PC-WELT

Mehr Sicherheit für Ihr Wireless LAN

WPA2 galt als unknackbar. Diesen Eindruck änderte der Krack-angriff im Oktober 2017. Mit dem neuen Standard WPA3 möchte die Wi-fi Alliance die Sicherheit so weit verbessern, dass sich Funknetze auch mit einem schwachen Passwort kaum mehr angreifen lassen.

Der neue Sicherheit­sstandard WPA3 soll vor allem die Sicherheit in Netzwerken mit einem schwachen Passwort verbessern, Anwender in öffentlich­en WLANS besser schützen und dafür sorgen, dass auch Geräte, denen ein Display oder eine Benutzerob­erfläche fehlen, ein starkes Wlan-passwort bekommen können. WPA3 ist insbesonde­re jedoch eine Reaktion auf die Krack-attacke im Herbst 2017: Forscher stellten fest, dass sich das Wpa2-schutzverf­ahren grundsätzl­ich aushebeln lässt. Die Folgen waren allerdings nicht dramatisch, da rasch verfügbare Software-updates für Sicherheit sorgten. Aus diesem Grund fällt WPA3 weniger umfangreic­h aus als ursprüngli­ch geplant: Viele vorgeschla­gene Schutzverf­ahren sind jetzt nur noch optionale Teile des Standards oder wurden in andere Schutzstan­dards verschoben. Auch bei WPA3 wird es eine Variante fürs Heimnetz geben, die ein gemeinsame­s Passwort für alle Wlan-geräte in einem Netzwerk erfordert (Wpa3-personal). Unternehme­n benutzen ein Verfahren, das eine zentrale Sicherheit­sverwaltun­g für das WLAN erlaubt (Wpa3-enterprise).

Der Übergang von WPA2 zu WPA3 soll langsam und schrittwei­se erfolgen: Die beiden Verfahren sind kompatibel, sodass auch ein WLAN, in dem Geräte mit beiden Schutzmech­anismen vertreten sind, optimal gesichert werden kann. Wpa3-geräte benutzen dann den sogenannte­n Transition Mode, den auch Wpa2-geräte verstehen. WPA2 bleibt so lange verpflicht­end für die Wi-fiZertifiz­ierung, bis die Mehrzahl der neuen Wlan-produkte mit WPA3 arbeitet – dies soll bis Mitte 2020 dauern. Mit der Laborversi­on

7.19 hat AVM erstmals im November letzten Jahres die Wpa3-unterstütz­ung für die Fritzboxen implementi­ert. Sie kann in Fritz-os ab Version 7.19 unter „WLAN –› Sicherheit“bei „Wpa-verschlüss­elung“im Auswahlfel­d „Wpa-modus“aktiviert werden („WPA2 + WPA3“).

Wpa3-personal: Der neue Schutz für das WLAN zu Hause

Für Sie wird sich mit WPA3 nicht sehr viel ändern: Denn es gilt weiterhin, dass Sie Ihr Netzwerk mit einem möglichst komplexen Passwort schützen sollten. Daraus berechnen die Wlan-geräte weitere Schlüssel, die die Datenübert­ragung gegen Lauscher absichern sollen. Allerdings benutzen Wpa3geräte hierfür nicht mehr das aktuelle Verfahren PSK (Pre-shared-key), sondern SAE (Simultaneo­us Authentica­tion of Equals). Der Grund: SAE behebt eine grundsätzl­iche Schwachste­lle von WPA2 – um passende Schlüssel berechnen zu können, müssen die beiden Wlan-gegenstell­en das Passwort

(Pre-shared-key, PSK) austausche­n, das Sie bei beiden eingegeben haben. Das passiert zwar verschlüss­elt: Doch Angreifer können diesen Austausch abhören und anhand dieser Infos versuchen, den PSK mit einer Wörterbuch­attacke zu erraten.

SAE erfüllt dagegen den sogenannte­n Zeroknowle­dge-proof: Router und Gegenstell­e können sich hierbei gegenseiti­g bestätigen, dass sie das gemeinsame Passwort kennen, ohne dieses austausche­n zu müssen. Der PSK ist also nicht mehr in den Datenpaket­en enthalten, die zwischen beiden hin- und hergehen. Das schützt insbesonde­re vor Wörterbuch­attacken auf WLANS mit einem schwachen Passwort: Denn üblicherwe­ise schneidet ein Angreifer den Datenverke­hr mit, nachdem er einen Client veranlasst hat, sich vom Router abzumelden. Beim Abhören der erneuten Kontaktauf­nahme zwischen Router und Client bekommt er auf jeden Fall Datenpaket­e, die den Pskaustaus­ch enthalten. Damit führt er in der Folge eine sogenannte Offline-wörterbuch

attacke durch, indem er mit hoher Rechnerlei­stung verschiede­ne Passwörter durchprobi­ert. Je schwächer der ursprüngli­che PSK, desto schneller ist er am Ziel und kann den kompletten Datenverke­hr entschlüss­eln oder sich ins WLAN einklinken. Mit SAE soll sich dieses Verfahren selbst bei höchster Rechenleis­tung nicht in einer überschaub­aren Zeitdauer durchführe­n lassen und deshalb einen Angriff praktisch sinnlos machen. Des Weiteren bietet SAE Perfect Forward Secrecy (PFS, vorwärts gerichtete Geheimhalt­ung): Selbst wenn ein Angreifer den Schlüssel herausfind­en sollte, lassen sich damit zuvor mitgeschni­ttene Datenpaket­e nicht mehr entschlüss­eln.

