Modul 5 – Drahtlose Kommunikation

5.1.2 Drahtlose vs. kabelgebundene

LANs
5.1.3 802.11 Aufbau des Rahmens
Denken Sie daran, dass alle Layer-2-Frames aus einem Header, einer Nutzlast und einem
FCS-Abschnitt (Frame Check Sequence) bestehen. Das 802.11-Frame-Format ähnelt dem
Ethernet-Frame-Format, enthält jedoch mehr Felder, wie in der Abbildung gezeigt.

Das Diagramm zeigt die Felder eines 802.11-Frames. Auf der linken Seite befindet sich die
Kopfzeile, die aus den folgenden Feldern besteht: Frame-Steuerung, Dauer, Adresse 1,
Adresse 2, Adresse 3, Sequenzsteuerung und Adresse 4. Als nächstes folgt die Nutzlast und
zuletzt das FCS-Feld.

Alle 802.11 Wireless-Frames enthalten die folgenden Felder:

 Frame-Steuerung - Dies identifiziert den Typ des Wireless-Frames und enthält

Unterfelder für die Protokollversion, den Frame-Typ, den Adresstyp, die
Energieverwaltung und die Sicherheitseinstellungen.
 Dauer- Dies wird in der Regel verwendet, um die verbleibende Dauer anzugeben, die
zum Empfangen der nächsten Frame-Übertragung erforderlich ist.
 Adresse1 - Diese enthält in der Regel die MAC-Adresse des empfangenden drahtlosen
Geräts oder Access Points.
 Adresse2 - Diese enthält in der Regel die MAC-Adresse des sendenden drahtlosen
Geräts oder Access Points.
 Adresse3 - Diese enthält manchmal die MAC-Adresse des Ziels, z. B. die Router-
Schnittstelle (Standard-Gateway), an die der Access Point angeschlossen ist.
 Ablaufsteuerung - Diese enthält Informationen zur Steuerung von Sequenzierung und
fragmentierten Frames.
 Adresse4 - Dies fehlt in der Regel, da es nur im Ad-hoc-Modus verwendet wird.
 Nutzlast- Dieser enthält die Daten für die Übermittlung.
 FCS- Dies wird für die Layer-2-Fehlerkontrolle verwendet.
5.1.4 CSMA/CA
Bei WLANs handelt es sich um Halbduplex-Konfigurationen für gemeinsam genutzte
Medien. Halbduplex bedeutet, dass immer nur ein Client senden oder empfangen kann.
Shared Media bedeutet, dass Wireless-Clients alle über denselben Funkkanal senden und
empfangen können. Dies führt zu einem Problem, da ein Wireless-Client während des
Sendens nicht hören kann, was es unmöglich macht, eine Kollision zu erkennen.

Um dieses Problem zu lösen, verwenden WLANs Carrier Sense Multiple Access with
Collision Avoidance (CSMA/CA) als Methode, um zu bestimmen, wie und wann Daten im
Netzwerk gesendet werden sollen. Ein drahtloser Client führt folgende Schritte aus:

1. Überwacht den Kanal, um festzustellen, ob er sich im Leerlauf befindet, was bedeutet,

dass er erkennt, dass sich derzeit kein anderer Datenverkehr auf dem Kanal befindet.
Der Kanal wird auch als Träger bezeichnet.
2. Sendet eine RTS-Nachricht (Ready to Send) an den Access Point, um dedizierten
Zugriff auf das Netzwerk anzufordern.
3. Empfängt eine CTS-Nachricht (Clear to Send) vom Access Point, die Zugriff auf das
Senden gewährt.
4. Wenn der Wireless-Client keine CTS-Nachricht empfängt, wartet er eine zufällige
Zeitspanne, bevor er den Prozess neu startet.
5. Nachdem er das CTS empfangen hat, überträgt er die Daten.
6. Alle Übertragungen werden quittiert. Wenn ein Wireless-Client keine Bestätigung
erhält, geht er davon aus, dass eine Kollision aufgetreten ist, und startet den Prozess
neu.
5.1.5 Zuordnung von Wireless-Client
und AP
Damit Wireless-Geräte über ein Netzwerk kommunizieren können, müssen sie zunächst mit
einem Access Point oder Wireless-Router verbunden werden. Ein wichtiger Teil des 802.11-
Prozesses ist das Erkennen eines WLANs und das anschließende Verbinden mit diesem.
Drahtlose Geräte durchlaufen den folgenden dreistufigen Prozess, wie in der Abbildung
dargestellt:

