In der Sicherheitstechnik von WLAN werden drei Hauptsicherheitsziele definiert um die schützenswerten Daten zu sichern. Diese drei Elemente der Dreiergruppe sind folgende:

Confidentiality (Vertraulichkeit):

  • Verschlüsselte Daten dürfen nur von autorisierten Benutzern entschlüsselt/gelesen werden
  • RC4, AES

Integrity (Integrität):

  • Daten dürfen nicht einfach unbemerkt ohne Nachvollziehbarkeit verändert werden
  • MD5, CRC, MIC

Authenticity (Authentizität):

  • Dieses Sicherheitsziel beschäftigt sich mit der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit der gesendeten und empfangen Daten
  • Shared Keys, Zertifikate, Key 1 – 4 (WEP)

OPEN

Eine unverschlüsselte Verbindung im WLAN wird „OPEN“ genannt. Die Datenkommunikation ist komplett unverschlüsselt und wird offen durch die Luftschnittelle übertragen. Dadurch ist ein Abhören und Mitschneiden ohne weiteres möglich und bietet eine optimale Angriffsfläche. Die meisten öffentlichen Hotspots sind unverschlüsselt. Von daher ist Vorsicht bei der Benutzung geboten. Eine Möglichkeit wäre die Nutzung eines verschlüsselten VPN Tunnels (z. B. IPSec, OpenVPN) während der Verwendung eines öffentlichen Hotspots.

Wired Equivalent Privacy – WEP

  • WEP 40 (64Bit) / 104 (128 Bit)
  • 32 Bit-Prüfsumme (ICV)
  • Schwacher 24 Bit-Initialisierungsvector (IV)
  • Authentisierungs-Modi
    • Open System authentication
    • Shared Key authentication (Challenge-Response-Authentifizierung)
  • Verschlüsselung mit RC4
    • IV wird mit Schlüssel verknüpft (Keystream)
    • Bytestrom (Message + ICV) XOR-Verknüpfung mit Keystream
  • Obsolete

Wi-Fi Protected Access

WPA

  • Temporal Key Integrity Protocol (TKIP)
    • RC4-Algorithmus für Verschlüsselung
    • 64-Bit Hashfunktion Michael (MIC)
    • Sequenzierung – TKIP Sequence Counter (TSC)
    • Jedes Datenpaket mit anderem Schlüssel (Replay-Attacken)
      • 48-Bit Initialisierungsvektor (IV)
      • MAC-Adresse des Clients
    • Rekeying nach 2 falschen MICs in 60 Sekunden
  • Modis
    • Personal: Pre-Shared Key (Passphrase 8- 63 Zeichen)
    • Enterprise: EAP 802.1X (EAP-PEAP, EAP-TLS, EAP-TTLS, …)
  • Firmware Update

WPA2

  • Counter Mode Cipher Block Chaining Message Authentication Code Protocol (CCMP)
    • Advanced Encryption Standard (AES)
    • Verschlüsselung der Daten (CM)
    • Integritätsprüfung und Authentifizierung der Daten (CBC-MAC)
    • 128-Bit lange Schlüssel
    • 48-Bit Initialisierungsvektor (IV)
    • Paketnummer (CCMP Header)
    • Voraussetzung
  • TKIP (Temporal Key Integrity Protocol) Optional
  • Modis
    • Personal:
      Pre-Shared Key
      (Passphrase 8- 63 Zeichen)
    • Enterprise:
      EAP 802.1X
      (EAP-PEAP, EAP-TLS, …)
  • Robust Security Network (RSN)

WPA3

  • Simultaneous Authentication of Equals (SAE)
  • Protected Management Frames (PMF)
  • Personal: 128 Bit Key
  • Enterprise: 192 Bit Key
  • Opportunistic Wireless Encryption (OWE)