Die Schlüsseleinstellungen konfigurieren Sie unter
.- Verschlüsselung aktivieren
- Aktivieren bzw. deaktivieren Sie die Verschlüsselung für diese WLAN-Schnittstelle.
- Methode/Schlüssel-1-Typ
- Stellen Sie hier das zu verwendende Verschlüsselungsverfahren ein. Mögliche Werte sind:
- 802.11i (WPA)-PSK – Die Verschlüsselung nach dem 802.11i-Standard bietet die höchste Sicherheit. Die dabei eingesetzte 128-Bit-AES-Verschlüsselung entspricht der Sicherheit einer VPN-Verbindung. Wählen Sie diese Einstellung, wenn kein RADIUS-Server zur Verfügung steht und die Authentifizierung mit Hilfe eines Preshared Keys erfolgt.
- 802.11i (WPA)-802.1x – Wenn die Authentifizierung über einen RADIUS-Server erfolgt, wählen Sie die Option '802.11i (WPA)-802.1x'. Achten Sie bei dieser Einstellung darauf, auch den RADIUS-Server bei den 802.1x-Einstellungen zu konfigurieren.
- WEP 152, WEP 128, WEP 64 – Verschlüsselung nach dem WEP-Standard mit Schlüssellängen von 128, 104 bzw. 40 Bit. Diese Einstellung ist nur zu empfehlen, wenn die verwendete Hardware der WLAN-Clients die modernen Verfahren nicht unterstützt.
- WEP 152-802.1x, WEP 128-802.1x, WEP 64-802.1x – Verschlüsselung nach dem WEP-Standard mit Schlüssellängen von 128, 104 bzw. 40 Bit und zusätzlicher Authentifizierung über 802.1x/EAP. Auch diese Einstellung kommt i.d.R. dann zum Einsatz, wenn die verwendete Hardware der WLAN-Clients den 802.11i-Standard nicht unterstützt. Durch die 802.1x/EAP-Authentifizierung bietet diese Einstellung eine höhere Sicherheit als eine reine WEP-Verschlüsselung.
- Schlüssel-1/Passphrase
- Je nach eingestelltem Verschlüsselungsverfahren können Sie hier einen speziellen WEP-Schlüssel für das jeweilige logische WLAN-Interface bzw. eine Passphrase bei der Verwendung von WPA-PSK eintragen:
- Die Passphrase – also das 'Passwort' für das WPA-PSK-Verfahren – wird als Kette aus mindestens 8 und maximal 63 ASCII-Zeichen eingetragen.Anmerkung: Bitte beachten Sie, dass die Sicherheit des Verschlüsselungssystems bei der Verwendung einer Passphrase von der vertraulichen Behandlung dieses Kennworts abhängt. Die Passphrase sollte nicht einem größeren Anwenderkreis bekannt gemacht werden.
- Der WEP-Schlüssel-1, der nur speziell für das jeweilige logische WLAN-Interface gilt, kann je nach Schlüssellänge unterschiedlich eingetragen werden. Die Regeln für die Eingabe der Schlüssel finden Sie bei der Beschreibung der WEP-Gruppenschlüssel.
- Die Passphrase – also das 'Passwort' für das WPA-PSK-Verfahren – wird als Kette aus mindestens 8 und maximal 63 ASCII-Zeichen eingetragen.
- WPA-Version
- WPA-Version die der Access Point den WLAN-Clients zur Verschlüsselung anbietet.
- WPA1: Nur WPA1
- WPA2: Nur WPA2
- WPA1/2: Sowohl WPA1 als auch WPA2 in einer SSID (Funkzelle)
- WPA 1 Sitzungs-Schlüssel-Typ
- Wenn als Verschlüsselungsmethode '802.11i (WPA)-PSK' eingestellt wurde, kann hier das Verfahren zur Generierung des Sitzungs- bzw. Gruppenschlüssels für WPA 1ausgewählt werden:
- AES – Es wird das AES-Verfahren verwendet.
- TKIP – Es wird das TKIP-Verfahren verwendet.
- AES/TKIP – Es wird das AES-Verfahren verwendet. Falls die Client-Hardware das AES-Verfahren nicht unterstützt, wird TKIP eingesetzt.
- WPA 2 Sitzungs-Schlüssel-Typ
- Verfahren zur Generierung des Sitzungs- bzw. Gruppenschlüssels für WPA 2.
