Mehr Sicherheit für Ihr Wireless LAN
WPA2 galt als unknackbar. Diesen Eindruck änderte der Krack-angriff im Oktober 2017. Mit dem neuen Standard WPA3 möchte die Wi-fi Alliance die Sicherheit so weit verbessern, dass sich Funknetze auch mit einem schwachen Passwort kaum mehr angreifen lassen.
Der neue Sicherheitsstandard WPA3 soll vor allem die Sicherheit in Netzwerken mit einem schwachen Passwort verbessern, Anwender in öffentlichen WLANS besser schützen und dafür sorgen, dass auch Geräte, denen ein Display oder eine Benutzeroberfläche fehlen, ein starkes Wlan-passwort bekommen können. WPA3 ist insbesondere jedoch eine Reaktion auf die Krack-attacke im Herbst 2017: Forscher stellten fest, dass sich das Wpa2-schutzverfahren grundsätzlich aushebeln lässt. Die Folgen waren allerdings nicht dramatisch, da rasch verfügbare Software-updates für Sicherheit sorgten. Aus diesem Grund fällt WPA3 weniger umfangreich aus als ursprünglich geplant: Viele vorgeschlagene Schutzverfahren sind jetzt nur noch optionale Teile des Standards oder wurden in andere Schutzstandards verschoben. Auch bei WPA3 wird es eine Variante fürs Heimnetz geben, die ein gemeinsames Passwort für alle Wlan-geräte in einem Netzwerk erfordert (Wpa3-personal). Unternehmen benutzen ein Verfahren, das eine zentrale Sicherheitsverwaltung für das WLAN erlaubt (Wpa3-enterprise).
Der Übergang von WPA2 zu WPA3 soll langsam und schrittweise erfolgen: Die beiden Verfahren sind kompatibel, sodass auch ein WLAN, in dem Geräte mit beiden Schutzmechanismen vertreten sind, optimal gesichert werden kann. Wpa3-geräte benutzen dann den sogenannten Transition Mode, den auch Wpa2-geräte verstehen. WPA2 bleibt so lange verpflichtend für die Wi-fiZertifizierung, bis die Mehrzahl der neuen Wlan-produkte mit WPA3 arbeitet – dies soll bis Mitte 2020 dauern. Mit der Laborversion
7.19 hat AVM erstmals im November letzten Jahres die Wpa3-unterstützung für die Fritzboxen implementiert. Sie kann in Fritz-os ab Version 7.19 unter „WLAN –› Sicherheit“bei „Wpa-verschlüsselung“im Auswahlfeld „Wpa-modus“aktiviert werden („WPA2 + WPA3“).
Wpa3-personal: Der neue Schutz für das WLAN zu Hause
Für Sie wird sich mit WPA3 nicht sehr viel ändern: Denn es gilt weiterhin, dass Sie Ihr Netzwerk mit einem möglichst komplexen Passwort schützen sollten. Daraus berechnen die Wlan-geräte weitere Schlüssel, die die Datenübertragung gegen Lauscher absichern sollen. Allerdings benutzen Wpa3geräte hierfür nicht mehr das aktuelle Verfahren PSK (Pre-shared-key), sondern SAE (Simultaneous Authentication of Equals). Der Grund: SAE behebt eine grundsätzliche Schwachstelle von WPA2 – um passende Schlüssel berechnen zu können, müssen die beiden Wlan-gegenstellen das Passwort
(Pre-shared-key, PSK) austauschen, das Sie bei beiden eingegeben haben. Das passiert zwar verschlüsselt: Doch Angreifer können diesen Austausch abhören und anhand dieser Infos versuchen, den PSK mit einer Wörterbuchattacke zu erraten.
SAE erfüllt dagegen den sogenannten Zeroknowledge-proof: Router und Gegenstelle können sich hierbei gegenseitig bestätigen, dass sie das gemeinsame Passwort kennen, ohne dieses austauschen zu müssen. Der PSK ist also nicht mehr in den Datenpaketen enthalten, die zwischen beiden hin- und hergehen. Das schützt insbesondere vor Wörterbuchattacken auf WLANS mit einem schwachen Passwort: Denn üblicherweise schneidet ein Angreifer den Datenverkehr mit, nachdem er einen Client veranlasst hat, sich vom Router abzumelden. Beim Abhören der erneuten Kontaktaufnahme zwischen Router und Client bekommt er auf jeden Fall Datenpakete, die den Pskaustausch enthalten. Damit führt er in der Folge eine sogenannte Offline-wörterbuch
attacke durch, indem er mit hoher Rechnerleistung verschiedene Passwörter durchprobiert. Je schwächer der ursprüngliche PSK, desto schneller ist er am Ziel und kann den kompletten Datenverkehr entschlüsseln oder sich ins WLAN einklinken. Mit SAE soll sich dieses Verfahren selbst bei höchster Rechenleistung nicht in einer überschaubaren Zeitdauer durchführen lassen und deshalb einen Angriff praktisch sinnlos machen. Des Weiteren bietet SAE Perfect Forward Secrecy (PFS, vorwärts gerichtete Geheimhaltung): Selbst wenn ein Angreifer den Schlüssel herausfinden sollte, lassen sich damit zuvor mitgeschnittene Datenpakete nicht mehr entschlüsseln.