 Entdecken Sie einen drahtlosen AP

 Authentifizierung mit Access Point
 Mit AP verknüpfen

Um eine erfolgreiche Zuordnung zu erzielen, müssen sich ein Wireless-Client und ein Access
Point auf bestimmte Parameter einigen. Die Parameter müssen dann auf dem Access Point
und anschließend auf dem Client konfiguriert werden, um die Aushandlung einer
erfolgreichen Zuordnung zu ermöglichen.

 SSID - Der SSID-Name wird in der Liste der verfügbaren drahtlosen Netzwerke auf
einem Client angezeigt. In größeren Organisationen, die mehrere VLANs zum
Segmentieren des Datenverkehrs verwenden, wird jede SSID einem VLAN
zugeordnet. Abhängig von der Netzwerkkonfiguration können mehrere APs in einem
Netzwerk eine gemeinsame SSID verwenden.
 Passwort- Dies ist vom Wireless-Client erforderlich, um sich beim Access Point zu
authentifizieren.
 Netzwerkmodus - Gemeint sind damit die WLAN-Standards 802.11a/b/g/n/ac/ad.
APs und Wireless-Router können in einem gemischten Modus betrieben werden, was
bedeutet, dass sie gleichzeitig Clients unterstützen können, die eine Verbindung über
mehrere Standards herstellen.
 Sicherheitsmodus - Dies bezieht sich auf die Einstellungen der Sicherheitsparameter,
z. B. WEP, WPA oder WPA2. Aktivieren Sie immer die höchste unterstützte
Sicherheitsstufe.
  Kanal-Einstellungen - Darunter versteht man die Frequenzbänder, die für die
drahtlose Datenübertragung verwendet werden. Wireless-Router und APs können die
Hochfrequenzkanäle scannen und automatisch eine geeignete Kanaleinstellung
auswählen. Der Kanal kann auch manuell eingestellt werden, wenn es Interferenzen
mit einem anderen AP oder drahtlosen Gerät gibt.

5.1.6 Passiver und aktiver Discover-

Modus
Wireless-Geräte müssen einen Access Point oder Wireless-Router erkennen und eine
Verbindung zu ihm herstellen. Wireless-Clients stellen mithilfe eines Scanvorgangs (Testing)
eine Verbindung zum Access Point her. Dieser Prozess kann passiv oder aktiv sein.

Im passiven Modus wirbt der Access Point offen für seinen Dienst, indem er regelmäßig
Broadcast-Beacon-Frames sendet, die die SSID, die unterstützten Standards und die
Sicherheitseinstellungen enthalten. Der Hauptzweck des Beacons besteht darin, Wireless-
Clients zu ermöglichen, zu lernen, welche Netzwerke und APs in einem bestimmten Bereich
verfügbar sind. Auf diese Weise können die Wireless-Clients auswählen, welches Netzwerk
und welcher Access Point verwendet werden sollen.

ein Access Point, der drei Beacon-Frames mit SSID, unterstützten Standards und
Sicherheitseinstellungen sendet, die von einem Wireless-Client empfangen werden
5.1.8 Wireless-Geräte – AP, LWAP
und WLC
Eine gängige Implementierung von drahtlosen Daten ist die drahtlose Verbindung
von Geräten über ein LAN. Im Allgemeinen sind für ein Wireless LAN Wireless
Access Points und Clients mit Wireless-Netzwerkkarten erforderlich. Wireless-Router
für Privatanwender und kleine Unternehmen integrieren die Funktionen eines
Routers, Switches und Access Points in einem Gerät, wie in der Abbildung
dargestellt. Beachten Sie, dass in kleinen Netzwerken der Wireless-Router
möglicherweise der einzige Access Point ist, da nur ein kleiner Bereich eine
Wireless-Abdeckung erfordert. In größeren Netzwerken kann es viele APs geben.

