WLAN-Authentifizierung
Bei der Authentifizierung im WLAN wird festgestellt, ob die sich verbindende Person über Merkmale verfügt, die für den Zugriff und die Nutzung des WLANs und des dahinterliegenden Netzwerks berechtigen. Im echten Leben weisen wir uns durch Unterschriften, Pässe und Karten aus. Im WLAN ist die Authentifizierung durch die räumliche Trennung und maschinelle Verarbeitung erschwert. Hier greift man auf Passwörter, Schlüssel (digitale Codes), Zertifikate und andere Authentifizierungsmerkmale zurück.
Merkmale zur Authentifizierung im WLAN
- festes Passwort (PSK/SAE)
- individuelle Zugangsdaten (Benutzername und Passwort)
- Zertifikat
Verfahren zur Authentifizierung im WLAN
- Open System
- Enhanced Open / OWE - Opportunistic Wireless Encryption
- Personal Mode
- Enterprise Mode
- WPS - Wi-Fi Protected Setup
- DPP - Device Provisioning Protocol (Easy-Connect)
- Captive Portal
Open System
Bei einem „Open System“ wird auf eine Authentifizierung durch den Access Point verzichtet. Voraussetzung ist nur, dass der WLAN-Client die richtige SSID (WLAN-Name) des Access Point kennt. Die WLAN-Verbindung ist dann aber in der Regel nicht verschlüsselt.
Hinweis: Selbstverständlich kann auf Anwendungsebene eine Authentifizierung erfolgen.
Enhanced Open / OWE - Opportunistic Wireless Encryption
„Enhanced Open“, auch unter dem Namen Opportunistic Wireless Encryption bekannt, ermöglicht WLAN-Clients eine verschlüsselte Verbindung mit einem WLAN-Access-Point ohne Schlüsseleingabe einzugehen. Die Idee dabei ist, auch dann die WLAN-Verbindung zu verschlüsseln, wenn kein Bedarf für eine Authentifizierung besteht oder die Authentifizierung auf der Anwendungsebene mit einem Captive Portal stattfindet, wie es häufig bei WLAN-Hotspots der Fall ist.
Hier erhalten die WLAN-Geräte schon bei der Verbindungsaufnahme (Associate Request und Response) die Parameter für den Diffie-Hellman-Schlüsselaustausch. Damit können sie sich auf einen geheimen Schlüssel einigen (Pairwise Master Key, PMK) und darüber dann die eigentlichen Sitzungsschlüssel zum Verschlüsseln der WLAN-Verbindung austauschen.
Das Sicherheitsniveau entspricht dem von WPA2 mit PSK.
Personal Mode: Pre-Shared Key (PSK) / WLAN-Passwort
Bei der Authentifizierung mit einem Pre-Shared Key (PSK) ist im Access Point ein Passwort hinterlegt, mit dem sich alle WLAN-Clients authentifizieren müssen. Stimmt das Passwort mit dem eingestellten Passwort nicht überein, dann verweigert der Access Point die Authentifizierung des Clients. Erst wenn das Passwort korrekt ist, dann ist die Authentifizierung erfolgreich und eine Verbindung möglich.
Enterprise Mode: IEEE 802.1x
Wenn ein WLAN für eine größere Anzahl Nutzer bereitgestellt wird, dann möchte man den Zugriff auf das WLAN gerne steuern. Das bedeutet, die Nutzer sollen sich mit einer individuellen Benutzername-Passwort-Kombination authentifizieren. Sollen einzelne Nutzer irgendwann keinen Zugriff mehr bekommen dürfen, ist es ausreichend ihnen diese Berechtigung zu entziehen.
IEEE 802.1x ist ein Authentifizierungsverfahren für personen- oder account-bezogene Zugangskontrollen in lokalen Netzwerken (LAN). Im Zusammenhang mit IEEE 802.1x werden auch häufig EAP und RADIUS genannt. EAP ist ein Authentifizierungsprotokoll. Ein RADIUS-Server stellt eine zentrale Benutzerverwaltung bereit. Darüber kann man die Authentifizierung zentral steuern.
