Mit den modernen Verschlüsselungsverfahren WPA und IEEE 802.11i kann der Datenverkehr im WLAN deutlich besser als mit WEP gegen unerwünschte „Lauschangriffe“ geschützt werden. Die Verwendung einer Passphrase als zentraler Schlüssel ist sehr einfach zu handhaben, ein RADIUS-Server wie in 802.1x-Installationen wird nicht benötigt.
Dennoch birgt die Verwendung der abhörsicheren Verfahren WPA und IEEE 802.11i einige Schwachstellen:
- Eine Passphrase gilt global für alle WLAN-Clients
- Die Passphrase kann durch Unachtsamkeit ggf. an Unbefugte weitergegeben werden
- Mit der „durchgesickerten“ Passphrase kann jeder Angreifer in das Funknetzwerk eindringen
In der Praxis bedeutet das: Falls die Passphrase „verloren geht“ oder ein Mitarbeiter mit Kenntnis der Passphrase das Unternehmen verlässt, müsste aus Sicherheitsaspekten die Passphrase im AP geändert werden – und damit auch in allen WLAN-Clients. Da das nicht immer sichergestellt werden kann, würde sich also ein Verfahren anbieten, bei dem nicht eine globale Passphrase für alle WLAN-Clients gemeinsam gilt, sondern für jeden Benutzer im WLAN eine eigene Passphrase konfiguriert werden kann. In diesem Fall muss z. B. beim Ausscheiden eines Mitarbeiters aus dem Unternehmen nur seine „persönliche“ Passphrase gelöscht werden, alle anderen behalten ihre Gültigkeit und Vertraulichkeit.
Mit LEPS (LANCOM Enhanced Passphrase Security) hat LANCOM Systems ein effizientes Verfahren entwickelt, das die einfache Konfigurierbarkeit von IEEE 802.11i mit Passphrase nutzt und dabei die möglichen Unsicherheiten bei der Nutzung einer globalen Passphrase vermeidet.
Bei LEPS wird jeder MAC-Adresse in einer zusätzlichen Spalte der ACL (Access Control List) eine individuelle Passphrase zugeordnet – eine beliebige Folge aus 8 bis 63 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse erlaubt die Anmeldung am AP und die anschließende Verschlüsselung per IEEE 802.11i oder WPA.
Da Passphrase und MAC-Adresse verknüpft sind, ist auch das Spoofing der MAC-Adressen wirkungslos – LEPS schließt damit auch einen möglichen Angriffspunkt gegen die ACL aus. Wenn als Verschlüsselungsart WPA oder 802.11i verwendet wird, kann zwar die MAC-Adresse abgehört werden – die Passphrase wird bei diesem Verfahren jedoch nie über die WLAN-Strecke übertragen. Angriffe auf das WLAN werden so deutlich erschwert, da durch die Verknüpfung von MAC-Adresse und Passphrase immer beide Teile bekannt sein müssen, um eine Verschlüsselung zu verhandeln.
LEPS kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines RADIUS-Servers zentral verwaltet werden. LEPS funktioniert mit sämtlichen am Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Änderung stattfinden muss. Da LEPS ausschließlich im AP konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.