Alle Steuerungs- und Verwaltungsfunktionen der APs in einem Netzwerk können in einem
Wireless LAN Controller (WLC) zentralisiert werden. Bei Verwendung eines WLC agieren die
APs nicht mehr autonom, sondern als Lightweight APs (LWAPs). LWAPs leiten nur Daten
zwischen dem Wireless LAN und dem WLC weiter. Alle Verwaltungsfunktionen, wie z. B. das
Definieren von SSIDs und die Authentifizierung, werden auf dem zentralen WLC und nicht
auf jedem einzelnen Access Point durchgeführt. Ein großer Vorteil der Zentralisierung der
AP-Management-Funktionen im WLC ist neben vielen anderen Vorteilen die vereinfachte
Konfiguration und Überwachung zahlreicher Access Points.
5.2 WLAN-Bedrohung

5.2.2 Überblick über die Wireless-

Sicherheit
Ein WLAN steht jedem offen, der sich in Reichweite eines Access Points befindet und über
die entsprechenden Anmeldeinformationen verfügt, um ihn zu verknüpfen. Mit einer
drahtlosen Netzwerkkarte und Kenntnissen über Cracking-Techniken muss ein Angreifer den
Arbeitsplatz möglicherweise nicht physisch betreten, um Zugriff auf ein WLAN zu erhalten.

Angriffe können von Außenstehenden, verärgerten Mitarbeitern und sogar unbeabsichtigt von
Mitarbeitern generiert werden. Drahtlose Netzwerke sind besonders anfällig für verschiedene
Bedrohungen, darunter:

 Abfangen von Daten - Drahtlose Daten sollten verschlüsselt werden, um zu

verhindern, dass sie von Lauschern gelesen werden können.
 Drahtlose Eindringlinge - Nicht autorisierte Benutzer, die versuchen, auf
Netzwerkressourcen zuzugreifen, können durch effektive Authentifizierungstechniken
abgeschreckt werden.
 Denial-of-Service-Angriffe (DoS) - Der Zugriff auf WLAN-Dienste kann
versehentlich oder böswillig kompromittiert werden. Je nach Quelle des DoS-Angriffs
gibt es verschiedene Lösungen.
 Nicht autorisierte APs - Nicht autorisierte APs, die von einem wohlmeinenden
Benutzer oder zu böswilligen Zwecken installiert wurden, können mithilfe von
Verwaltungssoftware erkannt werden.
5.2.3 DoS-Angriffe
Wireless-DoS-Angriffe können das Ergebnis von:

 Falsch konfigurierte Geräte - Konfigurationsfehler können das WLAN deaktivieren.

Zum Beispiel könnte ein Administrator versehentlich eine Konfiguration ändern und
das Netzwerk deaktivieren, oder ein Eindringling mit Administratorrechten könnte
absichtlich ein WLAN deaktivieren.
 Ein böswilliger Benutzer, der absichtlich in die drahtlose Kommunikation
eingreift - Ihr Ziel ist es, das drahtlose Netzwerk vollständig oder bis zu dem Punkt zu
deaktivieren, an dem kein legitimes Gerät mehr auf das Medium zugreifen kann.
 Versehentliche Interferenz - WLANs sind anfällig für Störungen durch andere
drahtlose Geräte wie Mikrowellenherde, schnurlose Telefone, Babyphone und mehr,
wie in der Abbildung gezeigt. Das 2,4-GHz-Band ist anfälliger für Interferenzen als
das 5-GHz-Band.

Um das Risiko eines DoS-Angriffs aufgrund falsch konfigurierter Geräte und

böswilliger Angriffe zu minimieren, härten Sie alle Geräte, bewahren Sie Passwörter
sicher auf, erstellen Sie Backups und stellen Sie sicher, dass alle
Konfigurationsänderungen außerhalb der Geschäftszeiten berücksichtigt werden.

