WLAN-Sicherheitslösungen taugen nicht
Ein Studie Colorado State University kritisiert die "integrierten" Sicherheitslösungen zum WLAN-Betrieb.
- Michael Schmidt
- Jürgen Schmidt
Der Standard IEEE 802.1x zur zentralen Authentifizierung von WLAN-Clients über verteilte Access Points hinweg wird vielfach als Lösung der Sicherheits- und Skalierbarkeitsprobleme beim Einsatz von Funknetzen gesehen. Eine Studie der Colorado State University sieht das jedoch anders.
Die amerikanische Universität will ihr Campus-WLAN möglichst gut nach dem "State of the art" absichern und untersuchte deshalb die vorhandenen Möglichkeiten, Authentifizierung und Zugangskontrolle mit oder ohne Unterstützung von 802.1x zu gewährleisten. Der Studie zufolge behebt 802.1x mehrere der bekannten Sicherheitsprobleme von WEP (dem Datensicherheitsstandard für WLANs nach IEEE 802.11). Speziell die Möglichkeit, einen zentralen Radius-Server zur Passwortverwaltung einzusetzen, (RFC 2138) verbessert den Betrieb von WLANs mit mehreren Access Points. Doch andererseits kommt die Studie zu der Erkenntnis, dass auch 802.1x diverse Sicherheitsmängel aufweist. Scott Baily, der 'Networking Director' der Universität, spricht in seiner Studie von "less than an industrial strength authentication solution".
Des weiteren gibt es bereits mehrere, auf 802.1x basierende Lösungen auf dem Markt, wie 'Lightweight EAP' (LEAP, Cisco) und 'Protected EAP' (PEAP, Microsoft, Cisco, RSA Security), die laut ihren Herstellern die Schwächen von 802.1x beheben sollen. Allerdings sind diese Lösungen derzeit so proprietär, dass ein Betrieb mit verschiedenen WLAN-Adaptern und Betriebssytemen selten möglich ist. Microsoft beschreibt zwar, wie man PEAP mit verschiedenen Windows-Versionen einsetzen kann; ein solches Diktat zur Monokultur hielt die Universität allerdings für nicht tragbar. So entschied man sich letztlich zum völligen Verzicht auf 802.1x. Statt dessen sollen jetzt Authentifizierung, Zugangskontrolle und auch die Verschlüsselung getrennt vom Übertragungsmedium über die IP-Erweiterung IPSec erfolgen.
Ende nächsten Jahres soll der "endgültige" Nachfolger von WEP mit dem Arbeitstitel 'WEP2' Erlösung von der derzeitigen Flickschusterei bringen. Da aber auch WEP2 auf 802.1x als Authentifizierungs-Framework basieren soll, bleibt zu hoffen, dass die IEEE 802.11 Task Group i die bekannten Probleme bis Ende nächsten Jahres noch in den Griff bekommt. Will man nicht so lange warten, so bleibt nur WPA als WEP-Patch oder der oft steinige Weg über Virtual Private Network (VPN) via PPTP oder IPSec. (Michael Schmidt) / (ju)
