Cisco kündigt besseres Verfahren zum WLAN-Schutz an

Cisco hat die Verfügbarkeit des verbesserten Verfahrens EAP-FAST zur Authentifizierung in Wireless LANs angekündigt. Das bislang eingesetzte Lightweight Extensible Authentication Protocol (LEAP) basiert auf einem Challenge-Response-Verfahren, ähnlich MS-CHAP, bei dem Challenge und Response jeweils mit einem geheimen Passwort verschlüsselt werden. Solche Verfahren lassen sich aber mit einfachen Wörterbuchattacken knacken. Bereits im August 2003 hatte Joshua Wright auf der Defcon 9 das Tool Asleap vorgestellt, das mittels Brute Force das Passwort für mitgeschnittende Pakete ermittelt. Cisco wies seinerzeit darauf hin, dass LEAP bei der Wahl ausreichend komplexer Passwörter sicher sei.

Ganz so sicher scheint sich Cisco dabei doch nicht zu sein. Nachdem vergangene Woche Wright den Sourcecode für Asleap veröffentlicht hat, zog Cisco nun mit EAP -- Flexible Authentication via Secure Tunneling (EAP-FAST) nach, das nicht für Wörterbuchattacken verwundbar ist. EAP-FAST baut einen kryptographisch gesicherten Tunnel auf, in dem dann unsicherere Verfahren Authentifizierungsdaten austauschen können. Alternativ zu EAP-FAST können Anwender auch auf die bereits verfügbaren Protokolle PEAP und EAP-TLS zurückgreifen, die allerdings eine Public-Key-Infrastruktur (PKI) zum Betrieb erfordern.

Siehe dazu auch: (dab)

• Ankündigung von Cisco
• A Comprehensive Review of 802.11 Wireless LAN Security von Cisco