WPA2-Migrationen in verschieden großen Netzwerk-Umgebungen planen

WEP und WPA haben als WLAN-Security-Standard längst ausgedient

17.12.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Zur Absicherung des WLANs sollten Unternehmen auf den WPA2-Standard setzen.
Zur Absicherung des WLANs sollten Unternehmen auf den WPA2-Standard setzen.

WEP ist geknackt, WPA dient eher als Notlösung, und der CSO fordert ein Upgrade auf WPA2. Doch wie sieht ein vernünftiger Plan aus, um bereits vorhandene Geräte zu migrieren? Security-Insider liefert Ihnen mit diesem Beitrag gangbare Migrationsstrategien, die eine friedliche Koexistenz zwischen alten und neuen Geräte mit verschiedenen Security-Features ermöglicht. Auf diese Weise vermeiden Sie einen schlagartigen Wechsel mit allen damit verbundenen Problemen.

WPA Version 2 (WPA2) ist das Zertifizierungsprogramm der Wi-Fi Alliance für Produkte, die die neuen Sicherheitsfeatures von IEEE 802.11i implementieren. WPA2-zertifizierte Produkte gibt es seit September 2004, und seit März 2006 ist der Sicherheitsstandard verpflichtend für neue Wi-Fi-Geräte. So kommt es, dass heute alle Unternehmens- und sogar Home-User-Produkte WPA2 implementieren.

Ob die bereits vorhandenen Geräte WPA2 unterstützen, lässt sich am zuverlässigsten der Liste zertifizierter Produkte auf der Wi-Fi-Alliance-Website entnehmen. Ist die Hardware so alt, dass sie nicht einmal WPA (Version 1) implementiert, dann muss sie außer Betrieb genommen werden – wenn das nicht sofort geht, dann schnellstmöglich!

Auf der Support-Website der Hersteller finden sich oft Firmware- und Treiber-Updates, um WPA-Geräte auf WPA2 zu aktualisieren. Doch darf die Hardware nur wenig älter als zweieinhalb Jahre sein, denn für WPA2 müssen die Chipsets den Advanced Encryption Standard (AES) unterstützen. Wenn neue APs angeschafft werden, müssten sie ohnehin WPA2-zertifiziert sein – sicherheitshalber kann man dennoch beim Hersteller nachfragen.

WPA2-Software

Mit WPA2-Personal und WPA2-Enterprise existieren zwei Versionen des Security-Standards. WPA2-Enterprise erfordert einen 802.1X-kompatiblen RADIUS-Server. Small und Haome Offices (SOHOs) ohne RADIUS-Server setzen entweder WPA2-Personal mit einer Passphrase mit mehr als 20 Zufallszeichen ein, oder verwenden einen gehosteten RADIUS-Dienst wie McAfee Wireless Security oder Witopia SecureMy WiFi.

Unternehmen setzen hingegen in der Regel WPA2-Enterprise mit einem eigenem RADIUS-Server ein. Mögliche Produkte sind Cisco ACS, FreeRADIUS, Funk Odyssey, Interlink RAD, Meetinghouse AEGIS, Microsoft IAS oder Open.com Radiator. Die Unterschiede zwischen WPA und WPA2-Enterprise wirken sich kaum auf den RADIUS-Server aus. Wer also bereits WPA im Einsatz hat, braucht für WPA2 vermutlich keinerlei Aktualisierungen an der RADIUS-Installation vorzunehmen.

Für beide WPA2-Varianten ist Client-seitige Software notwendig. Dies können ein Patch für das Betriebssystem, ein 802.1X-Supplicant und/oder neue WLAN-Kartentreiber sein. So unterstützt Windows XP SP2 bereits WPA, doch für WPA2 muss erst der XP-WPA2-Patch installiert werden.

Andere Betriebssysteme benötigen einen WPA2-kompatiblen Client von einem WLAN-Hardware-Hersteller (z.B. Cisco) oder von einem Fremdhersteller (wie Funk, Meetinghouse, wpa_supplicant, Devicescape). Es kann durchaus sein, dass man gar keine WPA2-Clients oder -Treiber findet. Das betrifft ungewöhnliche Geräte mit eingebautem WLAN (etwa VoWLAN-Telefone oder Bar-Code-Scanner) oder alte WLAN-Karten, die AES nicht unterstützen.

Koexistenz der Security-Standards

Sobald das Upgrade auf WPA2 beginnt, setzt man ältere, weniger sichere Hardware außer Betrieb. Leider bleibt einem zumeist nichts anderes übrig, als eine Weile lang WPA und/oder WEP parallel zu unterstützen. Adminsitratoren sollten also einen genauen Zeitplan für die Koexistenz der Standards bis zum kompletten Umstieg auf WPA2 festlegen.

Eine Möglichkeit besteht darin, WPA2 als eigenständiges WLAN zu aufzusetzen. Das bedeutet, dass die neuen Access Points (APs) neben den alten APs weiterbetrieben werden, sodass zwei unabhängige WLANs mit verschiedenen Sicherheitsrichtlinien und Namen (SSID) koexistieren. Diese Methode ist kostspielig, bietet sich aber an, wenn man ohnehin die gesamte alte Hardware früher oder später ausmustern will.

