Mehr Sicherheit im WLAN

Der steinige Weg zu WPA3

06.04.2018 von Peter Marwan
WPA3 soll noch im Laufe des Jahres 2018 Verbesserungen bei Konfiguration, Authentifizierung und Verschlüsselung im WLAN bringen. Bis die in der Praxis ankommen, sind allerdings noch einige Hürden zu nehmen.

WPA2 dient in WLANs seit 2004 zur Absicherung und Verwaltung. Im Herbst 2017 sorgte dann die unter dem Namen KRACK bekannt gewordene Sicherheitslücke für Verunsicherung. Die Schwachstelle wurde zwar geschlossen, dennoch hatte sie deutlich gemacht, dass WPA2 in die Jahre gekommen ist. Die für die Zertifizierung zuständige Branchenvereinigung WiFi Alliance kündigte daher zur CES 2018 in Las Vegas WPA3 an. Der neue Standard wurde noch für 2018 in Aussicht gestellt - wohl auch, um die durch die Diskussion um die KRACK-Lücke aufgebrachten Gemüter zu beruhigen.

WPA3 soll mehr Schutz bieten. Beispielsweise soll das Protokoll auch dann vor Angriffen schützen, wenn der Nutzer ein schwaches WLAN-Passwort gewählt hat und Brute-Force-Attacken auf Passwörter verhindern, indem nach einer gewissen Anzahl an fehlgeschlagenen Versuchen die weitere Eingabe unterbunden wird.

WPA3 soll auch dann vor Angriffen schützen, wenn der Nutzer ein schwaches WLAN-Passwort gewählt hat.
Foto: Shutter M - shutterstock.com

Als direkte Reaktion auf die KRACK-Lücke kann der verbesserte "Handshake" gewertet werden, der den bisher üblichen "4-way handshake" ersetzt, bei dem der Client den Verschlüsselungs-Key bestimmt. Und als Antwort auf die Diskussion um IoT-Botnetze sollen sich optional mit WPA3 auch Geräte ohne oder mit sehr kleinem Display einfacher einrichten lassen.

Besonders für öffentliche WLANs oder Gast-WLANs gedacht ist eine auf RFC8110 basierende, Opportunistic Wireless Encryption (OWE) genannte Methode. Sie kommt ohne ein vorgegebenes Passwort aus. Client-Geräte und Access Points nutzen dabei einen nur einmal verwendbaren Pairwise Master Key (PMK), wie er auch bei der Verbesserung von WEP vor über zehn Jahren durch 802.11i schon eingeführt wurde (PDF) und zum Beispiel von Cisco Meraki und Apple heute noch verwendet wird.

