Navigation

Der einfache Weg zum sicheren WPA Key

WPA - Keygenerator

Kurzanleitung

Wählen Sie die Grösse des Keys den Sie generieren möchten. Ich habe die beste Schlüssellänge für Sie bereits ausgewählt.
Klicken Sie auf den "Generate" Button. Ihr Zufalls-Schlüssel wird danach in die Text-Box geschrieben.
Markieren Sie den Zufalls-Schlüssel (Klicken Sie dazu auf die Box und drücken Sie [Ctrl-A]) und kopieren Sie ihn in den Zwischenspeicher [Ctrl+C]. Versichern Sie sich, dass Sie den ganzen Schlüssel ausgewählt haben.
Fügen Sie den Schlüssel [Ctrl-V] in die Konfiguration Maske Ihrer W-Lan Basisstation sowie Ihrem W-Lan Client (PC / Laptop).
Geniessen Sie Ihr neues Leben mit einer sicheren W-Lan Konfiguration.

Funktionsweise eines WPA-PSK Schlüssels

WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Nutzern Pre-Shared Keys (PSK) oder Extensible Authentication Protocol (EAP) über IEEE 802.1x an.

WPA basiert auf dem RC4-Stromchiffre, der schon für WEP genutzt wurde. Im Gegensatz zu WEP nutzt WPA nicht nur einen 48 Bit langen Initialisierungsvektor (IV), sondern auch eine "Per Packet Key Mixing"-Funktion, einen "Re Keying"-Mechanismus sowie einen Message Integrity Check (MIC).

Die Authentifizierung über EAP wird meist in großen Wireless-LAN-Installationen genutzt, da hierfür eine Authentifizierungsinstanz in Form eines Servers (z. B. ein RADIUS-Server) benötigt wird. In kleineren Netzwerken, wie sie im SoHo-Bereich (Small Office, Home Office) häufig auftreten, werden meist PSK (Pre-Shared-Keys) genutzt. Der PSK muss somit allen Teilnehmern des Wireless LAN bekannt sein, da mit seiner Hilfe der Sitzungsschlüssel generiert wird.

Am 3. Februar 2004 wurde die Erweiterung von WPA (WPA2) angekündigt. In WPA2 wurde nicht nur der vollständige 802.11i-Standard umgesetzt, sondern es nutzt auch einen anderen Verschlüsselungsalgorithmus: AES (Advanced Encryption Standard). Hierbei ist zu erwähnen, dass WPA-fähige Geräte, die AES beherrschen, nicht unbedingt WPA2 unterstützen.

Angriffsmöglichkeiten

Bei der Nutzung von Pre-Shared-Keys ist unbedingt auf die Qualität des verwendeten Passworts zu achten. Ein möglicher Angreifer kann über die Brute-Force-Methode oder einen Wörterbuchangriff das genutzte Passwort erraten und so alle möglichen Varianten des Pre-Shared-Keys generieren. Um zu sehen, welcher der generierten Schlüssel der richtige ist, muss ein Anmeldevorgang mitgehört werden (der von einem Angreifer jederzeit initiiert werden kann). Bei jeder Anmeldung findet ein Schlüsselaustausch statt, der über einen MD5-Hash gesichert wird und mit dessen Hilfe man die generierten Schlüssel auf ihre Richtigkeit überprüfen kann.

Sicherheitsmaßnahmen

An erster Stelle sollte die Wahl einer sicheren pass phrase (Pre-Shared-Key) stehen. Diese sollte die maximale Schlüssellänge von 63 Zeichen nutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren.

Weitere Sicherheitsmaßnahmen sind:

Das Standard-Passwort des Access-Points sollte geändert bzw. überhaupt erst einmal ein Passwort gesetzt werden.
Die Zugriffskontrollliste (ACL = Access Control List) sollte aktiviert werden, um vom Access-Point nur Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist jedoch kein wirklicher Sicherheitsgewinn, denn MAC-Adressen sind leicht manipulierbar.
Die SSID des Access-Point sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen.
Umstritten ist die Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID auch bei deaktiviertem Broadcasting mit einem Sniffer ausgelesen werden.
WLAN-Geräte (z. B. der Access Point) sollten nicht per WLAN konfiguriert werden, sondern ausschließlich über eine kabelgebundene Verbindung.
Im Access Point sollte, sofern vorhanden, die Fernkonfiguration abgeschaltet werden.
WLAN-Geräte sollten ausgeschaltet werden, solange sie nicht genutzt werden.
Die Reichweite des WLANs sollte minimiert werden. Dies kann durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes durchgeführt werden.
Regelmäßige Firmware-Aktualisierungen des Access-Points sollten durchgeführt werden, um sicherheitsrelevante Verbesserungen zu erhalten

Note: The code for key generation is based upon that distributed freely by the kind folks at Warewolf Labs.
Die Erklärung der WPA Verschlüsslung ist aus dem Wikipedia.

Blatter Tech Informatik | Zelgmatte 7 | 5600 Lenzburg/AG | 079 569 25 90

Schlüssellänge:	ungenügende Sicherheit (8 Zeichen)
	Minimalste Sicherheit (20 Zeichen)
	Maximale WPA Sicherheit (63 Zeichen)
	Benutzerdefinierte Grösse: Zeichen (Für wpa muss der Key zwischen 8 und 63 Zeichen lang sein)
Generate