Mehr Sicherheit im WLAN

Der steinige Weg zu WPA3

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
WPA3 soll noch im Laufe des Jahres 2018 Verbesserungen bei Konfiguration, Authentifizierung und Verschlüsselung im WLAN bringen. Bis die in der Praxis ankommen, sind allerdings noch einige Hürden zu nehmen.

WPA2 dient in WLANs seit 2004 zur Absicherung und Verwaltung. Im Herbst 2017 sorgte dann die unter dem Namen KRACK bekannt gewordene Sicherheitslücke für Verunsicherung. Die Schwachstelle wurde zwar geschlossen, dennoch hatte sie deutlich gemacht, dass WPA2 in die Jahre gekommen ist. Die für die Zertifizierung zuständige Branchenvereinigung WiFi Alliance kündigte daher zur CES 2018 in Las Vegas WPA3 an. Der neue Standard wurde noch für 2018 in Aussicht gestellt - wohl auch, um die durch die Diskussion um die KRACK-Lücke aufgebrachten Gemüter zu beruhigen.

WPA3 soll mehr Schutz bieten. Beispielsweise soll das Protokoll auch dann vor Angriffen schützen, wenn der Nutzer ein schwaches WLAN-Passwort gewählt hat und Brute-Force-Attacken auf Passwörter verhindern, indem nach einer gewissen Anzahl an fehlgeschlagenen Versuchen die weitere Eingabe unterbunden wird.

WPA3 soll auch dann vor Angriffen schützen, wenn der Nutzer ein schwaches WLAN-Passwort gewählt hat.
WPA3 soll auch dann vor Angriffen schützen, wenn der Nutzer ein schwaches WLAN-Passwort gewählt hat.
Foto: Shutter M - shutterstock.com

Als direkte Reaktion auf die KRACK-Lücke kann der verbesserte "Handshake" gewertet werden, der den bisher üblichen "4-way handshake" ersetzt, bei dem der Client den Verschlüsselungs-Key bestimmt. Und als Antwort auf die Diskussion um IoT-Botnetze sollen sich optional mit WPA3 auch Geräte ohne oder mit sehr kleinem Display einfacher einrichten lassen.

Besonders für öffentliche WLANs oder Gast-WLANs gedacht ist eine auf RFC8110 basierende, Opportunistic Wireless Encryption (OWE) genannte Methode. Sie kommt ohne ein vorgegebenes Passwort aus. Client-Geräte und Access Points nutzen dabei einen nur einmal verwendbaren Pairwise Master Key (PMK), wie er auch bei der Verbesserung von WEP vor über zehn Jahren durch 802.11i schon eingeführt wurde (PDF) und zum Beispiel von Cisco Meraki und Apple heute noch verwendet wird.

Letztlich sollen also vor allem insgesamt stärkere Verschlüsselung und die individuelle Verschlüsselung jeder Client-Verbindung die Sicherheit erhöhen. Gerade diese beiden Punkte erhöhen jedoch den Rechenaufwand auf den Access Points erheblich. Daher dürften ältere Geräte - sofern sie denn von den Herstellern überhaupt dafür vorgesehen sind und es technisch möglich wäre - kein Software-Update für WPA3 mehr bekommen.

Hersteller bei WPA3 in Wartestellung

Bei der Ankündigung von WPA3 im Januar hatte die WiFi Alliance erklärt, dass noch 2018 erste Ergebnisse vorliegen würden. Die Branche ist aber skeptisch. Die erhöhten Anforderungen lassen sich offenbar in der Praxis nur vernünftig mit Funkmodulen nach 802.11ac umsetzen. Und selbst da ist fraglich, ob die günstigsten Modelle technisch damit überhaupt zurechtkommen werden und ob sie noch ein Software-Update erhalten.

Die durch WPA3 erhöhten Anforderungen lassen sich offenbar in der Praxis nur vernünftig mit Funkmodulen nach 802.11ac umsetzen.
Die durch WPA3 erhöhten Anforderungen lassen sich offenbar in der Praxis nur vernünftig mit Funkmodulen nach 802.11ac umsetzen.
Foto: Konstantin Faraktinov - shutterstock.com

Selbst für aktuelle Funkmodule, die in derzeit ausgelieferten Access Points verbaut werden, dürften die Anforderungen oft zu hoch sein. Sie könnten WPA3 zwar theoretisch unterstützen, die Leistung im WLAN würde dann aber zu stark einbrechen. Unter der Hand ist daher zu erfahrenen, das wohl kaum ein Hersteller WPA3 für ältere Modelle nachrüsten wird - und wenn, dann nur für sehr wenige.