AVM Fritz!Box Cable 6490 an Vodafone-Kabelanschluss anschließen
Fritzbox mit Multimedia-Dose und PC verbinden
Zunächst wird die Fritzbox für den Betrieb am Kabelanschluss vorbereitet. Dafür müssen Sie das mitgelieferte Kabel mit der Multimedia-Dose des Kabelanschlusses verbinden und das Netzteil einstecken.
Fritzbox-Benutzeroberfläche aufrufen
Um die Benutzeroberfläche aufzurufen, öffnet man ein Browser-Fenster und gibt in die Adresszeile "fritz.box" ein. Nun wird ein Kennwort verlangt. Dieses finden Sie auch auf der Karte oder auf dem Aufkleber an der Geräteunterseite.
Anschluss überprüfen
Ob die Verbindungsaufnahme erfolgreich war, sehen Sie im Menüpunkt "Übersicht" unter der Rubrik "Anschlüsse". Dort werden die aktiven Anschlüsse mit einer grünen Markierung ausgewiesen.
Vodafone-Aktivierungsseite aufrufen
Nun rufen Sie in einem zweiten Browser-Fenster unter https://kabelmodemaktivieren.vodafone.de das Vodafone-Aktivierungsportal auf.
Kundennummer und Aktivierungscode eingeben
Tragen Sie Ihre Kundennummer und Ihren Aktivierungscode in die vorgesehenen Felder ein. Ist kein Code vorhanden, kann er auf der Seite beantragt werden.
Bedingungen zustimmen
Stimmen Sie den Bedingungen zu und bestätigen Sie, dass Sie die Sicherheitshinweise zur Kenntnis genommen haben und klicken Sie auf "Kabelmodem aktivieren".
Als PDF gespeicherte Zugangsdaten
Das PDF sollten Sie an einem sicheren Ort speichern oder ausdrucken und zu Ihren Unterlagen hinzufügen.
Menüpunkt Zugangsdaten auswählen
Unter dem Menüpunkt Internet finden Sie den Punkt "Zugangsdaten". Klicken Sie auf die Registerkarte "IPv6".
Die IPv6-Anbindungsoption wechseln
Wechseln Sie unter IPv4-Anbiendung auf die Option "Immer eine native IPv6-Anbindung nutzen (empfohlen).
Neue Rufnummer einrichten
Um nun die Rufnummern anzulegen, wechseln Sie in den Menüpunkt Telefonie zum Menüpunkt "Eigene Rufnummern".
Rufnummer anlegen
Klicken Sie auf "Neue Rufnummer".
Telefonie-Anbieter auswählen
Wählen Sie als Anbieter "Vodafone Kabel" aus. Geben Sie nun die Vorwahl ohne vorgestellte 0 und die Rufnummer(n) und Ihre Zugangsdaten ein und klicken Sie auf "Weiter".
Statusanzeige der Rufnummern
Ob die Einrichtung erfolgreich war, können Sie an dem grünen Statuspunkt vor der jeweiligen Rufnummer erkennen.
Weitere Anbieter anlegen
Hier können Sie auch weitere VOIP-Anbieter anlegen.
Telefoniegeräte einrichten
Neue Telefone richten Sie im unter Telefonie im Menüpunkt "Telefoniegeräte" ein. Ein Assistent führt Sie durch die Einrichtung des jeweiligen Telefons. Dort können Sie für die einzelnen Apparate Namen vergeben und festlegen, auf welche Ihrer Rufnummer sie reagieren sollen und welche Leitung genutzt werden soll.
DVB-C-Tuner nutzen
Die Fritzbox Cable bietet zudem ein Extra-Feature: Über den Menüpunkt DVB-C können über den Kabelanschluss Fernsehkanäle empfangen und ins Heimnetzwerk gestreamt werden.
Zugangsdaten speichern
Nun werden die Zugangsdaten für die Telefonie mit dem entsprechenden Passwort angezeigt. Diese Seite kann später nicht mehr aufgerufen werden. Daher sollten Sie die Daten aufschreiben, einen Screenshot machen oder die Zugangsdaten als PDF speichern. Dazu bietet Vodafone den Button "Zugangsdaten als PDF speichern" an.

Letztlich sollen also vor allem insgesamt stärkere Verschlüsselung und die individuelle Verschlüsselung jeder Client-Verbindung die Sicherheit erhöhen. Gerade diese beiden Punkte erhöhen jedoch den Rechenaufwand auf den Access Points erheblich. Daher dürften ältere Geräte - sofern sie denn von den Herstellern überhaupt dafür vorgesehen sind und es technisch möglich wäre - kein Software-Update für WPA3 mehr bekommen.

Hersteller bei WPA3 in Wartestellung

Bei der Ankündigung von WPA3 im Januar hatte die WiFi Alliance erklärt, dass noch 2018 erste Ergebnisse vorliegen würden. Die Branche ist aber skeptisch. Die erhöhten Anforderungen lassen sich offenbar in der Praxis nur vernünftig mit Funkmodulen nach 802.11ac umsetzen. Und selbst da ist fraglich, ob die günstigsten Modelle technisch damit überhaupt zurechtkommen werden und ob sie noch ein Software-Update erhalten.

Die durch WPA3 erhöhten Anforderungen lassen sich offenbar in der Praxis nur vernünftig mit Funkmodulen nach 802.11ac umsetzen.
Foto: Konstantin Faraktinov - shutterstock.com

Selbst für aktuelle Funkmodule, die in derzeit ausgelieferten Access Points verbaut werden, dürften die Anforderungen oft zu hoch sein. Sie könnten WPA3 zwar theoretisch unterstützen, die Leistung im WLAN würde dann aber zu stark einbrechen. Unter der Hand ist daher zu erfahrenen, das wohl kaum ein Hersteller WPA3 für ältere Modelle nachrüsten wird - und wenn, dann nur für sehr wenige.

Daher warten derzeit alle auf die neuen Funkmodule, die bereits für WPA3 entwickelt wurden. Das erste hat Qualcomm Ende Februar vorgestellt. Der WCN3998 ist für Client-Hardware gedacht. Testmuster sollen in der zweiten Jahreshälfte 2018 an die Qualcomm-Kunden ausgeliefert werden. Erste Geräte damit kann man also frühestens zur CES oder dem Mobile World Congress 2019 erwarten - und bis sie dann auf den Markt kommen, wird es noch einmal etwas dauern.

