Montag, 1. März 2010


Topthema

Donnerstag, 2. August 2007 | Topthema

About Security #116: Mobile Security — Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/037269)

Das Eindringen in das WLAN ist der letzte Schritt der in About Security #115 vorgestellten Angriffe auf drahtlose Netze.

Nachdem der Angreifer den Schlüssel des Netzwerks ermittelt hat, kann er damit wie ein ganz normaler Client auf das Netz zugreifen. Eventuell verhindert eine aktivierte Zugriffskontrollliste (ACL, Access Control List) den Zugriff von Geräten mit nicht freigegebener MAC-Adresse. Dies ist aber kein Hindernis, da der Angreifer eine zulässige MAC-Adresse aus dem belauschten Netzwerkverkehr ermitteln und danach seine eigene entsprechend ändern kann. Entweder, indem er die Adresse seiner Netzwerkkarte überschreibt, oder wenn das nicht möglich ist, entsprechende Software für die Änderung der MAC-Adresse einsetzt. Entsprechend bringt die Aktivierung der Zugriffskontrollliste im WLAN keinen wirklichen Sicherheitsgewinn, dafür aber zusätzlichen Verwaltungsaufwand.

Ein erfolgreich in ein WLAN eingedrungener Angreifer hat drei Möglichkeiten:

  1. Er kann das lokale Netz ignorieren und nur einen über das WLAN erreichbaren Internetzugang für seine Zwecke nutzen.
  2. Er kann sich passiv verhalten und die ihm zugänglichen Daten im lokalen Netz lesen.
  3. Er kann aktiv Daten im lokalen Netz manipulieren.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Dabei bestehen keine Unterschiede zwischen dem Zugriff über ein WLAN oder über ein kabelgebundenes Netz: Drin ist drin. Entsprechend wird auf die "normalen" Möglichkeiten des Angreifers hier nicht weiter eingegangen, diese werden in zukünftigen Folgen von About Security beschrieben. Dem Angreifer stehen aber auch verschiedene Möglichkeiten zur Einflussnahme auf den WLAN-Verkehr zur Verfügung, von denen einige kurz erwähnt werden sollen.

AirJack ist ein Device-Treiber zum Empfangen und Einschleusen von Daten in 802.11-Netze, der schon seit einigen Jahren nicht mehr weiterentwickelt wird. Ein 'Nachfolger' ist LORCON (Loss Of Radio CONnectivity), eine Linux-Library zum Einschleusen von 802.11-Frames in eine WLAN-Verbindung. Die Library wird z.B. von airbase, einer Sammlung von Programmen zur Manipulation von WLANs, genutzt.

Airpwn ist ein weiteres Framework für das Einschleusen manipulierter Pakete in ein WLAN: Airpwn beobachtet die eingehenden WLAN-Pakete. Wenn ein Paket einem vorher definierten Muster entspricht, werden manipulierte Daten so eingeschleust, dass sie vom Empfänger als vom (angeblichen) Sender stammend angesehen werden.

Man-in-the-Middle

Ein Angreifer kann sich als Man-in-the-Middle zwischen Client und Access Point schleichen, wenn er gegenüber dem Client als Access Point und gegenüber dem tatsächlichen Access Point als Client auftritt.

Hotspotter ist ein Programm, das das Netzwerk auf Verbindungsversuche von Clients überwacht und sich ggf. als Access Point ausgibt, mit dem sich der Client dann verbindet. Nach dem Aufbau der Verbindung kann Hotspotter einen vorher konfigurierten Befehl ausführen.

Die Entwickler des in About Security #112 erwähnten Airsnarf, mit dem über einen gefälschten Access Point Zugangsdaten gesammelt werden können, haben als Gegenmaßnahme das 'Hot Spot Defense Kit' (HotSpotDK) für Windows und Mac OS X entwickelt. HotSpotDK achtet auf Wechsel der SSID, der MAC-Adresse des Access Points oder des Default Gateways oder auffällige Änderungen der Signalstärke und warnt den Benutzer bei einem möglichen Angriff.

Denial-of-Service-Angriffe

Eine für Denial-of-Service-Angriffe ausnutzbare Schwachstelle in WPA ist die fehlende Authentifizierung der ersten Nachricht des 4-Wege-Handshakes: Ein Client muss jede erste Nachricht so lange speichern, bis er eine passende dritte, signierte Nachricht erhält. Sofern mehrere parallele Sessions möglich sind, kann ein Angreifer dies durch eine große Anzahl gefälschter erster Handshake-Nachrichten ausnutzen, um den Speicher des Clients zu erschöpfen.

About Security: Die komplette Serie

Die Deauthentifizierungs-Nachricht, mit der sich ein Client beim Access Point abmeldet, ist ebenfalls nicht authentifiziert, kann also vom Angreifer einfach gefälscht werden. Ziel der Deauthentifizierung ist es meist, den Client zu einer erneuten Authentifizierung zu zwingen, um dabei den 4-Wege-Handshake von WPA/WPA2 zu belauschen. Durch fortlaufendes Senden von Deauthentifizierungs-Nachrichten kann ein Client aber auch an der Kommunikation mit dem Access Point gehindert werden.

Weitere Sicherheitsmaßnahmen

Die Konfiguration des Access Points sollte nur über eine kabelgebundene Verbindung aus dem lokalen Netz möglich sein. Die Fernkonfiguration und/oder die Konfiguration über WLAN muss dementsprechend deaktiviert werden. Das Setzen eines sicheren Passworts für den Zugriff auf den Access Point sollte selbstverständlich sein, wird aber oft vergessen. Je nach Auslieferungszustand ist der Access Point dann gar nicht oder nur durch ein Standardpasswort geschützt.

Ein oft vernachlässigter Punkt ist die Firmware des Access Points: Vorhandene Updates zur Behebung von Schwachstellen müssen möglichst schnell installiert werden, da ein Access Point durch seine freie Zugänglichkeit einem besonders hohen Angriffsrisiko ausgesetzt ist.

In der nächsten Folge geht es zum Abschluss des Themenbereichs "WLAN-Sicherheit" um WLAN-Hotspots.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WPA, WPA2 und IEEE 802.11i"

Kommentare

Folgende Links könnten Sie auch interessieren