WLAN-Sicherheit auf Knopfdruck
Drei, zwei, eins sicher
Triumvirat neuer Techniken
WLAN-Sicherheit auf Knopfdruck
Die Verschlüsselung von WLAN-Funknetzen aller Art ist eine zeitaufwändige und komplexe Angelegenheit. Denn ein sicherer Schlüssel ist möglichst lang bei WPA bis zu 63 Zeichen und besteht aus schwer zu merkenden Kombinationen von Buchstaben, Ziffern und Sonderzeichen. Muss der Schlüssel noch dazu auf mehreren Rechnern eingegeben werden, schleichen sich schnell Tippfehler ein. Meist wird dann aus reiner Bequemlichkeit sogar auf elementare Sicherheit verzichtet und ein kurzer, für Angreifer sehr einfach zu erratender Schlüssel erdacht.
Einige WLAN-Hersteller haben das Problem allerdings erkannt und bieten Lösungen an. Bereits seit 2003 verwendet Buffalo eine Technik unter dem Namen Airstation One Touch Secure System (AOSS). In Deutschland ist Buffalo bereits seit November 2004 mit mehreren AOSS-Produkten am Markt, beispielsweise den beiden Airstation-Modellen WZR-G108 und WHR-G54S.
Eine ähnliche Technik entwickelte Chipproduzent Broadcom zusammen mit HP und Linksys. Die Secure Easy Setup genannte Technik wird lizenzfrei anderen Herstellern angeboten. Alle seit Februar 2005 von Buffalo ausgelieferten Geräte mit AOSS sind kompatibel zu Secure Easy Setup. Davor produzierte Adapter verstehen sich aber nur mit anderen AOSS-Geräten. Linksys verwendet Secure Easy Setup im Router WRT54G-D2.
Mit nur einem Knopfdruck
WLAN-Sicherheit auf Knopfdruck
AOSS funktioniert in fünf Schritten. Als Voraussetzung muss auf dem Client beispielsweise einem Notebook mit Funk-PC-Karte die spezielle AOSS-Software Client Manager installiert sein. Auf dem Client klickt der Benutzer jetzt die Schaltfläche AOSS an. Der Client Manager fordert dazu auf, den AOSS-Knopf am Router zu drücken. Daraufhin wechselt der Router auf eine vorher festgelegte SSID und wartet auf Clients, die sich bei ihm anmelden. Die Software sucht nun diesen Router mit der vereinbarten SSID und stellt die Verbindung her.
Im zweiten Schritt erzeugt der Router einen aus Zeitstempel und MAC-Adresse bestehenden, mit RC4 kodierten Schlüssel, der den weiteren Datenaustausch sichert. Parallel dazu legt der Router Schlüssel für WEP64, WEP128, WPA/TKIP und WPA/AES an. Für jeden Schlüssel wird außerdem eine eigene SSID eingerichtet.
Der Client informiert im dritten Schritt den Router, welche Arten der Verschlüsselung er unterstützt. Alle vier Schlüssel und die zugehörigen SSIDs werden im nächsten Schritt an den Client übertragen und dort gespeichert. Abschließend wählt der Client die höchste ihm mögliche Verschlüsselungsart und aktiviert den passenden Schlüssel.
Der kleinste gemeinsame Nenner
WLAN-Sicherheit auf Knopfdruck
Aber wie sieht es aus, wenn bereits andere Clients am Router angemeldet sind, die jedoch eine andere Verschlüsselung benutzen? Wählt der neu angemeldete Client einen anderen Schlüssel, so nutzt er auch eine andere SSID. Anhand der neuen SSID bemerken die Clients den Wechsel und verwenden nun die zur SSID gehörige Verschlüsselung.
Da zur Codierung der kleinste gemeinsame Nenner dient, zwingt ein Altgerät sämtliche anderen Netzteilnehmer beispielsweise zu WEP obwohl die anderen Clients das wesentlich sicherere WPA beherrschen. In einem solchen Fall empfiehlt sich der Austausch der WEP-Komponente.
Prinzipiell funktioniert die Client-Software von AOSS auch mit Funkadaptern, die nicht von Buffalo stammen. Allerdings benötigt die Software Zugriff auf Funktionen zum Bestimmen und Einstellen der Verschlüsselungen. So kennt der Client Manager auch die Intel-Funkmodule in Centrino-Notebooks. Ist auf einem Notebook der Treiber für den Intel-Wireless-LAN-Chip bereits vorhanden, muss nur noch der Client Manager installiert werden.
