WPA
| Inhaltsverzeichnis |
Konfiguration von WPA-Verschlüsselung
Voraussetzungen
Es muß zuerst das Paket "wpasupplicant" (Debian (http://www.debian.org/)) installiert werden.
Konfiguration (automatisch)
GUI
Die WPA-Einrichtung kann heute meist graphisch vorgenommen werden. Unter Gnome bzw. KDE gibt es graphische Schnittstellen zum Dienst network-manager.
Textuelle Konfiguration ohne GUI
In Debian und Ubuntu kann man nun direkt die WPA-Steuerung vom Netzwerk übernehmen lassen. Hierzu legt man am besten für jede Verbindung eine Konfigurationsdatei an (z.B. /etc/wpa_supplicant/home.conf) und trägt dort die jeweiligen Daten ein. Der Parameter ssid<i> ist zwingend, die Parameter <i>pairwise, group sind meist nicht erforderlich. Weitere Parameter wie z.B. anonymous_identity, können notwendig sein, der Administrator wird in diesem Fall dies mitteilen.
- WPA plain (Standard bei Homeroutern)
ap_scan=1
network={
ssid="wlannetz"
psk="geheim"
}
- WPA EAP (mit zusätzlicher Authentisierung)
- WPA PEAP MSCHAPv2
Diese Variante funktioniert ohne zusätzlichen Zertifikate mit den gängigsten Betriebssystemen und wird oft in kleinen heterogenen Umgebungen, wo eine Authentisierung mit Benutzername und Passwort gewünscht, jedoch die Konfiguration der Clientrechner möglichst gering gehalten werden soll, benutzt (z.B. Schulen).
network={
ssid="wlannetz"
key_mgmt=WPA-EAP
proto=WPA2
pairwise=CCMP
group=CCMP
eap=PEAP
identity="<benutzername>"
password="<passwort>"
phase2="auth=MSCHAPV2"
}
- WPA TTLS PEAP
Hier wird die Authenzität zusätzlich per Zertifikat bestätigt.
network={
ssid="eduroam"
key_mgmt=WPA-EAP
pairwise=CCMP TKIP
group=CCMP TKIP
eap=TTLS PEAP
anonymous_identity="<anonym ident>"
identity="<benutzername>"
password="<passwort>"
ca_cert="/etc/cert/cacert.cer"
}
- WPA TLS
Diese Variante benutzt Zertifikate zur Authentisierung des Clients und wird hauptsächlich in größeren Firmen eingesetzt.
network = {
ssid="wlannetz"
scan_ssid=1
key_mgmt=WPA-EAP
pairwise= CCMP TKIP
group=CCMP TKIP
identity="<ident>"
eap=TLS
ca_cert="/etc/wpa_supplicant/certs/cacert.pem"
client_cert="/etc/wpa_supplicant/certs/client_cert.pem"
client_key="/etc/wpa_supplicant/certs/client_key.pem
private_key_password="<private key pass>"
}
Nun kann diese Konfigurationsdatei direkt in die /etc/network/interfaces eingetragen werden, auch der Treiber kann direkt angegeben werden (wpa_driver, selten notwendig):
iface wlan0 inet dhcp wpa_driver ndiswrapper wpa_conf /etc/wpa_supplicant/home.conf
Zum Starten der Verbindung ist dann nur folgendes in der Konsole einzugeben:
ifup wlan0
Wer mehrere WLAN-Netze benutzt, kann dies im Artikel über Mehrere Netzwerkkonfigurationen unter Debian nachlesen.
Konfiguration (manuell)
Unter "/etc/default/wpasupplicant" sind die Optionen für wpasupplicant anzupassen ("ndiswrapper" bei "-D" ist der Name des Treibers):
OPTIONS="-w -i wlan0 -D ndiswrapper"
Dann kann man die Konfigurationsdatei "/etc/wpa_supplicant.conf" anpassen. Es wird nachfolgend nur die Konfiguration mit einem statischen Schlüssel beschrieben. Weitergehende Konfigurationen (Zertifikate, etc.) sind anhand der Beispiele in der Konfigurationsdatei ersichtlich.
In der Konfigurationsdatei sind die "ESSID" und der Schlüssel einzutragen:
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
fast_reauth=1
network={
ssid="Netzwerkkennung"
psk="meingeheimerschlüssel"
priority=5
}
Kontrolle
Nach dem Starten des wpasupplicant wird die WPA-Verschlüsselung aktiviert und man sieht den Erfolg in der Ausgabe:
iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
wlan0 IEEE 802.11g ESSID:"Netzwerkkennung"
Mode:Managed Frequency:2.437 GHz Access Point: 00:04:0E:33:71:A3
Bit Rate:54 Mb/s Tx-Power:14 dBm
RTS thr:2347 B Fragment thr:2346 B
Encryption key:XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX-XXXX
Power Management:off
Link Quality:100/100 Signal level:-52 dBm Noise level:-256 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:180131 Invalid misc:499131 Missed beacon:0