Eine andere Taktik ist, die Firmware der vorhandenen APs zu aktualisieren oder die APs zu ersetzen. Dadurch wird die WLAN-Infrastruktur schrittweise zur WPA2-Kompatibilität hingeführt. Vorteilhaft ist dabei, dass alle WPA2-zertifizierten Produkte aus Gründen der Rückwärtskompatibilität WPA unterstützen.

Die meisten APs für Unternehmen lassen sich so konfigurieren, dass sie gleichzeitig alte und neue Sicherheitsrichtlinien ermöglichen. Wenn im Laufe der Zeit die alten Geräte ersetzt oder aktualisiert werden, kann man die alten Sicherheitsrichtlinien deaktivieren.

Ein solches WLAN mit verschiedenen Richtlinien lässt sich auf zwei Weisen enrichten:

  • Unterstützt der AP mehrere verschiene SSIDs, legt man eine neue SSID für WPA2 fest und behält gleichzeitig die alte(n) SSID(s) und die zugehörigen Sicherheitsrichtlinien. Als etwa T-Mobile USA seine Hotspots mit WPA ausstattete, wurde eine neue SSID festgelegt. Clients mit dem Verbindungsmanager von T-Mobile können nun WPA-Enterprise verwenden, indem sie sich mit „tmobile1x“ verbinden, während sich Clients ohne WPA-Unterstützung immer noch mit der alten SSID „tmobile“ verbinden. In diesem Szenario erscheint also derselbe physikalische AP als mehrere virtuelle APs, sodass ältere Clients das WLAN nahtlos weiter nutzen können.
  • Unterstützt der AP WPA2 Mixed Mode, kann man eine bereits vorhandene SSID für verschiedene Sicherheitsrichtlinien verwenden. Wenn diese WPA2-Option aktiviert ist, sendet der AP einen Beacon für die SSID aus, der verschiedene Verschlüsselungen anbietet (z. B. TKIP [WPA], CCMP [WPA2]). Der Client kann sich dann eine Verschlüsselungsmethode aus der Liste des APs aussuchen. Freilich muss der Client dafür den Beacon verstehen können, und alte WEP-Clients unterstützen tatsächlich den Mixed Mode nicht.

Was bei der Koexistenz zu beachten ist

Manche APs bieten herstellerspezifische Optionen an, etwa den Cisco WPA Migration Mode. Solche proprietäre Varianten sind eigentlich nur dann sinnvoll, wenn das WLAN homogen ist und die vorhandenen Client-Geräte nicht von den generell verfügbaren Alternativen profitieren können.

Die Koexistenz von WPA2 mit schwächeren Sicherheitsverfahren darf natürlich nur eine Übergangslösung sein. Während dieser Phase sollte man WPA2- und anderen Traffic trennen, indem man beispielsweise dem Traffic mit alten bzw. neuen SSIDs verschiedene VLAN-Tags gibt und dann gemäß dieser Tags unterschiedliche Traffic-Richtlinien anwendet.

Dieser Aufwand lohnt sich: Ein System ist nur so sicher wie sein schwächstes Glied, und Hacker werden naturgemäß versuchen, über die alten APs, SSIDs und Verschlüsselungsmethoden ins Netzwerk einzubrechen.

Client-Konfiguration

Wenn man in einem SOHO auf WPA2-Personal umstellt, ist die Client-Konfiguration schnell erledigt. Sobald die Client-Software aktualisiert ist, wählt man „WPA2-PSK“ im Konfigurationsmenü, gibt eine Passphrase ein, und fertig. Lässt sich „WPA2-PSK“ nicht auswählen, obwohl eine WPA2-kompatible Karte eingebaut ist und das System unter XP läuft, dann fehlt wohl der XP WPA2-Patch. Ist auch dieser Patch aufgespielt, dann kann es eigentlich nur noch daran liegen, dass keine aktuellen WPA2-Kartentreiber installiert sind.

Übrigens sollte man um Produkte, die mit „WPA mit AES“ beworben werden, einen großen Bogen machen – denn dabei handelt es sich nicht um WPA2-Verschlüsselung. Damit wirklich WPA2-Personal zum Einsatz kommt, müssen Karten und APs WPA2-PSK und AES verwenden.

Wird ein WLAN – vor allem ein großes Unternehmens-WLAN – auf WPA2-Enterprise umgestellt, ist der Aufwand beim Upgraden der Clients unter Umständen enorm. Es reicht nicht, einfach eine andere Client-Software zu installieren. Man muss eine 802.1X-Authenfizierungsmethode wählen, Client-Anmeldedaten ausgeben (oder wiederverwenden) und den RADIUS-Server an die Benutzerkontendatenbank anbinden.

Sollte bereits WPA-Enterprise im Einsatz sein, dann ändert sich zumindest in dieser Hinsicht nicht viel und man kann die vorhandene RADIUS-Installation weiterverwenden. Ansonsten ist es eine gute Idee, wenn Sie sich in unserem Beitrag „802.1x-Authentication mit EAP: WLAN-Absicherung mit EAP-Authentifizierung“ zunächst einmal über die verschiedenen EAP-Varianten informieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009757 / Allgemein)