WLAN ebnet Händlern den Weg in die Cloud - die Management-Plattformen
Die Cloud basierten WLAN-Management-Plattformen
Bei WLAN-Routern für Consumer, wie diesem Pfeil-schnellen AVM-Flaggschiff FRITZ!BOX 7580, ist das Thema Konfiguration und Management über die entfernte Cloud noch kein Thema. Der Grund: Sie werden meist nur SOLO in privaten Wohnungen und kleinen Büros betrieben.
Die Cloud basierten WLAN-Management-Plattformen
Martin Scheller, Sales Manager Central Europe bei Aerohive Networks, setzt beim Verkauf seiner WLAN-Cloud-Produkte auf die Zusammenarbeit mit Resellern, Distributoren und Systemintegratoren.
Die Cloud basierten WLAN-Management-Plattformen
Mit dem Aerohive HiveManager behält der Admin auch bei großen WLAN-Installationen mittels Cloud allzeit den Überblick über seine WLAN Access Points (AP).
Die Cloud basierten WLAN-Management-Plattformen
Dieser Aerohive Access-Point AP245X lässt sich mit dem HiveManager über die Aerohive Cloud steuern, warten und konfigurieren.
Die Cloud basierten WLAN-Management-Plattformen
Hans-Dieter Wahl, Business Line Manager WLAN bei Bintec, vertreibt seine WLAN-Cloud-Produkte rein über den Channel, also über Distribution und Reseller. Das Cloud-basierte WLAN-Management kostet für einen Access Point und für ein Jahr 39 Euro plus Umsatzsteuer (EVP, empfohlener Verkaugspreis).
Die Cloud basierten WLAN-Management-Plattformen
Pamela Streitwieser, Channel Manager DACH bei Bintec Elmeg, demonstrierte den "Bintec Cloud NetManager" auf dem Allnet Solution Day 2016 im Schloß Nymphenburg zu München.
Die Cloud basierten WLAN-Management-Plattformen
Der bintec Cloud NetManager kann die Cloud-gesteuerten WLAN Access Points auf der Landkarte anzeigen.
Die Cloud basierten WLAN-Management-Plattformen
Der bintec Cloud NetManager kann die Cloud-gesteuerten WLAN Access Points auf der Landkarte sehr datailliert anzeigen.
Die Cloud basierten WLAN-Management-Plattformen
Der bintec Cloud NetManager macht einen aufgeräumten Eindruck.
Die Cloud basierten WLAN-Management-Plattformen
Dank bintec Cloud NetManager kann man den Zustand geografisch weit verteilter WLAN Access Points aus der Ferne beurteilen. Das spart Reisespesen und Gehälter von Netzwerkexperten, die jetzt nicht mehr so oft an den Installationsort rausfahren müssen.
Die Cloud basierten WLAN-Management-Plattformen
Michael Himmels ist Vice President Business Solutions bei der Devolo AG. Sein "devolo connectivity center" (dcc) ist mandantenfähig ausgelegt und flexibel skalierbar, somit ein ideales Werkzeug zur Multisite-Verwaltung, egal ob für IT-Systemhäuser, Fachhändler oder direkt im Unternehmen.
Die Cloud basierten WLAN-Management-Plattformen
Das devolo connectivity center (dcc) kann WLAN- und Powerline-Geräte gleichermaßen mittels Cloud fernkonfigurieren und fernverwalten.
Die Cloud basierten WLAN-Management-Plattformen
Olaf Hagemann, SE Director DACH bei Extreme Networks, vertreibt seine Cloud-Lösungen ausschließlich über Fachhandelspartner, die über die nötige Expertise verfügen.
Die Cloud basierten WLAN-Management-Plattformen
Extreme Networks will alle neuen Geräte, wie Access Switches und Access Points, Cloud-fähig machen, damit sie sowohl in der Cloud als auch On-Premise eingesetzt werden können.
Die Cloud basierten WLAN-Management-Plattformen
Mit dem ExtremeCloud LAN-WLAN-Cloud-Management kann man auch große Netze via PC, Laptop, Tablet oder notfalls sogar via Smartphone aus der Ferne konfigurieren und überwachen.
Die Cloud basierten WLAN-Management-Plattformen
Ralf Koenzen, Geschäftsführender Gesellschafter bei Lancom Systems: "Auch bei der "Lancom Management Cloud" bleiben wir unserem bewährten Channel-Modell treu."
Die Cloud basierten WLAN-Management-Plattformen
Lancom Systems designt, verwaltet und überwacht mit der Lancom Management Cloud ganze Netzinfrastrukturen: vom Router und Gateway über die Switches bis zu den WLAN Access Points (APs).
Die Cloud basierten WLAN-Management-Plattformen
Die Lancom Management Cloud kann alle Cloud-verwalteten WLAN Access Points (APs) auf der Landkarte anzeigen.
Die Cloud basierten WLAN-Management-Plattformen
Beate Winzer-Hierlmeier, Marketing Manager SMB Central Europe bei Netgear: "Wenn Händler oder Firmen-Kunden schon einen ProSafe Access Point mit Cloud-fähiger Firmware haben, dann können sie den Wireless Manager 90 Tage gratis unter http://businesscentral.netgear.com/ testen
Die Cloud basierten WLAN-Management-Plattformen
Das Dashboard der Lancom Management Cloud.
Die Cloud basierten WLAN-Management-Plattformen
Patrick Hirscher, Pre-Sales Engineer & Trainer bei Zyxel Deutschland: "Wir vertreiben die Nebula Produkte über den Fachhandel, der die Produkte über die Distribution bezieht. Zyxel Nebula nutzt ein credit points-basiertes Lizenzmodell, das jede Menge Flexibilität bietet, wenn das WLAN um weitere Geräte erweitert wird."
Die Cloud basierten WLAN-Management-Plattformen
Zyxel Nebula: Netzwerk-Management aus der Ferne mittels Cloud: Die beste Übersicht bietet wohl immer noch ein großer Monitor. Zur Not tut es aber auch ein Tablet oder ein Smartphone mit einem möglichst großen Display.
Die Cloud basierten WLAN-Management-Plattformen
Die Benutzeroberfläche von Zyxel Nebula.
Die Cloud basierten WLAN-Management-Plattformen
Ende 2016 sind die Cloud-kompatiblen Zyxel Nebula Access Points und Nebula Switches erstmals in den Handel gekommen. Die Zyxel Nebula Security Gateways sollen im ersten Quartal 2017 folgen.