Überwachen Sie das WLAN auf versehentliche Interferenzprobleme und beheben

Sie diese, sobald sie auftreten. Da das 2,4-GHz-Band von anderen Gerätetypen
verwendet wird, sollte das 5-GHz-Band in Bereichen verwendet werden, die anfällig
für Störungen sind.
5.2.4 Nicht autorisierte
Zugangspunkte
Ein nicht autorisierter Access Point ist ein Access Point oder Wireless-Router, der
ohne ausdrückliche Genehmigung und entgegen den Unternehmensrichtlinien mit
einem Unternehmensnetzwerk verbunden wurde. Jeder, der Zugang zu den
Räumlichkeiten hat, kann (böswillig oder nicht böswillig) einen kostengünstigen
WLAN-Router installieren, der möglicherweise den Zugriff auf eine sichere
Netzwerkressource ermöglicht.

Sobald die Verbindung hergestellt ist, kann der nicht autorisierte Access Point von
einem Angreifer verwendet werden, um MAC-Adressen und Datenpakete zu
erfassen, Zugriff auf Netzwerkressourcen zu erhalten oder einen Man-in-the-Middle-
Angriff zu starten.

Ein persönlicher Netzwerk-Hotspot kann auch als nicht autorisierter Access Point
verwendet werden. Ein Benutzer mit sicherem Netzwerkzugriff ermöglicht es
beispielsweise, dass sein autorisierter Windows-Host zu einem Wi-Fi-AP wird.
Dadurch werden die Sicherheitsmaßnahmen umgangen, und andere nicht
autorisierte Geräte können nun als gemeinsam genutztes Gerät auf
Netzwerkressourcen zugreifen.

Um die Installation von nicht autorisierten APs zu verhindern, müssen Unternehmen

WLCs mit Richtlinien für nicht autorisierte APs konfigurieren, wie in der Abbildung
gezeigt, und Überwachungssoftware verwenden, um das Funkspektrum aktiv auf
nicht autorisierte APs zu überwachen.
5.2.5 Man-in-the-Middle-Angriff
Bei einem Man-in-the-Middle-Angriff (MITM) wird der Hacker zwischen zwei legitimen
Entitäten positioniert, um die Daten, die zwischen den beiden Parteien ausgetauscht werden,
zu lesen oder zu ändern. Es gibt viele Möglichkeiten, einen MITM-Angriff zu erstellen.

Ein beliebter drahtloser MITM-Angriff wird als "Evil Twin AP"-Angriff bezeichnet, bei dem
ein Angreifer einen nicht autorisierten Access Point einführt und ihn mit derselben SSID wie
einen legitimen Access Point konfiguriert, wie in der Abbildung gezeigt. Standorte mit
kostenlosem WLAN, wie z. B. Flughäfen, Cafés und Restaurants, sind aufgrund der offenen
Authentifizierung besonders beliebte Orte für diese Art von Angriffen.

Ein Bedrohungsakteur bei Bobs Latte hat seinen Laptop verwendet, um einen bösen Zwilling
mit einer SSID von Bob Latte, offener Authentifizierung und Kanal 6 einzurichten

Wireless-Clients, die versuchen, eine Verbindung zu einem WLAN herzustellen, sehen zwei
APs mit derselben SSID, die drahtlosen Zugriff bieten. Diejenigen, die sich in der Nähe des
nicht autorisierten AP befinden, finden das stärkere Signal und assoziieren sich
höchstwahrscheinlich damit. Der Benutzerdatenverkehr wird nun an den nicht autorisierten
Access Point gesendet, der wiederum die Daten erfasst und an den legitimen Access Point
weiterleitet, wie in der Abbildung gezeigt. Der Rückverkehr vom legitimen Access Point wird
an den nicht autorisierten Access Point gesendet, erfasst und dann an den ahnungslosen
Benutzer weitergeleitet. Der Angreifer kann die Passwörter und persönlichen Informationen
des Benutzers stehlen, Zugriff auf sein Gerät erhalten und das System kompromittieren.
Die Abwehr eines Angriffs wie eines MITM-Angriffs hängt von der Raffinesse der WLAN-
Infrastruktur und der Wachsamkeit bei der Überwachung der Aktivitäten im Netzwerk ab. Der
Prozess beginnt mit der Identifizierung legitimer Geräte im WLAN. Dazu müssen Benutzer
authentifiziert sein. Nachdem alle legitimen Geräte bekannt sind, kann das Netzwerk auf
abnormale Geräte oder Datenverkehr überwacht werden.
5.3.1 Video

