WiFi Security Delegation

  • Gängige Sicherheitstechnologien für WLAN-Umgebungen bauen darauf auf die Datenübertragung zwischen Client und Access Point über die Luftschnittstelle umfassend gegen Angriffe abzusichern. Hierzu wird üblicherweise davon ausgegangen, dass ein Angreifer keinen Zugriff auf den Access Point bekommt. Jedoch gerade in größeren WLAN-Umgebungen sind die Access Points sehr exponiert und leicht für Angreifer physisch zu übernehmen, so dass lokale Angreifer die Datenübertragung des Clients leicht infiltrieren können. Wünschenswert wäre hier eine Lösung, die ähnlich wie die Verlagerung der Authentifizierung vom Access Point auf eine vertrauenswürdige Stelle im Netz, die Datenübertragung des Clients bis zur vertrauenswürdige Stelle im Netz absichert -- so dass eine physische Übernahme des Access Points keinen Mehrwert für den Angreifer bringt.

    Im Rahmen dieser Masterarbeit sollte untersucht werden, wie sichere WLANs unabhängig von der Vertrauenswürdigkeit von Access Points betrieben werden können. Dabei sollten für sichere WLANs auf Benutzerseite keine Änderungen notwendig sein. Vielmehr sollten bestehende WLAN-Infrastrukturen, wie WPA2, auf Access Point Seite so angepasst werden, dass mehr Sicherheit bezüglich des über den Access Point übertragenen Datenverkehrs erreicht wird. In dieser Abschlussarbeit sollte dazu ein Verfahren entwickelt werden, welches den sonst auf dem Access Point abgelegten Sicherheitsschlüssel (zum Schutz der Verbindung zwischen Benutzer und Access Point) auf eine andere, für den WLAN-Benutzer vertrauenswürdige, Partei auslagert. Hierzu sollte der Benutzer bestimmen können, welche Partei den zukünftigen Sicherheitsschlüssel verwaltet und den Endpunkt bezüglich der WPA2-Sicherheit stellt. Hierzu musste analysiert werden, wie in einem solchen Szenario die Bearbeitung des Management-Verkehrs und die Ver- und Entschlüsselung des Datenverkehrs realisiert werden kann.