M. Niehenke, N. Pohlmann:, “Benutzererkennung im WLAN – Grenzen der doppelten Authentikation”, LANline – Das Magazin für Netze, Daten- und Telekommunikation, Awi LANline Verlagsgesellschaft, 04/2006 Benutzererkennung im WLAN – Grenzen der doppelten Authentikation In immer mehr Firmen werden heutzutage Wireless LANs installiert. Dabei stellen die Firmen ein Höchstmaß an IT-Sicherheit an die WLAN Infrastruktur, um ihr Corporate Network so gut wie möglich vor unauthorisierten Zugriffen aus dem WLAN zu schützen. Eine wichtige Rolle für die Cyber-Sicherheit spielt dabei die Authentifizierung im Wireless LAN. In einem WLAN werden die Daten mittels elektromagnetischer Wellen über das Medium Luft übertragen. Da elektromagnetische Wellen sich nicht durch Gebäudemauern aufhalten lassen, kann der Sende- und Empfangsbereich des WLANs über das Unternehmensgelände hinausreichen. Dadurch ist es unautorisierten Personen leicht möglich auch außerhalb vom Unternehmensgelände auf das WLAN zuzugreifen. Bei einem LAN erfolgt meist eine implizite Absicherung durch die Zugangskontrollen vom Firmengebäude. Da diese Art der Absicherung in einem WLAN nicht greift, müssen entsprechende Techniken angewandt werden, um die Schutzziele Vertraulichkeit , Authentizität, Integrität und Verfügbarkeit zu gewährleisten. An dieser Stelle soll im Speziellen auf die Authentifizierung eingegangen werden, da sie neben der Vertraulichkeit das wichtigste Schutzziel im WLAN ist. Authentifizierungsmethoden im WLAN Für Wireless LANs gibt es eine Vielzahl von möglichen Authentifizierungsmechanismen. Als erstes wäre die Authentifizierung mittels PreShared-Keys (PSK) zu nennen, die allerdings nur für kleine WLAN Umgebungen praktikabel ist. Der PSK ist ein geheimer gemeinsamer Schlüssel, der für alle WLAN-Clients identisch ist. Die Clients authentifizieren sich am WLAN in dem sie kryptographisch den Nachweis erbringen, dass sie im Besitz des Schlüssels sind. Da der Schlüssel für alle Clients identisch ist, wäre das WLAN komplett kompromittiert sobald ein Client den Schlüssel zum Beispiel verlieren würde. Dies hätte zur Folge, dass bei allen Clients ein Schlüsselaustausch vorgenommen werden müsste, was bei einer großen Anzahl von Clients einen hohen administrativen Aufwand verursachen würde. Deshalb besteht die Möglichkeit in einem mit WPA oder WPA2 geschützten WLAN auf den IEEE 802.1X Standard zurückzugreifen. Der IEEE 802.1X Standard verwendet das Extensible Authentication Protocol (EAP) für die Authentifizierung. Das EAP ist ein sehr generisch gehaltenes Protokoll, welches mit so genannten höheren Authentifizierungsprotokollen kombiniert werden kann. Dadurch ergibt sich eine Vielzahl von möglichen Authentifizierungsmethoden im WLAN. Protected-EAP (PEAP) ist ein mögliches und weit verbreitetes Authentifizierungsprotokoll im WLAN und bietet eine Authentifizierung mittels Benutzernamen und Passwort . Eine stärkere Authentifizierung bietet die Kombination von EAP mit TLS (EAP-TLS). Bei EAP-TLS kommt die auf Zertifikate basierende Authentifizierung vom TLS Protokoll zum Einsatz. Dabei erbringt man durch asymmetrische Verschlüsselungsverfahren den Nachweis, dass man im Besitz des passenden privaten Schlüssels zu seinem gültigen Zertifikat ist, das den öffentlichen Schlüssel enthält. Um eine noch höhere Sicherheit zu erlangen, ist es möglich sein Zertifikat und den passenden privaten Schlüssel auf einer SmartCard zu speichern. Die SmartCard sichert den Zugriff auf den privaten Schlüssel mit einem PIN ab. Somit muss der Benutzer sowohl im Besitz der SmartCard als auch im Besitz von der passenden PIN sein, um sich am WLAN anmelden zu können (Two-Factor Authentication ). Dadurch stellt der Verlust der SmartCard kein hohes Risiko dar, weil sie ohne den passenden PIN wertlos ist. Die Verwendung von EAP-TLS in Verbindung mit SmartCards stellt die zurzeit stärkste Authentifizierung im WLAN dar.
kostenlos downloaden |