Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können. Mit der Nutzung unserer Dienste/Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Mehr Infos in der Datenschutzerklärung.

Spanish EnglishGerman

WPA3 – der neue Sicherheitslevel im WLAN

Mit dem aktuellen Feature Release 2.2.1.1 unterstützen die WLAN Access Points bintec W2022ac und W2022ac-ext als einer der ersten ihrer Klasse WPA3 für eine verschlüsselte Kommunikation in drahtlosen Unternehmensnetzwerken und OWE (Opportunistic Wireless Encryption) für sichere WLAN Gastnetze und öffentliche HotSpots.

Darüber hinaus bietet die bintec W2022ac-Serie weitere Funktionen wie SNR Threshold für eine verbesserte Clientsteuerung, einen verbesserten Kanalsuch-Algorithmus sowie das Data Rate Triming, zur Performance-Optimierung von WLAN Clients und zahlreiche Sicherheitsupdates des Betriebssystems.

Effizienter Einsatz von WPA3

WPA2 wurde 2004 eingeführt und hat sich als WLAN Sicherheitsstandard etabliert. WPA2 verwendet als Verschlüsselungsmethode AES (Advanced Encryption Standard) und gilt bis heute als ein sehr sicherer Standard für WLAN Verschlüsselung und Authentifizierung. Lange Zeit waren nur Passwortattacken als Angriffsmethode bekannt, die sich aber mit langen Passwörtern, die Buchstaben, Zahlen und Sonderzeichen enthalten und die nicht in einem Wörterbuch stehen, ausschließen lassen.

Ende 2017 fanden Sicherheitsforscher eine Angriffsmethode, die sich Key Reinstallation Attack (KRACK) nennt. KRACK nutzt eine Schwäche beim Verbindungsaufbau und bei der Aushandlung der Schlüssel im 4-Wege Handshake-Verfahren aus. Alle bintec WLAN Produkte sind von dieser Angriffsmethode nicht betroffen.

Mit WPA3 steht nun der Nachfolger von WPA2 zur Verfügung. WPA3 baut auf WPA2 auf und vereint zahlreiche neue Sicherheitsfunktionalitäten.

WPA3 gibt es – wie auch schon bei WPA2 – als WPA3-PSK (Pre-shared Key), offiziell genannt WPA3-SAE (Simultaneous Authentication of Equals) und als WPA3-Enterprise, bei dem die Zugangsdaten auf einem zentralen RADIUS Server abgelegt sind.

Die wichtigste Verbesserung in WPA3 ist ein neues, sicheres Handshake-Verfahren, das unter anderem wirkungsvoll die bekannte KRACK-Angriffsmethode verhindert. Dieses sogenannte Dragonfly-Protokoll mit Simultaneous Authentication of Equals (SAE) erhöht die Sicherheit beim Schlüsselaustausch. Die Sicherheit ist selbst dann gewährleistet, wenn schwache Passwörter verwendet werden. Offline Wörterbuch-Attacken sind mit dem neuen Dragonfly-Protokoll nahezu unmöglich.

Eine weitere wichtige neue und verpflichtende Funktion von WPA3 Implementierungen ist die Realisierung von „Protected Management Frames (PMF)“. PMF verschlüsselt alle Unicast und Multicast Management Frames, die zwischen AP und Client ausgetauscht werden. Durch PMF ist es nun nicht mehr möglich, dass ein Angreifer einfach ein Deauthentication“ Paket an den Access Point sendet, um einen beliebigen Client abzumelden. Eine derartige, fingierte Abmeldung könnte zum Beispiel dafür genutzt werden, um einen erneuten Anmeldeversuch am AP aufzuzeichnen oder auch, um eine Verbindung zu einem AP ganz zu verhindern.

Ein weiteres wichtiges WPA3 Merkmal ist die Erhöhung der Schlüssellänge von 128-bit (WPA2) auf 192-bit (WPA3). Die neue 192-bit Verschlüsselung erhöht die Sicherheit auch bei Verwendung schwacher Passwörter und macht Brute-Force (Wörterbuch) Attacken weniger effizient.

WPA3 Interoperabilität zu älteren Clients

Durch das neue, sichere Dragonfly Protokoll ist WPA3 nicht mit älteren Clients, die lediglich WPA2 unterstützen, kompatibel. Es gibt einen Transitionmode bzw. Mixed Mode (WPA3/2), der es ermöglicht, dass sich ältere Clients mit einem WPA3 Netz verbinden können. Dabei fällt dann die jeweilige Verbindung auf den WPA2 Standard zurück.

Opportunistic Wireless Encryption (OWE)

Gastnetze im öffentlichen Raum, also in Hotels und Restaurants – sogenannte HotSpots – werden in der Regel als offenes, unverschlüsseltes Netz betrieben. Es findet keine Verschlüsselung des Datenverkehrs und auch keine Authentifizierung zwischen Client und AP statt. Alternativ findet man auch Gastnetze, die mittels WPA2-PSK verschlüsselt sind – hier ist der Pre-shared-key aber öffentlich zugänglich und steht oftmals einfach am Whiteboard der Hotellobby. Ein Netz mit einem öffentlich zugänglichen Schlüssel bietet natürlich keinen Schutz.