- WPA2 Key Management
- Bestimmen Sie hier, nach welchem Standard das WPA2-Schlüsselmanagement funktionieren soll. Mögliche Werte sind:
- Standard: Aktiviert das Schlüsselmanagement gemäß dem Standard IEEE 802.11i ohne Fast Roaming und mit SHA-1-basierten Schlüsseln. Die WLAN-Clients müssen in diesem Fall je nach Konfiguration Opportunistic Key Caching, PMK Caching oder Pre-Authentifizierung verwenden.
- SHA256: Aktiviert das Schlüsselmanagement gemäß dem Standard IEEE 802.11w mit SHA-256-basierten Schlüsseln.
- Fast Roaming: Aktiviert Fast Roaming über 802.11r
- Kombinationen der drei Einstellungen
Wichtig: Obwohl eine Mehrfachauswahl möglich ist, sollten Sie diese nur vornehmen, wenn sichergestellt ist, dass sich nur entsprechend geeignete Clients am AP anmelden wollen. Ungeeignete Clients verweigern ggf. eine Verbindung, wenn eine andere Option als Standard aktiviert ist. - WPA Rekeying-Zyklus
- Ein 48 Bit langer Initialization Vector (IV) erschwert die Berechnung des WPA-Schlüssels für Angreifer. Die Wiederholung des aus IV und WPA-Schlüssel bestehenden echten Schlüssels würde erst nach 16 Millionen Paketen erfolgen. In stark genutzten WLANs also erst nach einigen Stunden. Um die Wiederholung des echten Schlüssels zu verhindern, sieht WPA eine automatische Neuaushandlung des Schlüssels in regelmäßigen Abständen vor. Damit wird der Wiederholung des echten Schlüssels vorgegriffen. Geben Sie hier einen Wert in Sekunden an, nachdem der Schlüssel neu ausgehandelt wird. In der Standardeinstellung ist der Wert auf '0' eingestellt, so dass keine vorzeitige Aushandlung des Schlüssels erfolgt.
- Client-EAP-Methode
- APs in der Betriebsart als WLAN-Client können sich über EAP/802.1X bei einem anderen AP authentifizieren. Zur Aktivierung der EAP/802.1X-Authentifizierung im Client-Modus wird bei den Verschlüsselungsmethoden für das erste logische WLAN-Netzwerk die Client-EAP-Methode ausgewählt.
Beachten Sie, dass die gewählte Client-EAP-Methode zu den Einstellungen des Access Points passen muss, bei dem sich der AP einbuchen will.
Anmerkung: Beachten Sie neben der Einstellung der Client-EAP-Methode auch die entsprechende Einstellung der Betriebsart als WLAN-Client. Bei anderen logischen WLAN-Netzwerken als WLAN-1 ist die Einstellung der Client-EAP-Methode ohne Funktion.
- Authentifizierung
- Wenn als Verschlüsselungsmethode eine WEP-Verschlüsselung eingestellt wurde, stehen zwei verschiedene Verfahren für die Authentifizierung der WLAN-Clients zur Verfügung:
- Beim 'OpenSystem'-Verfahren wird komplett auf eine Authentifizierung verzichtet. Die Datenpakete müssen von Beginn an richtig verschlüsselt übertragen werden, um von der Basisstation akzeptiert zu werden.
- Beim 'SharedKey'-Verfahren wird das erste Datenpakte unverschlüsselt übertragen und muss vom Client richtig verschlüsselt zurückgesendet werden. Bei diesem Verfahren steht einem potenziellen Angreifer mindestens ein Datenpaket unverschlüsselt zur Verfügung.
- Standardschlüssel
- Wenn als Verschlüsselungsmethode eine WEP-Verschlüsselung eingestellt wurde, kann der AP für jedes logische WLAN-Interface aus vier verschiedenen WEP-Schlüsseln wählen:
- Drei WEP-Schlüssel für das physikalische Interface
- Ein zusätzlicher WEP-Schlüssel speziell für jedes logische WLAN-Interface
- Mgmt.-Frames verschlüsseln
- Die in einem WLAN übertragenen Management-Informationen zum Aufbau und Betrieb von Datenverbindungen sind standardmäßig unverschlüsselt. Jeder innerhalb einer WLAN-Zelle kann diese Informationen empfangen und auswerten, selbst wenn er nicht an einem AP angemeldet ist. Das birgt zwar keine Gefahren für eine verschlüsselte Datenverbindung, kann aber die Kommunikation innerhalb einer WLAN-Zelle durch gefälschte Management-Informationen empfindlich stören. Der Standard IEEE 802.11w verschlüsselt die übertragenen Management-Informationen, so dass ein Angreifer, der nicht im Besitz des entsprechenden Schlüssels ist, die Kommunikation nicht mehr stören kann.