5.3.2 SSID-Cloaking und MAC-

Adressfilterung
Drahtlose Signale können durch feste Materie wie Decken, Böden, Wände, außerhalb des
Hauses oder Büroräume übertragen werden. Ohne strenge Sicherheitsmaßnahmen kann die
Installation eines WLANs das Äquivalent dazu sein, Ethernet-Ports überall zu platzieren,
sogar im Freien.

Um den Bedrohungen durch die Abwehr von Wireless-Eindringlingen und den Schutz von
Daten zu begegnen, wurden zwei frühe Sicherheitsfunktionen verwendet, die auf den meisten
Routern und APs immer noch verfügbar sind: SSID-Cloaking und MAC-Adressfilterung.

SSID-Tarnung

APs und einige Wireless-Router ermöglichen die Deaktivierung des SSID-Beacon-Frames,

wie in der Abbildung gezeigt. Wireless-Clients müssen die SSID manuell konfigurieren, um
eine Verbindung mit dem Netzwerk herzustellen.

Filtern von MAC-Adressen

Ein Administrator kann den drahtlosen Zugriff von Clients basierend auf ihrer physischen
MAC-Hardwareadresse manuell zulassen oder verweigern. In der Abbildung ist der Router so
konfiguriert, dass er zwei MAC-Adressen zulässt. Geräte mit unterschiedlichen MAC-
Adressen können sich nicht mit dem 2,4-GHz-WLAN verbinden.
5.3.3 802.11 Ursprüngliche
Authentifizierungsmethoden
Obwohl diese beiden Funktionen die meisten Benutzer abschrecken würden, ist die Realität,
dass weder SSID-Cloaking noch MAC-Adressfilterung einen gerissenen Eindringling
abschrecken würden. SSIDs können leicht erkannt werden, auch wenn APs sie nicht senden
und MAC-Adressen gefälscht werden können. Der beste Weg, ein drahtloses Netzwerk zu
sichern, ist die Verwendung von Authentifizierungs- und Verschlüsselungssystemen.

Mit dem ursprünglichen 802.11-Standard wurden zwei Arten der Authentifizierung

eingeführt:

 Authentifizierung mit offenem System - Jeder drahtlose Client sollte problemlos

eine Verbindung herstellen können und sollte nur in Situationen verwendet werden, in
denen die Sicherheit keine Rolle spielt, z. B. bei kostenlosen Internetzugang wie
Cafés, Hotels und in abgelegenen Gebieten. Der Drahtlosclient ist für die
Bereitstellung von Sicherheit verantwortlich, z. B. für die Verwendung eines virtuellen
privaten Netzwerks (VPN) für eine sichere Verbindung. VPNs bieten
Authentifizierungs- und Verschlüsselungsdienste. VPNs gehen über den Rahmen
dieses Themas hinaus.
 Authentifizierung mit gemeinsam genutzten Schlüsseln - Bietet Mechanismen wie
WEP, WPA, WPA2 und WPA3 zum Authentifizieren und Verschlüsseln von Daten
zwischen einem Wireless-Client und einem Access Point. Das Kennwort muss jedoch
vorab von beiden Parteien gemeinsam genutzt werden, um eine Verbindung
herzustellen.

In der folgenden Tabelle sind diese Authentifizierungsmethoden zusammengefasst.

