Auch bei der Verwendung von Wireless LAN Clients (Laptops, Tablets/PDAs, Smartphones), steigert der Einsatz von X.509 Zertifikaten – in Kombination mit einem RADIUS-Server – die Sicherheit deutlich.
Die Verschlüsselung von Drahtlosverkehr erfolgt grundsätzlich ab OSI-Layer 2, aktuell werden dazu der WPA (Wi-Fi Protected Access) Standard mit RC4 basierter TKIP (TKIP – T emporal Key Integrity Protocol) Verschlüsselung, respektive WPA2 mit verbesserter AES basierter CCMP (CCMP – Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) Verschlüsselung verwendet. Beide WPA Versionen gibt es jeweils in einer Personal und einer Enterprise Variante.
WPA/WPA2 Personal
Die Personal Variante basiert dabei auf einem am Access Point vorkonfigurierten Preshared Key (PSK), ein bis zu 63-stelliger ASCII Wert, der nach einer festen Formel in einen 256-Bit Schlüssel umgewandelt wird. Der Nachteil dieses Verfahrens besteht darin, dass jeder Zugriffsclient den identischen Schlüssel vorkonfiguriert haben muss. Gelingt es einem Angreifer z.B. durch eine Social Engineering Attacke auch nur einen dieser PSKs in Erfahrung zu bringen, kann er mit beliebigen Clients dem Netzwerk beitreten und auf die Ressourcen zugreifen. Die einzige Möglichkeit den Angreifer wieder aus dem Netz zu drängen besteht dann darin, alle Schlüssel sowohl auf dem Zugriffspunkten als auch auf den Clients zu tauschen.
WPA/WPA2 Enterprise
Die WPA Enterprise Varianten umgehen diesen Umstand, indem sie zwingend eine 802.1x RADIUS Authentifizierung mit Zertifikaten verlangen. Dadurch besitzt jeder Zugriffsclient ein individuelles, sperrbares Schlüsselpaar mit zudem deutlich erweiterter Schlüsselkomplexität, um Angriffe zu erschweren.
Die WPA/WPA2 Enterprise RADIUS-Authentifizierung kann Computer oder Benutzerbezogen erfolgen:
- Für die Computerbezogene Authentifizierung muss am Zugriffsclient ein Computerauthentifizierungszertifikat mit dem korrekten DNS-Namen im Computer Store installiert sein, sowie in Windowsumgebungen der Client Mitglied der Domäne sein (bzw. ein vordefiniertes Mapping auf ein Manuell erstelltes Computerobjekt existieren). Die Computerbezogene Authentifizierung bewirkt, dass sich der Client schon im Netz befindet, noch bevor sich der erste Benutzer einloggt. Dies hat den Vorteil, dass schon vorab eine Verbindung zum Verzeichnisdienst aufgebaut werden kann bzw. auch remote administrative Aufgaben wie z.B. Softwareupdates, Monitoring am Client durchgeführt werden können, ohne dass zuvor eine Benutzerbezogene Authentifizierung durchgeführt werden muss.
- Für die reine Benutzerbezogene Authentifizierung können analog zu (Kapitel VPN mit Zertifiakten) jeweils die Verfahren PEAP-MSCHAPv2, EAP-TLS bzw. PEAP-TLS mit den jeweiligen X.509 Zertifikaten verwendet werden. Erst mit der abgeschlossenen Authentifizierung des Benutzers wird ein Zugriff auf das Netz erteilt.
- Eine Kombination beider Methoden macht z.B. Sinn, wenn man die Computerauthentifizierung nur für den Zugang zu beschränkten Ressourcen zulässt (z.B. nur Zugriff auf separates V-LAN mit Update Servern) und einen unbeschränkten Netzzugang erst mit anschließender Benutzerbezogener Authentifizierung freischaltet.
Vgl. Coleman, David et al.: „Certified Wireless Security Professional – Official Study Guide“, S. 75-89.
