Konfiguration der WLAN-Parameter / Verschlüsselungs-Einstellungen
Übergeordnetes Thema: Verschlüsselungs-Einstellungen

WLAN-Verschlüsselungs-Einstellungen

Die Schlüsseleinstellungen konfigurieren Sie unter Wireless-LAN > Verschlüsselung > WLAN-Verschlüsselungs-Einstellungen. Markieren Sie die entsprechende Schnittstelle und klicken Sie auf Bearbeiten. Auf dem Reiter Allgemein finden Sie die folgenden Einstellungen:





Verschlüsselung aktivieren
Aktivieren bzw. deaktivieren Sie die Verschlüsselung für diese WLAN-Schnittstelle.
Methode/Schlüssel-1-Typ
Stellen Sie hier das zu verwendende Verschlüsselungsverfahren ein. Mögliche Werte sind:
  • 802.11i (WPA)-PSK – Die Verschlüsselung nach dem 802.11i-Standard bietet die höchste Sicherheit. Die dabei eingesetzte 128-Bit-AES-Verschlüsselung entspricht der Sicherheit einer VPN-Verbindung. Wählen Sie diese Einstellung, wenn kein RADIUS-Server zur Verfügung steht und die Authentifizierung mit Hilfe eines Preshared Keys erfolgt.
  • 802.11i (WPA)-802.1x – Wenn die Authentifizierung über einen RADIUS-Server erfolgt, wählen Sie die Option '802.11i (WPA)-802.1x'. Achten Sie bei dieser Einstellung darauf, auch den RADIUS-Server bei den 802.1x-Einstellungen zu konfigurieren.
  • WEP 152, WEP 128, WEP 64 – Verschlüsselung nach dem WEP-Standard mit Schlüssellängen von 128, 104 bzw. 40 Bit. Diese Einstellung ist nur zu empfehlen, wenn die verwendete Hardware der WLAN-Clients die modernen Verfahren nicht unterstützt.
  • WEP 152-802.1x, WEP 128-802.1x, WEP 64-802.1x – Verschlüsselung nach dem WEP-Standard mit Schlüssellängen von 128, 104 bzw. 40 Bit und zusätzlicher Authentifizierung über 802.1x/EAP. Auch diese Einstellung kommt i.d.R. dann zum Einsatz, wenn die verwendete Hardware der WLAN-Clients den 802.11i-Standard nicht unterstützt. Durch die 802.1x/EAP-Authentifizierung bietet diese Einstellung eine höhere Sicherheit als eine reine WEP-Verschlüsselung.
Schlüssel-1/Passphrase
Je nach eingestelltem Verschlüsselungsverfahren können Sie hier einen speziellen WEP-Schlüssel für das jeweilige logische WLAN-Interface bzw. eine Passphrase bei der Verwendung von WPA-PSK eintragen:
  • Die Passphrase – also das "Passwort" für das WPA-PSK-Verfahren – wird als Kette aus mindestens 8 und maximal 63 ASCII-Zeichen eingetragen.
    Anmerkung: Bitte beachten Sie, dass die Sicherheit des Verschlüsselungssystems bei der Verwendung einer Passphrase von der vertraulichen Behandlung dieses Kennworts abhängt. Die Passphrase sollte nicht einem größeren Anwenderkreis bekannt gemacht werden.
  • Der WEP-Schlüssel-1, der nur speziell für das jeweilige logische WLAN-Interface gilt, kann je nach Schlüssellänge unterschiedlich eingetragen werden. Die Regeln für die Eingabe der Schlüssel finden Sie bei der Beschreibung der WEP-Gruppenschlüssel.
RADIUS-Server
Wenn Sie unter Methode/Schlüssel-1-Typ eine Authentifizierung nach dem Standard IEEE 802.1X auswählen, geben Sie hier das Profil eines RADIUS-Servers an.
WPA-Version
WPA-Version die der Access Point den WLAN-Clients zur Verschlüsselung anbietet.
  • WPA1: Nur WPA1
  • WPA2: Nur WPA2
  • WPA1/2: Sowohl WPA1 als auch WPA2 in einer SSID (Funkzelle)
WPA 1 Sitzungs-Schlüssel-Typ
Wenn als Verschlüsselungsmethode '802.11i (WPA)-PSK' eingestellt wurde, kann hier das Verfahren zur Generierung des Sitzungs- bzw. Gruppenschlüssels für WPA 1ausgewählt werden:
  • AES – Es wird das AES-Verfahren verwendet.
  • TKIP – Es wird das TKIP-Verfahren verwendet.
  • AES/TKIP – Es wird das AES-Verfahren verwendet. Falls die Client-Hardware das AES-Verfahren nicht unterstützt, wird TKIP eingesetzt.
WPA 2 Sitzungs-Schlüssel-Typ
Verfahren zur Generierung des Sitzungs- bzw. Gruppenschlüssels für WPA 2.

