Wie kann ich unter Linux eine WLAN-Verbindung zu einem Netzwerk herstellen das WPA2 verwendet, d.h. CCMP zur Verschlüsselung (AES-basiert) und 802.1x zur Authentisierung?

Gute Dokumentation zum Aufsetzen von wpa_supplicant unter aktuellem Debian-basiertem Linux bietet: http://wiki.ubuntuusers.de/WLAN/wpa_supplicant . Siehe das »802.1X Port-Based Authentication HOWTO« ( http://www.linux.com/howtos/8021X-HOWTO/ ) für eine Einführung in WLAN-Hardware mit Unterstützung von 802.1x.

wpa_supplicant beherrscht WEP, WPA und WPA2 – das sind alle derzeitigen Authentifizierungsprotokolle.

1. Voraussetzung: die WLAN-Netzwerkkarte muss WPA2 beherrschen. Das ist die Marketingbezeichung für die Elemente CCMP (AES-basierte Verschlüsselung) und 802.1x (Authentisierung) im Protokoll 802.11i. WPA (Marketing-Bezeichnung für die Elemente TKIP und 802.1x im Protokoll 802.11i) reicht hier nicht aus. Wenn das Datenblatt AES als Verschlüsselungsalgorithmus nennt beherrscht eine WLAN-Karte WPA2. Die Netgear WG511 v2.0 “Made in Taiwan” (nicht WG511v2!) z.B. beherrscht nach der Beschreibung die Verschlüsselungen »64-Bit WEP, 128-Bit WEP, WPA und 802.1x» (müsste eigtl. heißen: 64-Bit WEP, 128-Bit WEP, TKIP mit 802.1x als Authentisierungsmethode (zusammen WPA)), nach einer anderen Beschreibung »WEP- und WPA-Verschlüsselung mit 64 und 128 Bit«. Sie beherrscht also keine AES-Verschlüsselung, kein WPA2. Der Einsatz dieser Karte scheitert nicht an der fehlenden Unterstützung für 802.1x zur Authentisierung (die ist da) aber an der fehlenden Unterstützung von CCMP zur Verschlüsselung. Bei Karten die WPA2 unterstützen wird in der Beschreibung bei »Verschlüsselung« meist angegeben: »WEP, WPA, AES« oder »WEP, WPA, WPA2« oder »WEP, WPA, IEEE802.11i«. Die Netgear WG511 unterstützt WPA (= TKIP und 802.1x) nur ab einer entspr. Firmware-Version bzw. nach einem Firmware-Update. Auch das zeigt dass sie kein WPA2 (mit AES-Verschlüsselung) beherrschen kann denn dazu wird neue Hardware benötigt statt nur ein Firmware-Update. Es scheint dass die Netgear WG511 v3.0 “Made in China” und die Netgear WG511v2 WPA2 unterstützen; der Treiber gibt über ndiswrapper nämlich aus: »wlan0: encryption modes supported: WEP, WPA with TKIP, WPA with AES/CCMP« (siehe http://de.gentoo-wiki.com/WG511).
2. Folgende Pakete installieren: wpasupplicant, pwgen, wpagui (zur grafischen Konfiguration).
3. Es wird also CCMP (AES-basiert) zur Verschlüsselung und 802.1x zur Authentisierung verwendet. (Die Verwendung von 802.1x schließt die Verwendung von pre-shared keys (WPA-PSK als Schlüsselmanagement) aus, denn diese ersetzen den gesamten Authentisierungsmechanismus. 802.1x nutzt EAP als Authentisierungs-Transportprotokoll, worüber eine Vielzahl unterschiedlicher Authentisierungsmethoden realisierbar sind. Davon verwendet Windows wohl: EAP-TLS, PEAP oder EAP-MSCHAPv2. Wenn auf beiden Seiten Zertifikate benötigt werden deutet das auf die Verwendung von EAP-TLS hin.