WPA2-Lücke: maxspot®-APs nicht betroffen

17
Okt
4 Min.
4 Min.

Die unter dem Namen KRACK bekannt gewordene WPA2-Lücke in WLAN-Netzen basiert darauf, beim Aufbau einer WLAN-Verbindung den zwischen Client (Laptop, Tablet, SmartPhone) und Access-Point (AP) ausgehandelten WPA2-Schlüssel so zu manipulieren, dass ein Angreifer sich in die WLAN-Verbindung eines Nutzers »einklinken« kann. WLAN-Router/APs von maxspot® sind im normalen Betriebsmodus als öffentliche Hotspots von dieser Lücke nicht betroffen.

KRACK (Key Reinstallation Attack) bezeichnet eine Schwäche im WPA2-Protokoll, mittels derer ein Angreifer während des Aufbaus der WLAN-Verbindung eines Clients zu einem Access-Point (AP) die mit WPA2 verschlüsselte Verbindung kompromittieren kann. Laut dem Entdecker der Lücke richtet sich der Angriff dabei nicht gegen den AP, sondern stets gegen den Client.

Voraussetzungen für einen Angriff

Damit ein potentieller Angreifer die WPA2-Lücke für einen Angriff auf die Verbindung ausnutzen kann, müssen bestimmte Voraussetzungen vorliegen:

  • Der Zugang zum WLAN muss mit einem WPA2-Schlüssel abgesichert sein.
  • Der Angreifer muss sich in der Nähe des Access-Points (APs) befinden und näher am Client sein als der AP.
  • Der Client muss sich am AP – erstmalig oder im Rahmen einer Erneuerung der Verbindung (»re-connect«) – unter Verwendung des WPA2-Schlüssels anmelden.
  • Damit ein Angreifer eine Erneuerung der Verbindung eines Clients zum AP erzwingen kann, muss ein AP den Wechsel des Clients zu einem anderen AP über das Verfahren »Fast Roaming« (IEEE 802.11r) zulassen.
  • Der AP muss während der Anmeldung im sogenannten »four-way handshake« die Verwendung eines vom AP gesendeten Replay-Counters, den der Client noch nicht in einer Antwort genutzt hat, erlauben.
  • Alternativ kann ein Angreifer eine in manchen WLAN-Adaptern fehlende Authentizitätsprüfung der Datenpakete mittels MIC (Message Integrity Check) bei der Erneuerung des WPA2-Schlüssels für einen Angriff ausnutzen.

maxspot®-Hotspots verwenden weder WPA2 noch Fast Roaming

In der werksseitigen Einstellung verwenden maxspot®-APs als öffentlich zugängliche Hotspots keine WPA2-Verschlüsselung, sondern ein eigenes, über SSL/TLS abgesichertes Zugangs- bzw. Anmeldeverfahren.

Die Sicherheit von Datenverbindungen über das unverschlüsselte WLAN eines öffentlichen Hotspots obliegt den Benutzern, die hierfür eine wirksame Ende-zu-Ende-Verschlüsselung nutzen sollten (z.B. durch die Verwendung des HTTPS-Protokolls beim Abruf von Web-Inhalten sowie durch Verwendung von SSH- oder VPN-Verbindungen beim Zugang zu vom Internet isolierten Firmennetzen).

Alle maxspot®-Kompaktsystem, die in der empfohlenen Standard-Einstellung betrieben werden, sind nicht von dem KRACK-Angriffsvektor betroffen. maxspot®-Kompaktsysteme sind die WLAN-Router Linksys WRT160NL, Netgear WNDR3800, Buffalo WZR-HP-G300NH und TP-Link WDR4300.

Die Business-Class-Geräte der Auranet-/Omada-Serie von TP-Link (EAP110, EAP225, EAP245, EAP320, EAP330, EAP110-Outdoor und EAP225-Outdoor) erlauben beim Verbindungsaufbau von Clients keine bereits benutzten Replay-Counter und prüfen die Authentizität von WLAN-Frames gemäß dem MIC-Verfahren. Diese Geräte sind von der WPA2-Lücke auch dann nicht betroffen, wenn eine WPA2-Verschlüsselung verwendet wird.

Gefährdete Geräte in der Betriebsart als Repeater oder Client

maxspot®-Kompaktsysteme, die in der Betriebsart als Repeater oder als Client betrieben werden, um eine mit WPA2 verschlüsselte Verbindung zum Internet über ein WLAN-Netz herzustellen, können von der WPA2-Lücke betroffen sein. Die Koppelung von APs über das WLAN als Repeater oder Client wird allerdings von maxspot® seit Einführung von maxspotOS 3 im Jahr 2013 nicht mehr unterstützt und seitdem auch ausdrücklich – aus vielerlei anderen Gründen – nicht empfohlen.

maxspot®-Kompaktsysteme, die ein zusätzliches, mit WPA2 verschlüsseltes WLAN anbieten, können von der WPA2-Lücke betroffen sein. Für diese Geräte wird in Kürze eine Firmware verfügbar sein, welche die WPA2-Lücke behebt.

WLAN-Geräte in Richtfunkstrecken, die sich in der Betriebsart als Client mit einem entfernten AP verbinden, können ebenfalls von der WPA2-Lücke betroffen sein. Hierzu gehören die APs der Pharos-Serie (CPE210, CPE510, WBS210, WBS510). Der Hersteller TP-Link hat für diese Geräte eine neue Firmware-Version angekündigt.

Gefährdete Client-Geräte von Hotspot-Nutzern

Alle Client-Geräte (Laptops, Tablets, SmartPhones), deren WLAN-Treiber die bekannt gewordenen WPA2-Lücken aufweisen, können Ziel einer KRACK-Attacke werden und zwar auch dann, wenn der beteiligte AP nicht anfällig ist. Für Infos über die Maßnahmen zur Feherbehebung bei diesen Geräten sei auf die jeweiligen Hersteller verwiesen.

Ausmaß der Gefährdung bei erfolgreichen KRACK-Attacken

Bei erfolgreichen Attacken unter Ausnutzung der WPA2-Lücke kann unter bestimmten Bedingungen (physische Präsenz vor Ort, Verschlüsselung des WLANs mittels WPA2, Einsatz eines gefährdeten Geräts als Repeater oder Client, Verzicht auf die Verschlüsselung in höheren Schichten mittels HTTPS bzw. SSL/TLS) der Datenverkehr zwischen einem Client und einem AP mitgelesen bzw. verändert werden. Ein Angreifer kann jedoch kein vollwertiger Teilnehmer des WLAN-Netzes werden.

maxspot® empfiehlt – unabhängig von allen Maßnahmen zur Behebung der WPA2-Lücke –, stets eine Ende-zu-Ende-Verschlüsselung durch HTTPS und SSL/TLS für alle Verbindungen über öffentliche Hotspots wie auch über nicht-öffentliche WLAN-Netze zu nutzen.