5.3.4 Authentifizierungsmethoden mit
gemeinsam genutzten Schlüsseln
5.3.5 Authentifizierung eines
Heimbenutzers
Heimrouter haben in der Regel zwei Möglichkeiten für die Authentifizierung: WPA und
WPA2. WPA2 ist der stärkere der beiden. Die Abbildung zeigt die Option zur Auswahl einer
von zwei WPA2-Authentifizierungsmethoden:

 Persönlich- Die Benutzer sind für Heim- oder kleine Büronetzwerke gedacht und
authentifizieren sich mit einem Pre-Shared Key (PSK). Wireless-Clients
authentifizieren sich mit dem Wireless-Router mit einem vorab freigegebenen
Kennwort. Es ist kein spezieller Authentifizierungsserver erforderlich.
 Unternehmen- Vorgesehen für Unternehmensnetzwerke, erfordert jedoch einen
RADIUS-Authentifizierungsserver (Remote Authentication Dial-In User Service).
Obwohl es komplizierter einzurichten ist, bietet es zusätzliche Sicherheit. Das Gerät
muss vom RADIUS-Server authentifiziert werden, und dann müssen sich die Benutzer
mit dem 802.1X-Standard authentifizieren, der das Extensible Authentication Protocol
(EAP) für die Authentifizierung verwendet.

In der Abbildung konfiguriert der Administrator den Drahtlosrouter mit WPA2 Personal-
Authentifizierung im 2,4-GHz-Band.
5.3.6 Verschlüsselungsmethoden
Verschlüsselung wird verwendet, um Daten zu schützen. Wenn ein Eindringling
verschlüsselte Daten erbeutet hat, wäre er nicht in der Lage, sie in angemessener Zeit zu
entschlüsseln.

Die Standards WPA und WPA2 verwenden die folgenden Verschlüsselungsprotokolle:

 Temporales Schlüsselintegritätsprotokoll (TKIP) - TKIP ist die von WPA

verwendete Verschlüsselungsmethode. Es bietet Unterstützung für ältere WLAN-
Geräte, indem es die ursprünglichen Fehler im Zusammenhang mit der 802.11 WEP-
Verschlüsselungsmethode behebt. Es verwendet WEP, verschlüsselt aber die Layer-2-
Nutzlast mit TKIP und führt eine Nachrichtenintegritätsprüfung (MIC) im
verschlüsselten Paket durch, um sicherzustellen, dass die Nachricht nicht verändert
wurde.
 Erweiterter Verschlüsselungsstandard (AES) - AES ist die
Verschlüsselungsmethode, die von WPA2 verwendet wird. Es ist die bevorzugte
Methode, da es sich um eine weitaus stärkere Verschlüsselungsmethode handelt. Es
verwendet den Counter Cipher Mode mit Block Chaining Message Authentication
Code Protocol (CCMP), der es Zielhosts ermöglicht, zu erkennen, ob die
verschlüsselten und nicht verschlüsselten Bits geändert wurden.
In der Abbildung konfiguriert der Administrator den WLAN-Router für die Verwendung von
WPA2 mit AES-Verschlüsselung im 2,4-GHz-Band.

5.3.7 Authentifizierung im
Unternehmen
In Netzwerken mit strengeren Sicherheitsanforderungen ist eine zusätzliche Authentifizierung
oder Anmeldung erforderlich, um Wireless-Clients einen solchen Zugriff zu gewähren. Für
die Auswahl des Enterprise-Sicherheitsmodus ist ein AAA-RADIUS-Server (Authentication,
Authorization, Accounting) erforderlich.

 IP-Adresse des RADIUS-Servers - Dies ist die erreichbare Adresse des RADIUS-
Servers.
 UDP-Portnummern - Offiziell zugewiesene UDP-Ports 1812 für die RADIUS-
Authentifizierung und 1813 für die RADIUS-Abrechnung, können aber auch mit den
UDP-Ports 1645 und 1646 betrieben werden, wie in der Abbildung gezeigt.
 Gemeinsam genutzter Schlüssel - Wird verwendet, um den Access Point beim
RADIUS-Server zu authentifizieren.

In der Abbildung konfiguriert der Administrator den Wireless-Router mit WPA2 Enterprise-
Authentifizierung unter Verwendung der AES-Verschlüsselung. Die IPv4-Adresse des
RADIUS-Servers wird ebenfalls mit einem sicheren Kennwort konfiguriert, das zwischen
dem Wireless-Router und dem RADIUS-Server verwendet wird.