Wi-fi Easy Connect: Sicherheit für Smart Home und IOT
Wenn sich ein WLAN am besten mit einem komplexen Passwort schützen lässt, sollte es auf jedem Gerät auch einfach einzutragen sein. Bei Wlan-clients mit einem kleinen oder keinem Display oder einem Display ohne Tasten ist das schwierig, weshalb dafür aktuell das Wps-verfahren (Wi-fi Protected Setup) genutzt wird. Allerdings weist WPS einige Schwachstellen auf. Daher soll es zukünftig durch das Device Provisioning Protocol (DPP) ersetzt werden, das die Basis für das Verfahren Wi-fi Easy Connect ist. Dieser Standard schreibt vor, auf welche Weise Smart-home-geräte wie Steckdosen, Lampen und Sensoren einen sicheren Zugangsschlüssel für das WLAN erhalten können. Das kann etwa über eine Smartphoneapp geschehen, in der sich ein Passwort für das Gerät eingeben lässt respektive die den Qr-code auf dem Gerät einliest oder den das Gerät am Smartphone erkennt. Auch per NFC oder Bluetooth kann der Erstkontakt für einen sicheren Verbindungsaufbau erfolgen. Einige Hersteller nutzen diesen Weg schon für die Vernetzung ihrer Geräte.
Wi-fi Enhanced Open: Einfacher Schutz im öffentlichen WLAN
Öffentliche WLANS sind eine bequeme Alternative zum Surfen über das Mobilfunknetz. Allerdings sind sie meist entweder völlig unverschlüsselt oder der Wlan-schlüssel ist gut sichtbar platziert. Dadurch können Sie sich zwar schnell verbinden, aber ein Angreifer kann den Datenverkehr abhören.
Das Verfahren Wi-fi Enhanced Open soll die Sicherheit in frei verfügbaren WLANS zumindest etwas erhöhen. Dafür nutzt es OWE (Opportunistic Wireless Encryption): Damit kommt ein Gerät ohne Passwort in ein öffentliches WLAN, handelt mit dessen Router allerdings eine individuelle Verschlüsselung für die Datenverbindung aus. Ein passiver Lauscher in der Nähe bekommt dann nichts mehr mit. Die Voraussetzung dafür ist, dass der Wlan-router und das WLAN-GERÄT, die sich verbinden wollen, OWE unterstützen. Denn während der Anmeldung müssen sie signalisieren, dass sie das Verfahren kennen, um anschließend einen sicheren Verbindungsschlüssel aushandeln zu können. In Fritz-os 7.19 oder höher ist OWE implementiert. Unter „WLAN –› Gastzugang“kann das neue Leistungsmerkmal über die Option „Verschlüsselte Datenübertragung im öffentlichen Hotspot ermöglichen (OWE)“aktiviert werden. Nun sind parallel Owe-gesicherte sowie offene/unverschlüsselte Verbindungen möglich. OWE muss vom WLANGERÄT auch unterstützt werden, wie etwa bei einigen Smartphones mit Android 10.
Wlan-geräte auf WPA3 updaten
WPA3 und die anderen neuen Sicherheitsstandards lassen sich über ein Software-update nachrüsten, da sie keine neue Hardware voraussetzen. Die meisten Wlan-hersteller, die Geräte fürs Heimnetz verkaufen, sehen WPA2 derzeit als ausreichend sicher an, sofern alle entsprechenden Firmwareupdates
Ip-kamera per Qr-code einrichten: Schon jetzt benötigen viele Smart-home-geräte keine Passworteingabe. Mit Easy Connect wird das Verfahren standardisiert.
installiert sind. Einen verpflichtenden Teil des Wpa3-standards bieten einige Wlan-geräte bereits jetzt: Protected Management Frames (PMF) sollen Schutz vor gefälschten Steuerungspaketen bieten. Damit lässt sich verhindern, dass ein Angreifer Clients absichtlich vom Router trennt, um sie dann auf einen eigenen Router umzuleiten oder ihre erneute Verbindung mit dem Router zu belauschen, um an das Wlanpasswort zu kommen. In Fritz-os aktivieren Sie PMF ganz einfach unter „WLAN –› Sicherheit –› Verschlüsselung“.