Auf dem Reiter Erweitert finden Sie die folgenden Einstellungen:





WPA Rekeying-Zyklus
Ein 48 Bit langer Initialization Vector (IV) erschwert die Berechnung des WPA-Schlüssels für Angreifer. Die Wiederholung des aus IV und WPA-Schlüssel bestehenden echten Schlüssels würde erst nach 16 Millionen Paketen erfolgen. In stark genutzten WLANs also erst nach einigen Stunden. Um die Wiederholung des echten Schlüssels zu verhindern, sieht WPA eine automatische Neuaushandlung des Schlüssels in regelmäßigen Abständen vor. Damit wird der Wiederholung des echten Schlüssels vorgegriffen. Geben Sie hier einen Wert in Sekunden an, nachdem der Schlüssel neu ausgehandelt wird. In der Standardeinstellung ist der Wert auf '0' eingestellt, so dass keine vorzeitige Aushandlung des Schlüssels erfolgt.
WPA2 Key Management
Bestimmen Sie hier, nach welchem Standard das WPA2-Schlüsselmanagement funktionieren soll. Mögliche Werte sind:
  • Standard: Aktiviert das Schlüsselmanagement gemäß dem Standard IEEE 802.11i ohne Fast Roaming und mit SHA-1-basierten Schlüsseln. Die WLAN-Clients müssen in diesem Fall je nach Konfiguration Opportunistic Key Caching, PMK Caching oder Pre-Authentifizierung verwenden.
  • SHA256: Aktiviert das Schlüsselmanagement gemäß dem Standard IEEE 802.11w mit SHA-256-basierten Schlüsseln.
  • Fast Roaming: Aktiviert Fast Roaming über 802.11r
  • Kombinationen der drei Einstellungen
Wichtig: Obwohl eine Mehrfachauswahl möglich ist, sollten Sie diese nur vornehmen, wenn sichergestellt ist, dass sich nur entsprechend geeignete Clients am AP anmelden wollen. Ungeeignete Clients verweigern ggf. eine Verbindung, wenn eine andere Option als Standard aktiviert ist.
Client-EAP-Methode
APs in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen AP authentifizieren. Zur Aktivierung der EAP/802.1X-Authentifizierung im Client-Modus wird bei den Verschlüsselungsmethoden für das erste logische WLAN-Netzwerk die Client-EAP-Methode ausgewählt. Beachten Sie, dass die gewählte Client-EAP-Methode zu den Einstellungen des Access Points passen muss, bei dem sich der AP einbuchen will.
Anmerkung: Beachten Sie neben der Einstellung der Client-EAP-Methode auch die entsprechende Einstellung der Betriebsart als WLAN-Client. Bei anderen logischen WLAN-Netzwerken als WLAN-1 ist die Einstellung der Client-EAP-Methode ohne Funktion.
PMK-Caching
Beim Verbindungsaufbau eines WLAN-Clients zu einem AP handeln die beiden Gegenstellen im Rahmen der 802.1x-Authentifizierung einen gemeinsamen Schlüssel für die nachfolgende Verschlüsselung aus, den Pairwise Master Key (PMK). Bei Anwendungen mit bewegten WLAN-Clients (Notebooks in größeren Büro-Umgebungen, bewegte Objekte mit WLAN-Anbindung im Industriebereich) wechseln die WLAN-Clients häufig den AP, bei dem sie sich in einem WLAN-Netz anmelden. Die WLAN-Clients roamen also zwischen verschiedenen, aber in der Regel immer den gleichen APs hin und her. APs speichern üblicherweise einen ausgehandelten PMK für eine bestimmte Zeit. Auch ein WLAN-Gerät in der Betriebsart als WLAN-Client speichert den PMK. Sobald ein WLAN-Client einen Anmeldevorgang bei einem AP startet, zu dem zuvor schon einer Verbindung bestand, kann der WLAN-Client direkt den vorhandenen PMK zur Prüfung an den AP übermitteln. Die beiden Gegenstellen überspringen so die Phase der PMK-Aushandlung während des Verbindungsaufbaus, WLAN-Client und AP stellen die Verbindung deutlich schneller her. Der WLAN-Client speichert den ausgehandelten PMK für die unter dem Parameter "Vorgabe-Lebenszeit" eingestellte Dauer.
Pre-Authentication