Der gemeinsam genutzte Schlüssel ist kein Parameter, der auf einem Drahtlosclient
konfiguriert werden muss. Es ist nur auf dem Access Point erforderlich, sich beim RADIUS-
Server zu authentifizieren. Die Benutzerauthentifizierung und -autorisierung erfolgt über den
802.1X-Standard, der eine zentralisierte, serverbasierte Authentifizierung von Endbenutzern
ermöglicht.

Der 802.1X-Anmeldeprozess verwendet EAP für die Kommunikation mit dem Access Point
und dem RADIUS-Server. EAP ist ein Framework zur Authentifizierung des
Netzwerkzugriffs. Es kann einen sicheren Authentifizierungsmechanismus bereitstellen und
einen sicheren privaten Schlüssel aushandeln, der dann für eine drahtlose
Verschlüsselungssitzung mit TKIP- oder AES-Verschlüsselung verwendet werden kann.
5.3.8 WPA3
Zum Zeitpunkt der Erstellung dieses Artikels waren Geräte, die die WPA3-
Authentifizierung unterstützen, nicht ohne weiteres verfügbar. WPA2 gilt jedoch nicht
mehr als sicher. WPA3 ist, sofern verfügbar, die empfohlene 802.11-
Authentifizierungsmethode. WPA3 umfasst vier Funktionen:

 WPA3-Persönlich

In WPA2-Personal können Bedrohungsakteure den "Handshake" zwischen

einem Wireless-Client und dem Access Point abhören und mit einem Brute-
Force-Angriff versuchen, den PSK zu erraten. WPA3-Personal vereitelt diesen
Angriff durch die Verwendung von Simultaneous Authentication of Equals
(SAE), einer Funktion, die in IEEE 802.11-2016 spezifiziert ist. Der PSK wird
nie offengelegt, so dass es für den Bedrohungsakteur unmöglich ist, ihn zu
erraten.

 WPA3-Unternehmen

WPA3-Enterprise verwendet weiterhin die 802.1X/EAP-Authentifizierung. Es erfordert

jedoch die Verwendung einer 192-Bit-Kryptografie-Suite und eliminiert die
Vermischung von Sicherheitsprotokollen für frühere 802.11-Standards. WPA3-
Enterprise hält sich an die Commercial National Security Algorithm (CNSA) Suite, die
häufig in hochsicheren Wi-Fi-Netzwerken verwendet wird.

 Offene Netzwerke

Offene Netzwerke in WPA2 senden Benutzerdatenverkehr in nicht authentifiziertem

Klartext. In WPA3 verwenden offene oder öffentliche WLAN-Netzwerke weiterhin
keine Authentifizierung. Sie verwenden jedoch Opportunistic Wireless Encryption
(OWE), um den gesamten drahtlosen Datenverkehr zu verschlüsseln.

 Onboarding für das Internet der Dinge (IoT)

Obwohl WPA2 Wi-Fi Protected Setup (WPS) enthält, um Geräte schnell zu

integrieren, ohne sie vorher zu konfigurieren, ist WPS anfällig für eine Vielzahl von
Angriffen und wird nicht empfohlen. Darüber hinaus sind IoT-Geräte in der Regel
Headless, was bedeutet, dass sie keine integrierte GUI für die Konfiguration haben
und eine einfache Möglichkeit benötigen, sich mit dem drahtlosen Netzwerk zu
verbinden. Das Device Provisioning Protocol (DPP) wurde entwickelt, um diesen
Bedarf zu decken. Jedes Headless-Gerät verfügt über einen fest codierten
öffentlichen Schlüssel. Der Schlüssel wird in der Regel als QR-Code (Quick
Response) auf die Außenseite des Geräts oder seiner Verpackung gestempelt. Der
Netzwerkadministrator kann den QR-Code scannen und das Gerät schnell einbinden.
Obwohl DPP nicht strikt Teil des WPA3-Standards ist, wird es WPS im Laufe der Zeit
ersetzen.