Daher warten derzeit alle auf die neuen Funkmodule, die bereits für WPA3 entwickelt wurden. Das erste hat Qualcomm Ende Februar vorgestellt. Der WCN3998 ist für Client-Hardware gedacht. Testmuster sollen in der zweiten Jahreshälfte 2018 an die Qualcomm-Kunden ausgeliefert werden. Erste Geräte damit kann man also frühestens zur CES oder dem Mobile World Congress 2019 erwarten - und bis sie dann auf den Markt kommen, wird es noch einmal etwas dauern.

Hersteller von professionellen Access Points und WLAN-Geräten werden noch etwas länger brauchen. Schließlich reicht es nicht, die von den Chip-Herstellern gelieferten Funkmodule zu verbauen. Sie müssen auch noch ihre Firmware und ihre Management-Software für WPA3 anpassen - und das werden sie erst abschließend tun, wenn der Standard vollständig vorliegt.

Auf Nachfrage von ChannelPartner geben sich die Hersteller daher zurückhaltend. AVM werde darüber informieren, "sobald bekannt ist, wann der Standard WPA3 final ist und implementiert werden kann." Allerdings will man offenbar vorne dabei sein, denn AVM verweist auf den hohen Stellenwert, den WLAN-Sicherheit beim Berliner Unternehmen hat und dass man einer der ersten Hersteller war, der damals WPA2 integrierte.

Lesetipp: Die 14 nervigsten WLAN-Probleme lösen

Auch Lancom rechnet nicht vor Ende 2018 oder Anfang 2019 mit ersten Produkten. Der Hersteller wartet ebenfalls auf die Funkmodule - in dem Fall die von Atheros (Qualcomm). Im professionellen Umfeld werden Produkte mit 802.11ac und WPA3 zumindest in Europa für eine gewisse Zeit eine wichtige Rolle spielen. Schließlich kommt der "Nachfolger" 802.11ax wohl nicht vor Anfang 2019.

Geplante Verbesserungen für WPA2

Daher wird auch WPA2 nicht direkt durch WPA3 ersetzt, wie fälschlicherweise oft angenommen wurde, sondern noch eine unbestimmte Zeit lang weiterentwickelt. Dazu werden zunächst einige Fehlerquellen eliminiert, die es ermöglichen, bei einer Fehlkonfiguration die Authentifizierungsmechanismen zu umgehen.

WPA3 wird WPA2 nicht direkt ersetzen, sondern soll noch eine unbestimmte Zeit lang weiterentwickelt und vor allem sicherer gemacht werden.
WPA3 wird WPA2 nicht direkt ersetzen, sondern soll noch eine unbestimmte Zeit lang weiterentwickelt und vor allem sicherer gemacht werden.
Foto: Profit_Image - shutterstock.com

Außerdem sollen die bereits von WLAN-Geräten bereits vielfach genutzten Protected Management Frames (PMF) strategischer genutzt werden, um besser gegen Angriffe wie Spoofing zu schützen. Ihre Aufgabe ist es letztlich, den Management-Traffic in Wi-Fi-Netzwerken zu schützen. Vereinfacht gesagt werden Geräte, um das Label "Wi-Fi Certified" bekommen zu können, Protected Management Frames unterstützen und jeweils die höchstmögliche Sicherheitsstufe im genutzten WLAN verwenden müssen.

Eine weitere Änderung bei WPA2 zielt darauf ab, dass Hersteller "Wi-Fi"-zertifizierte Geräte einer zusätzlichen Prüfung unterziehen müssen. Dadurch soll sichergestellt werden, dass die sich immer so verhalten, wie es im Rahmen des Authentifizierungsprozesses und von den damit zusammenhängenden Protokollen erwartet wird. So will die WiFi Alliance künftig Angriffspunkte durch möglicherweise fehlerhaft konfigurierte Netzwerke oder WLAN-Geräte ausschließen.

Lesetipp: WLAN ebnet Händlern den Weg in die Cloud

Zur Startseite