WPA2 - Wi-Fi Protected Access 2 / IEEE 802.11i

WPA2 (Wi-Fi Protected Access 2) bzw. IEEE 802.11i ist ein Standard aus dem Jahr 2004 für die Authentifizierung und Verschlüsselung von WLANs, die auf den IEEE-Spezifikationen 802.11 basieren. Der Entwurf für ein standardisiertes Verschlüsselungsverfahren war deshalb notwendig, weil die Verschlüsselung mit WEP nicht wirklich sicher war. IEEE 802.11i sollte die groben Sicherheitsmängel von WEP beseitigen.

Nach der Verabschiedung von IEEE 802.11i erweiterte die Herstellervereinigung Wi-Fi Alliance den vorausgegangenen Standard WPA um eine zweite Version. Damit basiert WPA2 auf dem Standard IEEE 802.11i. Zu beachten ist, dass WPA2 mit IEEE 802.11i nicht identisch ist. WPA2 enthält nur einen Teil von IEEE 802.11i.

Im Jahr 2018 wurde der Nachfolger WPA3 spezifiziert, der einige Fehler, die bei der Implementierung von WPA2 entstehen könnten, beseitigt. Außerdem wurde WPA3 an die aktuelle Sicherheitslage angepasst.

Sicherheitskonzept von WPA2

  • Sicherheitskonzept von WPA übernommen und erweitert.
  • Verschlüsselung: AES statt TKIP (RC4).
  • Schwachstelle: TKIP als Fallback (schlecht).
WPA-Variante   WPA WPA2
Personal Mode Authentifizierung PSK PSK
Verschlüsselung TKIP/MIC AES-CCMP
Enterprise Mode Authentifizierung 802.1x/EAP 802.1.x/EAP
Verschlüsselung TKIP/MIC AES-CCMP

Der wesentliche Unterschied zwischen WPA und WPA2 ist die Verschlüsselungsmethode. Während WPA das weniger sichere TKIP verwendet, kommt in WPA2 das sichere AES zum Einsatz.
AES (Advanced Encryption Standard) ist der Nachfolger des veralteten DES (Data Encryption Standard). In der Regel bringt AES mehr Datendurchsatz als TKIP. Moderne WLAN-Chipsätze enthalten einen Hardware-Beschleuniger für AES. Bei TKIP muss in der Regel der interne Prozessor die Arbeit erledigen.

WPA2 Enterprise Mode

Der WPA2 Enterprise Mode ist mit IEEE 802.11i fast identisch. Der Unterschied ist die fehlende Funktion Fast Roaming, die für VoIP-, Audio- und Video-Anwendungen interessant ist. Mit dieser Funktion wird der Wechsel zwischen zwei Access Points (AP) schneller durchgeführt. Die Verbindung verläuft damit unterbrechungsfrei.
Wesentlicher Bestandteil ist die Authentifizierung per RADIUS.

WPA2 Personal Mode

Der WPA2 Personal Mode ist eine abgespeckte WPA2-Variante, die hauptsächlich in SOHO-Geräten für Privatanwender und kleine Unternehmen gedacht ist. Die Authentifizierung erfolgt mit ein Pre-Shared-Key (Passwort).

Funktionsweise von IEEE 802.11i und WPA/WPA2

Funktionsweise von IEEE 802.11i und WPA/WPA2

Bei der WPA-Schlüsselverhandlung bekommen die Stationen Rollen zugewiesen. Der Access Point ist der Authenticator (Beglaubigter) und der Client der Supplicant (Antragsteller/Bittsteller). Dabei ist genau festgelegt, welche Seite welches Paket zu welchem Zeitpunkt verschickt und wie darauf reagiert werden muss.

Bei WPA bzw. WPA2 erfolgt die Netzwerk-Authentifizierung mit einem Pre-Shared-Key (PSK) oder alternativ über einen zentralen 802.1x/Radius-Server. Dabei wird ein Passwort mit 8 bis 63 Zeichen Länge verwendet. Das Passwort ist Teil eines 128 Bit langen individuellen Schlüssels, der zwischen WLAN-Client und dem Access Point ausgehandelt wird. Der Schlüssel wird zusätzlich mit einem 48 Bit langen Initialization Vector (IV) berechnet. Dadurch wird die Berechnung des WPA-Schlüssels für den Angreifer enorm erschwert.

Die Wiederholung des aus IV und WPA-Schlüssel bestehenden echten Schlüssels erfolgt erst nach 16 Millionen Paketen (224). In stark genutzten WLANs wiederholt sich der Schlüssel also erst alle paar Stunden. Um die Wiederholung zu verhindern, sieht WPA eine automatische Neuaushandlung des Schlüssels in regelmäßigen Abständen vor. Damit wird der Wiederholung des echten Schlüssels vorgegriffen. Aus diesem Grund lohnt es sich für den Angreifer kaum den Datenverkehr zwischen Access Point und WLAN-Clients abzuhören.

Ablauf der Authentifizierung im Personal Mode (4-Wege-Handshake)

  1. Client zu AP: Authenticaton Request
  2. AP zu Client: Challenge Text
  3. Client zu AP: Challenge Response
  4. AP zu Client: Authentication Success/Failure

Wird das WLAN-Passwort auf dem WLAN-Client gespeichert?