OWE ist eine Alternative zu einem offenen unverschlüsselten WLAN oder einem Netz mit öffentlich zugänglichen Pre-shared-key und bietet mehr Sicherheit. OWE realisiert einen nicht authentifizierten Diffie-Hellmann Schlüsselaustausch und verschlüsselt anschließend den Datenverkehr zwischen Client und Access Point. Der zwischen dem AP und dem Client ausgehandelte Key ist einmalig, wird ausschließlich für diese Verbindung verwendet und ist nicht öffentlich zugänglich.

Für den Benutzer ist der Verbindungsaufbau zu einem mit OWE geschützten Netz genauso einfach wie der Verbindungsaufbau zu einem offenen Netz. In der Bedienoberfläche der WLAN Clients (z.B. SmartPhones) wird das OWE Netz ohne Verschlüsselungssymbol angezeigt, eine Eingabe eines Schlüssels ist nicht notwendig.

OWE funktioniert leider nur mit WPA3 fähigen Clients, die auch die OWE Funktionalität realisiert haben. Ältere Clients, die nur WPA2 unterstützen, können sich mit einem OWE Netz nicht verbinden. Um die Kompatibilität zu älteren Clients herzustellen gibt es den OWE-Transition Mode.

OWE-Transition

OWE-Transition ermöglicht es auch älteren Clients, sich mit einem OWE Gastnetz zu verbinden. Dazu wird eine weitere SSID mit dem gleichen Netzwerknamen auf dem Access Point angelegt. Diese weitere SSID stellt ein offenes Netz (Security= inaktiv) ohne Verschlüsselung dar. Als Resultat wird sich ein OWE kompatibler Client mit dem OWE Netz verbinden und der Datenverkehr zwischen diesem Client und dem AP wird verschlüsselt. Ein Client, der OWE nicht unterstützt, wird sich mit dem offenen Netz verbinden und kann das Netz unverschlüsselt nutzen.

Bei bintec Access Points, die OWE-Transition unterstützen, muss der Administrator bei der Konfiguration zunächst ein offenes WLAN-Netz (Security=inaktiv) anlegen. Im zweiten Schritt kann der Administrator dann das OWE-Transition Netz anlegen. Hier muss der Administrator lediglich den Netzwerknamen des offenen Netzes angeben, der Access Point richtet das OWE-Transition Netz dann automatisch ein. Das OWE-Transition Netz verwendet automatisch den gleichen Netzwerknamen wie das offene Netz und verbirgt zusätzlich den Netzwerknamen des OWE-Transition Netzes.

 

WLAN Management und WPA3 Verschlüsselung

WPA3-PSK, WPA3-Enterprise, OWE und auch deren Interoperabilitätsbetriebsarten stehen zunächst nur bei einem über die lokale GUI gemanagten bintec Access Points (bintec W2022ac) zur Verfügung. Die Konfiguration über den bintec WLAN Controller bzw. über unsere Cloud-Lösungen ist in Vorbereitung und wird zeitnah realisiert.

WPA3 Konfigurationsempfehlung

Um den Betrieb auch mit sehr alten Clients, zum Beispiel im industriellen Umfeld zu ermöglichen, bietet der bintec W2022ac zahlreiche Konfigurationsoptionen für den Sicherheitsstandard an. 

Für den Betrieb in einem Unternehmen, bei dem sich sowohl WPA2 als auch neue WPA3 fähige Clients mit dem Netz verbinden sollen, empfehlen wir als WPA-Modus „WPA2 und WPA3“ und als WPA2/3 Cipher „AES“ einzustellen. Dies ist auch gleichzeitig der Auslieferzustand des bintec W2022ac.

Unternehmen, die bereits ausschließlich WPA3 fähige Clients einsetzen, sollten als WPA-Modus „WPA3“ einstellen. Diese Betriebsart bietet die höchste Sicherheitsstufe mit einem Pre-Shared Key.

Für Gastnetze empfehlen wir den OWE-Transition Mode in Verbindung mit dem bintec HotSpot. OWE-Transition ermöglicht es, dass sich sowohl ältere Clients als auch moderne WPA3 fähige Clients verbinden können. Der bintec HotSpot mit seinem Ticketsystem gewährleistet, dass der Zugang nur den Gästen aus Ihrem Haus und für die Dauer ihres Besuches gewährt wird.

 

Stellungnahme zu bekannten WPA3 Schwachstellen

In den letzten Monaten wurden einige Schwachstellen bekannt. Unsere WPA3 Implementierung beinhaltet alle aktuell verfügbaren Patches.

Weitere Informationen zu den Produkten finden Sie hier:

bintec W2022ac >>>

bintec W2022ac-ext >>>

Request Info
X