Hinweis: Nicht jeder WLAN-Client verfügt über einen IEEE-802.1x-Client. Man spart sich viel Ärger, wenn man auf die WLAN-Authentifizierung per IEEE 802.1x im privaten WLAN verzichtet.
WPS - Wi-Fi Protected Setup
Mit WPS kann man WLAN-Clients per Tastendruck, PIN-Eingabe oder NFC mit dem WLAN verbinden. WPS vereinfacht die Authentifizierung von Geräten ohne Anzeige- und Bedienelemente. In der Praxis wird WPS selten verwendet und viele Implementierungen sind leider nicht sicher, weshalb die Empfehlung gilt, WPS im WLAN-Router abzuschalten.
Eine Alternative ist das Device Provisioning Protocol (DPP), dass WPS ergänzen soll. Hier werden alternative Identifikationsmerkmale, wie QR-Codes verwendet.
DPP - Device Provisioning Protocol (Easy-Connect)
Die typischen WLAN-Clients verfügen über eine grafische Benutzeroberfläche und die Möglichkeit sich durch Auswahl des richtigen WLANs und Eingabe eines Passworts zu authentifizieren und sich somit mit einem WLAN zu verbinden. Es gibt aber auch Clients, aus dem IoT-Bereich, wie Sensoren oder Aktoren, die keine Darstellungs- und Eingabe-Möglichkeiten besitzen. Selbst für ein NFC-Tag ist darauf kein Platz. Dennoch will man solche Geräte mit einem WLAN verbinden.
Das Device Provisioning Protocol, kurz DPP, sieht einen Easy-Connect-Modus vor, bei dem das Koppeln von WLAN-Clients ohne Tastatur und Display vereinfacht wird. Hierbei kann der Nutzer zum Beispiel ein Smartphone verwenden, um ein beliebiges Gerät einem WLAN hinzuzufügen. Dazu scannt bzw. fotografiert der Nutzer mit einer spezifischen App den QR-Code des Access Points und des neuen Geräts. Anhand der erfassten Daten wird das neue Gerät für die Kopplung mit dem Access Point konfiguriert. Anschließend meldet sich das neue Gerät beim Access Point an.
Captive Portal
Ein Captive Portal ist eine Webseite, auf die automatisch umgeleitet wird, wenn sich ein neuer WLAN-Gast an einem öffentlichen WLAN oder WLAN-Hotspot angemeldet hat. Über das Captive Portal werden die Gäste typischerweise auf Anwendungsebene authentifiziert. Zum Beispiel um die Nutzung zu begrenzen, abzurechnen oder zu protokollieren.
Im Gegensatz zur Authentifizierung mit dem Personal oder Enterprise Mode kann das Captive Portal eine individuelle Authentifizierung mit Corporate Design und die Abfrage zur Bestätigung und Kenntnisnahme von Nutzungs- und Geschäftsbedingungen berücksichtigen.
Übersicht: WLAN-Hacking und -Pentesting
- WLAN-Hacking und -Pentesting
- WLAN-Hacking: Schritt für Schritt
- WLAN-Pentesting mit wifite
- WEP-WLAN-Hacking
- WPA/WPA2-WLAN-Hacking
- WPS-WLAN-Hacking
Übersicht: WLAN-Sicherheit
- WLAN-Sicherheit
- WEP - Wired Equivalent Privacy
- WPA - Wi-Fi Protected Access
- WPA2 - Wi-Fi Protected Access 2 / IEEE 802.11i
- WPS - Wi-Fi Protected Setup
- WPA3 - Wi-Fi Protected Access 3
Weitere verwandte Themen:
- IEEE 802.11 / Wireless LAN (WLAN)
- Sicherheit in Netzwerken
- Authentifizierung im Netzwerk
- IEEE 802.1x / RADIUS
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.