Die schnelle Authentifizierung über den Pairwise Master Key (PMK) funktioniert nur, wenn der WLAN-Client sich bereits zuvor am AP angemeldet hat. Um die Dauer für die Anmeldung am AP schon beim ersten Anmeldeversuch zu verkürzen, nutzt der WLAN-Client die Prä-Authentifizierung. Normalerweise scannt ein WLAN-Client im Hintergrund die Umgebung nach vorhandenen APs, um sich ggf. mit einem von ihnen neu verbinden zu können. APs, die WPA2/802.1x unterstützen, können ihre Fähigkeit zur Prä-Authentifizierung den anfragenden WLAN-Clients mitteilen. Eine WPA2-Prä-Authentifizierung unterschiedet sich dabei von einer normalen 802.1x-Authentifizierung in den folgenden Abläufen:
  • Der WLAN-Client meldet sich am neuen AP über das Infrastruktur-Netzwerk an, das die APs miteinander verbindet. Das kann eine Ethernet-Verbindung, ein WDS-Link (Wireless Distribution System) oder eine Kombination beider Verbindungen sein.
  • Ein abweichendes Ethernet-Protokoll (EtherType) unterscheidet eine Prä-Authentifizierung von einer normalen 802.1x-Authentifizierung. Damit behandeln der aktuelle AP sowie alle anderen Netzwerkpartner die Prä-Authentifizierung als normale Datenübertragung des WLAN-Clients.
  • Nach erfolgreicher Prä-Authentifizierung speichern jeweils der neue AP und der WLAN-Client den ausgehandelten PMK.
    Anmerkung: Die Verwendung von PMKs ist eine Voraussetzung für Prä-Authentifizierung. Andernfalls ist eine Prä-Authentifizierung nicht möglich.
  • Sobald der Client sich später mit dem neuen AP verbinden möchte, kann er sich dank des gespeicherten PMKs schneller anmelden. Der weitere Ablauf entspricht dem PMK-Caching.
Anmerkung: Client-seitig ist die Anzahl gleichzeitiger Prä-Authentifizierungen auf vier begrenzt, um in Netzwerk-Umgebungen mit vielen APs die Netzlast für den zentralen RADIUS-Server gering zu halten.
Authentifizierung
Wenn als Verschlüsselungsmethode eine WEP-Verschlüsselung eingestellt wurde, stehen zwei verschiedene Verfahren für die Authentifizierung der WLAN-Clients zur Verfügung:
  • Beim "OpenSystem"-Verfahren wird komplett auf eine Authentifizierung verzichtet. Die Datenpakete müssen von Beginn an richtig verschlüsselt übertragen werden, um von der Basisstation akzeptiert zu werden.
  • Beim "SharedKey"-Verfahren wird das erste Datenpakte unverschlüsselt übertragen und muss vom Client richtig verschlüsselt zurückgesendet werden. Bei diesem Verfahren steht einem potenziellen Angreifer mindestens ein Datenpaket unverschlüsselt zur Verfügung.
Standardschlüssel
Wenn als Verschlüsselungsmethode eine WEP-Verschlüsselung eingestellt wurde, kann der AP für jedes logische WLAN-Interface aus vier verschiedenen WEP-Schlüsseln wählen:
  • Drei WEP-Schlüssel für das physikalische Interface
  • Ein zusätzlicher WEP-Schlüssel speziell für jedes logische WLAN-Interface
Bei den Einzel-WEP-Einstellungen wird der zusätzliche Schlüssel für jedes logische WLAN-Interface eingestellt (siehe 'Schlüssel-1/Passphrase'). Wählen Sie außerdem aus, welcher der vier eingestellten Schlüssel aktuell für die Verschlüsselung der Daten verwendet werden soll (Standardschlüssel). Mit dieser Einstellung können Sie den Schlüssel häufiger wechseln, um die Abhörsicherheit zusätzlich zu steigern. Die Regeln für die Eingabe der Schlüssel finden Sie bei der Beschreibung der WEP-Gruppenschlüssel.
Mgmt.-Frames verschlüsseln
Die in einem WLAN übertragenen Management-Informationen zum Aufbau und Betrieb von Datenverbindungen sind standardmäßig unverschlüsselt. Jeder innerhalb einer WLAN-Zelle kann diese Informationen empfangen und auswerten, selbst wenn er nicht an einem AP angemeldet ist. Das birgt zwar keine Gefahren für eine verschlüsselte Datenverbindung, kann aber die Kommunikation innerhalb einer WLAN-Zelle durch gefälschte Management-Informationen empfindlich stören. Der Standard IEEE 802.11w verschlüsselt die übertragenen Management-Informationen, so dass ein Angreifer, der nicht im Besitz des entsprechenden Schlüssels ist, die Kommunikation nicht mehr stören kann.
Übergeordnetes Thema: Verschlüsselungs-Einstellungen