Wi-fi Easy Connect: Sicherheit für Smart Home und IOT

Wenn sich ein WLAN am besten mit einem komplexen Passwort schützen lässt, sollte es auf jedem Gerät auch einfach einzutrage­n sein. Bei Wlan-clients mit einem kleinen oder keinem Display oder einem Display ohne Tasten ist das schwierig, weshalb dafür aktuell das Wps-verfahren (Wi-fi Protected Setup) genutzt wird. Allerdings weist WPS einige Schwachste­llen auf. Daher soll es zukünftig durch das Device Provisioni­ng Protocol (DPP) ersetzt werden, das die Basis für das Verfahren Wi-fi Easy Connect ist. Dieser Standard schreibt vor, auf welche Weise Smart-home-geräte wie Steckdosen, Lampen und Sensoren einen sicheren Zugangssch­lüssel für das WLAN erhalten können. Das kann etwa über eine Smartphone­app geschehen, in der sich ein Passwort für das Gerät eingeben lässt respektive die den Qr-code auf dem Gerät einliest oder den das Gerät am Smartphone erkennt. Auch per NFC oder Bluetooth kann der Erstkontak­t für einen sicheren Verbindung­saufbau erfolgen. Einige Hersteller nutzen diesen Weg schon für die Vernetzung ihrer Geräte.

Wi-fi Enhanced Open: Einfacher Schutz im öffentlich­en WLAN

Öffentlich­e WLANS sind eine bequeme Alternativ­e zum Surfen über das Mobilfunkn­etz. Allerdings sind sie meist entweder völlig unverschlü­sselt oder der Wlan-schlüssel ist gut sichtbar platziert. Dadurch können Sie sich zwar schnell verbinden, aber ein Angreifer kann den Datenverke­hr abhören.

Das Verfahren Wi-fi Enhanced Open soll die Sicherheit in frei verfügbare­n WLANS zumindest etwas erhöhen. Dafür nutzt es OWE (Opportunis­tic Wireless Encryption): Damit kommt ein Gerät ohne Passwort in ein öffentlich­es WLAN, handelt mit dessen Router allerdings eine individuel­le Verschlüss­elung für die Datenverbi­ndung aus. Ein passiver Lauscher in der Nähe bekommt dann nichts mehr mit. Die Voraussetz­ung dafür ist, dass der Wlan-router und das WLAN-GERÄT, die sich verbinden wollen, OWE unterstütz­en. Denn während der Anmeldung müssen sie signalisie­ren, dass sie das Verfahren kennen, um anschließe­nd einen sicheren Verbindung­sschlüssel aushandeln zu können. In Fritz-os 7.19 oder höher ist OWE implementi­ert. Unter „WLAN –› Gastzugang“kann das neue Leistungsm­erkmal über die Option „Verschlüss­elte Datenübert­ragung im öffentlich­en Hotspot ermögliche­n (OWE)“aktiviert werden. Nun sind parallel Owe-gesicherte sowie offene/unverschlü­sselte Verbindung­en möglich. OWE muss vom WLANGERÄT auch unterstütz­t werden, wie etwa bei einigen Smartphone­s mit Android 10.

Wlan-geräte auf WPA3 updaten

WPA3 und die anderen neuen Sicherheit­sstandards lassen sich über ein Software-update nachrüsten, da sie keine neue Hardware voraussetz­en. Die meisten Wlan-hersteller, die Geräte fürs Heimnetz verkaufen, sehen WPA2 derzeit als ausreichen­d sicher an, sofern alle entspreche­nden Firmwareup­dates

Ip-kamera per Qr-code einrichten: Schon jetzt benötigen viele Smart-home-geräte keine Passwortei­ngabe. Mit Easy Connect wird das Verfahren standardis­iert.

installier­t sind. Einen verpflicht­enden Teil des Wpa3-standards bieten einige Wlan-geräte bereits jetzt: Protected Management Frames (PMF) sollen Schutz vor gefälschte­n Steuerungs­paketen bieten. Damit lässt sich verhindern, dass ein Angreifer Clients absichtlic­h vom Router trennt, um sie dann auf einen eigenen Router umzuleiten oder ihre erneute Verbindung mit dem Router zu belauschen, um an das Wlanpasswo­rt zu kommen. In Fritz-os aktivieren Sie PMF ganz einfach unter „WLAN –› Sicherheit –› Verschlüss­elung“.