802.11 Standard für drahtlose Netze - Zusatzfeatures
Erweiterungen
Mittlerweile stehen jedoch umfangreiche Erweiterungen zur Verfügung. Dabei ist es besonders bedauerlich, dass die Standardisierungsbemühungen, die in der Arbeitsgruppe "i" diskutiert werden, erst im Sommer 2004 zu einer verabschiedeten Version geführt wurden. Zu den heute verfügbaren Schutzmaßnahmen zählen insbesondere:
Das Temporal Key Integrity Protocol (TKIP), das früher auch als WEP2 bezeichnet wurde, verändert die Schlüsselverwaltung. Dabei wird die Adresse des Senders in den tatsächlich verwendeten Schlüssel mit einbezogen. Auf diese Weise verwendet jede Station im WLAN einen eigenen Schlüssel. Darüber hinaus bezieht TKIP auch die Integritätsüberprüfung von Nachrichten durch die Integration eines Message Integrity Codes (MIC, oft "Michael" ausgesprochen) ein. Und schließlich verbessert TKIP die Auswahl der Initialisierungsvektoren, indem ein 48 Bit langer TKIP Sequence Counter (TSC) verwendet wird.
Es wird mit dem Advanced Encryption Standard (AES) ein sehr viel sicherer, symmetrischer, blockorientierter Verschlüsselungsalgorithmus eingesetzt, über den aus heutiger Sicht noch keine wirksamen Schwächen bekannt sind. AES wird mit einer Schlüssellänge von 128 Bit als AES-CBC-MAC-Protokoll (AES-CCMP) verwendet.
Das im RFC2284 beschriebene Extensible Authentication Protocol (EAP) stellt eine wichtige Grundlage für eine umfassende und zentralisierte Sicherheitskonzeption dar. Dabei ist EAP kein Authentifizierungsprotokoll, sondern ein Transportprotokoll für Authentifizierungsverfahren. Als Authentifizierungsverfahren können dann z.B. MD5 Challenge oder TLS Handshake zum Einsatz kommen.
TKIP und EAP wurden von der Wi-Fi Alliance als temporäres Subset des lange Zeit diskutierten 802.11i unter der Bezeichnung Wi-Fi Protected Access (WPA) beschrieben.
Mit dem portbasierten Ansatz des IEEE802.1x kann die Authentifizierung auch auf weitere Ressourcen zurückgreifen. Insbesondere der benutzerbezogenen Authentifizierung über einen Remote Authentification Dial-In User Service (RADIUS) kommt hier eine große Bedeutung zu, da er die zentrale Verwaltung von Benutzeridentifikationen und Passwörtern ermöglicht.
Allerdings sind in vielen Produkten diese Vorkehrungen noch nicht umfassend umgesetzt. Grundsätzlich gilt: Alle vorhandenen Schutzmechanismen aktivieren. Auch diejenigen Maßnahmen, die man kompromittieren kann, erhöhen den Aufwand bei einem potenziellen Angreifer.
Daher sollte man beim Einsatz von WLANs auch zusätzliche Schutzmechanismen in Erwägung ziehen. So lassen sich auf Grund der Einbettung in die IEEE802-Standards auch bei WLANs alle Sicherheitsmechanismen der höheren Protokollebenen, wie etwa IPsec, problemlos einsetzen.