WPA2 steht für Wireless Fidelity Protected Access 2 – Pre-Shared Key. Damit können Heimanwender oder kleine Büros ihr Netzwerk sichern, ohne einen Unternehmensauthentifizierungsserver zu verwenden.
Wie funktioniert WPA2-PSK?
WPA2-PSK erfordert einen Router mit einer Passphrase mit einer Länge zwischen 8 und 63 Zeichen, um die Daten im Netzwerk zu verschlüsseln. Es verwendet eine Technologie namens TKIP (Temporal Key Integrity Protocol), die die Netzwerk-SSID und die Passphrase benötigt, um für jeden drahtlosen Client eindeutige Verschlüsselungsschlüssel zu generieren.
WPA2-PSK (AES) ist sicherer als WPA2-PSK (TKIP), aber WPA2-PSK (TKIP) kann mit älteren Geräten verwendet werden, die nicht WPA2-PSK (AES)-fähig sind.
Wenn ein Benutzer eine Verbindung zum Router herstellt, gibt er zur Authentifizierung seiner Identität ein Kennwort ein. Sofern das Kennwort übereinstimmt, ist der Benutzer mit dem WLAN verbunden.
Mit WPA2-PSK können Benutzer ihre Daten sichern, die über den drahtlosen Kanal zwischen einem Router und anderen Netzwerkgeräten übertragen werden. Es handelt sich um die neueste Generation der WLAN-Sicherheit, bei der der Schlüssel zwischen verbundenen Geräten geteilt wird. WPA2-PSK ist auch als WPA2 Personal bekannt.
Ist WPA2-PSK anfällig?
WPA2-PSK wurde für kleine Büros und Heimnetzwerke entwickelt, damit Benutzer dem Netzwerk vertrauen können, mit dem sie verbunden sind. WPA2-PSK ist sicher, teilt jedoch allen mit dem Netzwerk verbundenen Benutzern ein Kennwort mit, sodass Angreifer das Netzwerk ausspionieren können.
WPA2-PSK ist auch in Flughäfen, öffentlichen Hotspots oder Universitäten zu finden, da es einfach zu implementieren ist und nur ein Passwort erfordert. Wird Ihr WPA2-PSK jedoch kompromittiert, kann ein Angreifer problemlos auf Ihr Netzwerk zugreifen und folgende bösartige Aktivitäten ausführen:
- Switch-Spoofing
- Spanning Tree Protocol (STP)-Angriffe
- Spoofing der dynamischen Hostkonfiguration (DHCP)
- MAC-Spoofing (Media Access Control)
- Doppelte Markierung
- Spoofing des Address Resolution Protocol (ARP).
Die Verwendung eines einzigen Passworts für den Netzwerkzugriff erfordert die Geheimhaltung des Passworts auf jedem Gerät. Denn wenn ein Benutzer kompromittiert wird, können alle Benutzer gehackt werden.
Es können Brute-Force-Angriffe wie Wörterbuchangriffe durchgeführt werden, und ein Angreifer kann den gesamten Geräteverkehr entschlüsseln, wenn er den Pre-Shared Key erhält und den Schlüssel-Handshake aufzeichnet, während ein Benutzer dem Netzwerk beitritt.
Alternativen zu WPA2-PSK
WPA2-PSK ist für ein Heimnetzwerk sicher genug, da Benutzer Passwörter ändern können, wenn sie den Verdacht haben, dass eine unbefugte Person es verwendet.
Wenn Benutzer jedoch keine Kompromisse bei der Sicherheit eingehen möchten, kann WPA2-Enterprise verwendet werden, um jedem Teilnehmer ein anderes Passwort zuzuweisen und den Zugriff auf das gesamte Netzwerk zu verhindern. Dadurch wird das Netzwerk pro Benutzer isoliert. Die RADIUS-Anforderung in der 802.1x-Implementierung macht die Sache komplex. Für mehr Sicherheit kann jedoch 802.1x verwendet werden, das die Authentifizierung über Zertifikate anstelle von Anmeldeinformationen ermöglicht.
Sichern Sie Ihr 802.1x-Netzwerk mit WPA2 EAP-TLS-Authentifizierung
Größere Organisationen können das WPA2 Extensible Authentication Protocol über Transport Layer Security einsetzen. Es verwendet AES-Verschlüsselung, ergänzt aber die Authentifizierung mit Benutzername und Kennwort. Ein Benutzer ohne registriertes Konto oder mit deaktiviertem Konto kann nicht auf das drahtlose Netzwerk zugreifen. Durch die zertifikatsbasierte Authentifizierung, die auf EAP-TLS mit Server-Zertifikatvalidierung basiert, kann das drahtlose Netzwerk vor drahtlosen Angriffen geschützt werden. Der nicht autorisierte Benutzer kann nicht auf die Informationen zugreifen, die zur Authentifizierung über einen verschlüsselten EAP-Tunnel gesendet werden, und die Identifizierungsinformationen werden nur über den Server-Zertifikatvalidierungsprozess an den richtigen RADIUS gesendet.
Die Implementierung von WPA2 EAP-TLS kann aufgrund der Komplexität des anfänglichen Designs und der Konfiguration problematisch sein. Sie kann zudem ressourcenintensiv sein, da sie die Einrichtung und Verwaltung einer Public-Key-Infrastruktur erfordert.
Sichern Sie Ihr Netzwerk mit WPA3
WPA3 beseitigt dieses Sicherheitsproblem durch individuelle Datenverschlüsselung. Ist WPA3 aktiviert und verbindet sich der Nutzer mit einem offenen WLAN-Netzwerk, werden die zwischen dem Gerät und dem WLAN-Zugangspunkt übertragenen Daten verschlüsselt. Auch beim Verbindungsaufbau muss der Nutzer kein Passwort eingeben.
Fazit
Sicherheit ist in dieser vernetzten Welt unerlässlich. Unsere Daten sollten geschützt sein und nur von der vorgesehenen Person abgerufen werden können. In der heutigen Welt der drahtlosen Netzwerke sollten wir unsere Netzwerksicherheit auf dem neuesten Stand konfigurieren, damit niemand in unser Netzwerk eindringen kann. Benutzer sollten WPA3 verwenden, um die Authentifizierung zu verbessern und Verschlüsselung Gleichzeitig wird die Verbindung vereinfacht. WPA3-SAE (Simultaneous Authentication of Equals) ersetzte den WPA2-PSK-Authentifizierungsprozess. WPA3-SAE verwendet einen 128-Bit-Verschlüsselungsschlüssel und das Forward Secrecy-Protokoll, um Offline-Wörterbuchangriffen standzuhalten und gleichzeitig die Sicherheit des Schlüsselaustauschs ohne zusätzliche Komplexität zu verbessern. WPA2-Enterprise hingegen wird durch WPA3-Enterprise ersetzt, das einen 192-Bit-Verschlüsselungsschlüssel und einen 48-Bit-Initialisierungsvektor verwendet, wie von sensiblen Organisationen gefordert.