Aber nicht alles bei AOSS ist perfekt: Werden in einem Netzwerk alle Adapter bis auf einen erkannt, muss der verbliebene Funkchip per Hand eingestellt werden. Der erzeugte Schlüssel findet sich im Web-Interface des Routers. Allerdings muss der Anwender dann im ungünstigsten Fall eine 32-stellige SSID und einen 63-stelligen Schlüssel abtippen, denn AOSS verwendet für WPA immer die volle Schlüssellänge. Nicht möglich ist das gleichzeitige Konfigurieren aller Clients. Das Verstecken der SSID eine gängige Sicherheitsmaßnahme funktioniert ebenfalls nicht, da die SSID für die Bestimmung der Verschlüsselung benötigt wird. Allzu viel Schutz bringt eine Hidden-SSID aber ohnehin nicht, so dass dieser Nachteil leicht zu vernachlässigen ist.
Starthilfe ohne Taste
WLAN-Sicherheit auf Knopfdruck
Eine reine Software-Lösung bietet Atheros unter der Bezeichnung »Jumpstart« (zu Deutsch »Starthilfe«) seit April an. Im Gegensatz zu AOSS ist Jumpstart eine reine Software-Lösung, allerdings gibt es derzeit noch keine fertigen Produkte mit der Technik. Atheros hat Jumpstart mittlerweile als Open Source freigegeben. Offensichtlich sind aber kaum Entwickler daran interessiert, denn unter sourceforge.net/projects/jumpstart-wl ist noch kein Fortschritt zu sehen.
Zu Beginn wird die Jumpstart-Verbindung mit dem Diffie-Hellman-Protokoll verschlüsselt, das auch bei SSL auf Webseiten oder der Secure Shell SSH verwendet wird. Allerdings könnten Angreifer in dieser Phase die Verbindung übernehmen. Um das zu verhindern, enthält Jumpstart eine Reihe von Schutzvorkehrungen. Als augenscheinlichste Maßnahme blinken an den beteiligten Geräten die Anzeige-LEDs. Damit lässt sich optisch sehr schnell kontrollieren, ob die richtigen Geräte miteinander verbunden sind. Jumpstart fordert außerdem ein Passwort, mit dem die Konfiguration vor unberechtigten Fremden geschützt wird.
Ein weiterer Schutzmechanismus gegen Angriffe ist die Verwendung des »Promiscuous Mode« an kritischen Stellen. In dieser Betriebsart empfängt der Router nicht nur die für ihn bestimmten Daten, sondern hört den gesamten Netzverkehr mit. Versuchen nun zwei Stationen gleichzeitig, eine sichere Verbindung auszuhandeln, erkennt das der Router. In diesem Fall betrachtet er das als Angriff und beendet die Verbindung. Ist alles normal abgelaufen, erzeugt der Router einen sicheren Schlüssel und überträgt ihn an den Client-Rechner.
Im Augenblick ist Jumpstart allerdings noch Zukunftsmusik, aber D-Link als Mitentwickler will diese Technik demnächst im Router DI-624 verwenden.
Versteckte Risiken
WLAN-Sicherheit auf Knopfdruck
AOSS benötigt für den gesamten Vorgang bis zum Aktivieren der Schlüssel circa zwei Minuten. Während dieser Zeit kann die noch ungeschützte Verbindung von Crackern angegriffen werden. Bisher existieren denkbare Szenarien aber nur in der Theorie. Angesichts mehrer tausend offener WLANs ist diese systembedingte Lücke speziell im Heimbereich oder im kleinen Büro von vergleichsweise geringer Bedeutung.
Ist höchste Sicherheit gefragt, können im professionellen Bereich geschulte Administratoren für die Sicherheit bürgen. Für Otto Normalanwender sind die neuen Techniken aber ein gutes Werkzeug, um Funkverbindungen einfach und schnell zu sichern. Da Jumpstart und Secure Easy Setup offene Techniken sind und AOSS mit Letzterem kooperiert, lohnt sich beim Kauf unbedingt ein Blick auf die drei Logos.