Mit dem aktuellen Feature Release 2.2.1.1 unterstützen die WLAN Access Points bintec W2022ac und W2022ac-ext als einer der ersten ihrer Klasse WPA3 für eine verschlüsselte Kommunikation in drahtlosen Unternehmensnetzwerken und OWE (Opportunistic Wireless Encryption) für sichere WLAN Gastnetze und öffentliche HotSpots.

 

Darüber hinaus bietet die bintec W2022ac-Serie weitere Funktionen wie SNR Threshold für eine verbesserte Clientsteuerung, einen verbesserten Kanalsuch-Algorithmus sowie das Data Rate Triming, zur Performance-Optimierung von WLAN Clients und zahlreiche Sicherheitsupdates des Betriebssystems.

 

Effizienter Einsatz von WPA3

 

 

 

WPA2 wurde 2004 eingeführt und hat sich als WLAN Sicherheitsstandard etabliert. 

 

Mit WPA3 steht nun der Nachfolger von WPA2 zur Verfügung. WPA3 baut auf WPA2 auf und vereint zahlreiche neue Sicherheitsfunktionalitäten.

 

WPA3 gibt es – wie auch schon bei WPA2 – als WPA3-PSK (Pre-shared Key), offiziell genannt WPA3-SAE (Simultaneous Authentication of Equals) und als WPA3-Enterprise, bei dem die Zugangsdaten auf einem zentralen RADIUS Server abgelegt sind.

 

Die wichtigste Verbesserung in WPA3 ist ein neues, sicheres Handshake-Verfahren, das unter anderem wirkungsvoll die bekannte KRACK-Angriffsmethode verhindert. Dieses sogenannte Dragonfly-Protokoll mit Simultaneous Authentication of Equals (SAE) erhöht die Sicherheit beim Schlüsselaustausch. Die Sicherheit ist selbst dann gewährleistet, wenn schwache Passwörter verwendet werden. Offline Wörterbuch-Attacken sind mit dem neuen Dragonfly-Protokoll nahezu unmöglich.

 

Eine weitere wichtige neue und verpflichtende Funktion von WPA3 Implementierungen ist die Realisierung von „Protected Management Frames (PMF)“. PMF verschlüsselt alle Unicast und Multicast Management Frames, die zwischen AP und Client ausgetauscht werden. Durch PMF ist es nun nicht mehr möglich, dass ein Angreifer einfach ein Deauthentication“ Paket an den Access Point sendet, um einen beliebigen Client abzumelden. Eine derartige, fingierte Abmeldung könnte zum Beispiel dafür genutzt werden, um einen erneuten Anmeldeversuch am AP aufzuzeichnen oder auch, um eine Verbindung zu einem AP ganz zu verhindern.

 

Ein weiteres wichtiges WPA3 Merkmal ist die Erhöhung der Schlüssellänge von 128-bit (WPA2) auf 192-bit (WPA3). Die neue 192-bit Verschlüsselung erhöht die Sicherheit auch bei Verwendung schwacher Passwörter und macht Brute-Force (Wörterbuch) Attacken weniger effizient.  

WPA3 Interoperabilität zu älteren Clients

 

 

Durch das neue, sichere Dragonfly Protokoll ist WPA3 nicht mit älteren Clients, die lediglich WPA2 unterstützen, kompatibel. Es gibt einen Transitionmode bzw. Mixed Mode (WPA3/2), der es ermöglicht, dass sich ältere Clients mit einem WPA3 Netz verbinden können. Dabei fällt dann die jeweilige Verbindung auf den WPA2 Standard zurück.

WLAN Management und WPA3 Verschlüsselung

 

WPA3-PSK, WPA3-Enterprise, OWE und auch deren Interoperabilitätsbetriebsarten stehen zunächst nur bei einem über die lokale GUI gemanagten bintec Access Points (bintec W2022ac) zur Verfügung. Die Konfiguration über den bintec WLAN Controller bzw. über unsere Cloud-Lösungen ist in Vorbereitung und wird zeitnah realisiert.

WPA3 Konfigurationsempfehlung

 

 

Um den Betrieb auch mit sehr alten Clients, zum Beispiel im industriellen Umfeld zu ermöglichen, bietet der bintec W2022ac zahlreiche Konfigurationsoptionen für den Sicherheitsstandard an. 

 

Für den Betrieb in einem Unternehmen, bei dem sich sowohl WPA2 als auch neue WPA3 fähige Clients mit dem Netz verbinden sollen, empfehlen wir als WPA-Modus „WPA2 und WPA3“ und als WPA2/3 Cipher „AES“ einzustellen. Dies ist auch gleichzeitig der Auslieferzustand des bintec W2022ac.

 

Unternehmen, die bereits ausschließlich WPA3 fähige Clients einsetzen, sollten als WPA-Modus „WPA3“ einstellen. Diese Betriebsart bietet die höchste Sicherheitsstufe mit einem Pre-Shared Key.

Roman Kuntner

Roman Kuntner

Product Manager

Speciality Solutions


Unified Communications & Physical Security


Roman.Kuntner@ingrammicro.com

+43 660 348 75 00