VPN macht WLAN sicherer

Foto: IT-Sicherheit am Arbeitsplatz

Im Verschlüsselungsstandard WPA2 für WLAN-Netzwerke wurden Sicherheitslücken entdeckt, die es erlauben, damit geschützte Drahtlosverbindungen abzuhören. Attacken über diese Lücken sind noch keine bekannt, dennoch ist der Einsatz von VPN als Präventivmaßnahme bei der Verwendung von WLAN sinnvoll.

Wenn eine VPN-Verbindung in das Universitätsnetz besteht, werden alle über das drahtlose Netzwerk übertragenen Datenpakete zusätzlich verschlüsselt, sodass selbst bei einer kompromittierten WLAN-Verbindung eine zusätzliche Sicherheitsbarriere aufgebaut wird. Mögliche Angreifer bleiben somit außen vor.

Für den Zugriff auf die universitären VPN-Server bietet das URZ für Mitarbeiter/-innen und Studierende kostenlos die Software Cisco AnyConnect an, die für unterschiedliche Betriebssysteme und Geräte verfügbar ist. Wie Sie den AnyConnect-Client herunterladen, installieren und die VPN-Verbindung einrichten, können Sie den folgenden Anleitungen entnehmen:

Viele Hersteller reagieren inzwischen auf die Sicherheitslücken und liefern Softwareupdates aus. Es wird empfohlen, für alle Geräte mit WLAN-Fähigkeit die entsprechenden Updates zu installieren, sobald sie verfügbar sind. Dies betrifft vor allem auch Endgeräte und Accesspunkte zu Hause.

Generell ist es sinnvoll, bei der Verwendung von eduroam stets auch VPN zu nutzen, insbesondere beim Zugriff auf Accesspunkte außerhalb der Universität Heidelberg.

Mehr Informationen zum VPN-Angebot des URZ: https://www.urz.uni-heidelberg.de/de/vpn

Hintergrundinformationen zu WPA2 und zur KRACK-Attacke

WPA2 ist das mittlerweile am weitesten verbreitete Protokoll für die Verschlüsselung des Datenverkehrs in drahtlosen Netzwerken. Es wird weltweit eingesetzt und ist fest in der Software der meisten modernen WLAN-Access Points und Endgeräte (Laptops, Smartphones, Smart-TVs, etc.) hinterlegt. Sicherheitsforscher der KU Leuven haben nun eine Möglichkeit entdeckt, die Verschlüsselung durch WPA2 auszuhebeln und so den Datenverkehr zwischen Access Point und Client abzuhören oder sogar zu manipulieren.  Diese als KRACK-Attacke bezeichnete Angriffsform setzt darauf, dass ein beim Verbindungsaufbau zwischen Client und Access Point verwendeter Sicherheitsschlüssel mehrfach verwendet werden kann, was ein Umgehen der Verschlüsselung erlaubt.

Durch Bekanntwerden dieser Lücke sind die Hersteller von WLAN-Hardware nun in der Lage, entsprechende Patches auszuliefern. Dieser Prozess und auch die (häufig manuelle) Installation der entsprechenden Patches in allen betroffenen Geräten wird jedoch einige Zeit in Anspruch nehmen.

Mehr Details zum Angriffsprinzip liefert dieser Artikel auf heise.de.