18.03.2011 | Autor / Redakteur: Lisa Phifer / Bernhard Lück
Cisco LEAP (Lightweight Extensible Authentication Protocol), auch bekannt als Cisco-Wireless EAP, ermöglicht wie Cisco ACS oder Interlink AAA die Authentifizierung mit Username und Passwort zwischen einem Wireless Client und einem RADIUS-Server. Wie LEAP funktioniert, wann es zum Einsatz kommen sollte und wie sicher es arbeitet, klärt dieser Beitrag.
LEAP ist eines von mehreren Protokollen, die mit dem Standard IEEE 802.1x für die Zugriffskontrolle im LAN verwendet werden. Im 802.1x-Framework muss sich ein Rechner erst erfolgreich authentifizieren, bevor er Daten über einen Ethernet Hub oder einen WLAN Access Point schicken kann. Der Rechner muss sich selbst damit also identifizieren und belegen, dass er ein autorisierter Teilnehmer ist, bevor er das LAN nutzen darf.
LEAP generiert für die Authentifizierung des Nutzers einen Session Key. Dieser Key unterscheidet sich von denjenigen Keys, mit denen andere Teilnehmer ihre Sitzungen verschlüsseln. Die Generierung dynamischer Schlüssel beseitigt einen großen Schwachpunkt: statische Keys, die von allen Teilnehmern im WLAN genutzt werden. Ein Angreifer, der einen statischen Schlüssel geknackt hat, kann den gesamten Verkehr im WLAN ausspähen, bis der Key bei jedem Teilnehmer aktualisiert wird. Dynamische Session Keys begrenzen den Zugriff eines Angreifers auf den Datenverkehr. Zudem kann es sein, dass die Sitzung bereits beendet ist, bevor es dem Hacker gelingt, den Schlüssel zu knacken.
Cisco LEAP bietet also ein höheres Maß an Sicherheit, als das, was ursprünglich im IEEE-802.11-WLAN-Standard definiert wurde. LEAP wird von Cisco Aironet Access Points und Wireless NICs unterstützt. Allerdings haben sich LEAP und diverse EAP-Varianten anderer Hersteller als angreifbar erwiesen. Bei einem Man-in-the-Middle-Angriff wäre es beispielsweise möglich, den WLAN-Verkehr zwischen Rechner und Access Point abzufangen und die hiermit erlangten Informationen für die Kontrolle des künftigen Datenverkehrs zu missbrauchen.
Die in Windows XP implementierte EAP-Variante EAP-TLS nutzt digitale Zertifikate für die sichere Authentifizierung von Rechner und Access Point. Es ist allerdings aufwendig, jedem Teilnehmer ein digitales Zertifikat auszustellen, weshalb viele Unternehmen die Authentifizierung mit Username und Passwort weiterhin bevorzugen würden. Der Trick ist, diese Maßnahme zeitgleich mit Maßnahmen gegen Man-in-the-Middle-Angriffe zu ergreifen. Ein funktionierender Ansatz, der von mehreren Herstellern, unter anderem von Cisco, in Betracht gezogen wird, ist PEAP (Protected EAP). Es ist zu erwarten, dass PEAP (oder welche EAP-Variante auch immer letztendlich Standard werden wird) LEAP in künftigen WLAN-Geräten ablösen wird.
Rechner-Authentifizierung und Zugangskontrolle am Access Point beseitigen nicht alle Sicherheitsrisiken im WLAN. WLAN-Geräte wie die Aironet-Produkte mit LEAP-Implementierung nutzen den Verschlüsselungsalgorithmus WEP (Wired Equivalent Privacy) für den vertraulichen drahtlosen Datenverkehr, beispielsweise für E-Mails, für Dateitransfers und für den Inhalt von Webseiten, die über WLAN angewählt werden. Aber auch Nutzer, die ihrer Meinung nach keine vertraulichen Daten versenden, stellen sensible Informationen ins Netzwerk, zum Beispiel E-Mail-Zugangsdaten und -Passwörter, Benutzerkennungen und Serveradressen. Ohne WEP können solche für Angreifer hochinteressanten Daten die Sicherheit im Netzwerk beeinträchtigen.
Maßnahmen wie die dynamische Schlüsselgenerierung des LEAP mindern die Risiken der WEP-Nutzung, beseitigen sie aber nicht vollständig. Ein WLAN-Angreifer kann noch immer Datenblöcke fälschen oder gültige Datenblöcke modifizieren, ohne dass es der Empfänger erkennen kann. Das Temporal Key Integrity Protocol (TKIP) soll dieses Problem lösen. Zwar beseitigt TKIP die eklatantesten Schwächen älterer Verfahren, WLAN-Sicherheitslücken wird es jedoch weiterhin geben. Einen höheren Schutz im WLAN verspricht unter anderem der vom IEEE festgelegte Advanced Encryption Standard (AES).
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2050428)
