WLAN mit individuellen Schlüsseln sichern

In kleinen Netzen teilen sich alle dasselbe WLAN-Passwort, was Lauschangriffe erleichtert. Mit OpenWrt kann man jedem Gerät einen eigenen Schlüssel geben.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
,
Lesezeit: 10 Min.
Von
  • Dirk Henrici
Inhaltsverzeichnis

Kleine Funknetze, sei es in Betrieben oder daheim, setzen der Einfachheit halber meist auf ein WLAN-Passwort für alle Teilnehmer, genauer, die Passphrase. Aus der leiten WLAN-Router, Access-Points (WLAN-Basis am Ethernet-LAN), Repeater oder ein Verbund (Mesh-WLAN) den sogenannten Pre-Shared-Key ab. Der PSK bildet die Grundlage, anhand derer die WLAN-Basen und -Clients ihre individuellen Sitzungsschlüssel erwürfeln, mit denen sie den folgenden Datenverkehr chiffrieren. Dieses geteilte Geheimnis ist beim Authentifizieren mit der heute meistgenutzten WLAN-Chiffriermethode WPA2-Personal alias WPA2-PSK (Wi-Fi Protected Access 2) gleichzeitig der Zugangsschlüssel.

Diesen Schlüssel müssen alle Geräte haben, die ein WLAN nutzen sollen. Das werden immer mehr, denn neben Klassikern wie Smartphones, Tablets und Notebooks kommen oft weitere dazu wie etwa Unterhaltungselektronik und Smart-Home-Geräte. Mit jedem neuen Teilnehmer wird das WLAN aber unsicherer: Der gemeinsame Schlüssel liegt auf allen Geräten und lässt sich bei vielen davon leicht auslesen. Mit steigender Gerätezahl scheuen sich viele Nebenbei-Admins verständlicherweise immer stärker, den Zugangsschlüssel überhaupt mal zu erneuern.

Mehr zum Thema OpenWrt

Der PSK gewährt nicht nur Zugang, sondern auch Einblick: Zeichnet ein Angreifer den Sitzungsschlüsselaustausch beim WPA2-Verbindungsaufbau auf, kann er den Verkehr anderer Teilnehmer dechiffrieren. Ein Verbindungsneuaufbau inklusive Schlüsseltausch lässt sich leicht erzwingen, wenn das WLAN nicht mit Protected Management Frames (PMF, IEEE 802.11w) geschützt ist.

Das war die Leseprobe unseres heise-Plus-Artikels "WLAN mit individuellen Schlüsseln sichern". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.