Auch bei der Verwendung von Wireless LAN Clients (Laptops, Tablets\/PDAs, Smartphones), steigert der Einsatz von X.509 Zertifikaten – in Kombination mit einem RADIUS-Server – die Sicherheit deutlich.<\/p>\n
Die Verschl\u00fcsselung von Drahtlosverkehr erfolgt grunds\u00e4tzlich ab\u00a0 OSI-Layer 2, aktuell werden dazu der WPA (Wi-Fi Protected Access)\u00a0 Standard mit RC4 basierter TKIP (TKIP – T emporal Key Integrity Protocol)<\/em> Verschl\u00fcsselung, respektive WPA2 mit verbesserter AES basierter CCMP (CCMP – Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) <\/em>Verschl\u00fcsselung verwendet. Beide WPA Versionen gibt es jeweils in einer Personal und einer Enterprise Variante.<\/p>\n WPA\/WPA2 Personal<\/strong> <\/span> WPA\/WPA2 Enterprise<\/strong> <\/span> Die WPA\/WPA2 Enterprise RADIUS-Authentifizierung kann Computer oder Benutzerbezogen erfolgen:<\/p>\n Vgl. Coleman, David et al.: \u201eCertified Wireless Security Professional \u2013 Official Study Guide\u201c, <\/a>S. 75-89.<\/p>\n<\/div>\n Auch bei der Verwendung von Wireless LAN Clients (Laptops, Tablets\/PDAs, Smartphones), steigert der Einsatz von X.509 Zertifikaten – in Kombination mit einem RADIUS-Server – die Sicherheit deutlich. Die Verschl\u00fcsselung von Drahtlosverkehr erfolgt grunds\u00e4tzlich ab\u00a0 OSI-Layer 2, aktuell werden dazu der … Weiterlesen
\nDie Personal Variante<\/em> basiert dabei auf einem am Access Point vorkonfigurierten Preshared Key (PSK), ein bis zu 63-stelliger ASCII Wert, der nach einer festen Formel in einen 256-Bit Schl\u00fcssel umgewandelt wird. Der Nachteil dieses Verfahrens besteht darin, dass jeder Zugriffsclient den identischen Schl\u00fcssel vorkonfiguriert haben muss. Gelingt es einem Angreifer z.B. durch eine Social Engineering Attacke auch nur einen dieser PSKs in Erfahrung zu bringen, kann er mit beliebigen Clients dem Netzwerk beitreten und auf die Ressourcen zugreifen. Die einzige M\u00f6glichkeit den Angreifer wieder aus dem Netz zu dr\u00e4ngen besteht dann darin, alle Schl\u00fcssel sowohl auf dem Zugriffspunkten als auch auf den Clients zu tauschen.<\/p>\n
\nDie WPA Enterprise<\/em> Varianten umgehen diesen Umstand, indem sie zwingend eine 802.1x RADIUS Authentifizierung mit Zertifikaten verlangen. Dadurch besitzt jeder Zugriffsclient ein individuelles, sperrbares Schl\u00fcsselpaar mit zudem deutlich erweiterter Schl\u00fcsselkomplexit\u00e4t, um Angriffe zu erschweren.<\/p>\n\n