Es wird nicht das eigentliche WLAN-Passwort gespeichert, sondern ein Pre-Shared-Key (PSK) bzw. der Pairwise Master Key (PMK). Aus diesem wird der Pairwise Transient Key (PTK) abgeleitet, der dann zur Verschlüsselung verwendet wird. Der PMK kann nur durch Bruteforce gebrochen werden.

Wie sicher ist WPA2?

WPA2 hat verschiedene Schwachstellen.

  • Eine Schwachstelle ist der Schlüssel, der bei Broadcasts und Multicasts die Datenpakete verschlüsselt (Groupkey). Dieser Schlüssel ist allen Clients bekannt. Bekommt eine nicht autorisierte Person diesen Schlüssel heraus, ist sie in der Lage den anfänglichen Schlüsselaustausch zwischen Client und Access Point zu belauschen und herauszubekommen. Die Aushandlung dieses Schlüssels ist zumindest bei IEEE 802.11i täglich vorgesehen (86.400 Sekunden).
  • Eine weitere Schwachstelle ist das WLAN-Passwort beim Personal Mode. Je kürzer oder simpler dieses Passwort ist, desto einfacher ist es zu erraten und desto schneller bekommt ein Hacker Zugriff auf das geschützte Netzwerk. Ein langes Passwort mit zufälligen Buchstaben, Zeichen und Zahlen dürfte zumindest nicht so einfach zu erraten sein. Das bedeutet, ein Angreifer müsste alle denkbaren Kombination ausprobieren (Brute-Force-Angriff).
  • Eine weitere Schwachstelle ist, dass sich ein WLAN-Client gegenüber dem Access Point mit dem WLAN-PSK authentifiziert, aber nicht umgekehrt. Das heißt, ein Angreifer kann sich für einen bekannten Access Point ausgeben und die erforderlichen Daten zum Knacken des Passworts während eines gefakten Verbindungsaufbaus abgreifen. Der Schwachpunkt dabei ist, dass der Angreifer sich nicht mit dem Access Point verbinden muss (Online-Angriff). Der Angriff erfolgt nicht auf den AP, sondern zwischen einem Client und dem Access Point bei der Anmeldung bzw. Authentifizierung. Dazu reicht es aus, diese Sitzung passiv aufzuzeichnen und später per Brute Force den WLAN-PSK zu ermitteln. Dabei ist es noch nicht einmal notwendig, in der Nähe des Access Points zu sein. Es reicht aus, wenn man einen betreffenden Client vorgaukelt dieser Access Point zu sein.
  • Bei allen Routern und Access Points, die Fast Roaming nach IEEE 802.11r unterstützen, können Angreifer einen zum Brechen des WLAN-Schlüssels nötigen Hash-Wert leichter und zuverlässiger erlangen. Der immer noch notwendige Brute-Force-Angriff dauert dann immer noch Stunden bis Tage. Der Angriff ist dann aber nur noch einmal notwendig.

Der eigentlich WPA/WPA2-Hack beruht darauf, dass man einen Handshake aufzeichnet und anschließend alle möglichen PSKs ausprobiert, um daraus PMK, PTK und KEK zu errechnen, um damit den MIC (Message Integrity Check) auszurechnen und mit dem des Clients zu vergleichen. Stimmen beide überein hat man das richtige WLAN-Passwort. Anschließend meldet sich der Angreifer als regulärer Nutzer am WLAN an.

WPA2 mit Pre-Shared-Key gilt als einigermaßen sicher, wenn ein starkes Passwort (komplex und lang) verwendet oder noch besser ein zentraler Radius-Server für die Authentifizierung eingesetzt wird (Enterprise Mode).
Der Einsatz von WPA3 sollte das Mittel der Wahl sein, weil davon auszugehen ist, dass mit der Zeit weitere Schwachstellen und vereinfachende Angriffe gefunden werden.

WLAN-Angriff mit KRACK

„KRACK“ steht für „Key Reinstallation Attacks“ und bezeichnet einen Angriff auf eine Schwachstelle im WPA2-Protokoll.
Bei der Verbindung eines Clients mit einem Access Point erfolgt Vier-Wege-Handshake bei dem ein geheimer Schlüssel erzeugt wird. Im dritten von vier Schritten kann dieser geheime Schlüssel mehrfach gesendet werden. Ein Angreifer kann den Schlüssel abfangen und manipulieren und somit die Verschlüsselung aushebeln. Denn durch das erneute Senden von Handshake-Nachrichten ist es möglich, den Client zur erneuten Installation eines bereits verwendeten Schlüssels zu bringen. Der Schlüsselstrom wiederholt sich also, wenn bekannte Inhalt verschlüsselt werden. Somit kann der Schlüssel ermittelt werden. Auch dann, wenn Pakete keinen bekannten Inhalt haben, ist ihre Entschlüsselung in bestimmten Fällen möglich. Davon sind im Prinzip alle WLAN-Clients betroffen, da es sich um eine Schwachstellen auf Protokoll-Ebene handelt, die in allen Implementierungen enthalten ist.

Übersicht: WLAN-Hacking und -Pentesting

Übersicht: WLAN-Sicherheit

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!