieser nicht gewählt werden. Das sicherste Verfahren ist der derzeitige WPA2 Standard. Besitzen Sie ein altes WLAN-Gerät, haben Sie die Möglichkeit, die Methode WPA + WPA2 zu verwenden. Dabei wird je nach Kompatibilität zwischen WPA und WPA2 gewechselt.

  • Der Netzwerkname – SSID: Um zu verhindern, dass Angreifer Ihren Router schnell identifizieren können, sollten Sie den vorgegebenen Netzwerknamen ändern. Dies können Sie in den Einstellungen Ihres Routers vornehmen.

  • WPS deaktivieren: Wie bereits erwähnt, wird WPS für einen schnellen Verbindungsaufbau und zur Konfiguration von WLAN-Geräten zum Router verwendet. Da hier eine große Sicherheitslücke auftritt, bietet es sich an, WPS zu deaktivieren. Der manuelle Verbindungsaufbau neuer Geräte zum WLAN ist deutlich sicherer. 

 

Fazit

Auch wenn mittlerweile bereits die Rede von WPA3 ist, wird es noch eine Weile dauern, bis der erweiterte Standard auf dem Markt angekommen ist. Damit alle die Vorteile von WPA3 ausnutzen können, muss dieses erst in das gesamte Ökosystem implementiert sein. Zur Zeit ist WPA3 nur für den Bundesnachrichtendienst von Bedeutung.

WPA2 ist mit seiner neuen Verschlüsselungsmethode nicht nur für private Haushalte, sondern auch für Unternehmen geeignet und zurzeit die sicherste Lösung zur Datenübertragung. Im Unternehmensbereich empfiehlt sich der Enterprise-Mode für die Authentifizierung mit einem geeigneten RADIUS-Server. Darüber hinaus bieten die oben genannten Sicherheitsmaßnahmen zusätzlichen Schutz. So sind Ihre Daten vor einem Hacker Angriff gesichert.

 

FAQ

Wo befindet sich das WPA2 Passwort?

Das WPA2 Passwort wird bei der Lieferung Ihres WLAN-Routers mitgesendet und befindet sich für gewöhnlich an der Unterseite des Routers.

Wie lang darf das WPA2 Passwort sein?

Die maximale Länge eines WPA2 Passworts beträgt 63 Zeichen.

Ist TKIP oder AES sicherer?

Das TKIP-Protokoll wurde zuletzt noch bei WPA zur Verschlüsselung verwendet. Wie sich jedoch herausstellte, ist diese Art der Verschlüsselung nicht mehr zeitgemäß und somit auch nicht mehr sicher. Das AES Verfahren bietet als neuester Verschlüsselungsstandard deutlich mehr Sicherheit.