Hersteller von professionellen Access Points und WLAN-Geräten werden noch etwas länger brauchen. Schließlich reicht es nicht, die von den Chip-Herstellern gelieferten Funkmodule zu verbauen. Sie müssen auch noch ihre Firmware und ihre Management-Software für WPA3 anpassen - und das werden sie erst abschließend tun, wenn der Standard vollständig vorliegt.

Auf Nachfrage von ChannelPartner geben sich die Hersteller daher zurückhaltend. AVM werde darüber informieren, "sobald bekannt ist, wann der Standard WPA3 final ist und implementiert werden kann." Allerdings will man offenbar vorne dabei sein, denn AVM verweist auf den hohen Stellenwert, den WLAN-Sicherheit beim Berliner Unternehmen hat und dass man einer der ersten Hersteller war, der damals WPA2 integrierte.

Lesetipp: Die 14 nervigsten WLAN-Probleme lösen

Auch Lancom rechnet nicht vor Ende 2018 oder Anfang 2019 mit ersten Produkten. Der Hersteller wartet ebenfalls auf die Funkmodule - in dem Fall die von Atheros (Qualcomm). Im professionellen Umfeld werden Produkte mit 802.11ac und WPA3 zumindest in Europa für eine gewisse Zeit eine wichtige Rolle spielen. Schließlich kommt der "Nachfolger" 802.11ax wohl nicht vor Anfang 2019.

Geplante Verbesserungen für WPA2

Daher wird auch WPA2 nicht direkt durch WPA3 ersetzt, wie fälschlicherweise oft angenommen wurde, sondern noch eine unbestimmte Zeit lang weiterentwickelt. Dazu werden zunächst einige Fehlerquellen eliminiert, die es ermöglichen, bei einer Fehlkonfiguration die Authentifizierungsmechanismen zu umgehen.

WPA3 wird WPA2 nicht direkt ersetzen, sondern soll noch eine unbestimmte Zeit lang weiterentwickelt und vor allem sicherer gemacht werden.
Foto: Profit_Image - shutterstock.com

Außerdem sollen die bereits von WLAN-Geräten bereits vielfach genutzten Protected Management Frames (PMF) strategischer genutzt werden, um besser gegen Angriffe wie Spoofing zu schützen. Ihre Aufgabe ist es letztlich, den Management-Traffic in Wi-Fi-Netzwerken zu schützen. Vereinfacht gesagt werden Geräte, um das Label "Wi-Fi Certified" bekommen zu können, Protected Management Frames unterstützen und jeweils die höchstmögliche Sicherheitsstufe im genutzten WLAN verwenden müssen.

Eine weitere Änderung bei WPA2 zielt darauf ab, dass Hersteller "Wi-Fi"-zertifizierte Geräte einer zusätzlichen Prüfung unterziehen müssen. Dadurch soll sichergestellt werden, dass die sich immer so verhalten, wie es im Rahmen des Authentifizierungsprozesses und von den damit zusammenhängenden Protokollen erwartet wird. So will die WiFi Alliance künftig Angriffspunkte durch möglicherweise fehlerhaft konfigurierte Netzwerke oder WLAN-Geräte ausschließen.

Lesetipp: WLAN ebnet Händlern den Weg in die Cloud